Sowohl in der datenschutzrechtlichen Beratung, als auch im öffentlich-fachlichen Diskurs gilt sie als nahezu mystisches Konstrukt, als Antwort auf alle offenen Fragen: Die ePrivacy-Verordnung. Ursprünglich sollte sie bereits gemeinsam mit der Datenschutz-Grundverordnung (DSGVO) das Licht der Welt erblicken und die ePrivacy-Richtlinie aus dem Jahr 2002 ablösen. Viele datenschutzrechtliche Problemstellungen bei der Verwendung von Cookies und im Rahmen des Tracking sollten sich mit ihr lösen.
Der Inhalt im Überblick
ePrivacy: Das Scheitern einer Gesetzgebung
Nun haben sich die Hoffnungen, das heiß ersehnte Regelwerk zeitnah willkommen heißen zu können, in Luft aufgelöst. Realistischer erscheinen nunmehr Schätzungen, die 2023 oder gar 2025 benennen. Noch pessimistischere Stimmen sprechen gar von einem kompletten Aus.
Dass Gesetzgebungsverfahren oft schwerfällige Monster sein können, ist wahrlich kein Geheimnis. Je mehr Akteure ein Wörtchen mitzureden haben, desto komplizierter und länger gestaltet sich dieser Prozess. Frei nach dem Motto „Viele Köche verderben den Brei“.
Die „Köche“, die im Rahmen der Einführung der ePrivacy-Verordnung beteiligt sind, sind die europäische Kommission, das europäische Parlament und der Rat der europäischen Union. Die Regelungen der Verordnung sollen – so die Idee – in einem sogenannten „Trilog“ verhandelt werden. Diese informelle Art der Unterredung zwischen den drei Beteiligten soll das ansonsten sehr langwierige ordentliche Gesetzgebungsverfahren der Europäischen Union abkürzen und flexibler gestalten.
Finnland wollte eine Einigung um jeden Preis
Ursprünglich war geplant, im Dezember 2019 in diesen Trilog einzutreten. Die europäische Kommission veröffentlichte im Januar 2017 einen Entwurf zur geplanten Richtlinie, das Parlament zog im Oktober 2017 mit einer eigenen Fassung nach. Unter der Leitung der finnischen Ratspräsidentschaft wurden seitens des europäischen Rates mehrere Entwürfe ausgearbeitet. Der letzte Entwurf vom 08. November 2019 wurde schließlich dem Ausschuss der Ständigen Vertreter der Mitgliedsstaaten (auch „COREPER“ genannt) übermittelt . Hierauf hätten die Trilog-Verhandlungen starten sollen.
Nun ließ sich einem Tweet von Kristiina Pietikäinen, einer Mitarbeiterin der ständigen Repräsentation Finnlands in der EU, ein Scheitern dieser Bemühungen entnehmen. Zahlreiche Staaten haben zuletzt gegen den Entwurf des Rates gestimmt.
The #coreper1 just rejected the general approach on #eprivacy. Wish good luck to the Croatian presidency on this file.
Dieses Ergebnis ist nicht nur für die Datenschutzgemeinde enorm bitter, sondern ebenso für die finnische Ratspräsidentschaft. Diese versuchte, durch das Einbringen zahlreicher Kompromissvorschläge eine Einigung der Mitgliedsstaaten zu erreichen und war auch sonst sehr bemüht, eine Einigung bis zum 31.12.2019 zu finden.
Damit ist es nun an der nächsten – kroatischen – Ratspräsidentschaft, einen neuen Entwurf voranzutreiben und hoffentlich schnellstmöglich in die weiteren Verhandlungen eintreten zu können.
(K)ein Gefallen für den Datenschutz
Das der durch den europäischen Rat eingereichte Entwurf letztlich scheiterte, mag angesichts der zahlreichen Kritikpunkte im Vorfeld kaum verwundern. Viele Änderungen ließen Vorwürfe laut werden, der Datenschutz würde verwässert und ausgehöhlt.
- So sah der eingereichte Vorschlag unter anderem vor, dass geräteübergreifendes Tracking für Forschungs- oder Statistikzwecke auch ohne Einwilligung des Nutzers möglich sein soll.
- Ein weiterer, großer Streitpunkt war überdies der Vorschlag, werbefinanzierten Nachrichten- und Verlagsseiten vom Einwilligungserfordernis für das Setzen von Tracking-Cookies auszunehmen. Vielmehr sollte die damit verbundene Datenverarbeitung als „zwingend für den Betrieb erforderlich“ anerkannt werden. Angesichts des teils massiven Einsatzes von Tracking-Lösungen auf entsprechenden Webseiten wurde dieser Vorschlag vielerorts kritisiert.
Ob die bisherigen Vorschläge zur Ausgestaltung der ePrivacy-Verordnung geeignet sind, die wahren Datenkraken wie Facebook, Google und Co. zu treffen, darf wahrlich bezweifelt werden. So soll die Verordnung das Setzen von Cookies, das Auslesen von Geräteinformationen und andere Tracking-Mechanismen regulieren und dabei die Idee des europäischen Datenschutzes wahren. Allerdings finden problematische und weitreichende Datenverarbeitungen und Profilbildungen oftmals gerade innerhalb des geschlossenen Ökosystems der jeweiligen Anbieter statt. Getroffen von umfassenden Reglementierungen werden deshalb vor allem kleinere Anbieter von Webdiensten, die oftmals auf das Auswerten der Besucherzahlen in besonderem Maße angewiesen sind.
Insgesamt scheint die ePrivacy-Verordnung vom romantischen Gedanken an die Autonomie des Einzelnen getrieben zu sein. Davon, dass jeder selbst Herr seiner Daten sei und auf dem eigenen Endgerät frei darüber entscheiden möge, wer zu welchem Zweck Zugriff erhalten soll. Dabei wird aber aus dem Blick verloren, dass die digitale Welt immens komplex ist. Dass die Vormachtstellung bestimmter Anbieter eine freie Entscheidung schon per se erschwert, weil eine informierte Entscheidung aufgrund fehlender Transparenz schlicht nicht möglich ist. Und dass es auf der anderen Seite durchaus Angebote gibt, die für eine freiheitliche und informierte Gesellschaft elementar sind, für die eine zu starre Regulierung im wahrsten Sinne des Wortes aber existenzbedrohend sein kann.
Wie geht es ohne ePrivacy-Verordnung weiter?
Welche Ergebnisse letztlich gefunden werden, ob die ePrivacy-Verordnung die nötige Flexibilität aufweisen wird, um den Anforderungen der digitalen Welt zu genügen und hierbei gleichzeitig die Rechte und Freiheiten der Nutzer gewahrt werden können, wird wohl noch eine Weile unklar bleiben.
Sicher ist, dass eine Verabschiedung 2021 kaum zu schaffen ist. Selbst mit einem zügigen, neuen Entwurf dürfte angesichts der notwendigen Trilog-Verhandlungen vor dem Jahr 2023 kaum mit einer Endfassung zu rechnen sein. Eine weitere Möglichkeit stellt ein Rückzug des gesamten Gesetzesvorschlages seitens der Kommission dar. Auch lassen Stimmen aus dem „COREPER“ verlauten, dass selbst dort nicht mehr an eine Zukunft des Gesetzeswerkes geglaubt wird. Zu unterschiedlich scheinen die Standpunkte, zu festgefahren die Verhandlungen.
Auf der Suche nach einem „Plan B“
Derzeit bleibt es deshalb bei Unsicherheiten, Risikoanalysen und der Hoffnung auf baldige, obergerichtliche Entscheidungen. Bis heute ist die Frage nach einer tauglichen Rechtsgrundlage für das Setzen von Cookies und dem Usertracking unter Einbeziehung Dritter nicht abschließend geklärt.
Der EuGH entschied zwar im Wesentlichen darüber, wie eine Einwilligung auszugestalten sei, jedoch nicht darüber, ob dies in jedem Fall die einzige Möglichkeit ist.
Unternehmen sei dennoch dringend geraten, sich zeitnah mit dem Thema Tracking (insbesondere durch Cookies) auseinander zu setzen. Spätestens seit der Orientierungshilfe der Datenschutzkonferenz aus dem März 2019 ist die Ansicht der Aufsichtsbehörden zu diesem Thema bekannt. Auch gibt es konkrete Anhaltspunkte dafür, dass bereits entsprechende Beschwerden zum Webtracking bei den Aufsichtsbehörden anhängig sind. Deshalb wurden auch in einer abgestimmten Aktion Pressemitteilungen von den Datenschutzaufsichtsbehörden veröffentlicht (bspw. aus Rheinland-Pfalz, Hamburg, Thüringen sowie des Bundesdatenschutzbeauftragten für den Datenschutz und die Informationsfreiheit), welche erneut auf die gemeinsame Position aus dem Frühjahr hinweist.
Zwar gilt es auch hier stets zu betonen, dass die Ansicht der Aufsichtsbehörden genau das sind – Ansichten. Ob richtig oder falsch, wird sich vorerst nur gerichtlich klären lassen. Allerdings sollte jeder Verantwortliche diese Vorgänge zum Anlass nehmen, den Einsatz von Tracking-Mechaniken und Cookies auf der eigenen Website zumindest zu durchdenken. Es sollte analysiert werden, welche Relevanz das Tracking für den Betrieb der Webseite hat. Oftmals werden Tracking-Lösungen genutzt, aber überhaupt nicht ausgewertet.
Was nun?
So gerne Berater wie Anwälte derzeit eine konkrete Handlungsempfehlung geben würden: Eine seriöse und belastbare Antwort auf die Frage „Was nun?“ gibt es derzeit nicht. Zu vieles ist im Graubereich, noch zu wenig Gerichtsentscheidungen gibt es. Wer auf sog. „Consent-Manager“ setzen möchte, sollte diese zum einen korrekt konfigurieren. Zum anderen muss man sich allerdings auch bewusst sein, dass die damit eingeholten Einwilligungen nach den Anforderungen der Aufsichtsbehörden aufgrund fehlender Transparenz wohl zumindest angreifbar, wenn nicht gar unwirksam sein dürften.
Es gilt also, Argumente zu sammeln, vertretbare Lösungen zu entwickeln und im Zweifelsfall mit den Behörden ins Gespräch zu kommen. Wer vorsorgen will, sollte sich allerdings bereits jetzt Gedanken über einen „Plan B“ machen. Und vielleicht, aber nur vielleicht, erleben wir ja noch einen Sonnenaufgang im Lichte einer neuen, ausgereiften ePrivacy-Verordnung.