12.12.2019

ePrivacy-VO-Reset: Kommt jetzt eine bessere Tracking-Regelung?

Portrait von Stefan Schleipfer
Stefan Schleipfer

Auch die finnische Präsidentschaft hat es nicht geschafft, im EU-Rat eine gemeinsame Position zur ePrivacy-VO zu finden, die Voraussetzung gewesen wäre, um in Trilog-Verhandlungen mit EU-Parlament und EU-Kommission eintreten zu können. Zu groß waren die Meinungsverschiedenheiten der EU-Staaten, gerade auch beim Thema Cookies und Tracking. Wie es weitergehen könnte, deutete der neue EU-Kommissar für Binnenmarkt und Industrie, Thierry Breton, mit seiner Ankündigung an, die EU-Kommission wolle einen neuen Gesetzentwurf vorlegen.

 

Hintergrund

Entstehung: Die allererste ePrivacy-Richtlinie von 2002 kannte noch ein Widerspruchsrecht gegen Cookies. In der Absicht, die Nutzerrechte zu stärken, wurde in der überarbeiteten ePrivacy-Richtlinie, der sog. „Cookie-Richtlinie“ von 2009, entsprechend der Forderung des EU-Parlaments das Widerspruchsrecht durch das Einwilligungserfordernis ersetzt. Die praktische Auswirkung kennen wir alle: Die Nutzer werden überflutet von Einwilligungsforderungen und kapitulieren, indem sie unbesehen alle geforderten Einwilligungen erteilen.

Effekt: Das Ziel, die Nutzerrechte zu stärken, wurde krachend verfehlt: Die eindeutigen Sieger sind die US-Größen wie Google und Facebook, die tracken, was sie wollen und per Einwilligung der Nutzer auch noch die Rechtsgrundlage dafür serviert bekommen. Eindeutige Verlierer sind die Nutzer, die sich weder gegen die Trackingflut noch gegen die Einwilligungsflut zu wehren wissen.

Symptomatischer Ansatz: Doch anstatt das Scheitern dieser Cookie-Regelung einzugestehen und nach den Gründen zu fragen, kurierte der Entwurf der EU-Kommission für eine ePrivacy-VO nur an den Symptomen herum: Die Anzahl der Einwilligungen sollte vermindert werden, indem ein paar zusätzliche Ausnahmen vom Einwilligungserfordernis definiert wurden, und die restlichen Einwilligungen sollten effizienter abgewickelt werden durch geeignete Browser-Einstellungen. Das Versäumnis rächt sich nun: Der Abbruch der Verhandlungen im EU-Rat zeigt, dass sich auf dieser Basis keine Regelung aufbauen ließ, die als fairer Ausgleich zwischen den widerstrebenden Interessen gewertet werden kann.

Eigentliche Gründe: Hätte man sich intensiver mit den Gründen für das Scheitern auseinandergesetzt, so hätte sich gezeigt, dass die Cookie-Regelung der ePrivacy-VO – im Folgenden ist immer der Kommissionsentwurf gemeint – auf einem sehr oberflächlichen Verständnis des Regelungsgegenstandes aufbaut.

Das irrige Verständnis lässt sich an drei falschen Formeln festmachen:

 

Erste falsche Formel:  Cookies = Tracking

Irrglaube: Die geplante ePrivacy-VO ging, wie Art. 10 (Einwilligung durch Browser-Einstellungen) und der dazugehörige Erwägungsgrund 24 zeigen, von der Formel aus: Cookies = Tracking. Auch die öffentliche Diskussion baut meist auf dieser Annahme auf und spricht daher fast ausschließlich über Cookies, und vielleicht noch über die technische Alternative Fingerprints.

Verfahren zur Wiedererkennung: Im Gegensatz zu diesem Irrglauben sind Cookies gerade kein Trackingverfahren, sondern, ebenso wie Fingerprints, ein Verfahren zur Wiedererkennung. Der Anbieter oder Tracker platziert dabei ein Cookie mit einer zufälligen Nummer auf dem Endgerät des Nutzers, und die Nummer wird bei jedem Kontakt des Nutzers mit dem Anbieter oder Tracker mitgeschickt, so dass dieser ihn wiedererkennen kann. So wie Schrauben und Muttern als allgemeines Befestigungsverfahren in vielen Maschinen eingesetzt werden können, sind Cookies und Fingerprints allgemeine Wiedererkennungsverfahren, die in vielen Situationen Anwendung finden. Nicht nur im Rahmen von Tracking, sondern etwa auch zur Sessionsteuerung von Logins oder um den Zustand des Warenkorbs bis zum Abschluss des Einkaufs aufrechtzuerhalten.

Falsches Regelungsobjekt: Dass die ePrivacy-VO versucht, die Anwendbarkeit auf diejenigen Cookies einzuschränken, die im Rahmen von Tracking eingesetzt werden, ändert nichts daran, dass Cookies die falschen Regelungsobjekte sind.

 

Zweite falsche Formel:  Endgeräteschutz = Trackingschutz

Gesetzgeberisches Ziel: Tatsächlich regelt die ePrivacy-VO nicht nur Cookies und Wiedererkennung, sondern alle Vorgänge auf dem Endgerät. Ihr geht es eigentlich gar nicht ums Tracking, sondern um den Endgeräteschutz. Sie betrachtet das Endgerät und alle Daten auf ihm als Teil der Privatsphäre des Nutzers und will daher verhindern, dass Daten aus der Privatsphäre ohne Wissen und Zustimmung des Nutzes entweichen (Erwägungsgrund 20).

Schauplatz von Tracking: Das ist erst mal ein vernünftiger Ansatzpunkt, aber es ist nur ein kleiner Teil des Themas Tracking. Tracking findet zum ganz überwiegenden Teil nicht auf dem Endgerät, sondern auf Servern der Anbieter und Tracker statt, wo die Trackingdaten mit andern Trackingdaten, mit CRM-Daten und weiteren Daten aus eigenen und fremden Quellen zusammengeführt, zusammen ausgewertet, vielleicht sogar weiterverkauft und von verschiedenen Stellen für Werbe- und andere Zwecke eingesetzt werden.

Falscher Anknüpfungspunkt: Dies alles blendet die ePrivacy-VO aus und beschränkt sich auf die Vorgänge auf dem Endgerät. Auf dieser Basis lässt sich keine vernünftige Tracking-Regelung aufbauen.

 

Dritte falsche Formel:  Website = TK-Dienst

Ebene der TK-Dienste: Die ePrivacy-VO ordnet die Dienste von Websites der TK-Ebene zu, mit der Folge, dass kein Unterschied gemacht wird zwischen personenbezogenen und nicht personenbezogenen Daten. Diese Gleichstellung ergibt Sinn bei TK-Diensten, da ein TK-Anbieter die erhaltenen Daten völlig unabhängig von deren Inhalt und Personenbezug zu übertragen und zu schützen hat.

Ebene der Webdienste: Dagegen macht es für den Nutzer einen gravierenden Unterschied, ob ein Website-Anbieter oder Tracker sein Nutzungsverhalten nur anonym oder pseudonym aufzeichnet, ohne die aufgezeichneten Trackingdaten mit seiner Person in Verbindung zu bringen, oder ob er direkt personenbezogene Trackingdaten generiert und diese mit anderen Daten wie CRM-Daten zusammenführt.

Fehlende Differenzierung: Da die ePrivacy-VO keinen Unterschied hinsichtlich des Personenbezugs macht, kann auch die Tracking-Regelung diesbezüglich nicht sachgerecht differenzieren.

 

Gute Gesetzgebung nur durch interdisziplinäre Teams

Wer die Schuld für das Scheitern des bisherigen Gesetzgebungsverfahrens nur dem Lobbying der Werbeindustrie zuweist, macht es sich zu einfach. Tiefer an die Gründe heran führt die Erkenntnis, dass sich auf einem äußerst oberflächlichen Verständnis des Regelungsgegenstands basierend auf den drei falschen Formeln keine praxistaugliche Regelung aufbauen lässt.

Interdisziplinäre Teams: In jedem Scheitern liegt zugleich die Chance, neu anzufangen und es besser zu machen. Um eine gute Regelung zu schaffen, reicht juristischer Sachverstand allein nicht aus. US-Größen wie Google und Facebook haben dies schon lange erkannt und berufen, etwa als Reaktion auf eine europäische Gesetzgebung, interdisziplinäre Teams ein, um ihr Verhalten zu steuern. Auch in der datenschutzrechtlichen Gesetzgebung wäre dies hilfreich.

Lösungskonzept vor Gesetzentwurf: Bevor die EU-Kommission einen Gesetzentwurf erstellt, sollte sie ein interdisziplinäres Team zusammenstellen, bestehend nicht nur aus fachkundigen Juristen, sondern auch aus Informatikern, die wissen, wie Tracking funktioniert, Wirtschaftlern, die den Internet-Werbemarkt kennen, und Datenschutzpraktikern, die mit den Fragestellungen aus der täglichen Arbeit vertraut sind. Dieses Team sollte zunächst die Grundsatzfragen adressieren und daraus ein belastbares Lösungskonzept entwickeln:

  • Was sind die richtigen Regelungsobjekte? Cookies oder Trackingdaten samt ihren Auswertungen und deren Verwendung für Werbe- und andere Zwecke?
  • Macht es einen Unterschied, ob anonyme, pseudonyme oder direkt personenbezogene Trackingdaten generiert werden?
  • Mit welchen Daten dürfen die Trackingdaten zusammengeführt werden? Mit den Trackingdaten desselben Nutzers diensteübergreifend? / anbieterübergreifend? / geräteübergreifend?
  • Dürfen die Trackingdaten mit der Person des Nutzers in Verbindung gebracht werden? Dürfen sie mit eigenen personenbezogenen Daten wie CRM-Daten zusammengeführt werden? Mit fremden personenbezogenen Daten? Mit fremden pseudonymen Daten?
  • Welche Auswertungen sind zulässig? Nur statistische Auswertungen oder auch individuelle Auswertungen?
  • Für welche Zwecke dürfen die Auswertungsergebnisse verwendet werden? Für Webanalyse (z.B. Matomo, Google Analytics) – für Reichweitenmessung (wie z.B. INFOnline) – zur Einblendung von individueller Werbung – für automatisierte Entscheidungen?
  • Was ist das richtige rechtliche Mittel? Einwilligungen oder vertragliche Vereinbarungen oder Interessenabwägungen? Oder muss man, um den Missbrauch durch die US-Größen zu vermeiden, gerade alle diese Mittel ausschließen und statt dessen eine rote Linie ziehen, die weder per Einwilligung noch durch vertragliche Vereinbarung noch durch Interessenabwägung überschritten werden kann?

Die EU-Kommission sollte das schriftlich formulierte Lösungskonzept veröffentlichen, und die Stakeholder sowie die Fach-Öffentlichkeit sollten über das Lösungskonzept diskutieren und dazu Stellung beziehen. Erst nach Einarbeitung dieser Rückmeldungen ergibt es Sinn, einen Gesetzentwurf zu formulieren. Auch EU-Parlament und EU-Rat sollten sich mit interdisziplinären Teams an der Gesetzgebung beteiligen. Der Gesetzentwurf kann zusätzlich durch „Read Teaming“-Ansätze auf Schwachstellen überprüft werden (siehe dazu Gercke, „Red Teaming“ Ansätze zur Effektivierung von Gesetzgebungsprozessen?, CR 2014, 344 ff.).

 

Ziel: fairer Interessenausgleich

Um bei den Diskussionen zu einem gemeinsamen Ergebnis zu kommen, wäre es sehr hilfreich, wenn auch der Datenschutz anerkennen würde, dass es hier nicht um einen Kampf zwischen „Gut“ (möglichst strenger Datenschutz) und „Böse“ (Tracker und Werbeindustrie) geht.

Fairness: Dass vielmehr den berechtigten Interessen der Nutzer, die ihre Privatsphäre bewahren möchten, auch berechtigte Interessen der Anbieter entgegenstehen, die nicht nur gute Auswertungen der Nutzung ihrer Websites brauchen, sondern häufig auch darauf angewiesen sind, ihre Websites durch Werbung zu finanzieren. Dass es also darum geht, einen fairen Kompromiss zwischen beiden berechtigten Interessen zu finden.

Balance: Genau mit diesem Ziel definierte seinerzeit das TMG eine Widerspruchslösung für pseudonymes Tracking, mit strengem Zusammenführungsverbot. Auch diese Lösung sollte intensiv diskutiert und nicht schnell als schwach abqualifiziert werden. Würde es gelingen, pseudonymes Tracking auf breiter Front durchzusetzen, wäre gegenüber dem heutigen Zustand die Datensammlung der Tracker erheblich eingeschränkt, die Privatsphäre der Nutzer erheblich verbessert, und Anbieter könnten ihre Websites trotzdem mit Werbung finanzieren.

Neuanfang? Nun scheint die EU-Kommission einen Neufangang zu planen. Wenn das stimmt, ist es zu begrüßen. Ob man jetzt aber wirklich die erforderliche Grundsatzdiskussion führt, deshalb noch lange nicht sicher. Die Aussage des EU-Kommissars Thierry Breton, man würde „not completely from scratch“ anfangen, stimmt nicht sehr optimistisch.

 

Zurück