Rat legt Position zur ePrivacy-Verordnung fest

Die Verordnung soll die Datenschutzrichtlinie aus dem Jahr 2002 ersetzen und die Datenschutzgrundverordnung (DSGVO) „präzisieren und ergänzen“. Sie hat insbesondere zum Ziel, die Grundrechte der Endnutzer auf Privatsphäre, Vertraulichkeit der Kommunikation und Schutz ihrer personenbezogenen Daten bei der Nutzung elektronischer Kommunikationsdienste zu gewährleisten. Dazu gehören neben klassischen Diensten wie Telefon und SMS künftig auch Webmail- und Internetdienste wie Skype, WhatsApp oder Facebook. Das cep hat sich in einer Analyse mit dem Thema befasst, vgl. cepAnalyse Nr. 16/2017.

Während sich der zuständige Ausschuss im Europäischen Parlament rasch auf eine Position zu dem Verordnungsvorschlag einigen konnte, tat sich der Rat deutlich schwerer. Nun nach vier (!) Jahren konnte sich der Rat aber endlich auf ein Mandat für Verhandlungen mit dem Europäischen Parlament festlegen.

Besonders umstritten war dabei, wie künftig mit Cookies umgegangen werden soll, die viele Websites einsetzen, um gezielt Werbung zu schalten. Der nun gefundene Kompromiss des Rates sieht vor, dass der für das Setzen von Cookies nötige Zugriff auf die Endgeräte der Websitenutzer zwar grundsätzlich zunächst einmal verboten ist. Es werden aber zahlreiche Ausnahmetatbestände definiert:

So soll die Speicherung von Cookies oder die Erhebung von Informationen aus Endgeräten erlaubt sein, wenn der Nutzer des Endgeräts eingewilligt hat. Ohne Einwilligung sind derartige Zugriffe insbesondere zur Reichweitenmessung, zur Aufrechterhaltung und Wiederherstellung der Sicherheit des Endgeräts oder zum Aufspielen von Sicherheitsupdates erlaubt.

Außerdem will der Rat eine Ausnahme für Zugriffe etablieren, die absolut notwendig sind, um einen von Nutzer speziell angefragten Dienst bereitzustellen. Unter diese Ausnahme fallen etwa Cookies, die beim Online-Shopping zum Merken von Produkten im Warenkorb oder zur Authentifizierung bei Online-Zahlungen nötig sind. Von dieser Ausnahme sollen nunmehr auch Online-Zeitungsportale und andere Pressepublikationsportale profitieren, die ihre Dienste im Einklang mit der Meinungs- und Informationsfreiheit für journalistische Zwecke erbringen und sich vollständig oder teilweise über Werbung finanzieren. Cookies, die durch solche Portale gesetzt werden, sollen damit offenbar auch als „notwendig“ zur Erbringung eines speziell angefragten Dienstes gelten. Diese Zugriffe müssen jedoch von den Lesern der Portale und Publikationen „akzeptiert“ werden, die zuvor in klarer und benutzerfreundlicher Weise zu informieren sind. Worin dabei der Unterschied zur Einwilligung liegen soll, ist unklar.

Cookies können zudem ohne Einwilligung des Nutzers eingesetzt werden, wenn sie der Messung der „Effektivität“ eines Dienstes dienen, etwa hinsichtlich des Designs einer Website oder auch bezüglich der Wirksamkeit der Schaltung von Werbung. Solche Cookies dürfen jedoch niemals dazu dienen, den Nutzer als solchen zu erkennen.

Um Einwilligungen zu erleichtern, sollen Nutzer diese künftig auch über Softwareeinstellungen erteilen oder bestimmten Anbietern in „Whitelists“ das Tracking für bestimmte Zwecke erlauben können. Softwareanbieter werden durch die Verordnung nicht dazu verpflichtet, aber „ermutigt“, Einstellungsmöglichkeiten vorzusehen, die den Endnutzern auf benutzerfreundliche und transparente Weise die Verwaltung von Einwilligungen und Widerrufen von Einwilligungen ermöglichen. Jedoch sollen direkt abgegebene Einwilligungen gegenüber in den Softwareeinstellungen vorgenommenen Einwilligungsentscheidungen immer Vorrang haben.

Eine wirksame Einwilligung des Nutzers setzt u.a. voraus, dass der Nutzer seine Einwilligung freiwillig erteilt hat. Dazu muss der Nutzer eine echte Wahl haben, was bei sogenannten Cookie Walls fraglich ist, die den Zugang zu den Inhalten einer Website von der Akzeptanz nicht notwendiger Cookies abhängig machen. Der Rat ist der Auffassung, dass ein Websitenutzer dann eine echte Wahl („genuine choice“) hat, wenn er in der Lage ist, auf ein alternatives Angebot ohne Cookie-Zwang auszuwei-chen, das allerdings nicht zwingend vom selben Anbieter stammen muss. Strengere Regeln sollen gelten, wenn zwischen Anbieter und Nutzer ein klares Ungleichgewicht besteht, wie etwa bei von Anbietern mit einer dominanten Marktposition. Der Websitenutzer kann nämlich in diesen Fällen nicht oder nur schwer auf einen alternativen Dienst anderer Anbieter ausweichen. Besteht ein derartiges Ungleichgewicht, dürfen diese Anbieter den Zugang zu ihrer Website nicht von der Einwilligung in Cookies abhängig machen, die für „zusätzliche Zwecke“ gesetzt werden. Dies gilt auch etwa bei Websites von Behörden, da der Nutzer hier oft de facto nicht auf alternative Websites ausweichen kann.

Neu ist auch, dass Anbieter Informationen, die sie mit Hilfe von Cookies in den Endgeräten des Nutzers zulässig erhoben haben, künftig unter bestimmten Bedingungen auch zu anderen Zwecken weiterverarbeiten dürfen. Voraussetzung ist aber, dass der neue Zweck mit dem Zweck, für den die Daten ursprünglich erhoben wurden, "vereinbar" ist, und dass die Anbieter bestimmte Bedingungen einhalten. Insbesondere müssen sie die Daten pseudonymisieren, dürfen keine Profile der Nutzer bilden und die Daten nur anonymisiert an Dritte weitergeben.

Nachdem der Rat und das Europäische Parlament nun jeweils eine Verhandlungsposition zur ePrivacy-Verordnung haben, können sie in die Trilogverhandlungen einsteigen. Hoffen wir, dass es nicht wieder vier Jahre dauert, bis der nächste Schritt im Gesetzgebungsprozess vollzogen wird.

Philipp Eckhardt und Anja Hoffmann