Aus Sicht der Stiftung Datenschutz 03/21: ePrivacy, reloaded
Manchmal begegnen Ihnen, liebe Leserinnen und Leser, in dieser Kolumne gute alte Bekannte. In der Ausgabe 1/2018 der PinG schrieb ich ein paar Gesichtspunkte auf zum Vorschlag für eine ePrivacyVerordnung. Damals war die Initiative für einen Ersatz der ePrivacyRichtlinie ein Jahr alt, und bei der Stiftung Datenschutz nahmen wir das zu Anlass einer Tagung mit den beteiligten Stakeholdern. Mittlerweile feiert der Entwurf bereits seinem vierten Jahrestag – das Verfahren dauert damit bereits schon jetzt so lange wie das Verfahren der DSGVO vom ersten Vorschlag bis zur Verabschiedung des fertigen Gesetzes. Da jedoch der Gesetzgebungsvorschlag zu einer ePrivacy-Verordnung seit 2017 bereits einige Modifikationen hinter sich hat, griffen wir bei der Stiftung Datenschutz die Thematik März 2021 wieder auf und diskutierten erneut mit der Berichterstatterin des Europäischen Parlaments und den weiteren Protagonisten. Und es wurde deutlich, dass sich ganz Grundlegendes auf den Seiten der Befürwortenden und der Ablehnenden gar nicht geändert hat
Lesen Sie hier den Beitrag mit allen Fußnoten im pdf.
Noch immer gibt es auf der einen Seite die Furcht, dass eine strenge(re) Regulierung elektronischer Kommunikation digitale Geschäftsmodelle – besonders bei OnlineMedien und Online-Marketing – verhindern und zugleich die Macht großer Plattformen stärken könnte. Und auch weiterhin fürchtet die andere Seite, dass eine abgeschwächte Regulierung das Recht auf Datenschutz und auf Privatsphäre massiv schwächen könnte.
Ein Durchbruch, der polarisiert
Etliche EUMitgliedstaaten haben sich seit 2017 im Rahmen ihrer jeweiligen Ratspräsidentschaft daran versucht, eine gemeinsame Position zu erreichen. Auch Deutschland war es im zweiten Halbjahr 2020 nicht gelungen, die EU-Mitglieder hinter einem Kompromissvorschlag zu vereinen, um damit in Verhandlungen mit EU-Parlament und EU-Kommission gehen zu können. Mit Blick auf diesen Zeitverlauf mutet es im Nachhinein geradezu verwegen an, wie im Januar 2017 in Brüssel das Ziel ausgegeben worden war, dass die ePrivacy-Verordnung bereits ab Mai 2018 parallel mit der DSGVO zur Anwendung kommen solle.
Im Februar 2021 dieses Jahres ist es schließlich Portugal gelungen, die Mitgliedstaaten zu einen – mit einem Vorschlag, der im Parlament und in der Datenschutz-Community umgehend heftige Reaktionen auslöste. Der Bundesdatenschutzbeauftragte zeigte sich „fassungslos“ und der Vorstand der Verbraucherzentralen sprach von einem „Skandal“. Auch in der Politik selbst waren die Reaktionen harsch. Der Europaabgeordnete Moritz Körner sprach anlässlich der Vorstellungen im EU-Rat von „Anti-Privacy“ und sein Parlamentskollege Patrick Breyer von „dePrivacy“.
Altes Vorhaben, neue Realitäten
Auch wenn sich die Grundpositionen der Akteure in der Sache kaum verschoben haben, so haben sich die äußeren Rahmenbedingungen durchaus leicht geändert. Ein Gesetzgebungsverfahren zu ePrivacy trifft heute auf eine DSGVO, die nicht erst gerade beschlossen ist, wie noch in 2017, sondern die bereits bald in das vierte Jahr ihrer Anwendungspraxis geht. Es trifft zudem auf inzwischen ergangene Rechtsprechung des Europäischen Gerichtshofes zum klaren Einwilligungserfordernis in nicht notwendige Cookies. Und sie trifft auf gleich mehrere neue datenpolitische Vorhaben auf EU-Ebene. Zu fragen ist daher nicht nur, wie das grundsätzliche und praktische Verhältnis einer künftigen ePVO zur DSGVO ausgestaltet wird, sondern auch, ob sich möglicherweise Spannungen zu den weiteren datenbezogenen EU-Vorhaben wie dem Data Governance Act, dem Digital Service Act und einem womöglich weiteren Data Act ergeben. Bestenfalls sind wir auf dem Weg zu einem konsistenten europäischen Datenrecht. Schlimmstenfalls kommen zu den praktischen Unsicherheiten, wie sie bei der DSGVO-Umsetzung immer noch bestehen, weitere hinzu.
Schließlich gibt es auch nationale Entwicklungen. So hat just an dem Tag, an dem der Rat seinen neuen Vorschlag für eine ePrivacy-Verordnung beschlossen hat, das Bundeskabinett den Entwurf zum TTDSG beschlossen, einem Gesetz, mit dem Deutschland gewissermaßen die ePrivacy-Richtlinie von 2009 (!) umzusetzen sucht. Das Vorhaben befindet sich bei Erscheinen dieser Ausgabe der PinG in den Beratungen im Bundestag; ob es in dieser – nur noch wenige parlamentarische Sitzungswochen umfassenden – Legislaturperiode noch verabschiedet werden wird, ist nicht sicher.*
Angleichung oder Verrat?
Inhaltlich hat sich über die letzten Jahre einiges am Entwurf des Rates verändert. Nun soll vor allem die aus der DSGVO wohlbekannte Rechtsgrundlage des berechtigen Interesses mehr zum Tragen kommen. Damit wird das zuvor strenge Einwilligungserfordernis („Zustimmung für jeden einzelnen Cookie“) gelockert. Auch die aus Art.6 Abs.4 DSGVO bekannte Möglichkeit der Weiterverarbeitung/Zweckänderung erhält Einzug in den aktualisierten Vorschlag. Während nun die Einen in der Abkehr vom strengen Einwilligungserfordernis und in der Öffnung für andere Verarbeitungszwecke schlicht eine Angleichung an das erprobte Regelungsregime des Datenschutzrechts erkennen, wähnen die Anderen darin nur ein weiteres Einfallstor für kommerzielle Nutzerüberwachung. Im Alltag der Verbraucherinnen und Verbraucher dürfte es vordergründig sicher sehr gut ankommen, wenn – infolge der Möglichkeit, Marketing-Cookies auf berechtigte Interessen stützen zu können – die sehr unbeliebten Consent-Banner verschwänden. Doch das Resultat eines damit nicht etwa sinkenden, sondern noch ausgeweiteten Tracking-Aufkommens wäre sicherlich weniger erwünscht.
Bei der Abstimmung im EU-Rat zum neuen ePrivacy-Vorschlag hat sich Deutschland jedenfalls enthalten und die von Daten und Verbraucherschutz kritisierte Position der anderen Mitgliedstaaten nicht mitgetragen. Dies könnte eine Fortsetzung der eher datenschutzfreundlichen Haltung bedeuten, die Deutschland in seiner Ratspräsidentschaft zeigte und infolge derer im deutschen Vorschlag vom November 2020 dem berechtigten Interesse noch eine Absage erteilt wurde.
Wer zu spät kommt…
Die Aussichten zum Fortgang des ePrivacy-Verfahrens sind eher wolkig. Alle Seiten erwarten einen jahrelangen Prozess. Was sagt dies über die Verfasstheit der EU in der Datenpolitik aus? Ist Europa einig genug, um datenpolitisch rechtzeitig die Weichen zu stellen, um bestenfalls weiterhin globale Standards setzen zu können? Bei der DSGVO hat das durchaus funktioniert. Mehrere US-Bundesstaaten orientieren sich bei ihrer derzeitigen Datenschutzgesetzgebung am europäischen Rechtsrahmen; Kalifornien hat im März sogar eine echte Datenschutzaufsichtsbehörde installiert. Auch Brasilien nahm sich, wohlgemerkt unter der vorherigen Regierung, ein Beispiel am EU-Datenschutzrecht. Ob diese Vorbildfunktion weiter ausgefüllt werden kann, hängt natürlich weniger von der Geschwindigkeit eines Gesetzgebungsverfahrens ab, als von dessen Inhalt. Doch vergibt ein quälend langer Rechtssetzungsprozess Chancen, international Vorbilder zu schaffen – erst recht angesichts des Tempos technischer und technologischer Entwicklungen im digitalen Umfeld.
Umgekehrt mag ein langes Verfahren dazu führen, dass sich manch Streitpunkt per Zeitablauf erledigen könnte. Schon länger wird ein Ende der oftmals im Fokus von ePrivacy-Debatten stehenden Cookies prophezeit. Und im März 2021 kündigte Google an, in seinem – erheblichen – Einflussbereich die so geschmähten Drittanbieter-Cookies auf Browser-Ebene zu verbannen. Der Vorschlag der portugiesischen Ratspräsidentschaft sieht derweil vor, dass die ePrivacy-Verordnung nicht, wie früher geplant, ein Jahr nach dem Inkrafttreten angewendet werden soll, sondern erst zwei Jahre danach. Angesichts dessen und der zu erwartenden Verfahrensdauer bis zur Verabschiedung könnte es also sein, dass das neue Recht auf ein deutlich anderes Umfeld stößt als heute. Vielleicht sind alle Kekse dann bereits gegessen.
*Nach Erscheinen dieser Kolumne wurde das TTDSG im Mai 2021 von Bundestag und Bundesrat verabschiedet und am 28. Juni 2021 im Bundesgesetzblatt veröffentlicht. Ein großer Teil tritt am 1. Dezember 2021 in Kraft.