Nach dem Inkrafttreten der DSGVO am 25.5.2018 steht bereits das nächste datenschutzrechtliche Großprojekt der EU auf dem Programm: Die E-Privacy-Verordnung.
Die E-Privacy-VO sollte ursprünglich gemeinsam mit der DSGVO in Kraft treten – dazu kam es jedoch nicht, sie steckt nach wie vor im Gesetzgebungsverfahren fest. Während des österreichischen EU-Ratsvorsitzes im zweiten Halbjahr 2018 gewinnt das Thema nun wieder an Brisanz.
Die ursprünglichen Pläne der EU-Kommission
Ursprünglich legte die EU-Kommission bereits im Jänner 2017 einen Verordnungsentwurf vor. Dessen Ziele: ein wirksamerer und besserer Schutz der Privatsphäre und der verarbeiteten personenbezogenen Daten im Zusammenhang mit der elektronischen Kommunikation. Nach Auffassung der Kommission ist ein „wirksamer Schutz der Vertraulichkeit der Kommunikation unverzichtbar für die Ausübung der Rechte auf freie Meinungsäußerung und Informationsfreiheit sowie andere damit verbundene Rechte wie derjenigen auf Schutz personenbezogener Daten oder auf Gedanken-, Gewissens- und Religionsfreiheit.“ Die E-Privacy-VO sollte somit die Bestimmungen der mittlerweile in Kraft getretenen DSGVO ergänzen.
Die wesentlichen Regelungsinhalte
Als einen zentralen Punkt legt der Verordnungsentwurf fest, dass die Endgeräte (also etwa Computer oder Smartphone) von InternetnutzerInnen und alle Informationen, die mit diesen Geräten in Verbindung stehen, Teil der Privatsphäre der NutzerInnen sind. Bisher ist es üblich, das Nutzungsverhalten im Internet oder diverse andere Umstände (bis hin zur Größe des Bildschirms, von dem aus gesurft wird), mittels als „Cookies“ bezeichneter Programme nachzuvollziehen und zu überwachen. In dieselbe Richtung geht das „Tracking“ der im Internet surfenden Personen – es wird also erhoben, welche Websites zuvor und welche anschließend aufgerufen werden. Aus der Zusammenschau der so erhobenen Daten lassen sich detaillierte NutzerInnenprofile erstellen. Dafür soll, geht es nach der Kommission, künftig eine Einwilligung der NutzerInnen erforderlich sein. Gemäß dem Grundsatz „Datenschutz durch Technikgestaltung“, der datenschutzfreundliche Grundeinstellungen vorschreibt, müssen derartige Programme, die das Nachvollziehen von Nutzungsverhalten möglich machen, also grundsätzlich deaktiviert sein.
Auch im Bereich der elektronischen Kommunikation, etwa in Bezug auf Dienste wie Whatsapp oder andere Online-Messenger und Telefonieanbieter wie Skype, soll es zu Veränderungen kommen. Daten, die im Zusammenhang mit Online-Kommunikation stehen, auch sogenannte „Meta-Daten“ über die Umstände der Kommunikation, sollen grundsätzlich nur mit Zustimmung der NutzerInnen oder unter ganz bestimmten, eng gefassten Bedingungen verarbeitet werden dürfen, um die Privatsphäre der kommunizierenden Personen effektiv zu schützen. Ein Abgreifen von Daten, die auf den Endgeräten gespeichert sind bzw. ein „Abhören“ oder Erfassen des Inhalts und der Umstände der Unterhaltung wäre somit unzulässig.
Widerstand und Kritik
Gegen die geplante Verordnung laufen insbesondere VerlegerInnen und VertreterInnen der Werbewirtschaft Sturm. Sie befürchten, künftig nicht mehr so zielgerichtet wie bisher im Internet werben zu können und daher Einnahmen zu verlieren. Das ist wohl auch der Grund, warum in Brüssel seit Monaten aggressives Lobbying für abgeschwächte Formulierungen in der Verordnung und von der Werbeindustrie ein „Spiel auf Zeit“ betrieben wird. Dieses wiederum wird von Datenschutz-NGOs wie epicenter works massiv kritisiert. Zwar habe die DSGVO erste Rahmenbedingungen für die Datenverarbeitung geschaffen, die E-Privacy-VO sei jedoch ein weiterer wichtiger Baustein auf dem Weg zu umfassender Privatsphäre im Internet.
Was die österreichische Regierung jetzt tun könnte (und was sie wirklich tut)
Angesichts des stockenden Gesetzgebungsprozesses auf EU-Ebene kommt Österreich während seiner EU-Ratspräsidentschaft nun eine bedeutende Rolle zu. So könnten durch kluge Vermittlung Österreichs Verhandlungsprozesse wieder in Gang und die E-Privacy-VO auf den Weg gebracht werden. Bisher zeichnet sich die österreichische Bundesregierung, im Gleichklang mit großen EU-Staaten wie Deutschland und Frankreich, jedoch nicht durch besonders datenschutzfreundliches Verhalten aus, sondern scheint neben einer Reihe von innerstaatlichen Maßnahmen, wie etwa der mit 1.9.2018 in Kraft tretenden Ausweitung der Höchstarbeitszeitgrenzen, auch in puncto Datenschutz die Wünsche der Industrie erfüllen zu wollen. So wurde erst jüngst vorgeschlagen, die Bestimmungen zum „Datenschutz durch Technikgestaltung“ komplett zu streichen.
Ausblick
Angesichts der umfangreichen Konflikte, die rund um das Thema Datenschutz ausgefochten werden, ist wohl kaum mit einer raschen Beschlussfassung zu rechnen. Es bleibt an dieser Stelle wohl zu hoffen, dass sich die LobbyistInnen und VertreterInnen der großen Verlagshäuser und der Werbeindustrie nicht durchsetzen und ihre Blockadehaltung aufgeben müssen. Erst dann wäre der Weg frei für weitere datenschutzrechtliche Verbesserungen auf EU-Ebene, die angesichts des Grundrechts auf Privatsphäre dringend geboten sind.
Der Beitrag ist erstmals unter http://arbeitundtechnik.gpa-djp.at erschienen.