ein IMHO von Sebastian Schulz
Letzte Woche hat die EU-Kommission ihren Vorschlag für eine Überarbeitung der E-Privacy-Richtlinie, umgangssprachlich auch als „Cookie-Richtlinie“ bezeichnet, vorgelegt. Die im Jahr 2002 verabschiedete, nach Brüsseler Zeitrechnung erst jüngst (namentlich in 2009) reformierte Richtlinie soll an die kurzen Innovationszyklen der Internetwirtschaft angepasst und mit der im Mai 2016 in Kraft getretenen EU-Datenschutz-Grundverordnung (DS-GVO) synchronisiert werden. Dass es Bedarf für eine solche Synchronisierung geben würde, ahnten schon die Verfasser der DS-GVO und gaben sich in deren Erwägungsgrund 173 selbst als Hausaufgabe auf, die ePrivacy-Richtlinie „entsprechend“ zu ändern „um insbesondere die Kohärenz mit der DS-GVO zu gewährleisten“. Möglicherweise wären die Brüsseler Beamten besser beraten gewesen, die offenen Punkte gleich in die DS-GVO zu integrieren. Denn anstatt Widersprüche aufzulösen, wirft der nun veröffentlichte Entwurf für eine lex specialis für den Datenschutz im Zusammenhang mit der Bereitstellung und Nutzung von elektronischen Kommunikationsdiensten neue Fragen auf. Dazu gleich.
Dem Reformprozess hin zur Datenschutz-Grundverordnung vergleichbar, wählen die Entwurfsverfasser auch für den neuen ePrivacy-Rechtsrahmen als Regelungsinstrument anstelle einer Richtlinie eine Verordnung. Anders als Richtlinien gelten Verordnungen unmittelbar und sind, von der Existenz sog. Öffnungsklauseln einmal abgesehen, vollharmonisierend, d.h. einer weiteren Konturierung durch nationale Gesetzgeber entzogen. Zumindest auf Ebene des materiellen Rechts wird so ein level playing field mit gleichen Spielregeln für alle geschaffen. Infolge des erfahrungsgemäß in den einzelnen Mitgliedstaaten unterschiedlich streng ausfallenden Rechtsdurchsetzung bleibt meines Erachtens aber ein wirklich einheitlicher Rechtsrahmen weiterhin eine Chimäre, Kohärenzmechanismen hin oder her.
In dem Vorschlag sind neben den Vorgaben zum Umgang mit Metadaten, Cookies und cookie-ähnlichen Technologien für die E-Commerce-Wirtschaft auch die hier weiterhin verorteten Regeln zur Zulässigkeit des Emailmarketings von Bedeutung. Der Entwurf belässt es an dieser Stelle bei den bekannten Vorgaben, die in Deutschland in § 7 Gesetz gegen den unlauteren Wettbewerb (UWG) umgesetzt wurden, einschließlich des in § 7 Abs. 3 UWG normierten (engen) Bestandskundenprivilegs. Werden die hierzu gemachten Vorschläge am Ende Gesetz, wird man sich jedoch in anderen Mitgliedstaaten auf Rechtsänderungen einstellen müssen. Denn anders als in Deutschland ist bspw. in Frankreich oder Italien heute eine werbliche Ansprache per E‐Mail im B2B‐Verhältnis bereits auf Grundlage eines Opt‐Out zulässig. Solche in Umsetzung der Richtlinie aus 2002 noch zulässigen nationalen Alleingänge sind aufgrund der unmittelbaren, vollharmonisierenden Wirkung einer Verordnung dann künftig nicht mehr möglich.
Zurück zu den Cookies. Zu der Frage, wie die Vorgaben aus Art. 5 Abs. 3 der aktuellen Richtliniefür einen „Cookie-Consent“ in der Praxis umzusetzen sind, haben sich in den letzten Jahren quer durch Europa unterschiedlichste rechtliche Ansätze und best practices entwickelt. Banner, PopUp oder allein ein Hinweis in der Datenschutzerklärung? Opt-In oder Opt-Out? Für die Zulässigkeit von letzterem etwa votierte mit reichlich holpriger Begründung vor gut einem Jahr hierzulande das OLG Frankfurt/M. Die Rechtsunsicherheit blieb; von der bei jeder Banner- bzw. PopUp-Lösung stets gestörten User-Experience ganz zu schweigen.
Beidem will die EU-Kommission nun ein Ende setzen. So heißt es in Erwägungsgrund 22 des Entwurfs, dass das Zurverfügungstellen von Informationen und die Einholung der Einwilligung „as user-friendly as possible“ sein soll. Technische Hilfsmittel, bspw. Browsersettings, werden als Möglichkeit der Abgabe einer Einwilligung explizit anerkannt. Eine Pflicht, die restriktivste Einstellung als Default vorzusehen, besteht zwar nicht. Softwareschmieden werden jedoch im Rahmen eines echten Privacy by Design dazu verpflichtet, in Browsersoftware zumindest für Third Party Cookies ein do-not-track vorzusehen und im Rahmen der Installation die Default-Settings absegnen zu lassen. Wohlgemerkt: An dieser Stelle werden Wirtschaftszweige in die (datenschutzrechtliche) Pflicht genommen, die selbst nicht ein einziges personenbezogenes bzw. Metadatum erheben oder verarbeiten. Was für Viele offenbar völlig nahe liegt, ist grundrechtlich mindestens hart am Wind. Vom praktischen Erfordernis ganz zu schweigen.
Schließlich werden (klarstellend) einzelne Cookiearten bzw. -inhalte, etwa Sessioncookies, die den gewünschten Dienst erst ermöglichen oder persistente Cookies, die sich Warenkorbinhalte oder ausgefüllte Onlineformulare merken, ganz vom Erfordernis zur Einholung einer Einwilligung ausgenommen. Zusammengefasst soll die User also über Browsersettings rechtsverbindlich festlegen können, ob (i) gar keine Cookies, (ii) nur First Party Cookies oder (iii) auch Third Party Cookies auf ihrem Endgerät gesetzt werden dürfen. Das Cookie-Chaos soll so ein Ende finden; UserInnen sollen ohne nervige Klicktiraden entspannt ihrer digitalen Wege gehen können.
Meine drei Thesen zu den tatsächlich zu erwartenden Auswirkungen der vorgeschlagenen Regelungen:
1. Der Entwurf steht in Widerspruch zu den Vorgaben der DS-GVO
Der nun vorgelegte Entwurf verfehlt das selbstgesetzte Ziel einer Synchronisierung mit den Vorgaben der DS-GVO nicht nur, er begibt sich hierzu vielmehr in direkten Widerspruch. Während nach der DS-GVO Datenverarbeitungen sowohl einwilligungsbasiert als auch etwa zum Zwecke der Vertragserfüllung oder auf Grundlage berechtigter Interessen des Verantwortlichen zulässig sind, verkürzt der Verordnungsentwurf diesen tradierten Zulässigkeitstrias enorm. Von einzelnen Verwendungsszenarien abgesehen, z.B. der Gewährleistung der Übertragungssicherheit oder zu Abrechnungszwecken, dürfen personenbezogene (z.B. Standortdaten) oder Metadaten nach dem Entwurf ausschließlich auf Grundlage der Einwilligung der User verarbeitet werden. Ungeachtet der sicher streitbaren Frage, ob es geboten ist, das Verbotsprinzip (weiterhin) auch auf nicht-personenbezogene Daten anzuwenden, verwehrt der Verordnungsentwurf eine Datenverarbeitung auf gesetzlicher Grundlage nahezu vollständig. Berechtigte Interessen der Datenverarbeiter bleiben vollends unberücksichtigt. Die darüber erreichte Schieflage wird gerade im Bereich der Datenverarbeitung zu Werbezwecken offensichtlich: Während im Anwendungsbereich der DS-GVO eine solche auf gesetzlicher Grundlage sogar intendiert als zulässig anerkannt wird (vgl. Erwägungsgrund 47 am Ende), sollen Daten im Anwendungsbereich des Verordnungsvorschlages zu Werbezwecken nur noch auf Grundlage der Einwilligung des Users verarbeitet werden dürfen. Das eine werbliche Maßnahme nur vorbereitende, damit tendenziell weniger invasive Tracking des Surfverhaltens wird damit stärker geschützt, als die nachgelagerte, eigentliche Datenverarbeitung.
2. Cookie-Banner werden zu- statt abnehmen.
Mag der einzelne User über Browsersettings in Zukunft zwar rechtsverbindlich vorgeben können, ob und wenn ja, welche Arten von Cookies bzw. Cookieinhalten er generell akzeptieren will – die nervigen Cookiebanner bleiben uns mit Gewissheit erhalten. Viel mehr noch wird dieses Phänomen gerade all jene treffen, die sich vollständig oder auch nur teilweise gegen das Setzen von Cookies entscheiden. Denn losgelöst von grundsätzlichen Browsereinstellungen ist es Websitebetreibern, Publishern, Trackingtools usw. nicht verwehrt, beim User individuell eine Einwilligung in das Setzen von Cookies zu erfragen. Dies stellt der Verordnungsentwurf selbst unumwunden klar: „At the same time, centralising consent does not deprive website operators from the possibility to obtain consent by means of individual requests to end-users and thus maintain their current business model.” Von dieser Möglichkeit werden all jene, denen das Setzen von Cookies über Grundeinstellungen verwehrt ist, vermutlich regen Gebrauch machen,
3. Der Verordnungsvorschlag torpediert kostenfreie Angebote und fördert so das Datenschutzprekariat.
Wohl kaum ein zweites Phänomen hat die heute in uns allen verhaftete „Gratiskultur“ so befördert wie das Internet. Dass Inhalte überwiegend gebührenfrei verfügbar sind, gilt Einigen als die größte Errungenschaft überhaupt, während andere hierüber Qualitätsverfall und den Niedergang ganzer Branchen beklagen. Wie man auch immer hierzu stehen möge – ökonomisch betrachtet ist der Begriff Gratiskultur schlicht falsch. Bezahlt wird mit unserer Aufmerksamkeit, auch mit (auch personenbezogenen) Daten, für die Werbetreibende bereit sind, einen Preis zu zahlen. Nach vorsichtigen Schätzungen ist das gesamte Web zu 2/3 werbefinanziert.
Für das Internet ist die soziale Herkunft seiner User damit schlicht egal. Wird nun aber durch ein Eingreifen des Gesetzgebers das Geschäft Aufmerksamkeit gegen Geld erschwert, namentlich durch den Ausschluss von Datenverarbeitungen außerhalb des Vorliegens einer Einwilligung, muss dies ganz zwangsläufig zu einem Abschmelzen solcherart kostenfreier Angebote und zu mehr paid content führen. If you can’t bill it, kill it. Inhalte werden nur noch gegen Entgelt oder aber gegen die Preisgabe personenbezogener Daten angeboten. Das Internet wird asozial.
Sehen Sie das anders? Habe ich etwas übersehen? Ich freue mich über Kommentare, gern auch direkt an Sebastian.Schulz@bevh.org.
English abstract: Last week, the European Commission released a proposal to repeal the so-called E-Privacy-Directive. The main goal of the proposal to ensure consistency with the General Data Protection Regulation will be missed for three reasons: The draft is inconsistent, antisocial and will increase customer harassment.