E-Privacy: Datenschutz soll Ermessensache der Provider werden

Die neue Version der E-Privacy-Verordnung liest sich in einzelnen Abschnitten wie eine Parodie eines bauernschlauen Lobbyistentexts. Tasächlich steht nun die zentrale Forderung der Datenhandelslobby in der Verordnung.

Von Erich Moechel

Die kroatische Ratspräsіdentschaft hat Ende Februar einen neuen Anlauf gestartet, die gestrandete E-Privacy-Verordnung wieder flottzukriegen. Es ist nunmehr die achte Ratspräsidentschaft, die sich an dieser Regelung zum Datenschutz im Internet abmüht.

In dieser Verordnung zum Daten- und Konsumentenschutz im Netz wurde nun unter dem unscheinbaren Begriff „legitimes Interesse“ die zentrale Forderung der Datenhandelsbranche verankert. Das „legitime Interesse“ von Datenhandelsfirmen und Service-Providern wird damit dem Recht jedes Individuums auf Schutz der persönlichen Daten gegenübergestellt. Welches Interesse da überwiegt, soll der jeweilige Service-Provider entscheiden.

Public Domain

Datenschutz wird Ermessenssache

Im Sommer 2019 war zuletzt an der E-Privacy-Verordnung maßgeblich herumgewerkt worden.

Diese Passage der einleitenden Erklärungen (17b) zur E-Privacy-Verordnung sagt nicht weniger und nicht mehr, als dass der Schutz der personenbezogenen Daten von Benutzern einer Website nunmehr Ermessensache des Anbieters werden soll. Unbeschränkte Erfassung und Aggregation persönlicher Daten durch Internetkonzerne, ohne dass die Betroffenen davon erst einmal unterrichtet werden müssen, würde so legalisiert. Der Anbieter ist nur dazu verpflichtet zu „überprüfen“, ob diese Datenabgriffe wohl den Erwartungen des jeweiligen Benutzers in Bezug auf Datenschutz entsprechen.

Genau das hatten von der amerikanischen Wirtschaftskammer AmCham angefangen, über den Dachverband der Digitalwirtschaft Digital Europe bis zu den Werbevermarktern IAB und Verlegerverbänden in einer der größten EU-Lobbyingkampagnen ab 2016 ultimativ gefordert. Nachdem die Erstforderung einer ersatzlosen Streichung der seit 2002 gültigen (alten) E-Privacy Richtlinie dann doch nicht durchsetzbar war, forderten die Datenhänderlobbys in Folge eine rechtliche Verankerung ihres „legitimen Interesses“ in dieser EU-Verordnung zum Daten- und Konsumentenschutz.

likeabadmovie.eu

Einwillung der Benutzer nicht gefragt

Im Oktober 2017 wurde nach einem letzten Versuch im Parlament die Verordnung zu Fall zu bringen, der Weg für die Trilog-Verhandlungen mit dem Ministerrat freigegeben.

Damit steht schon einmal die legale Basis für die Datensammlung, um Einwilligung gefragt werden müssen die Benutzer nach Willen der kroatischen Ratspräsidentschaft dafür nicht. Die hat stattdessen eine ganze Latte von möglichen Gründen für die Datensammelei aufgezählt, von technischen bis zu juristischen Gründen. Unter anderem sind dabei natürlich Gründe des öffentlichen Interesses wie die Erstellung von „Heat Maps“ bei Krankheiten oder Katastrophen. Dabei wird konsequent verschwiegen, dass genau solche Lagebilder der typische Anwendungsfall für vollständig anonymisierte und nicht-verknüpfte Datensätze sind. Personenbezug braucht es nämlich dafür nicht.

Erst das Anlegen von Profilen und die Erhebung besonders sensibler Daten bedarf dann einer Zustimmung der User. Im Zweifelsfall „sollten“ („should“) die Konzerne die jeweiligern Datenschutzbehörde konsolutieren, aber müssen („shall“) tun sie das nicht. Damit wären Internetkonzerne wie Facebook, Google und sämtliche de facto ihre eigene Datenschutzbehörde, die sich selbst die Legalität ihres Vorgehens bescheinigen können, wenn sie nach reiflicher Prüfung zu dem Ergebnis gekommen sind, dass die betroffene Person ohnehin stillschweigend zustimmt.

Public Domain

Metadaten, Drittparteien, Werbenetze

Im Sommer 2017 startete die erste Großkampagne von Medien- und Werbekonzernen gegen E-Privacy. Im Netz wurde sie zum Flop, in politischen Kreisen reüssierte sie.

Erst ganz am Schluss eines großen, zwei Seiten umfassenden Textblocks, der von der kroatischen Ratspräsidentschaft in den Wortlaut der Verordnung eingefügt wurde, kommt man zum Kerngeschäft des Datenhandels. Und das besteht nun einmal in der Weitergabe von Daten. Da heißt es: „Zusätzlich sollten die Anbieter elektronischer Services Metadaten nicht an Drittparteien weitergeben, außer sie wurden vorher anonymisiert.“

Spätestens hier kann man sich des Eindrucks nicht erwehren, dass die Bearbeiter des Texts von der Geschäftspraxis der internationalen Werbenetzwerke entweder keine Ahnung haben oder das zumindest vorgeben. Die Werbenetze greifen von allen Websites, auf denen ihre Banner laufen, so ziemlich alles Greifbare an Metadaten aller Benutzer ab und verknüpfen sie über Cookies. Daraus werden individuelle Verhaltens- und Interessensprofile erstellt, von denen Auszüge wieder zurück an die Website-Betreiber gehen.

Noch mehr „legitime Interessen“

Die ursprüngliche Version der EU-Kommission zu E-Privacy wurde Ende 2016 durch ein Leak bekannt.Sie war der Datenschutzgrundverordnung eng gefolgt

Den Betreibern der Website - Medien und anderen Interessensportalen - ist zum Zeitpunkt der Weitergabe zwar noch nicht bekannt, zu welchen Benutzerprofilen diese Metadaten gehören, sie deshalb als „anonymisiert“ zu bezeichnen, ist reine Roßtäuscherei. Sobald die Werbenetze die Metadaten verarbeitet haben, sind sie nämlich Teil eines Persönlichkeitsprofils, das von Interessen über Bewegungen, Verhaltensweisen, persönliche Verhältnisse und Eigenheiten bis hin zu sexuellen Präferenzen alles enthalten kann. Sämtliche Metadaten, die vom Datenhandel erfasst, gespeichert und weitergegeben werden, werden zu diesem Zweck verarbeitet.

Public Domain

Im Absatz (21b) kommen die „legitimen Interessen“ erneut zum Tragen, wenn nämlich der Serviceprovider zum Beispiel History, Cookies und Konfiguration des Browsers eines Benutzers auslesen will. Auch hier muss der Provider erst in sich gehen und abwägen, ob dies möglicherweise Grundrechte des Benutzers verletzt, oder ob der ohnedies erwartet. Erst nach einem solchen „Balancing Test“, ob das eigene „legitime Interesse“ oder doch die Grundrechte des Benutzers überwiegen, kann ausgelesen werden, was das Datenhändlerherz begehrt.

Bizarres Fazit

Stellenweise liest sich der Verordnungstext, den die kroatische Präsidentschaft aus dem Input des Ministerrats erstellt hat, wie eine Parodie auf einen bauernschlauen Lobbyistentext. Bis jetzt ist es jedenfalls die bizarrste Version der E-Privacy-Verordnung in den vier Jahren ihrer Genese, als mehrere Staaten im Ministerrat anfangs sogar verlangt hatten, die Vorratsdatenspeicherung in dieser Regulation zum Daten- und Konsumentenschutz zu verankern.