Die EU-Staaten haben sich nach vier Jahren auf eine Position zur geplanten E-Privacy-Verordnung verständigt.
Einst hatte die EU geplant, dass die E-Privacy-Verordnung (E-Privacy-VO) als Ergänzung zur Datenschutz-Grundverordnung (DSGVO) gleichzeitig mit dieser in Kraft tritt. Sie sollte die veraltete, aber immer noch gültige E-Privacy-Richtlinie aus dem Jahr 2002 ablösen und insbesondere regeln, ob und wie Cookies und andere Tracking-Mechanismen auf Endgeräten der Nutzer landen dürfen. Bereits im Januar 2017 hatte die EU-Kommission dazu ihren Umsetzungsvorschlag unterbreitet.
Doch das Unterfangen scheiterte immer wieder an Streitereien unter den Mitgliedstaaten im Ministerrat (Rat der EU). Umgeben von starkem Lobbygetriebe, in dem sich vor allem Internetkonzerne, Werbewirtschaft und Verlage Gehör zu verschaffen suchten, konnten sich die EU-Staaten nicht auf eine gemeinsame Verhandlungsposition einigen. Acht Ratspräsidentschaften – einschließlich der deutschen im zweiten Halbjahr 2020 – scheiterten mit ihren Entwürfen.
In diesem Jahr ging dann alles unerwartet schnell: Der portugiesische Vorsitz des Ministergremiums verschickte im Januar einen Mix aus Papieren seiner Vorgänger an die Delegationen, der vor allem den Appellen der datenverarbeitenden Wirtschaft entgegenkam. Zum Abschluss fügte Portugal eine Klausel wieder ein, für die sich insbesondere Frankreich im Namen seiner Sicherheitsbehörden stark gemacht hatte: EU-Mitgliedstaaten sollen die vorsorgliche Speicherung von „Metadaten“ für einen „begrenzten Zeitraum“ vorsehen dürfen. Damit steht das Tor für die Vorratsdatenspeicherung wieder offen, obwohl der Europäische Gerichtshof (EuGH) hier der Kommission und den Mitgliedstaaten wiederholt widersprochen hatte.
Comeback der Cookie-Walls durch die E-Privacy Verordnung?
Wie bereits in unserem Beitrag berichtet, wandelt sich die Nutzung von Cookies durch Änderungen der Gesetzeslage. Der Zugang zu werbefinanzierten Online-Nachrichtenportalen soll – als Alternative zu einer Bezahlschranke (Paywall) – von einer nicht näher erläuterten „Einwilligung“ zum Setzen von Cookies abhängig gemacht werden. Medienunternehmen könnten dann wohl die sogenannten „Cookie-Walls“ wieder aus der Mottenkiste holen: Pop-up-Banner, die nach dem Motto „Take it or leave it“ via „OK“-Button eine pauschale Einwilligung verlangen, bevor sie verschwinden und damit den Zugang zum Angebot freigeben.
Das EU-Parlament hatte sich bereits im Herbst 2017 gegen ein solches „gekoppeltes“ Geschäft ausgesprochen. Es plädierte dafür, den „Do not Track“-Standard gesetzlich festzuschreiben. Den entsprechenden Artikel hat der Rat aber nun gestrichen. Um zu vermeiden, dass Nutzer beim Besuch von Websites immer wieder aufs Neue in die Verwendung von Cookies einwilligen müssen, sollen sie ihr Plazet für das Setzen der Datenkekse über eine Positivliste in Chrome, Firefox & Co. erteilen können.
Paradoxerweise beschloss die deutsche Bundesregierung am selben Tag den Entwurf für ein „Telekommunikation-Telemedien-Datenschutzgesetz“ (TTDSG), das nach fast 20 Jahren die E-Privacy-Richtlinie von 2002 umsetzen soll – man wollte in Berlin nicht mehr auf die EU warten. Diesem Gesetz zufolge dürfen Nutzern nur Cookies auf die Festplatte gekrümelt werden, wenn sie in jedem einzelnen Fall explizit zugestimmt haben – ähnlich wie es heute notdürftig aus der DSGVO hergeleitet wird.
Der Rat der EU hob hervor, dass Cookies ja auch auch ein legitimes und nützliches Mittel sein können, die Effektivität eines Angebots einzuschätzen oder Anzahl der Besucher zu messen. Auswertungen von Nutzerspuren für statistische Zwecke sollen deshalb liberaler gehandhabt werden. Allerdings sehen auch das bereits heute die Regeln vor, die zumindest die deutschen Datenschutzbeauftragten mit Bezug zur DSGVO setzen.
