Von Peter Schaar
„Gehe zurück zur Badstraße“ – diese Ereigniskarte löst beim Monopoly-Spiel nicht gerade gute Stimmung aus. Genauso müssen sich am 3. Dezember 2019 die in Brüssel zum Rat versammelten Telekommunikations- und Transportminister der EU-Mitgliedstaaaten gefühlt haben, als der neue Binnenmarktkommissar Thierry Breton das vorläufige Scheitern der fast drei jährigen Bemühungen der Regierungen feststellte, einen Konsens über den von der Kommission Anfang 2017 vorgelegten Entwurf einer E-Privacy-Verordnung zu erreichen: „Wir müssen einen neuen Vorschlag auf den Tisch legen, denn ich denke definitiv, dass jeder etwas tun will, aber offensichtlich haben Sie sich nicht geeinigt.” Er fügte jedoch hinzu, dass die Kommission die bisherige Arbeit aufgreifen wolle und dass der Prozess nicht ganz „von vorne“ beginnen müsse.
Anders als der Rat hatte sich das Europäische Parlament mit seiner im Oktober 2017 beschlossenen Stellungnahme positioniert. Die Regierungen erweisen sich hier erneut als Bremser in einem für die Zukunft der Europäischen Union, ihre Bürgerinnen und Bürger und die europäische Wirtschaft äußerst wichtigen Projekt. Das Scheitern war absehbar, insbesondere weil der ursprüngliche Entwurf mit allerlei Wünschen der Regierungen „angereichert“ werden sollte, von einer Öffnungsklausel für nationale Regelungen zur Vorratsdatenspeicherung bis hin zur Deep Packet Inspection zur Bekämpfung der Kinderpornographie. Zugleich wurden die Datenschutzvorgaben immer weiter abgeschwächt.
Während in Sonntagsreden die „digitale Souveränität Europas“ beschworen wird, bleibt der Flickenteppich eines uneinheitlichen Datenschutzrechts für elektronische Dienste bis auf weiteres bestehen. Die in die Jahre gekommene E-Privacy–Richtlinie (2002/58/EC) ist in den Mitgliedstaaten höchst unterschiedlich umgesetzt worden. In Deutschland haben sich die verschiedenen Bundesregierungen einer Europa rechtlich verpflichtenden Umsetzung zentraler Datenschutzregeln sogar gänzlich verweigert, insbesondere im Hinblick auf die Zulässigkeitsvoraussetzungen der Verwendung von „Cookies“. Völlig zu Recht haben die deutschen Datenschutzbehörden deshalb festgestellt, dass die entsprechenden Regelungen des Telemediengesetzes (TMG) nicht mehr anwendbar sind und seit 2018 von der Datenschutz-Grundverordnung (DSGVO) verdrängt werden. Auch der Europäische Gerichtshofs (EuGH) hat kürzlich die Europarechtswidrigkeit der Bestimmungen des TMG unterstrichen (EuGH, Rechtssache C‑673/17, Urteil v.1.10.2019, „Planet49“). Allerdings trägt die Europäische Kommission eine Mitschuld an dieser für alle Beteiligten unersprießlichen Situation, denn sie hat bis heute wider besseres Wissen auf die Einleitung von Vertragsverletzungsverfahren gegen diejenigen Staaten verzichtet, welche die E-Privacy-RL gar nicht, unvollständig oder falsch umgesetzt haben.
Spätestens seit der Verabschiedung der DSGVO im Mai 2016 ist klar, dass die dortigen generellen Datenschutzbestimmungen bereichsspezifisch flankiert und konkretisiert werden müssen. Dies gilt insbesondere für elektronische Dienstleistungen, die naturgemäß grenzüberschreitend angeboten werden. Es wirkt sich massiv schädlich auf den europäischen Binnenmarkt aus, dass gerade bei digitalen Diensten erhebliche rechtliche Unterschiede zwischen den Mitgliedstaaten bestehen, die nicht zuletzt von globalen, nichteuropäischen Playern ausgenutzt werden. Dagegen machen die unterschiedlichen nationalen Bestimmungen kleineren europäischen Unternehmen das Leben schwer, etwa wenn ein Startup seinen Dienst in mehr als einem Mitgliedstaat anbieten will. Anders als diese verfügen Microsoft, Google, Facebook, Amazon & Co über große Rechtsabteilungen und sie können sich teure Fachanwälte leisten, die mit den 28 unterschiedlichen nationalen Vorgaben umgehen.
Auch für die Nutzerinnen und Nutzer ist die Situation mehr als ärgerlich: Angesichts mangelnder Rechtsklarheit entscheidet viel zu häufig die Marktmacht der Internetkonzerne darüber, ob und wieweit personenbezogene Daten geschützt werden. Dies liegt auch daran, dass die Vorgaben der (noch) gültigen E-Privacy-Richtlinie immer weniger dem technischen Stand entsprechen. So sind Google & Co gar nicht mehr auf Cookies angeweisen, wenn sie das Verhalten der Nutzer verfolgen und aussagekräftige Profile bilden wollen. Die neuen Tracking-Mechanismen, speziell das „Browser-Fingerprinting“ waren noch unbekannt, als die E-Privacy-Richtlinie formuliert wurde.
Zudem ist nicht zu bestreiten, dass das wiederholte Abfragen von Einwilligungen zur Verwendung von Cookies nicht etwa den Datenschutz stärkt, sondern zu einer „Einwilligungs-Fatigue“ geführt hat. Eine neue, für alle Mitgliedstaaten direkt anwendbare Verordnung zu E-Privacy ist deshalb unverzichtbar.
Ich halte es für dringend erforderlich, die Arbeiten an der E-Privacy-Verordnung zügig wieder aufzunehmen. Eine gute Grundlage dafür bildet der vom Europäischen Parlament gebilligte Entwurf. Von zentraler Bedeutung wird es sein, die Nutzerinnen und Nutzer wirksam vor der immer exzessiveren Erfassung ihres Verhaltens zu schützen, und zwar unabhängig davon, ob dabei Cookies oder andere Mechanismen verwendet werden. Angesichts der immer größeren Komplexität der Verarbeitungsmöglichkeiten müssen die Nutzerinnen und Nutzer ein ausdrückliches Recht erhalten, ihre Datenschutzpräferenzen mittels entsprechender Programme und Einstellungen elektronisch festzulegen. Die Anbieter müssen verpflichtet werden, diese Präferenzen zu befolgen und nicht – wie es bisher vielfach geschieht – sich vor deren Einhaltung durch Klauseln in ihren Nutzungsbedingungen zu drücken.