Die ePrivacy-Richtlinie fristet in der öffentlichen Wahrnehmung eher ein Schattendasein, und das obwohl ihre Effekte sehr sichtbar sind. Die geläufigen Cookie-Einwilligungen, oft mit der DSGVO assoziiert und damit seit 2018 in aller Munde, sind eigentlich ein Effekt von Artikel 5 Abs. 3 der ePrivacy-Richtlinie, der dort schon 2009 eingefügt worden ist. Diese Cookie-Bestimmung ergänzt die DSGVO, denn selbst wenn sich ein/e Anbieter*in auf ein legitimes Interesse beruft, Nutzer*innen auf einer Website zu tracken, und nicht auf die Einwilligung der Nutzenden, erfordert die Cookie-Bestimmung der ePrivacy-Richtlinie, dass Nutzer*innen dem Setzen des Tracking-Cookies zustimmen müssen. Die Ausnahmen von diesem Erfordernis zur Einwilligung sind sehr eng gefasst, etwa wenn das Cookie zur Erbringung eines Dienstes, der von den Nutzenden explizit angefordert wurde, unerlässlich ist -- Tracking fällt also nicht darunter.

Die ePrivacy-Richtlinie regelt aber neben Cookies eigentlich ein deutlich breiteres Feld: sie gibt spezifischere Datenschutzbestimmungen für elektronische Kommunikation vor und macht dabei Vorschriften zum Schutz von Inhaltsdaten, Verkehrsdaten und Standortdaten, die etwa bei der Internet- oder Handynutzung anfallen. Eine zentrale Rolle spielt sie dabei, was den Zugriff von Behörden auf diese Daten angeht. In Artikel 15 schreibt die Richtline nämlich vor, dass eine Beschränkung der Schutzbestimmungen nur zulässig ist, wenn sie "in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist". In Verbindung mit der EU-Grundrechtecharta wurde die Richtlinie zur Vorratsdatenspeicherung aufgrund dieser Bestimmung 2014 vom EuGH aufgehoben (wo das Verfahren aufgrund unserer Verfassungsklage gelandet ist). In der Folge sind auch nationale Regelungen zur Vorratsdatenspeicherung in Schweden, im Vereinigten Königreich, in Frankreich und in Belgien für inkompatibel mit dem EU-Recht befunden worden. Im Vereinigten Königreich gleich zweimal -- dazu später mehr.

Die ePrivacy-Richtlinie (in der originalen Fassung immerhin von 2002) soll nun durch eine neue ePrivacy-Verordnung ersetzt werden, die eigentlich schon 2018 parallel mit der DSGVO in Kraft hätte treten sollen. In Anbetracht der Sensitivität von Kommunikationsdaten ist das ein bedeutendes Vorhaben. Daraus wurde aber so schnell nichts.

Wo stehen wir im Gesetzgebungsprozess der ePrivacy-Verordnung?

Rechtsakte zum Binnenmarkt werden in der EU im ordentlichen Gesetzgebungsverfahren beschlossen. Dabei macht die Kommission zunächst einen Vorschlag, der dann jeweils zwei Lesungen im EU-Parlament und im Rat der EU (der die Mitgliedsstaaten repräsentiert) durchläuft. Dort können entweder Änderungen gemacht werden, die bestehende Vorlage akzeptiert werden oder das Vorhaben kann auch gänzlich scheitern. Gibt es nach zwei Lesungen keine Einigung zwischen Parlament und Rat, ist noch eine Dritte Lesung mit einem Vermittlungsausschuss vorgesehen.

Weil dieses Verfahren sehr lange dauern kann, wurde in den Geschäftsordnungen von Parlament und Rat eine Abkürzung geschaffen: noch vor der Ersten Lesung beschließen der zuständige Parlamentsausschuss und der Ausschuss der ständigen Repräsentanten im Rat jeweils ein Verhandlungsmandat. Auf dieser Grundlage finden dann die so gennanten Trilog-Verhandlungen zwischen Parlament, Rat und Kommission statt. Stimmen dann das Plenum des Parlaments und der Rat dem Verhandlungsergebnis (also demselben Text) zu, endet das Gesetzgebungsverfahren nach der Ersten Lesung. Von diesem Verfahren wird sehr ausgiebig Gebrauch gemacht, obwohl es in den EU-Verträgen eigentlich nicht vorgesehen ist.

Zur ePrivacy-Verordnung hat die Kommission im Jänner 2017 ihren Vorschlag veröffentlicht und das Parlament im Oktober 2017 sein Verhandlungsmandat beschlossen. Der Rat ließ sich dann aber sehr lange Zeit. Ganze acht Ratspräsidentschaften hat es gedauert, bis im Februar 2021 auch der Rat ein Verhandlungsmandat beschloss. Im Mai 2021 haben dann schließlich auch die Trilogverhandlungen begonnen.

Vorratsdatenspeicherung

In Österreich wurde die Vorratsdatenspeicherung für die Nutzung der Daten durch Polizei und Justiz eingeführt. Einige Mitgliedsstaaten gingen aber weiter und regelten die Nutzung dieser Daten auch durch ihre Geheimdienste. Neben einem Gesetz zur Vorratsdatenspeicherung, das vom EuGH für inkompatibel mit dem EU-Recht erklärt wurde, hatte in Großbritannien der zuständige Minister auch die Weiterleitung von Kommunikationsmetadaten an Geheimdienste verfügt. Als das 2015 bekannt wurde, klagte die NGO Privacy International gegen diese Weiterleitung, das Verfahren landete vor dem EuGH.

Dort argumentierte die britische Regierung mit dem Artikel 4 des Vertrags über die Europäische Union, in dem es heißt, dass die nationale Sicherheit "weiterhin in die alleinige Verantwortung der einzelnen Mitgliedsstaaten" fällt, also Angelegenheiten der nationalen Sicherheit außerhalb des Anwendungsbereichs des EU-Rechts liegen. Dadurch, dass die Vorratsspeicherung der Kommunikationsdaten also bei den Geheimdiensten und nicht bei den Telekomanbieter*innen geschieht, sollte die bisherige Rechtsprechung des EuGH also unerheblich sein. In seinem Urteil folgte der EuGH dieser Argumentation nicht: Nur, wenn die Mitgliedsstaaten "unmittelbar Maßnahmen umsetzen", die Geheimdienste also von sich aus tätig sind, kommt die ePrivacy-Richtlinie nicht zur Anwendung. Da aber Private zur Offenlegung der Daten verpflichtet werden, war auch diese zweite Regelung zur Vorratsdatenspeicherung an der Richtlinie zu messen und wurde für inkompatibel befunden.

Dieses Urteil ist den Mitgliedsstaaten offensichtlich ein Dorn im Auge, denn mit ihrem Verhandlungsmandat zur ePrivacy-Verordnung wollen sie diesen Anwendungsfall explizit ausschließen. Von der Verordnung ausgenommen werden sollen

activities, which fall outside the scope of Union law, and in any event measures, processing activities and operations concerning national security and defence, regardless of who is carrying out those activities whether it is a public authority or a private operator acting at the request of a public authority

Die Ausnahme zielt also auf die Tätigkeiten Privater ab, die in den Anwendungsbereich des Unionsrechts fallen, aber für öffentliche Stellen im Zusammenhang mit der nationalen Sicherheit durchgeführt werden. Sollte diese Ausnahmeregelung wieder den EuGH erreichen, ist es sehr fraglich, dass sie Bestand haben würde, weil sich die bisherige Rechtsprechung nicht nur auf die ePrivacy-Richtlinie stützt, sondern auch auf die Grundrechtecharta, die das Unionsrecht respektieren muss und die sich nicht so einfach ändern lässt. Trotzdem würde es aber wohl zunächst zu einer Reihe neuer Regelungen durch die Mitgliedsstaaten kommen, die dann erst mühsam vor den Gerichten angefochten werden müssen, bis die Verfahren den EuGH erreichen.

Aber auch da, wo die Verordnung Anwendung finden soll, machen die Mitgliedsstaaten klar, dass eine Vorratsdatenspeicherung grundsätzlich zulässig sein soll:

Union or Member state law may provide that the electronic communications metadata is retained, including under any retention measure that respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society, in order to safeguard the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the safeguarding against and the prevention of threats to public security, for a limited period. The duration of the retention may be extended if threats to public security of the Union or of a Member State persists.

Der EuGH hat in seiner Rechtssprechung bereits diverse Vorgaben gemacht, die eine Vorratsdatenspeicherung erfüllen muss, etwa in Bezug auf die Art der Straftaten, die verfolgt werden sollen, und die Schwere der Gefahren für die öffentliche Sicherheit, die abgewehrt werden sollen. Diese Vorgaben finden sich hier nicht explizit im Text, womit Interpretationsspielraum gelassen wird, den die Mitgliedsstaaten auzunutzen versuchen könnten.

Nutzung von Kommunikationsdaten durch die Telekomanbieter*innen

Grundsätzlich gilt in der ePrivacy-Verordnung das Prinzip, dass Inhalts- und Metadaten der Kommunikation nicht verarbeitet werden dürfen, sofern es nicht technischen Zwecken dient oder zu Abrechnungszwecken notwendig ist. Sowohl das Europaparlament als auch der Rat sehen außerdem vor, dass Nutzer*innen der Verarbeitung dieser Daten zur Erbringung eines weiteren Dienstes explizit zustimmen können.

Der Ratsvorschlag geht über diese Ausnahme aber noch weit hinaus. So soll etwa die Überwachung von Inhalts- und Metadaten nicht nur möglich sein, um die Sicherheit des Kommunikationsnetzes selbst, sondern auch die Sicherheit der Geräte der Endnutzer*innen zu gewährleisten. Standortdaten sollen zu wissenschaftlichen und statistischen Zwecken auch verarbeitet werden dürfen, selbst wenn sie nur pseudonymisiert worden sind. Im Gegensatz zu einer Anonymisierung besteht bei pseudonymen Daten die Möglichkeit, wieder einen Personenbezug herzustellen. Diese Auswertungen sollen nicht nur die Telekomanbieter*innen selbst durchführen dürfen, sondern auch Auftragsverarbeiter*innen sollen herangezogen werden können.

Diese Regelungen zu Standortdaten zielen wohl darauf ab, eine Praxis zu legitimieren, die es bereits gibt. Etwa das Unternehmen Invenium wertet für den Anbieter A1 pseudonymisierte Standortdaten der Mobilfunkkund*innen aus, um Tourismusgebieten Statistiken zur Herkunft ihrer Kundschaft verkaufen zu können. Der Öffentlichkeit ist Invenium vor allem deshalb bekannt geworden, weil es solche Auswertungen auch gemacht hat, um die Wirksamkeit von Lockdownmaßnahmen zu untersuchen und die Ergebnisse dem Krisenstab der Regierung zur Verfügung gestellt hat.

Der Ratstext gibt außerdem eine Reihe von Bestimmungen vor, nach denen zuvor erhobene Daten für "kompatible Zwecke" weiterverarbeitet werden können. Dies weicht den Grundsatz, dass Kommunikationsdaten nur verarbeitet werden dürfen, wenn dafür eine Ausnahme in der Verordnung geschaffen wurde, erheblich auf.

Cookies und ihre Nachfolger

Cookies sind nur eine Möglichkeit, um Nutzer*innen auf Webseiten wiederzuerkennen und ihre Nutzung der Dienste zu verfolgen. Auch sogenannte Fingerprinting-Techniken, bei welchen Informationen über den genutzten Browser, wie z.B. Fenstergröße oder installierte Schriftarten, kombiniert werden um einen eindeutigen Fingerabdruck zu errechnen, können zum Einsatz kommen. Des Weiteren gibt es Bestrebungen, in den Browser selbst Funktionalität einzubauen, die das Surfverhalten auswertet. Im Gegensatz zur ePrivacy-Richtlinie werden diese weiteren Verfahren von der ePrivacy-Verordnung eindeutig miterfasst.

Sogenannte "Cookie walls" sind inzwischen allgegenwärtig geworden: Webseiten, die einem den Zugriff auf ihre Inhalte nur erlauben, wenn man der Nutzung von Cookies zu diversen Zwecken zustimmt. Solange nur die Option der Zustimmung gegeben wird, gilt diese nicht als freiwillig erteilt und daher nicht als gültige Einwilligung. Strittig ist allerdings, ob als Alternative zur Cookiezustimmung auch nur eine Bezahloption angeboten werden darf. Im Fall von derstandard.at hat die österreichische Datenschutzbehörde das für zulässig erklärt. Der Ratstext legitimiert diese Variante der Cookie wall explizit.

Besonders kleinere Websites setzen Cookies zum "audience measurement" ein, also um festzustellen, wie häufig bestimmte Seiten aufgerufen werden. Sowohl Parlament als auch Rat wollen dies nun ohne Einwilligung der Nutzenden erlauben. Beim audience measurement werden aber häufig auch Daten über das Endgerät, wie etwa Browsertyp oder Bildschirmgröße erhoben. Aber auch der Verlauf auf einer Website, um etwa festzustellen, wie viele Nutzer*innen von einer bestimmten Unterseite auf eine andere gelangen, wodurch eine Profilbildung der Nutzenden möglich wird, sind gang und gäbe. Das Parlament grenzt die zustimmungsfreie Nutzung von Cookies zum audience management auf rein statistische Zählungen ein. Diese Bestimmung fehlt im Ratstext und es bleibt unbestimmt, was genau unter "audience measurement" zu verstehen ist. Das Parlament schreibt zudem vor, dass es eine opt-out Möglichkeit für diese Cookies geben muss -- auch diese Bestimmung vermissen wir im Text des Rats.

Um das Problem mit den allgegenwärtigen Cookie-Bannern zur Einwilligung zu umgehen, setzt das Parlament auf technische Lösungen: die Software auf Endgeräten (also z.B. der Browser) soll mit technischen Signalen die Einwilligung oder Ablehnung der Nutzung von Cookies zu diversen Zwecken signalisieren können und datenschutzfreundliche Voreinstellungen haben. Ein Beispiel für ein solches Signal ist der Do-Not-Track-Header, mit dem Browser bereits jetzt Webseiten signalisieren können, dass Nutzer*innen nicht getrackt werden möchten. Aus der Sicht des Parlaments sollen diese Signale rechtlich verbindlich werden.

Der Rat vertritt nahezu die gegenteilige Position: Er bezieht sich nur auf das Erteilen von Zustimmungen, das sowohl durch Softwareeinstellungen als auch "direkt" durch den Nutzenden erfolgen soll, wobei die letztere Variante gegenüber jeglichen Softwareeinstellungen Priorität haben soll. Cookiebanner sollen also nicht verschwinden.

Wie geht es weiter?

In den Trilogverhandlungen werden nun die Berichterstatterin des Parlaments Birgit Sippel in Begleitung der Schattenberichterstatter der Fraktionen mit der Ratspräsidentschaft über einen gemeinsamen Text verhandeln. Dieser wird dem Parlament dann zur Abstimmung vorgelegt werden, wobei Änderungsanträge möglich sind. Dabei wird es sich um die politisch heiße Phase handeln, in der sich entscheidet, wie die finale Verordnung aussehen wird, ob die Rechte von Nutzer*innen ausgebaut oder abgeschwächt werden. Wir bleiben am Ball.