Skip to content Skip to navigation

12.01.2018 > Dokument

Rede: ePrivacy-Verordnung: eine Chance für Datenschutzfreundliche Innovation

Quelle: Gert Baumbach - vzbv
Klaus Müller, Vorstand des vzbv, auf der Veranstaltung der Stiftung Datenschutz am 10.01.2018
Quelle: 
Gert Baumbach - vzbv

Sehr geehrte Damen und Herren,

ich möchte Ihnen im Folgenden darlegen warum aus Sicht des Verbraucherzentrale Bundesverbands die e-Privacy Verordnung eine Chance ist. Eine Chance für datenschutzfreundliche Innovationen. Deswegen möchte ich mich bei der Stiftung Datenschutz und insbesondere beim Vorstand der Stiftung, Frederick Richter, für die Einladung bedanken.

Warum sollten wir die e-Privacy Verordnung als Chance betrachten? Der digitale Markt boomt nach wie vor und digitale Geschäftsmodelle nehmen einen hohen Stellenwert im Leben von vielen Verbrauchern ein. Aber wir dürfen dennoch nicht vergessen, dass es um das Vertrauen von Verbrauchern in die digitale Wirtschaft nicht sehr gut bestellt ist.

Der Branchenverband BITKOM steht nicht im Verdacht digital-feindliche Propaganda zu betreiben. Insofern sollte es uns zu denken geben, wenn BITKOM in einer repräsentativen Umfrage herausfindet, dass aktuell nur jeder Dritte deutsche Internetnutzer der digitalen Wirtschaft beim Umgang mit personenbezogenen Daten vertraut. Das geringste Vertrauen wird mit etwa 15 Prozent den sozialen Netzwerken entgegengebracht.

Wenn wir uns anschauen wodurch sich die Menschen im Internet bedroht fühlen sind es insbesondere zwei große Bereiche Datensicherheit und Datenschutz.

Knapp drei Viertel der Befragten befürchten, dass ihre Computersysteme durch Schadprogramme infiziert werden. Und über die Hälfte der Befragten sorgen sich davor, dass persönliche Daten ohne ihr Wissen genutzt und weitergeben werden.

Dieses geringe Vertrauen sollte nicht einfach beiseite gewischt werden. Denn es hat schon heute Konsequenzen:

  • Zwei Drittel der Internetnutzer geben an, dass sie aus Sicherheitsgründen bewusst auf bestimmte Online-Aktivitäten verzichten
  • Etwa jeder Zweite versendet keine vertraulichen Informationen oder wichtigen Dokumente per E-Mail

 

Diese Zahlen sind dramatisch. Sie zeigen, dass Vertrauen in der digitalen Welt unerlässlich ist.

Digitale Produkte und Anwendungen bieten fraglos viele Chancen. Diese Chancen werden wir aber nur im vollen Umfang realisieren können, wenn die Menschen solche Dienste und Technologien akzeptieren und ihnen tatsächlich vertrauen.

 

Zur Ehrlichkeit gegenüber den Zahlen von BITKOM gehört auch, anzuerkennen dass die Befürchtungen der Verbraucher nicht vollkommen aus der Luft gegriffen sind.

Haben Sie beispielsweise schon einmal versucht, ihr Smartphone datenschutzfreundlich einzustellen? Ich muss zugeben: obwohl ich durchaus motiviert und nicht ein vollkommener technischer Linkshänder bin – ich schaffe das nicht.

Die Berechtigungseinstellungen meines Smartphones helfen mir dabei nur sehr begrenzt. Der Zugriff auf eindeutige Identifikationsnummern, wie IMEI oder MAC-Adresse, lässt sich beispielsweise nicht unterbinden.

Eine australische Studie[1] hat 2015 die Hundert beliebtesten Android-Apps untersucht. Ergebnis: 85-95 Prozent der kostenlosen Apps beinhalteten mindestens ein Tracking-Instrument. Das galt selbst für über 60 Prozent der kostenpflichtigen Apps. Diese Tracker übertragen eine Vielzahl von personenbezogenen Daten und Identifikationsnummern, inklusive Standort, Kontakte oder Kalender.

Das Beispiel der Smartphones steht natürlich nur stellvertretend für die vielen Eingriffe, die Verbrauchern täglich sauer aufstoßen. Sei es, dass Anwendungen und Dienste jeden Klick erfassen und analysieren; dass die Interessen der Nutzer über Webseiten und Geräte hinweg verfolgt werden; oder Profile über den Standort der Nutzer angelegt werden.

Natürlich werden diese Dienste und Anwendungen trotzdem verwendet.

Die Nutzung moderner Kommunikationsmittel und vieler digitaler Dienste ist heutzutage eine notwendige Bedingung für eine Teilhabe am gesellschaftlichen Leben. Man hat gar keine andere Wahl. Die einzige Möglichkeit, sich diesem Tracking zu entziehen würde lauten, keine modernen Kommunikationsmittel zu nutzen.

Um diese Probleme des digitalen Marktes zu lösen und das Vertrauen von Verbrauchern zu stärken, ist die ab Mai 2018 geltende Datenschutzgrundverordnung alleine nicht ausreichend.

Durch die spezifischen Risiken im Bereich der elektronischen Kommunikation besteht die Notwendigkeit, die Vorschriften der DSGVO zu konkretisieren. Wir brauchen die ePrivacy-Verordnung, um im Bereich der elektronischen Kommunikation einen ausreichenden Schutz gewährleisten zu können.

 

Es ist richtig, dass künftig – wie auch bisher – eine Verarbeitung von elektronischen Kommunikationsdaten nur auf Grundlage eines gesetzlichen Erlaubnistatbestands oder mit Einwilligung der Nutzer möglich sein soll.

Richtig ist auch, dass künftig sogenannte „Over-The-Top-Kommunikationsanbieter“ (OTT) wie beispielsweise Instant Messaging von der Verordnung erfasst werden. Bisher fallen nur klassische Telekommunikationsanbieter unter die Regelungen, was aber aufgrund des Bedeutungszuwachses der OTTs kein ausreichendes Schutzniveau mehr darstellt. Und hierzu gehört auch, dass in der digitalen Welt mittels Metadaten, sehr sensible und persönliche Informationen offengelegt werden können.

Eine Datenverarbeitung auf Basis einer durch die Unternehmen vorgenommenen Abwägung zwischen ihren berechtigten Interessen und den schutzwürdigen Interessen der Verbraucher sowie eine Weiterverarbeitung für „kompatible Zwecke“ wäre daher im besonders sensiblen Kommunikationsbereich nicht akzeptabel.

So stellen die neuen Regeln für Telekommunikationsanbieter auf der einen Seite eine Ausweitung ihrer bisherigen Möglichkeiten dar. Denn bisher war eine Verarbeitung von Metadaten nur in engeren Grenzen erlaubt, die Verarbeitung von Inhalten gar nicht. Für OTTs bedeutet die e-Privacy-Verordnung auf der anderen Seite eine sinnvolle Verschärfung.

Wichtig ist aber, dass sich der besondere Schutz der ePrivacy-Verordnung nicht nur auf elektronischen Kommunikationsdaten während ihrer Übertragung erstreckt, sondern auch wenn sie auf den Servern der Anbieter gespeichert sind.

Würde sich der Schutz nur auf die Dauer der Übertragung erstrecken, könnten künftig nach Abschluss der Übertragung Inhaltsdaten auf Basis aller Rechtsgrundlagen verarbeiten, die die Datenschutz-Grundverordnung vorsieht - inklusive der Interessenabwägung, auf deren Basis auch Werbezwecke möglich sein können. Dies würde das derzeitige Schutzniveau massiv verringern und würde dem Recht auf vertrauliche Kommunikation nach Artikel 7 der EU-Grundrechtecharta entgegenstehen.

 

Doch die Herausforderungen enden nicht mit der Übertragung von Nachrichten. Denn auch die Endgeräte sind – wie es der verstorbene Vizepräsident des Bundesverfassungsgerichts Winfried Hassemer formulierte – so etwas wie ein ausgelagertes Gehirn des Nutzers. Aufgrund der hohen Relevanz der mit den Kommunikationsgeräten verbundenen Informationen für die Persönlichkeit und Privatsphäre ihrer Nutzer und den damit einhergehenden Gefahren, ergibt sich also ein hohes Schutzbedürfnis für die auf den Endgeräten gespeicherten Informationen.

Darum ist es richtig, dass nach den Vorschlägen der EU-Kommission und des EU-Parlaments eine Verarbeitung der Informationen auf Basis einer durch die Unternehmen vorgenommenen Abwägung zwischen ihren berechtigten Interessen und den schutzwürdigen Interessen der Verbraucher nicht zulässig ist.

Wollen Unternehmen also künftig auf die Endgeräte der Nutzer zugreifen, um von diesen zum Beispiel Standortinformationen abzurufen oder um das Verhalten der Nutzer im Internet nachzuvollziehen, sollten sie dazu eine Einwilligung der Verbraucher benötigen.

Die Werbeindustrie hatte jahrelang die Gelegenheit, wirksame Selbstverpflichtungen einzurichten. Diese sind allerdings – wie im Falle von „Do-Not-Track“ – gescheitert. Der Prozess läuft seit 2007, alle Browser unterstützen den Standard, von der Industrie wird er aber nicht anerkannt. Auf der DNT-Liste sind gerade einmal 21 Unternehmen eingetragen, Google, Facebook, Yahoo etc. fehlen.

Schon bisher war nach EU-Recht eine Einwilligung der Nutzer notwendig, wenn Daten auf ihren Endgeräten gespeichert oder von diesen abgerufen wurden. Das ist in Deutschland allerdings bisher nicht richtlinienkonform umgesetzt worden.

 

In der e-Privacy Verordnung werden außerdem erstmals die Prinzipien des „data protection by design and by default“ auch für Hersteller von Kommunikationssoftware verbindlich festgeschrieben.

Eine Eurobarometer-Umfrage der EU-Kommission zeigt klar, dass sich Verbraucher datenschutzfreundliche Voreinstellungen ihrer Kommunikationssoftware wünschen. 90 Prozent der deutschen Internetnutzer sprachen sich für solche Voreinstellungen in ihren Webbrowsern aus.

Auch zeigt die Umfrage, dass besonders Ältere, Personen mit niedrigerer Bildung sowie Menschen, die das Internet wenig verwenden, seltener Änderungen der Datenschutzeinstellungen ihrer Software vornehmen. Datenschutzfreundliche Voreinstellungen schützen also in erster Linie diese besonders verletzlichen Verbrauchergruppen.

 

Kommen wir nun zu einem besonders umstrittenen Bereich der e-Privacy Verordnung: ihren Auswirkungen auf den Werbemarkt.

Ja, die genannten Regelungen werden sicher Auswirkungen auf den Werbemarkt haben.

Zur besseren Abschätzung der Auswirkungen wäre es aber tatsächlich auch interessant, belastbare Zahlen über diesen Markt zu bekommen.

Leider erfüllt die vom BMWi in Auftrag gegebene Studie des WIK, die Ihnen heute Morgen vorstellt wurde, diesen Anspruch nicht. Drei Kritikpunkte möchte ich in diesem Kontext loswerden:

  • Erstens, es ist bedauerlich, dass für die Studie ausschließlich große Stakeholder aus dem Umfeld der Digitalen Wirtschaft, der Verlage und der Online-Werbewirtschaft interviewt wurden. So ist es nicht verwunderlich, dass die Studie einseitig ein pessimistisches Bild abgibt und potentielle Chancen neuer, datenschutzfreundlicher Geschäftsmodelle nicht betrachtet wurden.
  • Zweitens wird in der Fragestellung für die Studie davon ausgegangen, dass lediglich 11% der Nutzer eine Einwilligung zu Cookies erteilen würde. Diese Zahl wird jedoch lediglich aus der Folgenabschätzung der EU-Kommission beziehungsweise aus einer Eurobarometer-Umfrage abgeleitet.[2] Demnach stimmen 89 % der Befragten zu, dass die Standardeinstellungen ihres Browsers eine Weitergabe ihrer Informationen verhindern sollten. Daraus aber abzuleiten, dass lediglich 11% eine Einwilligung erteilen würden ist irreführend. Besser geeignet, eine solche Ableitung zu treffen, wäre die Frage Q6 des Eurobarometers gewesen. Bei dieser sollten die Befragten angeben, zu welchem Zeitpunkt sie um eine Einwilligung gebeten werden wollen: lediglich das erste Mal, wenn sie ein Webseite aufsuchen oder jedes Mal. Nur 10% der Befragten gaben an, dass sie niemals um Einwilligung gebeten werden wollen, da sie ohnehin nicht bereit seien, diese zu erteilen. Was sagt uns das? Nicht lediglich 11% der Nutzer würde eine Einwilligung zu Cookies erteilen, sondern lediglich 10% der Nutzer schließen eine Einwilligung grundsätzlich aus
  • Drittens geht die Studie davon aus, dass Nutzer verstärkt in Log-In-Systeme (wie Facebook und Google) abwandern würden, da diese Systeme auch nach Inkrafttreten der ePrivacy-Verordnung eine „weitgehend unveränderte Bedienbarkeit“ aufweisen würden. Diese Einschätzung teile ich nicht. Auch eine Studie der Anwaltskanzlei Frankfurt Kurnit Klein + Selz über den Einfluss der ePrivacy-Regulierung auf Facebook und Google kommt zu dem Schluss, dass auch diese ihre Modelle weitreichend anpassen und teilweise aufgeben müssen.

Die Bedenken hinsichtlich der Marktmacht einiger Plattformen teile ich grundsätzlich. Allerdings sollte man nicht versuchen, dieser Marktmacht zu begegnen, indem man Regelungen zur Vertraulichkeit von Kommunikation einführt oder nicht einführt. Dafür gibt es das Kartell- und Wettbewerbsrecht.

 

Die derzeitige Situation im Netz, in der es heute faktisch keine Privatsphäre mehr gibt, ist nicht tragbar. Darüber sind sich Verbraucher, zivilgesellschaftliche Organisationen, Aufsichtsbehörden, die Europäische Kommission und das Europäische Parlament einig.

Ja, die derzeitigen Reformen im Bereich des Datenschutzes und der Vertraulichkeit der Kommunikation sind ohne Zweifel für uns alle eine gewaltige Herausforderung.

Ja, es wird auch Geschäftsmodelle geben, die grundlegend überdacht oder gar aufgegeben werden müssen

 

Aber die Reform bietet auch Chancen:

Die Verordnung würde die bisherigen Regelungen EU-weit vereinheitlichen, konkretisieren und der Datenschutzaufsicht endlich Mittel zur effektiven Durchsetzung des Rechts an die Hand geben.

Damit kann die e-Privacy Verordnung Wege für neue, datenschutzfreundliche Geschäftsmodelle öffnen. Innovation geht immer vor allem in Richtung der Kunden. Dies waren im Netz in den letzten Jahren aber oft nicht die Nutzer, sondern vor allem die Werbetreibenden.

Durch die ePrivacy-Verordnung könnte sich die Innovation wieder in Richtung der Nutzer – also der eigentlichen Kunden digitaler Dienste – bewegen. In den letzten Jahren und Monaten sind viele neue Startups entstanden, die auf die Datenschutz-Grundverordnung und die ePrivacy-Verordnung reagieren.

Diese Unternehmen zeigen bereits, dass es Alternativen zu Werbung gibt, die auf invasivem Tracking beruht, das in die Privatsphäre der Nutzer eingreift. Darunter sind Suchmaschinenanbieter, die mit kontextbezogener Werbung oder gesponsorten Links arbeiten, Entwickler von angebotsübergreifenden Abomodellen, aber auch ein Unternehmen aus der Ad-Tech-Branche, das ein System entwickelt, mit dem auf Basis bisheriger Strukturen die Daten von tatsächlich einwilligenden Nutzern vermarktet werden können, die Daten der anderen Nutzer jedoch geschützt sind.

Es ist klar, dass diese Geschäftsmodelle es in der Vergangenheit schwer hatten. Denn bisher funktionierte es ja auch mit einem System, bei dem die Gewinne abgeschöpft, aber die Kosten für die Gesellschaft externalisiert wurden.

Ob diese neuen Modelle der Weisheit letzter Schluss sind, kann ich nicht beurteilen. Aber sie zeigen, dass es auch Gegenentwürfe gibt. Der Markt wird Lösungen auf die geänderten Rahmenbedingungen finden. Dies stellt meiner Meinung nach eine Chance für innovative europäische Unternehmen dar.

Ich denke, in Zukunft wird es einen Mix aus personenbezogener Werbung auf Basis einer Einwilligung, nicht-personenbezogener Werbung, Abomodellen und anderen Finanzierungsweisen wie Micropayment geben müssen.

Es ist sogar zu vermuten, dass die Daten von Nutzern, die künftig tatsächlich freiwillig einwilligen, zu weitaus besseren Konditionen vermarktet werden können als bisher, da die Einwilligung wieder einen größeren Wert erhält.

Die e-Privacy Verordnung ist die große Gelegenheit, das verlorene Vertrauen in die digitale Gegenwart und Zukunft wieder herzustellen, das mittelfristig eine Grundbedingung für den Erfolg datenintensiver Geschäftsmodelle in Europa sein wird. Denn nur so können wir die Chancen der Digitalisierung in vollem Umfang realisieren.

Ich danke Ihnen für Ihre Aufmerksamkeit.


[1] Die Studie wurde durchgeführt durch das Australia Information and Communications Technology Research Centre of Excellence

[2] Flash Eurobarometers 443

Es gilt das gesprochene Wort.

 

Downloads

ePrivacy-Verordnung: eine Chance für Datenschutzfreundliche Innovation | Rede von Klaus Müller Vorstand des Verbraucherzentrale Bundesverband, 18. Jan 2018