Zur Zeit wird gefiltert nach: Datenschutz
Filter zurücksetzen

Verbändeschreiben zur ePrivacy-Verordnung (ePV)

Am 8. Juni 2018 sollen im Rat „Verkehr, Telekommunikation und Energie“ Festlegungen hinsichtlich der Positionierung der Mitgliedsstaaten zum aktuellen Entwurf einer neuen ePrivacy-Verordnung (ePV) getroffen werden. Anschließend an den offenen Brief, den ein breites Bündnis von Verbänden nahezu textgleich an die Minister des Europäischen Rates für Telekommunikation gerichtet hat (abrufbar unter: bit.ly/2L9FMzS), möchten wir unsere Unterstützung für die dort geäußerten Positionen zum Ausdruck bringen. Die unterzeichnenden Organisationen bitten Sie dringend, sich für eine ausbalancierte, wettbewerbs- und innovationsgerechte, zur Datenschutzgrundverordnung (DSGVO) kohärente und praxistaugliche Regulierung einzusetzen und, da die aktuellen Vorschläge dies nicht gewährleisten, dezidierte Beratungen hierüber einzufordern.

Der aktuelle Vorschlag kombiniert den wichtigen Schutz der Vertraulichkeit in der elektronischen Kommunikation mit datenschutzrechtlichen Regelungen im Bereich der Dienste der Kommunikationsgesellschaft. Anstatt die Regelungen der DSGVO sinnstiftend zu ergänzen, werden die gerade erst etablierten grundlegenden Wertungen und Abwägungserfordernisse des EU-Datenschutzrahmens aufgegeben und entwertet.

So wird die Verarbeitung elektronischer personen- wie nicht-personenbezogener Kommunikations- und Endgerätedaten strengeren Bedingungen unterstellt, als die Verarbeitung personenbezogener Daten nach der DSGVO. Die Erfüllung dieser Bedingungen ist dabei in der klaren Mehrzahl der Fälle praktisch nicht möglich.

Bereits die DSGVO stellt die Unternehmen aktuell vor erhebliche, oftmals noch nicht vollständig absehbare Herausforderungen – auch wegen der unklaren und teilweise überaus restriktiv ausfallenden Ankündigungen der Aufsichtsbehörden. Die aktuellen Diskussionen und Hilferufe aus dem Markt belegen dies eindrücklich. Eine zusätzliche, mit dem EU-Datenschutzrecht inkompatible und den tatsächlichen Marktverhältnissen nicht ausreichend Rechnung tragende Regulierung würde weitergehende Folgen nach sich ziehen. Sie würde die Schaffung eines funktionierenden digitalen Binnenmarktes regelrecht konterkarieren.

Betroffen sind hier alle Sektoren der digitalen Wirtschaft der EU, von digitalen Medien und Services bis hin zu vernetzten Fahrzeugen und intelligenter Fertigung – die im schlimmsten Fall so nicht mehr in der Lage sein werden, ihre Produkte und Dienstleistungen unter Verwendung von Daten anzubieten und zu innovieren. Dies wird auch Auswirkungen auf andere Wirtschaftszweige haben, die sich mit zunehmender Digitalisierung der Wirtschaft immer mehr auf die Nutzung von Daten aus Endgeräten einstellen müssen. Die Einwilligungsfokussierung im Digitalen, gepaart mit technischen Vorgaben zur Zugriffskontrolle verstärkt die Anreize zur Etablierung reiner Plattform- bzw. Lock-In-Angebote.

Sehr geehrter Herr Bundesminister, die von der bulgarischen Ratspräsidentschaft gestellten Fragen, ob auf der Grundlage des aktuellen Entwurfs in Verhandlungen eingetreten werden könne, sind aus der Sicht der von uns vertretenen Unternehmen mit einem klaren Nein zu beantworten. Angesichts der geschilderten Inkohärenzen sowie in Erkenntnis der bereits nachgewiesenen und darüber hinaus zu befürchtenden, schädlichen Auswirkungen auf nahezu alle Bereiche der Wirtschaft wird wesentlich mehr Zeit benötigt, um den Anwendungsbereich der ePV klarer zu bestimmen und deren Folgen besser einschätzen zu können. Wir verbinden dies mit der Bitte, auf der Ratssitzung am 8. Juni deutlich zu signalisieren, dass die Diskussionen der Mitgliedstaaten über die ePV nicht zu voreiligen Festlegungen führen und die Trilogverhandlungen erst aufgenommen werden sollten, wenn ein solides, ausgewogenes und umfassendes Gesamtkonzept vorliegt. Wir laden Sie herzlich ein, sich jederzeit mit uns im Wege des konstruktiven Dialoges über die zu lösenden Grundsatzfragen auszutauschen, um zu einem für alle Seiten tragbaren Resultat zu gelangen.

Die nachfolgenden Organisationen sind Unterzeichner dieses Briefes: 

BDEW - Bundesverband der Energie- und Wasserwirtschaft e.V. 
https://www.bdew.de

BDI - Bundesverband der Deutschen Industrie e.V.
https://bdi.eu

Bundesverband Deutsche Startups e.V.
https://www.deutschestartups.org

BDZV - Bundesverband Deutscher Zeitungsverleger e.V.
https://www.bdzv.de

BEVH- Bundesverband E-Commerce und Versandhandel Deutschland e.V.
https://www.bevh.org

BITKOM- Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.
https://www.bitkom.org

BVDW – Bundesverband Digitale Wirtschaft e.V.
https://www.bvdw.org

ECO – Verband der Internetwirtschaft e.V.
https://www.eco.de

GDV – Gesamtverband der Deutschen Versicherungswirtschaft e.V.
https://www.gdv.de

HDE - Handelsverband Deutschland e.V.
https://www.einzelhandel.de

OWM - Organisation Werbungtreibende im Markenverband e.V.
https://www.owm.de

VAUNET - Verband Privater Medien e.V.
https://www.vau.net

VDZ - Verband Deutscher Zeitschriftenverleger e.V.
https://www.vdz.de

ZAW - Zentralverband der deutschen Werbewirtschaft e.V.
http://www.zaw.de

Wann ist ein Interesse „berechtigt“ im Sinne des Datenschutzrechts?

fragt sich Sebastian Schulz, 20. Februar 2017

Das Verbotsprinzip ist das Fundamentalprinzip des deutschen wie auch des europäischen Datenschutzrechts. Beim Umgang mit personenbezogenen Daten ist zunächst erst einmal alles verboten, es sei denn, der Datenverarbeiter kann sich auf eine Einwilligung der betroffenen Person oder auf einen gesetzlichen Erlaubnistatbestand stützen. Hinsichtlich der zweitgenannten Gruppe führt die ab Mai 2018 gültige EU-Datenschutzgrundverordnung (DS-GVO) das bislang geltende Recht im Wesentlichen fort. Neben der Zulässigkeit der Datenverarbeitung zu Vertragszwecken wird für privatrechtliche Datenverarbeiter auch weiterhin eine Verarbeitung auf Grundlage der sog. allgemeinen Interessenabwägungsklausel der Normalfall sein. Artikel 6 Absatz 1 Buchstabe f DS-GVO als die hier einschlägige Norm führt hierzu aus, dass eine Datenverarbeitung rechtmäßig ist, wenn folgende Bedingung erfüllt ist:

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.


Am Rande einer Diskussionsrunde zur DS-GVO in der vergangenen Woche erbat ein Teilnehmer von einem Vertreter einer Datenschutzaufsichtsbehörde einen Hinweis, in welchen Fällen man denn nach Wertung der Aufsichtsbehörden vom Vorliegen berechtigter Interessen ausgehen könne. Diese Frage scheint mir in dreifacher Hinsicht falsch gestellt. Erstens handelt es sich bei der Frage, ob ein berechtigtes Interesse
 vorliegt, nicht um eine Wertungsfrage. Zweitens wird über eine so gestellte Frage suggeriert, die Entscheidung, einem Grundrechtsträger, hier dem Datenverarbeiter, die Berechtigung seiner Interessen zuzugestehen, obliege hierzulande einer Behörde. Mein Grundrechtsverständnis ist da ein Anderes (und ich kenne Art. 83 GG). Und drittens ist die Frage nach der Berechtigung der Interessen des Datenverarbeiters typischerweise gar nicht die entscheidende.

Wie aber hat eine Prüfung der allgemeinen Interessenabwägungsklausel zu erfolgen?

Im Rahmen der Prüfung, ob eine Datenverarbeitung auf Grundlage der allgemeinen Abwägungsklausel für zulässig erachtet werden kann, ist zunächst das Interesse des Verantwortlichen auf Grundlage der Zweckbestimmung zu bestimmen. Den Zweck der Verarbeitung kann und muss jeder Datenverarbeiter autonom festlegen (möglichst schriftlich), und zwar bevor überhaupt ein einziges Datum verarbeitet wurde. Daher auch der Begriff Zweckveranlasser. Aus dem Zweck folgt dann das Interesse. In Betracht kommen bspw. rechtliche, wirtschaftliche oder ideelle Interessen. Ist das Interesse ermittelt, ist sodann normativ zu bestimmen, ob dieses Interesse gegen die Rechtsordnung der EU, des jeweiligen Mitgliedstaates oder gegen datenschutzrechtliche Grundsätze (Art. 5) einschließlich des Gebots von Treu und Glauben verstößt. Ist dies nicht der Fall und steht insbesondere kein weniger eingriffsintensives Mittel zur Verwirklichung des Interesses des Verantwortlichen zur Verfügung (z.B. eine Verarbeitung anonymisierter Daten) wird das Interesse des Verantwortlichen regelmäßig auch berechtigt im Sinne von Artikel 6 Absatz 1 Buchstabe f DS-GVO sein. Diese verobjektivierte Betrachtung hat gerade angesichts der zahlreichen unterschiedlichen Rechtskulturen Europas offensichtliche Vorzüge gegenüber einer wertenden, stark subjektiv geprägten und damit regelmäßig intendierten Bestimmung der „Berechtigung“ und trägt zugleich dem grundrechtlichen Gebot einer möglichst niedrigschwelligen Bestimmung der „berechtigten“ Interessen Rechnung. Und: Ein grundsätzlich weites Verständnis eines berechtigten Interesses unterminiert auch nicht die Rechte der betroffenen Person, da die eigentliche Rechtmäßigkeitsprüfung erst auf Ebene der Abwägung stattfindet.

Den berechtigten Interessen des Verantwortlichen dürfen nach dem Wortlaut von Artikel 6 Absatz 1 Buchstabe f DS-GVO keine überwiegenden Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person entgegenstehen. Ein bloßes Tangieren der Rechte der betroffenen Person macht die Datenverarbeitung nicht unzulässig. Bei gleichwertigen Interessen darf eine Verarbeitung stattfinden. Der Wortlaut der Norm verlangt, anders als im Falle des Verantwortlichen, nicht nach berechtigten Interessen, so dass zunächst grundsätzlich auch „illegitime“ Interessen, d.h. in der Sache verwerfliche oder zu missbilligende Interessen durch die betroffene Person in die Abwägung eingebracht werden können. Macht ein Unternehmer durch wiederkehrende Massenabmahnungen auf sich aufmerksam, kann dieser gleichwohl ein Interesse am Unterbleiben der Veröffentlichung seines Namens im Internet haben. Im Rahmen der Abwägung werden diese Interessen dem Informationsinteresse von Branchenkreisen allerdings nur dann überwiegen, wenn mit der Veröffentlichung eine Prangerwirkung einhergeht.

Die für beide Seiten bestimmten Interessen sind sodann zu gewichten. Die zum bislang geltenden Recht entwickelten Faktoren der Gewichtung behalten dabei auch in Ansehung der DS-GVO ihre Gültigkeit, wobei künftig dem Ausfluss europäischer Grundfreiheiten und -rechte besondere Bedeutung zukommt. Einzubeziehen sind u.a. alle relevanten Grundrechtsbezüge, die Eingriffsintensität, die Art der verarbeiteten Daten, die Art der Betroffenen, mögliche Aufgaben oder Pflichten, die Zwecke der Datenverarbeitung, Maßnahmen der Datensicherheit, usw. Hier braucht es Kreativität genauso wie ein besonnenes Judiz. Hat die betroffene Person Daten öffentlich gemacht, genießen diese Daten grundsätzlich einen geringeren Schutz. Orientiert an der Zweckbestimmung der (geplanten) Verarbeitung ist in die Abwägung jedoch der Umstand einzubeziehen ist, ob die betroffene Person diese Daten freiwillig veröffentlicht hat, sie hierzu infolge einer gesetzlichen Vorgabe verpflichtet war oder ob die Veröffentlichung durch eine öffentliche Stelle aufgrund gesetzlicher Anordnung erfolgte.

Je höher sich das in der Verarbeitung liegende Risiko für die Rechte und Grundfreiheiten der betroffenen Person darstellt, umso höher ist der Rechtfertigungszwang des Verantwortlichen. Ob ein Interesse berechtigt ist, ist am Ende somit zwar eine notwendige, für die Zulässigkeitsprüfung aber noch nicht hinreichende Frage.

Warnung vor DDoS-Erpressungen durch Stealth Ravens

Gastbeitrag von Katrin Gräfe, Link11 GmbH, Head of International Corporate Communications

Seit der vergangenen Woche erpressen DDoS-Angreifer unter dem Namen „Stealth Ravens“ Online-Shops und E-Commerce-Anbieter in Deutschland, warnen die DDoS-Schutzexperten von Link11. Zu den Opfern zählen bislang Unternehmen verschiedener Größe und mit unterschiedlichem Sortiment wie z. B. Unterhaltungselektronik, Haushaltsgeräte, Produkte für Bad und Sanitär. Mit jedem Tag erhalten mehr Online-Händler Erpresser-E-Mails. Dabei setzen die Täter großvolumige DDoS-Attacken von bis zu 15 Gbps ein, um ihre Schutzgeldforderungen zu unterstreichen.

Die Erpresserschreiben sind in Englisch verfasst und kommen direkt auf den Punkt. Identische Passagen wechseln sich mit individuellen Informationen und Formulierungen je Erpressungsopfer ab. Die Texte sind aber nicht von DD4BC, Armada Collective oder anderen bekannten DDoS-Erpressern kopiert.

Hi!

If you dont pay 5 bitcoin until 1. february you will be hardly ddosed! Our attacks are super powerfull (Mirai botnet). And if you dont pay until 1. february ddos attack will start and price to stop will double! We are not kidding and we will do small demo now on just one of your servers xxx.xx.xxx.xxx to show we are serious. It will not be strong, we dont want damage now we hope you cooperate, just small flood to show we are not hoax. Pay and you are safe from us forever. Ignore, you go down longtime and price go up.

OUR BITCOIN ADDRESS: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Dont reply, we will ignore! Pay and we will be notify you payed and you are safe.
Cheers!


Im Unterschied zu vielen Trittbrettfahrern arbeiten Stealth Ravens offenbar mit einem effizienten DDoS-Angriffstool. Laut Erpresserschreiben nutzen die Täter ein Mirai-Botnetz, das im Oktober die weltweiten Ausfälle von Amazon, Twitter, Spotify und Paypal verursachte. Auch in Deutschland haben die ausgeführten Warnattacken bereits Performance und Verfügbarkeit vieler erpresster Shops beeinträchtigt. Nach Einschätzung des Link11 Security Operation Centers sind die Erpressungsversuche durch Stealth Raven daher unbedingt ernst zu nehmen.

Link11 empfiehlt den attackierten Unternehmen in keinem Fall auf die Erpressungen einzugehen. Stattdessen sollten sie schnell und entschlossen handeln:

- Bilden Sie ein Krisen-Team und stellen Sie einen Notfallplan auf!
- Kontaktieren Sie Ihren Internet-Provider.
- Informieren Sie sich über präventive Schutzlösungen gegen DDoS-Attacken! 

Mitgliedern des bevh gewährt Link11 als Preferred Business Partner des Verbandes Sonderkonditionen für seinen mehrfach ausgezeichneten Link11 DDoS-Schutz.

Weitere Informationen, Reports und Warnmeldungen zum Thema DDoS finden sich auf der von Link11 eingerichteten Webseite http://www.ddos-info.de

Ende des Cookie-Chaos? – Drei Thesen, warum der Entwurf für eine EU-ePrivacy-Verordnung aus der Zeit fällt

ein IMHO von Sebastian Schulz

Letzte Woche hat die EU-Kommission ihren Vorschlag für eine Überarbeitung der E-Privacy-Richtlinie, umgangssprachlich auch als „Cookie-Richtlinie“ bezeichnet, vorgelegt. Die im Jahr 2002 verabschiedete, nach Brüsseler Zeitrechnung erst jüngst (namentlich in 2009) reformierte Richtlinie soll an die kurzen Innovationszyklen der Internetwirtschaft angepasst und mit der im Mai 2016 in Kraft getretenen EU-Datenschutz-Grundverordnung (DS-GVO) synchronisiert werden. Dass es Bedarf für eine solche Synchronisierung geben würde, ahnten schon die Verfasser der DS-GVO und gaben sich in deren Erwägungsgrund 173 selbst als Hausaufgabe auf, die ePrivacy-Richtlinie „entsprechend“ zu ändern „um insbesondere die Kohärenz mit der DS-GVO zu gewährleisten“. Möglicherweise wären die Brüsseler Beamten besser beraten gewesen, die offenen Punkte gleich in die DS-GVO zu integrieren. Denn anstatt Widersprüche aufzulösen, wirft der nun veröffentlichte Entwurf für eine lex specialis für den Datenschutz im Zusammenhang mit der Bereitstellung und Nutzung von elektronischen Kommunikationsdiensten neue Fragen auf. Dazu gleich.

Dem Reformprozess hin zur Datenschutz-Grundverordnung vergleichbar, wählen die Entwurfsverfasser auch für den neuen ePrivacy-Rechtsrahmen als Regelungsinstrument anstelle einer Richtlinie eine Verordnung. Anders als Richtlinien gelten Verordnungen unmittelbar und sind, von der Existenz sog. Öffnungsklauseln einmal abgesehen, vollharmonisierend, d.h. einer weiteren Konturierung durch nationale Gesetzgeber entzogen. Zumindest auf Ebene des materiellen Rechts wird so ein level playing field mit gleichen Spielregeln für alle geschaffen. Infolge des erfahrungsgemäß in den einzelnen Mitgliedstaaten unterschiedlich streng ausfallenden Rechtsdurchsetzung bleibt meines Erachtens aber ein wirklich einheitlicher Rechtsrahmen weiterhin eine Chimäre,
Kohärenzmechanismen hin oder her.

In dem Vorschlag sind neben den Vorgaben zum Umgang mit Metadaten, Cookies und cookie-ähnlichen Technologien für die E-Commerce-Wirtschaft auch die hier weiterhin verorteten Regeln zur Zulässigkeit des Emailmarketings von Bedeutung. Der Entwurf belässt es an dieser Stelle bei den bekannten Vorgaben, die in Deutschland in § 7 Gesetz gegen den unlauteren Wettbewerb (UWG) umgesetzt wurden, einschließlich des in § 7 Abs. 3 UWG normierten (engen) Bestandskundenprivilegs. Werden die hierzu gemachten Vorschläge am Ende Gesetz, wird man sich jedoch in anderen Mitgliedstaaten auf Rechtsänderungen einstellen müssen. Denn anders als in Deutschland ist bspw. in Frankreich oder Italien heute eine werbliche Ansprache per E‐Mail im B2B‐Verhältnis bereits auf Grundlage eines Opt‐Out zulässig. Solche in Umsetzung der Richtlinie aus 2002 noch zulässigen nationalen Alleingänge sind aufgrund der unmittelbaren, vollharmonisierenden Wirkung einer Verordnung dann künftig nicht mehr möglich.

Zurück zu den Cookies. Zu der Frage, wie die Vorgaben aus Art. 5 Abs. 3
der aktuellen Richtlinie für einen „Cookie-Consent“ in der Praxis umzusetzen sind, haben sich in den letzten Jahren quer durch Europa unterschiedlichste rechtliche Ansätze und best practices entwickelt. Banner, PopUp oder allein ein Hinweis in der Datenschutzerklärung? Opt-In oder Opt-Out? Für die Zulässigkeit von letzterem etwa votierte mit reichlich holpriger Begründung vor gut einem Jahr hierzulande das OLG Frankfurt/M. Die Rechtsunsicherheit blieb; von der bei jeder Banner- bzw. PopUp-Lösung stets gestörten User-Experience ganz zu schweigen.

Beidem will die EU-Kommission nun ein Ende setzen. So heißt es in Erwägungsgrund 22 des Entwurfs, dass das Zurverfügungstellen von Informationen und die Einholung der Einwilligung „as user-friendly as possible“ sein soll. Technische Hilfsmittel, bspw. Browsersettings, werden als Möglichkeit der Abgabe einer Einwilligung explizit anerkannt. Eine Pflicht, die restriktivste Einstellung als Default vorzusehen, besteht zwar nicht. Softwareschmieden werden jedoch im Rahmen eines echten Privacy by Design dazu verpflichtet, in Browsersoftware zumindest für
Third Party Cookies ein do-not-track vorzusehen und im Rahmen der Installation die Default-Settings absegnen zu lassen. Wohlgemerkt: An dieser Stelle werden Wirtschaftszweige in die (datenschutzrechtliche) Pflicht genommen, die selbst nicht ein einziges personenbezogenes bzw. Metadatum erheben oder verarbeiten. Was für Viele offenbar völlig nahe liegt, ist grundrechtlich mindestens hart am Wind. Vom praktischen Erfordernis ganz zu schweigen.

Schließlich werden (klarstellend) einzelne Cookiearten bzw. -inhalte, etwa Sessioncookies, die den gewünschten Dienst erst ermöglichen oder persistente Cookies, die sich Warenkorbinhalte oder ausgefüllte Onlineformulare merken, ganz vom Erfordernis zur Einholung einer Einwilligung ausgenommen. Zusammengefasst soll die User also über Browsersettings rechtsverbindlich festlegen können, ob (i) gar keine Cookies, (ii) nur
First Party Cookies oder (iii) auch Third Party Cookies auf ihrem Endgerät gesetzt werden dürfen. Das Cookie-Chaos soll so ein Ende finden; UserInnen sollen ohne nervige Klicktiraden entspannt ihrer digitalen Wege gehen können.

Meine drei Thesen zu den tatsächlich zu erwartenden Auswirkungen der vorgeschlagenen Regelungen:

1.   Der Entwurf steht in Widerspruch zu den Vorgaben der DS-GVO

Der nun vorgelegte Entwurf verfehlt das selbstgesetzte Ziel einer Synchronisierung mit den Vorgaben der DS-GVO nicht nur, er begibt sich hierzu vielmehr in direkten Widerspruch. Während nach der DS-GVO Datenverarbeitungen sowohl einwilligungsbasiert als auch etwa zum Zwecke der Vertragserfüllung oder auf Grundlage berechtigter Interessen des Verantwortlichen zulässig sind, verkürzt der Verordnungsentwurf diesen tradierten Zulässigkeitstrias enorm. Von einzelnen Verwendungsszenarien abgesehen, z.B. der Gewährleistung der Übertragungssicherheit oder zu Abrechnungszwecken, dürfen personenbezogene (z.B. Standortdaten) oder Metadaten nach dem Entwurf ausschließlich auf Grundlage der Einwilligung der User verarbeitet werden. Ungeachtet der sicher streitbaren Frage, ob es geboten ist, das Verbotsprinzip (weiterhin) auch auf nicht-personenbezogene Daten anzuwenden, verwehrt der Verordnungsentwurf eine Datenverarbeitung auf gesetzlicher Grundlage nahezu vollständig. Berechtigte Interessen der Datenverarbeiter bleiben vollends unberücksichtigt. Die darüber erreichte Schieflage wird gerade im Bereich der Datenverarbeitung zu Werbezwecken offensichtlich: Während im Anwendungsbereich der DS-GVO eine solche auf gesetzlicher Grundlage sogar intendiert als zulässig anerkannt wird (vgl. Erwägungsgrund 47 am Ende), sollen Daten im Anwendungsbereich des Verordnungsvorschlages zu Werbezwecken nur noch auf Grundlage der Einwilligung des Users verarbeitet werden dürfen. Das eine werbliche Maßnahme nur vorbereitende, damit tendenziell weniger invasive Tracking des Surfverhaltens wird damit stärker geschützt, als die nachgelagerte, eigentliche Datenverarbeitung.

2.   Cookie-Banner werden zu- statt abnehmen.

Mag der einzelne User über Browsersettings in Zukunft zwar rechtsverbindlich vorgeben können, ob und wenn ja, welche Arten von Cookies bzw. Cookieinhalten er generell akzeptieren will – die nervigen Cookiebanner bleiben uns mit Gewissheit erhalten. Viel mehr noch wird dieses Phänomen gerade all jene treffen, die sich vollständig oder auch nur teilweise gegen das Setzen von Cookies entscheiden. Denn losgelöst von grundsätzlichen Browsereinstellungen ist es Websitebetreibern, Publishern, Trackingtools usw. nicht verwehrt, beim User individuell eine Einwilligung in das Setzen von Cookies zu erfragen. Dies stellt der Verordnungsentwurf selbst unumwunden klar: „At the same time, centralising consent does not deprive website operators from the possibility to obtain consent by means of individual requests to end-users and thus maintain their current business model.” Von dieser Möglichkeit werden all jene, denen das Setzen von Cookies über Grundeinstellungen verwehrt ist, vermutlich regen Gebrauch machen,

3.   Der Verordnungsvorschlag torpediert kostenfreie Angebote und fördert so das Datenschutzprekariat.

Wohl kaum ein zweites Phänomen hat die heute in uns allen verhaftete „Gratiskultur“ so befördert wie das Internet. Dass Inhalte überwiegend gebührenfrei verfügbar sind, gilt Einigen als die größte Errungenschaft überhaupt, während andere hierüber Qualitätsverfall und den Niedergang ganzer Branchen beklagen. Wie man auch immer hierzu stehen möge – ökonomisch betrachtet ist der Begriff Gratiskultur schlicht falsch. Bezahlt wird mit unserer Aufmerksamkeit, auch mit (auch personenbezogenen) Daten, für die Werbetreibende bereit sind, einen Preis zu zahlen. Nach vorsichtigen Schätzungen ist das gesamte Web zu 2/3 werbefinanziert.

Für das Internet ist die soziale Herkunft seiner User damit schlicht egal. Wird nun aber durch ein Eingreifen des Gesetzgebers das Geschäft Aufmerksamkeit gegen Geld erschwert, namentlich durch den Ausschluss von Datenverarbeitungen außerhalb des Vorliegens einer Einwilligung, muss dies ganz zwangsläufig zu einem Abschmelzen solcherart kostenfreier Angebote und zu mehr paid content führen. If you can’t bill it, kill it. Inhalte werden nur noch gegen Entgelt oder aber gegen die Preisgabe personenbezogener Daten angeboten. Das Internet wird asozial.

Sehen Sie das anders? Habe ich etwas übersehen? Ich freue mich über Kommentare, gern auch direkt an
Sebastian.Schulz(at)bevh.org.

English abstract: Last week, the European Commission released a proposal to repeal the so-called E-Privacy-Directive. The main goal of the proposal to ensure consistency with the General Data Protection Regulation will be missed for three reasons: The draft is inconsistent, antisocial and will increase customer harassment.

 

  • loading Twitter...
  • weiter

Jahresbericht 2017


                                 

Wir bilden aus

Kooperierende Verbände

  • GEAGEA
  • BVDWBVDW
  • BVDVABVDVA
  • Bundesverband Druck und Medien e.V.Bundesverband Druck und Medien e.V.
  • Verband Internet Reisevertrieb e.V.Verband Internet Reisevertrieb e.V.
  • Media.net berlinbrandenburgMedia.net berlinbrandenburg
  • Hamburg@WorkHamburg@Work
  • AVE Außenhandelsvereinigung des Deutschen Einzelhandels e.V.AVE Außenhandelsvereinigung des Deutschen Einzelhandels e.V.
  • TeleTrusT – Bundesverband IT-Sicherheit e.V.TeleTrusT – Bundesverband IT-Sicherheit e.V.
  • Total Equality & DiversityTotal Equality & Diversity