Eingelangt am 04.03.2020
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Anfrage

 

 

der Abgeordneten Mag. Christian Drobits,

Genossinnen und Genossen

an die Bundesregierung

betreffend „unendliche Geschichte der ePrivacy-Verordnung - kroatische Ratspräsidentschaft“

 

Die sozialdemokratische Parlamentsfraktion hat sich schon in mehreren Anfragen, genannt sei beispielsweise die Anfrage 3123/J der vorigen GP an die Bundesregierung, mit dem Thema der ePrivacy-Verordnung auseinandergesetzt. Festzustellen ist, dass es dabei in Anbetracht der bereits achten Präsidentschaft, die sich mit diesem Thema abmüht, um kein Ruhmesblatt der Europäischen Politik handelt. Der nunmehrige Vorschlag der kroatischen Ratspräsidentschaft ist allerdings aus Sicht des Datenschutzes als weiterer Riesenrückschritt in dem Verhandlungsdilemma und kann in keiner Weise akzeptiert werden.

 

So schreibt die in Datenschutzangelegenheiten äußerst versierte fm4 Redaktion des ORFs, dass sich die neue Version der ePrivacy-Verordnung in einzelnen Abschnitten wie eine Parodie eines bauernschlauen Lobbyistentexts liest und nunmehr die zentralen Forderungen der Datenhandelslobby in die Verordnung aufgenommen wurden. Siehe nachstehend den gesamten Artikel:

 

„E-Privacy: Datenschutz soll Ermessensache der Provider werden

Die neue Version der E-Privacy-Verordnung liest sich in einzelnen Abschnitten wie eine Parodie eines bauernschlauen Lobbyistentexts. Tasächlich steht nun die zentrale Forderung der Datenhandelslobby in der Verordnung.

Die kroatische Ratspräsіdentschaft hat Ende Februar einen neuen Anlauf gestartet, die gestrandete E-Privacy-Verordnung wieder flottzukriegen. Es ist nunmehr die achte Ratspräsidentschaft, die sich an dieser Regelung zum Datenschutz im Internet abmüht.In dieser Verordnung zum Daten- und Konsumentenschutz im Netz wurde nun unter dem unscheinbaren Begriff „legitimes Interesse“ die zentrale Forderung der Datenhandelsbranche verankert. Das „legitime Interesse“ von Datenhandelsfirmen und Service-Providern wird damit dem Recht jedes Individuums auf Schutz der persönlichen Daten gegenübergestellt. Welches Interesse da überwiegt, soll der jeweilige Service-Provider entscheiden.

Im von der kroatischen Ratspräsidentschaft vorgelegten neuen Text findet sich der Begriff „legitimes Interesse“ 25 Mal auf insgesamt 32 Seiten. Aufgefallen ist das zuerst der in Brüssel tätigen Journalistin Jennifer Baker, die das Dokument für den Dachverband der Datenschutzexperten IAPP analysiert hat.

Datenschutz wird Ermessenssache

Im Sommer 2019 war zuletzt an der E-Privacy-Verordnung maßgeblich herumgewerkt worden.

Diese Passage der einleitenden Erklärungen (17b) zur E-Privacy-Verordnung sagt nicht weniger und nicht mehr, als dass der Schutz der personenbezogenen Daten von Benutzern einer Website nunmehr Ermessensache des Anbieters werden soll. Unbeschränkte Erfassung und Aggregation persönlicher Daten durch Internetkonzerne, ohne dass die Betroffenen davon erst einmal unterrichtet werden müssen, würde so legalisiert. Der Anbieter ist nur dazu verpflichtet zu „überprüfen“, ob diese Datenabgriffe wohl den Erwartungen des jeweiligen Benutzers in Bezug auf Datenschutz entsprechen.

Genau das hatten von der amerikanischen Wirtschaftskammer AmCham angefangen, über den Dachverband der Digitalwirtschaft Digital Europe bis zu den Werbevermarktern IAB und Verlegerverbänden in einer der größten EU-Lobbyingkampagnen ab 2016 ultimativ gefordert. Nachdem die Erstforderung einer ersatzlosen Streichung der seit 2002 gültigen (alten) E-Privacy Richtlinie dann doch nicht durchsetzbar war, forderten die Datenhänderlobbys in Folge eine rechtliche Verankerung ihres „legitimen Interesses“ in dieser EU-Verordnung zum Daten- und Konsumentenschutz.

Die Videokampagne von 2017 gegen E-Privacy trug den Titel „Wie in einem schlechten Film“ die zentrale Forderung der Industrie sieht man in diesem Screenshot. Die Website existiert zwar noch, das Filmchen lädt jedoch nicht mehr.

Einwillung der Benutzer nicht gefragt

Im Oktober 2017 wurde nach einem letzten Versuch im Parlament die Verordnung zu Fall zu bringen, der Weg für die Trilog-Verhandlungen mit dem Ministerrat freigegeben.

Damit steht schon einmal die legale Basis für die Datensammlung, um Einwilligung gefragt werden müssen die Benutzer nach Willen der kroatischen Ratspräsidentschaft dafür nicht. Die hat stattdessen eine ganze Latte von möglichen Gründen für die Datensammelei aufgezählt, von technischen bis zu juristischen Gründen. Unter anderem sind dabei natürlich Gründe des öffentlichen Interesses wie die Erstellung von „Heat Maps“ bei Krankheiten oder Katastrophen. Dabei wird konsequent verschwiegen, dass genau solche Lagebilder der typische Anwendungsfall für vollständig anonymisierte und nicht-verknüpfte Datensätze sind. Personenbezug braucht es nämlich dafür nicht.

Erst das Anlegen von Profilen und die Erhebung besonders sensibler Daten bedarf dann einer Zustimmung der User. Im Zweifelsfall „sollten“ („should“) die Konzerne die jeweiligern Datenschutzbehörde konsolutieren, aber müssen („shall“) tun sie das nicht. Damit wären Internetkonzerne wie Facebook, Google und sämtliche de facto ihre eigene Datenschutzbehörde, die sich selbst die Legalität ihres Vorgehens bescheinigen können, wenn sie nach reiflicher Prüfung zu dem Ergebnis gekommen sind, dass die betroffene Person ohnehin stillschweigend zustimmt.

In der EU-Charta finden sich die Rechte auf Schutz der Privatsphäre und der persönlichen Daten unter den ersten Artikeln. Das „legitime Interesse“ der Firmen ist offenbar aus Artikel 16 abgeleitet, der nur aus einem Satz besteht: „Die unternehmerische Freiheit wird nach dem Unionsrecht und den einzelstaatlichen Rechtsvorschrif­ten und Gepflogenheiten anerkannt.“

Metadaten, Drittparteien, Werbenetze

Im Sommer 2017 startete die erste Großkampagne von Medien- und Werbekonzernen gegen E-Privacy. Im Netz wurde sie zum Flop, in politischen Kreisen reüssierte sie.

Erst ganz am Schluss eines großen, zwei Seiten umfassenden Textblocks, der von der kroatischen Ratspräsidentschaft in den Wortlaut der Verordnung eingefügt wurde, kommt man zum Kerngeschäft des Datenhandels. Und das besteht nun einmal in der Weitergabe von Daten. Da heißt es: „Zusätzlich sollten die Anbieter elektronischer Services Metadaten nicht an Drittparteien weitergeben, außer sie wurden vorher anonymisiert.“

Spätestens hier kann man sich des Eindrucks nicht erwehren, dass die Bearbeiter des Texts von der Geschäftspraxis der internationalen Werbenetzwerke entweder keine Ahnung haben oder das zumindest vorgeben. Die Werbenetze greifen von allen Websites, auf denen ihre Banner laufen, so ziemlich alles Greifbare an Metadaten aller Benutzer ab und verknüpfen sie über Cookies. Daraus werden individuelle Verhaltens- und Interessensprofile erstellt, von denen Auszüge wieder zurück an die Website-Betreiber gehen.

Noch mehr „legitime Interessen“

Die ursprüngliche Version der EU-Kommission zu E-Privacy wurde Ende 2016 durch ein Leak bekannt.Sie war der Datenschutzgrundverordnung eng gefolgt

Den Betreibern der Website - Medien und anderen Interessensportalen - ist zum Zeitpunkt der Weitergabe zwar noch nicht bekannt, zu welchen Benutzerprofilen diese Metadaten gehören, sie deshalb als „anonymisiert“ zu bezeichnen, ist reine Roßtäuscherei. Sobald die Werbenetze die Metadaten verarbeitet haben, sind sie nämlich Teil eines Persönlichkeitsprofils, das von Interessen über Bewegungen, Verhaltensweisen, persönliche Verhältnisse und Eigenheiten bis hin zu sexuellen Präferenzen alles enthalten kann. Sämtliche Metadaten, die vom Datenhandel erfasst, gespeichert und weitergegeben werden, werden zu diesem Zweck verarbeitet.

Im Absatz (21b) kommen die „legitimen Interessen“ erneut zum Tragen, wenn nämlich der Serviceprovider zum Beispiel History, Cookies und Konfiguration des Browsers eines Benutzers auslesen will. Auch hier muss der Provider erst in sich gehen und abwägen, ob dies möglicherweise Grundrechte des Benutzers verletzt, oder ob der ohnedies erwartet. Erst nach einem solchen „Balancing Test“, ob das eigene „legitime Interesse“ oder doch die Grundrechte des Benutzers überwiegen, kann ausgelesen werden, was das Datenhändlerherz begehrt.

Bizarres Fazit

Stellenweise liest sich der Verordnungstext, den die kroatische Präsidentschaft aus dem Input des Ministerrats erstellt hat, wie eine Parodie auf einen bauernschlauen Lobbyistentext. Bis jetzt ist es jedenfalls die bizarrste Version der E-Privacy-Verordnung in den vier Jahren ihrer Genese, als mehrere Staaten im Ministerrat anfangs sogar verlangt hatten, die Vorratsdatenspeicherung in dieser Regulation zum Daten- und Konsumentenschutz zu verankern.“

 

 

Die unterzeichneten Abgeordneten stellen daher an die Bundesregierung folgende

 

 

 

Anfrage:

 

 

 

1. Welche Aktivitäten hat die Bundesregierung, bzw. in deren Auftrag ein Mitglied derselben seit der Beantwortung der in Betreff genannten Anfrage durch die Bundesregierung mit der Anfragebeantwortung 3098/AB (XXVI. GP) vom 20.05.2019 im Hinblick auf die Realisierung der ePrivacy-Verordnung im Einzelnen und detailliert dargestellt unternommen?

 

2. Welche Kontakte mit Lobbyisten hat die Bundesregierung bzw. deren Mitglieder oder Bedienstete der Ressorts seit dem genannten Zeitpunkt in der Angelegenheit ePrivacy-Verordnung gepflegt und welche Auswirkungen auf die Politik der Bundesregierung haben diese gehabt?

 

3. Gibt es in der neuen Bundesregierung, im Gegensatz zur Bundesregierung Kurz I, die eine äußerst den Datenschutz einschränkende Politikpraxis übten (siehe zB. die Umsetzung der DSGVO in nationales Recht), nunmehr einen datenschutzfreundlicheren Politikzugang und wenn ja, worin äußert sich diese neue Positionierung?

 

4. Hat sich die Bundesregierung oder haben sich in Vorbereitung einzelne Mitglieder bereits mit dem Entwurf der kroatischen Ratspräsidentschaft befasst,

wenn ja, zu welchem Ergebnis und zu welcher Positionierung führte diese Befassung?

Wenn nein, warum nicht und wann haben sie dies endlich vor?

 

5. Welches Ressort befasst sich nunmehr im Auftrag der Bundesregierung seit den umfangreichen Abänderungen im Bundesministeriengesetz mit den Verhandlungen der ePrivacy-Verordnung in den europäischen Gremien?

6. Wird die Bundesregierung über die Fortschritte dieser Verhandlungen regelmäßig informiert, wie erfolgt diese Information und was beinhaltete diese seit 20.05.2019?

Wenn die Bundesregierung nicht informiert wird, wie kann dann eine einheitliche Position der österreichischen Bundesregierung erzielt werden?

 

7. War die ePrivacy-Verordnung auch bereits Thema in den Koordinierungssitzungen, wenn ja, welche Ergebnisse konnten dabei erzielt werden?

 

8. Welche Vorhaben plant die Bundesregierung im Bereich der Stärkung und der Wahrung des Datenschutzes auf europäischer Ebene und auf nationalstaatlicher Ebene?

 

9. Wann sollen diese Vorhaben nach bisherigen Planungsstand dem Nationalrat vorgelegt werden?