34C3 Vorspannmusik
Herald: Es ist einiges los in der
politischen Arena der EU in Sachen
Datenschutz. Wie ja einige von euch
wissen, wird nächstes Jahr die
Datenschutz-Grundverordnung wirksam werden
und das ist bei Weitem noch nicht alles:
Momentan findet eine Lobbyschlacht statt
zu der ePrivacy-Verordnung und was da so
alles gerade im Moment passiert, das wird
uns heute Ingo erzählen. Ingo ist
Redakteur bei Netzpolitik und ist auch
dazu noch im Verein Digitale Gesellschaft
und damit wünsche ich Euch einen
wunderschönen ersten Talk und bitte helft
mir mit Applaus für Ingo.
Ingo Dachwitz: Guten Morgen oder Moin
Moin, wie man in Hamburg sagt - Leipzig
nich - glaub ich. Ganz schön früh ist es.
Ich bin ganz überrascht, dass so viele
hier sind, freut mich sehr. Ich glaube,
ich bin noch nie so früh auf dem Kongress
gewesen. Aber es ist sehr gut, dass es
noch so früh ist, weil ich dazu neige
meine Vorträge und Präsentationen immer so
voll mit Inhalten zu packen, dass es
eigentlich immer viel zu viel ist. Gut,
dass ihr noch aufnahmefähig seid. Ich darf
heute also über ein Stück Politik
sprechen, das ich auf netzpolitik.org seit
gut anderthalb Jahren begleite. Ziemlich
von Anfang an - das politische Ringen um
die ePrivacy-Verordnung oder auch
„Verordnung über die Achtung des
Privatlebens und den Schutz
personenbezogener Daten in der
elektronischen Kommunikation“, wie sie
offiziell und handlich heißen soll. Eine
Verordnung, die die eben schon
angesprochene Datenschutzgrundverordnung,
die ja ab Mai 2018 wirksam ist - oder
wirksam wird - ergänzen soll und zwar eben
für den Bereich der elektronischen
Kommunikation und insgesamt ein Thema, das
in den Medien - in den klassischen Medien,
aber auch in den sozialen Medien - so
wenig Aufmerksamkeit erfährt, dass ich
mich zwischendurch einmal gezwungen sehe
zu solchen Überschriften zu greifen, um
irgendwie zu versuchen das Thema an den
Mensch zu bringen. Deshalb vielleicht mal
die Frage, damit ich weiß, sozusagen auf
was ich mich einstellen kann. Wer von euch
hat von der ePrivacy-Verordnung oder von
dem Thema schon mal gehört, zumindest?
Okay, fast alle, sehr gut. Congress ist
eben doch ein tolles Publikum. Wer würde
sagen, er oder sie weiß, worum es genau
geht? Okay, okay, so hatte ich es mir in
etwa erhofft. Also eine ganz gute
Ausgangsbasis. Und ich nenne dieses
politische Ringen um die ePrivacy-
Verordnung, über das ich heute spreche,
wirklich ganz bewusst Lobbyschlacht. Auch
wenn es natürlich ein bisschen martialisch
klingt, weil die Auseinandersetzung um
diese Verordnung echt heftig ist und die
politischen Fronten doch ziemlich starr
verlaufen. Deshalb auch dieses
Hintergrundbild, das die damalige Lobby im
englischen House of Commons zeigt, wo die
Interessenvertreter eben herumlungerten.
Ich hab das Originalbild von 1886 nur
leicht modifiziert. Also eine der
„schlimmsten Lobby-Kampagnen, die ich je
gesehen habe“, zitiert die Transparenz-
Organisation Corporate Europe einen
Parlaments-Insider über den industriellen
Gegenwind gegen die Verordnung. Ich habe
gedacht, wir fangen einfach mal mit ein
paar Beispielen dafür an. Mit nichts
Geringerem als einem Atompilz visualisiert
die Organisation Werbung Treibende im
Markenverband die ePrivacy-Verordnung und
ihre Konsequenzen. Also so viel zur
martialischen Rhetorik. Die OWM, das ist
ein Branchenverband, in dem von Adam A wie
Adam Ritter oder Alfred Ritter GmbH oder
Adam Opel GmbH über D wie Deutsche Telekom
bis zu VW Volkswagen, W wie Wüstenrot, so
ziemlich viele große deutsche Unternehmen
vertreten sind. Also eine ePrivacy-
Verordnung als Atomeinschlag oder dieses
Statement von Thomas Duhr, Vizepräsident
des Bundesverbandes Digitale Wirtschaft
BVDW. Der sagt, die Verordnung negiere
fundamentale Prinzipien der digitalen
Wirtschaft. „Das Internet wie wir es heute
kennen wird es damit nicht mehr geben“ Und
ich habe noch ein drittes Beispiel zum
Einstieg mitgebracht. Diesmal ein Film,
produziert von einem breiten Bündnis
europäischer Handels-, Verlags- und
Werbeverbände, und ich hoffe das
funktioniert jetzt. Das Video läuft...
aber der Ton nicht.
Video: "2018. Europe is the tech mecca.
Startups are flourishing, consumers are
enjoying the best apps avail... 2018..."
ID: Nö, daran kann's nicht liegen.
Video: "Europe is the tech mecca. Startups
are flourishing, consumers are enjoying
the best apps available and revenue from
data-driven ads helps make that possible.
Until one day, the apps go dark. Data-
driven advertising is... 2018. Europe is
the tech mecca. Startups are flourishing,
consumers are enjoying the best apps
available and revenue from data-driven ads
helps make that possible. Until one day,
the apps go dark. Data-driven advertising
is no more. Less revenue, fewer startups,
fewer apps. An app-less future consumers
never saw coming. from tech mecca to tech
wasteland. Enter the App-ocalypyse. Coming
soon to cinemas."
dramatische Musik
ID: Ja, habt Ihr auch schon alle Angst,
dass eure Apps plötzlich ausfallen?
Lachen ..., weil der Datenschutz das
Internet kaputt macht? Das soll es an
Schauermärchen dann zum Einstieg aber auch
schon mal gewesen sein. Stattdessen will
ich euch jetzt erst mal kurz erzählen, was
euch erwartet in den nächsten hoffentlich
fünf Minuten. Timing ist nicht ganz so
meine Stärke, aber ich versuche es mal
hinzubekommen. Ich will heute zeigen warum
das Internet, wie wir es kennen...
parallel laufende Musik
Video: "Within its digital single market
the European Union..."
Lachen
ID: Okay, ich will zeigen, warum sich das
Internet, wie wir es kennen - um das Zitat
mal aufzugreifen - durch die ePrivacy-
Verordnung tatsächlich etwas grundsätzlich
verändern könnte. Wieso das aber
eigentlich etwas Begrüßenswertes ist und
was Martin Sonneborn mit der ganzen
Geschichte zu tun hat. Dazu werde ich in
meinem Vortrag heute primär zwei Dinge
machen. Zum einen möchte ich verständlich
machen, worum es eigentlich geht in der
ePrivacy-Verordnung, und zum anderen
möchte ich über den Entstehungsprozess und
den aktuellen Stand des Verfahrens
sprechen und auf das Lobbying und die
schlimmsten Mythen eingehen, die über
diesen Verordnungsvorschlag in Umlauf
gebracht werden. Um das zu machen, will
ich allerdings zuerst nochmal, bevor ich
in die Details schaue, kurz auf den
Kontext sozusagen eingehen, über den ich
heute sprechen... ..., indem wir über
Datenschutz und Privatsphäre in der
digitalen Kommunikation sprechen. Und
dieser Kontext, das ist für mich der
gesellschaftliche Konflikt um die
Kontrolle von personenbezogenen Daten.
„Data Wars“, um mal im Bild zu bleiben
könnte man quasi sagen und die ePrivacy-
Verordnung ist eben nur ein Schlachtfeld
oder ein Ort, an dem die
Auseinandersetzung stattfindet, denn was
wir derzeit erleben, ist, wie ein neues
Wirtschaftsmodell etabliert wird, bei dem
es nicht mehr in erster Linie darum geht
gute Produkte oder gute Dienstleistung
herzustellen, sondern eben möglichst viel
Wissen in Form von Daten anzuhäufen. Ein
Wirtschaftsmodell, in dem auch persönliche
Informationen eben nicht mehr in erster
Linie schützenswerte Güter sind, sondern
handelbare Waren. Das Öl oder der Rohstoff
der Zukunft, wie es viele - nicht zuletzt
Bundeskanzlerin Angela Merkel - eben
nennen. Und wir erleben derzeit ja eine
andauernde Auseinandersetzung darum, wer
diese persönlichen Daten kontrolliert, wer
sie erzeugen und sammeln, handeln,
verknüpfen, auswerten, nutzen und
verwerten darf. Wenn wir zum Beispiel
Datenskandale erleben derzeit, all die
Gerichtsverfahren... Max Schrems spricht
heute oder morgen, glaube ich. Die
politischen Kämpfe um Datenschutz, da wird
es sozusagen greifbar, der Konflikt um
dieses neue Wirtschaftsmodell. Und ich
will, bevor ich eben auf diese Verordnung
gucke, mir dieses zugrunde liegende
Geschäftsmodell noch mal kurz als Kontext,
als Horizont quasi für heute in Erinnerung
rufen. Das ist wahrscheinlich den meisten
hier schon bekannt, kann aber nicht
schaden, das vielleicht nochmal zu hören.
Allen, die sich stärker damit
auseinandersetzen wollen, mit diesem
Geschäftsmodell der kommerziellen
Überwachung, kann ich nur den Talk von
Wolfie Christl vor einem Jahr empfehlen,
auf den und dessen Studien und Erhebungen
werde ich mich auch im Folgenden so ein
bisschen stützen. Und ich versuche mal
dieses Geschäftsmodell in 4 Phasen oder
anhand von 4 Phasen zu beschreiben und mal
kurz in diese Phasen rein zu gucken. Das
erste ist quasi die Datafizierung von fast
allem. Inzwischen lässt sich fast das
ganze komplette Leben in Datenform eben
aufzeichnen: Vom Konsum, also Online-
Shopping, Kreditkarten-Daten bis zu
Bonus-Systemen, über das vernetzte Zuhause
von Sprach-Assistenzsystem wie Alexa und
Co, über smarte Zahnbürsten bis zum
vernetzten Sexspielzeug, das Thema
Gesundheit vom Fitness-Armband bis zur
App, für das Tracking von
Menstruationszyklen und natürlich der
Bereich Kommunikation von Suchmaschinen
und Nachrichten-Webseiten über Messenger,
soziale Netzwerke, Dating-Anwendungen bis
hin zu Smart-TVs und einem Großteil aller
Anwendungen für mobile Geräte. Und hier
greife ich einfach mal auf eine Grafik von
Wolfe Christl zurück, der auf dem Feld
wirklich sehr lesenswerte Arbeit gemacht
hat, um dieses Geschäfts-Modell und dieses
Wirtschafts-Modell eben anschaulich zu
machen und dessen Konsequenzen einmal
visualisiert, welche Daten sind eigentlich
über Konsumenten, Verbraucher, Nutzer
früher angefallen und welche sind es
heute, eigentlich eben ein umfassendes
Bild. Und es wird eben deutlich,
es geht dabei nicht nur um Daten,
klassische, also einfache Daten
wie Geburtsdaten oder Ähnliches,
sondern es ist...
sind auch die fluiden Dinge, sind
Emotionen, Identitäten, Verhalten,
Eigenschaften, die in Daten aufgegriffen
werden und ich geh hier an der Stelle,
weil wir heute über den Bereich der
elektronischen Kommunikation sprechen,
noch mal ein bisschen stärker auf das Feld
ein. Studien zufolge oder einer Studie
zufolge sind es zwischen 85 und 95 Prozent
der beliebten Apps in Australien,
Brasilien und Deutschland, die Daten an
Drittparteien senden, selbst 60 Prozent
der bezahlten Apps. Und wenn man mal nicht
in den App-Bereich guckt, sondern ins Netz
dann haben wir natürlich die omnipräsenten
Cookies. Aber wenn wir eben über Web-
Tracking sprechen, also das Nachverfolgen
und Mitschneiden unseres Surfverhaltens,
dann geht es eben schon lange nicht mehr
nur um einfache Cookies, denn seitdem das
Bewusstsein bei den Nutzerinnen und
Nutzern dafür gestiegen ist, dass sie mit
Hilfe von Tracking mit Cookies verfolgt
werden, haben sich ja sozusagen
Abwehrmaßnahmen entwickelt. Cookies
löschen lassen nach jeder Session und so
weiter. Aber Firmen entwickeln eben
entsprechend neue Methoden, um das
Verhalten aufzuzeichnen, Tracking, online-
Tracking durchzuführen, von Zombie
Cookies, die sich selbst der
wiederherstellen, bis zum Fingerprinting-
Device oder Browser Fingerprinting, bei
dem Nutzer_innen von Webseiten mitten...
mittels der Einstellungen der verwendeten
Software oder des Gerätes wiedererkannt
werden, ohne dass dafür Cookies benötigt
werden müssen. Und eine Studie aus 2015,
eine Erhebung aus 2015 ist zu der
Erkenntnis gekommen, dass 90 Prozent der
eine Million meistbesuchten Webseiten
Nutzerdaten an Drittparteien weiterleiten.
Und das gilt insbesondere auch für den
Bereich der Nachrichten und Informationen,
also nicht nur wir lesen, was auf den
Nachrichtenseiten passiert, sondern die
Nachrichtenseiten lesen uns, jedenfalls
die meisten Nachrichtenseiten,
netzpolitik.org nicht. Kann man an der
Stelle ja mal kurz sagen. Aber das Tech
Collective hat ein Tool bereitgestellt,
trackography, mit dem man eben
nachvollziehen kann, auf welchen
Nachrichtenseiten man verfolgt wird und
von wem. Und sind eben darauf gekommen,
dass alleine wenn man auf Spiegel, Heute,
Zeit, Bild und taz geht, es über 108
Verbindungen mit Drittparteien gibt, die
eigentlich nichts mit dem Service zu tun
haben. Also der erste Schritt, die erste
Phase, die Datafizierung von Allen. Die
zweite Phase ist die Kommodifizierung von
Daten, also Daten werden Waren, handelbare
Waren. Waren, die von spezialisierten
Händlern, Data Brokern, verknüpft werden,
veredelt werden , ausgewertet werden und
eben gehandelt werden. Diese führen
Informationen über Menschen aus
unterschiedlichen Quellen zusammen in
Profilen und bieten diese zum Kauf an.
Hier mal zwei Beispiele, auch wieder aus
der Arbeit von Wolfie Christl. Der
Datenhändler Acxiom zum Beispiel verfügt
nach eigenen Angaben über Informationen
über 700 Millionen Menschen in den USA und
Europa mit bis zu 3.000 einzelnen
Attributen und Scores pro Person. Dazu
zählen dann Informationen wie
Einkaufsverhalten, Gesundheits-Interessen,
aber eben auch das Kommunikationsverhalten
und ganz klassische sozio-demografische
Daten. Und auch Oracle, ehemals ja ein
Softwarekonzern, inzwischen einer der
größten Data Broker, wirbt damit dass sie
Profile über zwei Milliarden Nutzerinnen
und Nutzer haben, in denen sie
unterschiedliche Daten aus
unterschiedlichen Quellen zusammenführen.
Diese Daten landen dann übrigens wieder
bei sozialen Netzwerken, zum Beispiel
Facebook und Snapchat kaufen
beispielsweise von Oracle wieder Daten
über ihre Nutzerinnen und Nutzer, um
sozusagen das Profil von denen zu
vervollständigen, unter anderem über das
Offline-Einkaufsverhalten der
Überwachungsforscher David Lyon spricht
von kafkaesken Datenflüssen, die für
Nutzerinnen und Nutzer überhaupt nicht
mehr nachvollziehbar sind und wo sie nie
wissen, an welchem Punkt sie von wem jetzt
gerade eigentlich bewertet werden. So, die
dritte Phase ist die Auswertung. Da könnte
man natürlich jetzt auch viel zu erzählen.
Big Data Mining und Predictive Analytics:
hier nur mal ein kurzer Überblick über
3 Studien, die etwas über die Aussagekraft
oder die Vorhersagekraft von
personenbezogenen Daten eben aussagen.
Beispielsweise die Analyse... Vorhersage
von bestimmten
Persönlichkeitseigenschaften anhand von
Facebook-Likes, wo laut dieser Studie
beispielsweise in den USA Ethnizität oder
Geschlecht jeweils binär codiert mit
extrem hoher Wahrscheinlichkeit
vorhergesagt werden können anhand von nur
einer Handvoll Likes. Und Facebook selbst
beispielsweise wurde im vergangenen Jahr
dabei erwischt, wie sie bei einer
australischen Bank damit Werbung gemacht
haben, dass diese Bank über das targeted
advertising-Tool von Facebook, emotional
verletzliche Jugendliche - Zitat, ist das -
ausfindig machen können und sie genau in
den Momenten ansprechen können, in denen
sie sich - Zitat - wertlos fühlen, um dann
mit ihrer Werbung sie zu erreichen. Also
so viel zur Analyse und dann natürlich,
darum geht es am Ende, die Entscheidungen, die
auf Grundlage dieser Datenbasis
getroffen werden. Von der Personalisierung
von Nutzungsumgebungen über Targeted
Advertising, Customer Relationship
Management - wie lange muss ich in der
Warteschlange in der Service-Hotline
warten, kriege ich Gutscheine zugeschickt?
Dann natürlich der große Bereich Scoring,
also, wie werde ich bewertet in Hinblick
auf meine Kreditwürdigkeit, Handyverträge,
Versicherungen. Natürlich sozusagen
sprechen wir hier an der Stelle über
einerseits über Praktiken, die - Scoring
im Bankenbereich oder im Kredit-Bereich -
schon seit Jahrzehnten praktiziert werden.
Und wenn wir zum Beispiel über den Einsatz
von Scoring im Versicherungsbereich
sprechen, über etwas das tendenziell noch
eher in der Zukunft liegt, aber wo die
Modelle sozusagen der Auswertung des, oder
der Berechnung des Konsumenten, oder des
versicherten Verhaltens und eine
dementsprechend angepasste
Versicherungsprämie schon in den
Startlöchern stehen quasi. Und natürlich
nicht zu vergessen: staatliche Datenbanken
und Analyse-Systeme, die eben Muster
erkennen, Verdächtige generieren,
Verhalten vorhersagen sollen. Genau. Ok,
so viel mal zum Kontext, vielleicht nochmal
eben der Blick auf die Risiken, auch das
ist eigentlich bekannt und gut diskutiert.
Nur um sie hier als Kontext nochmal mit
aufzuführen. Dort wo Daten vorhanden sind,
große Datenbanken, da gibt's natürlich
ein Interesse auch von Kriminellen da
ranzukommen oder öffentliche Datenlecks.
Es sei nur erinnert an den Fall der... den
Ashley-Madison-Hack, bei dem plötzlich
bekannt wurde, wer alles einen
Seitensprung-Service benutzt, staatliche
Zugriffe, Fehlinterpretationen, weil
natürlich diese Vorhersage-Modelle auf
Datenbasis, die Big Data-Vorhersage-
Modelle auf Korrelationen und nicht auf
Kausalität beruhen und man die Realität
eben nur bedingt in Datenform erfassen
kann. Die Macht-Asymmetrien und
Manipulations-Potenziale, die damit
einhergehen, dass zu einer gewissen
Wahrscheinlichkeit vorhergesagt werden
kann, wie lange ich denn beispielsweise in
der Warteschleife einer Telefon-Hotline
bleiben würde und wie lange man mich
warten lassen muss, damit ich als nerviger
Kunde wieder aufgebe. Diskriminierung, die
reproduziert wird, weil sie in den
Daten steckt. Und die sogenannten chilling
effects, dadurch dass Menschen eben die
Kontrolle über die kontextuelle Integrität
der von ihnen preisgegebenen und über sie
gesammelten Informationen verlieren und
sie gleichzeitig eben wissen, dass ihre
Lebenschancen davon abhängen können, was
andere mit und aus diesen Informationen
machen. Soviel zum Kontext. Fassen wir
zusammen: Das Internet wie wir es kennen,
um das Zitat aufzugreifen, heißt heute
leider eben auch, dass es in weiten Teilen
ein kommerziell überwachtes Internet ist,
bei dem die Nutzer entmündigt werden. Der
informationelle Kontrollverlust ist fester
Bestandteil dieses Geschäftsmodells, das
eben darauf basiert, dass die Einen
durchleuchtet werden und vorhersagbar
werden und die sich eben nicht besonders
gut wehren können, dadurch dass die
Analyse- und Erhebungsverfahren im Dunkeln
liegen. Nicht verwunderlich ist es, dass
eine repräsentative EU-Umfrage 2015
deshalb ergab, dass 32% der Deutschen
ihren Internet... dass nur 32%
der Deutschen ihren Internet- und
Telefon-Anbietern vertrauen, für den
restlichen Bereich der Internet-Wirtschaft
waren es nur 19 Prozent, die Vertrauen
hatten in diese Unternehmen. Und auf
diesen informationellen Kontrollverlust
kann man natürlich auf unterschiedliche
Arten reagieren. Die einen halten diese
Entwicklung für unaufhaltbar und predigen
sozusagen vermeintlich pragmatisch den
Kontrollverlust als Chance. So
beispielsweise der Psychologe Michal
Kosinski, der ein bisschen bekanntgeworden
ist dadurch, dass er einige der zentralen
so Studien gemacht hat zum Thema
Vorhersage durch Big Data und der eben
unfreiwilligerweise das Modell für
Cambridge Analytica, das Grundmodell für
Cambridge Analyticas
Persönlichkeits-Analysen geschaffen hat.
Der sagte aber eben bei einer
Veranstaltung in Berlin in diesem Jahr
im Sommer, dass es ja eine Chance wäre,
wenn erst einmal alles bekannt wäre, und
hat sozusagen als Beispiel gebracht, dass
auch in autoritär-patriarchalen
Gesellschaften beispielsweise, wenn erst
mal bekannt wäre, wer alles homosexuell
ist, dann würde die Diskriminierung
aufhören. Okay, andere sehen quasi die
Schwierigkeiten und Risiken, die mit
diesen... mit dieser Entwicklung
einhergehen, geben sich aber damit
zufrieden, sich selbst zu schützen,
Stichwort "works for me", und wieder
andere versuchen, ein gewisses Maß an
Kontrolle wiederherstellen, indem sie
Technologie gestalten, die entweder mit
möglichst wenig persönlichen Daten
auskommt oder Nutzern, Nutzerinnen und
Nutzern, Informationen und
Wahlmöglichkeiten an die Hand gibt, indem
sie andere aufklären und ihnen Mündigkeit
ermöglichen oder eben, indem sie politische
Rahmenbedingungen und Grenzen festlegen
und für deren Durchsetzung sorgen. Darum
geht es ja beim Datenschutz, letztendlich.
Es geht nicht darum, Datenflüsse zu
verhindern, sondern klare Grenzen dafür
festzulegen, in welchen Bahnen sie
passieren. Und jetzt nach dem Kontext zur
eigentlichen Verordnung. Denn genau darum
geht es bei der ePrivacy-Verordnung: klare
Rahmenbedingungen zu schaffen für den
Umgang mit Kommunikations-Daten. Und auch
hier nochmal ein paar Zahlen: eine
statistisch repräsentative Umfrage der EU-
Kommission hat ergeben aus dem Jahr 2015,
dass etwa 90 Prozent der EU-Bürger für
datenschutzfreundliche Voreinstellungen,
beispielsweise gegen Tracking sind und für
das Recht auf verschlüsselte Kommunikation
und dass 71 Prozent es ablehnen, dass
Unternehmen ihre Daten ohne ihre
Zustimmung verwenden. Und nachdem ich
jetzt schon so oft erwähnt habe, schauen
wir uns die Verordnung tatsächlich mal an,
beziehungsweise noch ein ganz kurzer Blick
auf ihren Vorgänger: Die ePrivacy-
Richtlinie aus dem Jahr 2002 - in der EU
gibt es ja zwei unterschiedliche sozusagen
Rechtsinstrumente oder
Gesetzesinstrumente, das eine sind die
Richtlinien, das schwächere Instrument,
das von den Mitgliedsstaaten immer noch
umgesetzt werden muss in nationales Recht,
und die Verordnungen, die unmittelbare
Wirkung entfalten in den Mitgliedstaaten,
die eben das stärkere, verbindlichere
Instrument sind - und seit 2002 gibt es
eine ePrivacy-Richtlinie, die jetzt
abgelöst werden soll, weil sie nicht mehr
wirklich funktional ist, weil sie
beispielsweise den Kommunikationswandel
der letzten Jahre nicht abdeckt. Wenn man
sich mal zwei Zahlen vor Augen hält: 2012
haben die Menschen in Deutschland über 160
Millionen SMS-Nachrichten verschickt und
20 Millionen WhatsApp-Nachrichten, 2015
waren es weniger als 40 Millionen SMS,
aber mehr als 660 Millionen WhatsApp-
Nachrichten. WhatsApp ist aber als
sozusagen neuer sogenannter over the top-
Dienst von der ePrivacy-Richtlinie bisher
nicht umfasst gewesen. Also over the top-
Dienste, das sind die
Kommunikations-Dienste, die nicht mit einem
eigenen Netz daherkommen, sondern auf dem
Internet aufsetzen. Dazu zählt auch Voice
over IP-Telefonie oder irgendwie Webmail,
diese Sachen sind bislang nicht reguliert
durch die ePrivacy-Richtlinie, so dass
dafür andere, weniger strenge Regeln
gelten als für klassische Telefonie oder
klassische SMS-Nachrichten. Und außerdem
sind die Durchsetzungsmöglichkeiten im
Rahmen der ePrivacy-Richtlinie eher so
mäßig gewesen, sehr uneinheitlich
umgesetzt worden, in Deutschland zum Teil
auch in einem bestimmten Bereich auch gar
nicht. Und in Deutschland ist
beispielsweise für den Großteil der
Durchsetzung die Bundesnetzagentur
zuständig gewesen und nicht die
Datenschutz-Aufsicht. In vielen anderen
Ländern auch. Genau. Hinzu kommt, dass die
Richtlinie in den Mitgliedsstaaten sehr
unterschiedlich umgesetzt wurde, 2009 gab
es zum Beispiel eine Ergänzung, die von
manchen Cookie-Erweiterung genannte
Ergänzung, die es eigentlich schon
festgelegt hat, dass Cookies, also das
Speichern von Informationen oder der
Zugriff auf Informationen auf dem Gerät,
nur gestattet ist auf der Grundlage von
klaren und umfassenden Informationen. Und
wenn es eine Einwilligung gibt. Das ist in
Deutschland anders als beispielsweise in
Frankreich und Spanien aber kaum umgesetzt
und dementsprechend auch kaum durchgesetzt
worden. Okay. Jetzt zur ePrivacy-
Verordnung. Was steht denn eigentlich
drin? Und ich beziehe mich im Folgenden
auf die Fassung der ePrivacy-Verordnung
oder der Position des EU-Parlaments. Das
EU-Parlament hat am 26. Oktober seine
Position dazu beschlossen, dass... der
Prozess ist noch nicht am Ende, das heißt,
das ist jetzt erstmal nur die Position des
Parlaments, aber auf die beziehe ich mich
im Weiteren. Und mit 29 Artikeln ist die
ePrivacy-Verordnung in ihrem derzeitigen
Zustand im Vergleich zur
Datenschutzgrundverordnung, die sie
ergänzen soll, durchaus schlank und sie
enthält auch einige Regeln, die nicht im
engeren Sinne etwas mit digitaler
Kommunikation und Datenanalyse zu tun
haben, auf die ich nicht weiter eingehen
will, aber nur damit man es mal gehört
hat: Sie enthält auch Regeln zur
Rufnummerunterdrückung, zu Notrufen oder
Telefonbüchern, zu Informationspflichten
bei von Kommunikationsanbietern bei
Sicherheitsrisiken und Datenlecks und zu
Direktmarketing. Ich will mich aber auf
die Regeln zum Umgang mit
Kommunikationsdaten im engeren Sinne
konzentrieren. Und da macht die ePrivacy-
Verordnung in ihrem aktuellen Stand erst
einmal deutlich: Wir sprechen hier über
Grundrechte, wir sprechen nicht über
irgendetwas, sondern es geht um
Grundrechte, und zwar nicht nur um das
Grundrecht auf den Datenschutz, EU-
Grundrecht auf Datenschutz in Artikel 8
der Grundrechte-Charta, sondern auch auf
Artikel 7, die Achtung des Privatlebens.
Und in der Folge dann eben der Schutz
diverser weiterer Grundrechte: freie
Persönlichkeitsentfaltung, Menschenwürde,
Meinungs-, Informations-,
Religionsfreiheit. Über welche Daten
sprechen wir, wenn wir über ePrivacy
sprechen? Um das mal anschaulicher zu
machen: Die Verordnung unterteilt in
Inhaltsdaten und Metadaten. Inhaltsdaten
sind also Textnachrichten, Sprache,
Bilder, Videos, E-Mails, Ton, die
geschützt sind. Und dann gibt's eben den
ganz großen Bereich der Metadaten, also
besuchte Webseiten, die Kommunikationsart,
Kommunikationspartner, Browser-
Einstellungen, Standortdaten, IP-Adressen,
MAC-Adressen, mobile device identifiers,
Datum und Uhrzeit der Kommunikation und
eben Informationen über die verwendete
Hard- und Software. Okay, jetzt aber
wirklich: was steht drin? Unter anderem,
dass Kommunikationsdienste-Anbieter keine
kommerziellen... also Daten nicht
kommerziell verarbeiten... ihrer Kunden
nicht kommerziell verarbeiten dürfen ohne
deren Einwilligung. Klingt jetzt erstmal
nicht besonders revolutionär, ist es aber
in Anbetracht dessen, was auf dem Tisch
lag an Alternativen sozusagen. Also,
natürlich fallen bei den Diensteanbietern
bei unserem Telefon-Provider oder bei
WhatsApp oder bei Skype, beim Messenger
fallen natürlich Daten an, wenn wir über
die kommunizieren, das geht gar nicht
ohne. Und die dürfen von den
Diensteanbietern eben nur genutzt werden,
wenn es eine Einwilligung gibt. Man nennt
das Verbot mit Erlaubnisvorbehalt.
Eigentlich ist die Verarbeitung verboten,
aber es gibt eben die Möglichkeit, sich
das Einverständnis einzuholen. Ja, ist
jetzt leider sehr viel Text. Und als
Alternative zu diesem Prinzip, dass man
eine Einwilligung braucht für die
Verarbeitung, lagen auf dem Tisch unter
anderem die Formulierung further
processing, also die sehr vage
Formulierung further processing, die es
den Kommunikationsdienste-Anbietern
ermöglicht hätte, die Daten, nachdem sie
einmal gebraucht wurden, um den
Kommunikations-Vorgang herzustellen, noch
weiterverarbeitet werden dürfen unter
bestimmten Bedingungen, aber eben
potentiell einfach, ohne dass eine
Einwilligung eingeholt werden muss oder
aus der Datenschutz-Grundverordnung das
sogenannte legitime Interesse, das eben
auch eine Grundlage nach der Datenschutz-
Grundverordnung darstellen kann, für die
kommerzielle Verarbeitung von Daten.
Legitimes Interesse von Unternehmen kann
in dem Fall eben auch ein wirtschaftliches
Interesse, ein Geschäftsmodell sein. Das
lag auf dem Tisch als Alternative und das
EU-Parlament hat sich entschieden hier
dafür zu votieren, dass es bei dem Verbot
mit Erlaubnis-Vorbehaltung gibt und
gleichzeitig die Reichweite auszuweiten,
also die over the top-Dienste sind jetzt
eingefasst, Messenger, Voice over IP,
Webmail, Direktnachrichten in sozialen
Netzwerken und Apps, Dating-Apps und so
weiter spielen jetzt dort mit rein, sollen
durch die ePrivacy-Verordnung reguliert
werden. Also die Reichweite wird erhöht,
gleichzeitig gibt es eine ganz leichte
Absenkung im Vergleich, des Schutzniveaus im
Vergleich zur Datenschutzrichtlinie. Da
stand nämlich noch... ePrivacy-Richtlinie,
da stand nämlich noch drin, dass der
Verarbeitungszweck einen Mehrwert für
Betroffene haben muss. Diese Formulierung
ist jetzt entfallen. Das hat vor allen
Dingen damit zu tun, dass die EU-
Kommission es durchaus Unternehmen, gerade
so den europäischen, den TelKos leichter
machen möchte, auch an Daten... am
Datenmarkt sozusagen mitzuwirken und da
Geld draus zu machen. Das heißt, die
größtenteils amerikanischen Dienste
WhatsApp und Co. werden jetzt auch den
strengeren Regeln unterworfen und
gleichzeitig werden die Regeln insgesamt,
weil eben auch vor allen Dingen in
Hinblick auf die europäischen TelKos, ein
bisschen abgesenkt. Nichts destotrotz gibt
es hohe Anforderungen an die Einwilligung,
es gelten die Anforderungen der
Datenschutz-Grundverordnung, also die
muss informiert sein, sie
darf nicht erzwungen sein, sie muss
freiwillig sein. Da wird zwar noch viel
drum gestritten, aber nach
Datenschutz-Grundverordnung darf eine
Einwilligung eben nicht... eine
Einwilligung zur Datenverarbeitung eben
nicht daran gekoppelt sein eigentlich,
dass man einen Dienst nutzt. Also es darf
nicht die Voraussetzung, einen Dienst...
einen Dienst zu nutzen, dafür darf es
nicht die Voraussetzung sein, dass man
seine Daten preisgibt laut,
Datenschutz-Grundverordnung. Auch das gilt
hier. Und es gibt es relativ strikte
Auflagen: Das darf nur passieren, diese
Datenverarbeitung, wenn es ohne die Daten
gar nicht geht, sie müssen möglichst
schnell gelöscht oder anonymisiert werden,
es muss eine Datenschutz Folgenabschätzung
geben, also das Unternehmen ist dazu
verpflichtet, sich hinzusetzen und zu
sagen, okay, welche Daten erhebe ich jetzt
hier eigentlich und welche Folgen hat das
womöglich für die Privatsphäre und die
Vertraulichkeit der Kommunikation meiner
Nutzer. Und bei besonders Privatsphäre-
invasiven Verfahren müssen eben die
Datenschutzbehörden angefragt werden, also
auch das eine Neuerung. Und wenn es um die
Verwertung oder Auswertung von
Kommunikations-Inhalten geht, müssen beide
Kommunikations-Partner oder alle
Kommunikations-Partner zustimmen. Das heißt
Gmail, Google durchleuchtet derzeit ja die
E-Mails seiner Nutzer automatisiert, um
auf bestimmte Stichwörter, um eben
zielgerichtete Werbung ausspielen zu
können. Dafür bräuchte es in Zukunft dann
die Einwilligung aller
Kommunikationsteilnehmer. Und es gibt ein
paar Ausnahmen, na klar. Die Daten dürfen
verarbeitet werden zur Durchführung der
Kommunikationsübermittlung, dürfen für
Sicherheitsaspekte, zur Behebung von
technischen Fehlern, zur
Rechnungsstellung, zur Sicherung der
Übertragungsqualität und für die
persönliche Nutzung verarbeitet werden.
Also wenn ich zum Beispiel möchte, dass
meine E-Mail automatisiert übersetzt wird
von meinem E-Mail-Programm, dann ist es
eine sehr begrenzte personalisierte
Nutzung und das ist weiterhin erlaubt,
solche Services. Richtige Neuerungen gibt
es im Bereich, also richtig heftige
Neuerungen gibts im Bereich, oder könnte
es im Bereich Tracking geben. Das sind die
Artikel 8, 9 und 10, also Web Tracking,
Online Tracking, auch da soll's ein Verbot
mit Erlaubnis-Vorbehalt geben. Das ist im
Vergleich zur Richtlinie keine, eigentlich
keine Neuerung, wenn es umgesetzt wird,
wäre es eben doch eine Neuerung. Da haben
wir eine technikneutrale Formulierung, die
dafür sorgen soll, dass auch neuere Formen
des Web Trackings umfasst sind und dass es
ausgeschlossen ist, dass jemand
interpretiert, es ginge nur um Cookies,
die auf Rechnern gespeichert werden, und
eine echte Neuerung an der Stelle ist,
dass do not track quasi rechtsverbindlich
werden würde. Also der Standard, der seit
einigen Jahren vorhanden ist, aber von den
meisten Unternehmen ignoriert wird, dass
man in seinem Browser einstellen kann: Ich
möchte nicht getrackt werden oder eben
auch: Ich bin einverstanden mit einem
Tracking. Das soll rechtsverbindlich
werden, das heißt es wäre relativ einfach,
im Browser oder auch, wenn man sich das
Smartphone anguckt, im Betriebssystem oder
in Apps einzustellen, ich möchte nicht
verfolgt werden, ich möchte nicht, dass
mein Verhalten aufgezeichnet wird. Und
gerade in Kombination mit einer echten
Privacy by default, also eine
Verpflichtung, die Daten, die
Einstellungen, Datenschutzeinstellungen
möglichst datenschutzfreundlich
voreingestellt zu haben, wäre das
sozusagen ein großer Schritt. Dass
Nutzerinnen und Nutzer Online-Tracking
besser selber kontrollieren können.
Durchaus problematisch an der Stelle ist,
dass natürlich die Tracker trotz Do-not-
track-Signal eigentlich weiter fragen
dürften, die Nutzerinnen und Nutzer weiter
fragen dürfen sollen, ob sie denn
einwilligen, dass sie doch getrackt werden
dürfen, auch wenn sie eigentlich im
Browser was anderes gesagt haben. Das ist
so ein bisschen paradox und es birgt eine
Gefahr , dass Unternehmen einfach weiter
versuchen, über Cookie-Banner, Tracking-
Banner sich das Einverständnis dann
abzuholen. Das dürfte aber eine sehr
spannende... wahrscheinlich wird es dann
irgendwann vorm Gericht landen, weil es
natürlich die Position gibt, dass
eigentlich die Einwilligung über so ein
Cookie-Banner keine richtige informierte
Einwilligung ist. Und gerade in Verbot mit
einem neuen Verbot von Tracking-Walls...
ein explizites Verbot von Tracking-Walls
fordert das EU-Parlament, also Dienste,
Webseitenbetreiber dürfen es nicht zur
Voraussetzung machen dafür, dass Nutzer
ihren Dienst nutzen, auf ihre Webseite
gehen, dass sie sich tracken lassen - kein
take it or leave it mehr. Heute ist es ja
oft so, man kann - selbst wenn man das
Cookie-Banner anklickt, hat man die
Auswahlmöglichkeiten, entweder zu sagen
"Ich stimme zu" oder "Ich möchte mehr
Informationen und dann stimme ich zu".
Oder ich geh halt weg von der Webseite.
Das ginge nicht mehr. Auch hier gibt es
ein paar Ausnahmen. Vor allen Dingen für
das Thema Reichweiten-Messung, da komme
ich später nochmal drauf zu sprechen. Ein
weiterer Bereich, der reguliert wird...
werden würde, ist das Offline...
sogenannte Offline-Tracking mit WLAN- und
Bluetooth-Signalen. Das kommt auch in
Deutschland mehr und mehr, dass sozusagen
Nutzerinnen und Nutzer auch offline in der
Innenstadt anhand der Signale getrackt
werden, die ihr Smartphones von sich gibt.
Um beispielsweise Besucherströme irgendwie
in der Innenstadt nachverfolgen zu können
oder in einem Geschäft, aber es hat
natürlich auch ein hohes Privatsphäre-
invasives Potenzial und hier schlägt das
Parlament vor, dass das eben nur mit
informierter Einwilligung der Nutzerinnen
und Nutzer passiert oder dann, wenn es
lediglich statistisches Zählen ist, also
wenn es wirklich nicht darum geht, Leute
zu identifizieren, Profile zu erstellen,
sondern ganz klar ist, es geht darum,
einfach nur zu zählen, wie viele Leute
sind an einer bestimmten Uhrzeit zum
Beispiel an meinem Laden vorbeigekommen
oder, in welcher Ecke stehen insgesamt
statistisch gesehen die meisten Leute in
meinem Laden oder ähnliches. So, jetzt muss
ich mal ein bisschen - damit noch über das
Lobbying sprechen kann - auf die Uhr
gucken. Eine weitere Neuerung ist der...
wäre die effektive Rechtsdurchsetzung,
effektivere Rechtsdurchsetzung. Bislang
ist es ja so, dass Datenschutz vor allen
Dingen auch daran krankt, dass er kaum
durchgesetzt wird. Das würde sich... wird
sich mit der Datenschutzgrundverordnung
sowieso hoffentlich ändern, weil die
Datenschutzbehörden stärkere
Durchsetzungsmittel an die Hand bekommen.
Hier an der Stelle, für den Bereich
ePrivacy soll es einerseits eine
Vereinheitlichung der Aufsicht geben bei
den unabhängigen Datenschutzbehörden, es
wird das Marktort-Prinzip gelten, es soll
keine Schlupflöcher mehr geben durch die
Wahl des Firmensitzes. Auch hier soll es
Sanktionen von bis zu 20 Millionen Euro
oder 4% des weltweiten Umsatzes
geben, ein Recht auf Schadenersatz und -
auch das hat das Parlament sozusagen
reingeschrieben - ein Verbandsklagerecht,
dass man sich vertreten lassen kann von
NGOs beispielsweise. Jetzt muss ich mal
auf die Zeit gucken. Wie viel hab ich
noch? Ok, wow. Es soll mehr Transparenz
über staatliche Zugriffe geben, also auch
die ePrivacy-Verordnung... auch mit dieser
ePrivacy-Verordnung würden
Vorratsdatenspeicherung weiter möglich
bleiben. Man hat da den Weg gewählt, das
den Mitgliedsstaaten zu überlassen. Es
wäre natürlich eine tolle Möglichkeit
gewesen, an der Stelle auf europäischer
Ebene zu sagen, okay,
Vorratsdatenspeicherungen gehen eben
nicht, ist aber eben nicht durchsetzbar
und deshalb hat das Parlament zumindest
entschieden, dass es mehr Transparenz
geben soll an der Stelle, also
Diensteanbieter müssen staatliche Zugriffe
umfangreich kontroll... dokumentieren und
Datenschutzbehörden zur Verfügung stellen,
müssen selber jährlich statistische
Berichte und Statistiken darüber
veröffentlichen, wie viele Anfragen sie
hatten. Und auch die
Strafverfolgungsbehörden müssen
jährliche... sollen dazu verpflichtet
werden, jährliche Berichte vorzulegen. Und
ich glaube, das ist der letzte inhaltliche
Teil dazu: verstärkte Sicherheit. Auch
hier gibt es sozusagen durchaus
Fortschritte: Anbieter von
Kommunikationsdiensten sollen verpflichtet
werden, die Kommunikation ihrer Nutzer
durch modernste technische Vorkehrungen
wie Verschlüsselungsverfahren - explizit
eben auch Ende-zu-Ende-Verschlüsselung zu
schützen -, es soll ein explizites Verbot
geben, verschlüsselte Kommunikationsdaten
durch jemand anderen als den Nutzer selbst
zu entschlüsseln und die EU-
Mitgliedstaaten sollen keine Gesetze
erlassen dürfen, die Backdoors
ermöglichen, also ein relativ - gerade im
Verhältnis, so habe ich es noch nirgendwo
anders gesehen - dass das Recht auf
verschlüsselte Kommunikation eben so stark
auskodifiziert wäre. Den letzten Bereich
überspringen wir mal, denn wir wollen ja
noch über die Lobby-Schlacht sprechen.
Fassen wir zusammen: also ein höheres
Schutzniveau als das der Datenschutz-
Grundverordnung für Kommunikationsdaten,
bessere Kontrolle von Online-Tracking,
Privacy by Default und ein Verbot von
Tracking-Walls, klare Grenzen für das
Offline-Tracking, bessere Durchsetzung des
Datenschutzes, Klagemöglichkeiten für
Verbände und NGOs, mehr Transparenz über
staatliche Überwachung und ein
verhältnismäßig stark kodifiziertes Recht
auf Verschlüsselung. Auch wenn nicht alles
perfekt ist in dieser Verordnung oder in
dieser Position muss man schon sagen, das
ist aus der Sicht von Nutzerinnen- und
Nutzerrechten schon ein echt gutes Brett,
was das Parlament da beschlossen hat. Und
gerade wenn man sich anschaut, welchen
schweren Stand Datenschutz praktisch und
politisch derzeit hat und wenn man sich
den Entstehungsprozess näher anschaut,
muss man eben sagen, das EU-Parlament hat
an der Stelle ganze Arbeit geleistet. "Das
Internet, wie wir es kennen, ist in
Gefahr." - Ich würde sagen: gut so, weil
eben Nutzerinnen und Nutzer wieder die
Möglichkeit bekommen sollen, mündiger zu
entscheiden und stärker selbst zu steuern,
was mit ihren Informationen passiert.
Nicht wenige Lobbyisten dürfen sich Ende
Oktober gefragt haben, als das Parlament
das beschlossen hat, wie konnte das denn
eigentlich passieren und wir können eins
sagen: Am Aufwand, den die Werbe- und
Tracking-Industrie betrieben hat, um diese
Verordnung zu verhindern oder zu
verwässern, hat es ganz bestimmt nicht
gelegen. Ich hoffe, ihr seid bereit für
noch ein paar... und ich hab noch ein paar
Minuten für noch ein paar Schauer- und
Weltuntergangsszenarien. Also los gings im
Sommer 2016, erst mal das Verfahren mit
einer Konsultation. Die EU-Kommission hat
quasi angekündigt, wir wollen die
ePrivacy-Richtlinie reformieren, und hat
eine Konsultation gemacht - da hat sich
schon sehr stark offenbart, wie groß die
Spaltung ist. Also 83% der
teilnehmenden Bürgerinnen und Bürger und
NGOs waren eben dafür, dass es spezifische
ePrivacy-Regelungen gibt zum Schutz der
Kommunikation und nur 31% der
Unternehmen waren dafür. Und während 77%
der Zivilgesellschaft für ein
Verbot von Tracking Walls beispielsweise
waren, waren 75% der Unternehmen
dagegen. Eine krasse Spaltung. Und kurz
nach der Veröffentlichung dieser
Konsultationen ist ein bemerkenswertes
Bündnis aus quasi allen Firmen, die
irgendwas mit digital zu tun haben, auf
den Plan getreten und hat dafür geworben,
die Verordnung, das ePrivacy-Thema einfach
komplett zu streichen, die Verordnung gar
nicht... überhaupt keine Reform
vorzunehmen. Es gibt ja die Datenschutz-
Grundverordnung, also das ist mal eine
Liste der Unternehmen, die sich quasi...
die mit vertreten waren in den Verbänden,
die sich dafür ausgesprochen haben, die
Regeln einfach wegzulassen. Also wirklich
von Google, Facebook, Telekom bis hin zu
so interessanten Unternehmen wie Airbus
oder Bayer. Und AOL gibt's auch noch. Es
gibt einen sehr lesenswerten Bericht der
Transparenz-Organisation Corporate Europe,
der sehr minutiös nachzeichnet, wo und wie
das Big Data-Business versucht hat, die
Regulierungs-Bestrebungen der EU zu
beeinflussen, der ist sehr lesenswert. Da
ist sozusagen der ganze Baukasten des
Lobbyings zum Einsatz gekommen:
Einzeltreffen mit hochrangigen Vertretern
der EU-Kommission, Auftragsstudien,
Veranstaltungen, Kampagnen... öffentliche
Kampagnen und die Mobilisierung einzelner
einflussreicher Unternehmen. Und bei der
EU-Kommission haben sie damit relativ gute
Karten gehabt. Von 41 Treffen, die
dokumentiert sind zu diesem Thema - es
sind in Wirklichkeit wahrscheinlich
deutlich mehr - fanden 36 statt mit
Unternehmensvertretern, nur fünf Treffen
hochrangiger EU-Kommissionsvertreter
fanden statt mit NGOs. Dementsprechend hat
sich ein... ist der Entwurf, den die EU-
Kommission dann im Frühjahr 20... im
Januar 2017 vorgelegt hat, auch deutlich
schwächer ausgefallen, als man das erhofft
hatte und als es noch eine, im Dezember
geleakte Version, ihres Entwurfs nahegelegt
hatte, der einigen Firmen bzw. wirklich in
dem großen, dem großen Bündnis aus
Tracking- und Daten-Firmen reichte das
nicht - den hier hatten wir eben schon -
im Laufe des Jahres ist dann auch die
Verlagsbranche auf den Anti-ePrivacy-Zug
aufgesprungen, also "Die ePrivacy-
Verordnung ist ein Angriff auf den freien
Journalismus im Netz", sagt der Verband
Deutscher Zeitschriftenverleger. Und der
Bundesverband Deutscher Zeitungsverleger.
In einem gemeinsamen Statement. Es gab
einen offenen Brief von ganz vielen
internationalen Verlagen an das EU-
Parlament, das Thema wegzulassen und die
ePrivacy-Verordnung nicht in dieser
strengen Form zu verabschieden. Und
natürlich die Filme habe ich euch... oder
den einen Film habe ich euch eben schonmal
kurz gezeigt. Es gibt auf der Seite noch
ein paar mehr, Like a bad Movie, wenn ihr
euch die anschauen wollt, es lohnt sich.
Sodass am Ende selbst Michael Boni, der
Verhandlungsführer der
christdemokratischen Fraktion im
Parlament, beklagte, dass der Lobbyismus
übertrieben sei - zwar von beiden Seiten,
aber eben deutlich übertriebener von Seiten
der Wirtschaft. Nichts destotrotz hat es am
Ende nichts genutzt: mit 318 zu 280
Stimmen hat das Parlament Ende Oktober
diese Position beschlossen, die ich eben
erzählt habe. Vorangegangen ist dem
wirklich ein sehr krasser politischer
spannender Krimi. Denn kurz vor der
entscheidenden Abstimmung im Innen- und
Justizausschuss des Parlaments, wo eben
die Hauptverhandlungen stattgefunden
haben, haben die Konservativen sozusagen
wirklich zwei Tage vor der Abstimmung die
Verhandlungen über Kompromisse
abgebrochen. In dem Wissen, dass
Sozialdemokraten, Liberale, Linke und
Grüne alleine in dem Ausschuss nicht über
die absolute Mehrheit verfügen, die
notwendig gewesen ist oder wäre, um dieses
starke Verhandlungsmandat zu beschließen.
Die Konservativen wollten... oder die
christdemokratische Fraktion wollte darauf
bestehen, dass in jedem Falle ein further
processing von Daten ermöglicht wird und
hat dann die Verhandlung vorher
abgebrochen. Die Rechnung ist allerdings
nicht ganz aufgegangen. Ein bisschen
verzockt an der Stelle: Mit genau 31
Stimmen, also genauso viel wie notwendig
waren, hat dieses pro-Privacy-Bündnis am
Ende die Abstimmung im Ausschuss gewonnen.
Denn drei Stimmen fehlten denen eigentlich
und zwei Abgeordnete der italienischen
Fünf-Sterne-Bewegung haben mitgestimmt und
dieser Spaßvogel hat eben auch mit dafür
gestimmt.
Applaus
Und das obwohl er eigentlich
nicht einmal in diesem Ausschuss sitzt.
Denn er hat es geschafft, den NPD-Mann im
diesem Ausschuss, Udo Voigt, zu
überzeugen, dass er sein Stellvertreter
sein kann an diesem Tag.
Lachen, Applaus
Also wir müssen Martin Sonneborn danken,
aber ich will an dieser Stelle auch noch
mal explizit wirklich sagen, dass
natürlich die wichtige Vorarbeit an der
Stelle ja von den Verhandlungsführern der
Sozialdemokraten, Marju Lauristin aus
Estland, natürlich Jan Albrecht und sein
Team, die niederländische Abgeordnete der
Liberalen Sophia in 't Veld und auch die
federführende Linke Cornelia Ernst, an der
Stelle echt gute Arbeit geleistet haben.
Applaus
Okay, damit es noch eine kurze Q&A geben
kann, sage ich mal... überspringe ich
jetzt mal so ein paar Kleinigkeiten,
allerdings wichtig: der Lobby-Kampf, die
Lobby-Schlacht ist eben noch lange nicht
vorbei. Das Parlament hat seine Position
beschlossen, bevor die ePrivacy-Verordnung
wirklich verabschiedet wird, muss sich
jetzt der Rat, der EU-Rat, also die
Mitgliedsstaaten, die Regierungen der
Mitgliedsstaaten positionieren. Das dauert
noch an. Die derzeitige bulgarische
Ratspräsidentschaft hat quasi gesagt, es
wird vor Juni 2018 nichts. Eigentlich war
mal geplant, dass die ePrivacy-Verordnung
auch im Mai 2018 in Kraft tritt. Das heißt
für den weiteren Prozess: besser als das,
was das Parlament beschlossen hat, wird es
wahrscheinlich eher nicht mehr. Die
Erfahrungen im Trilog zeigen, und auch das
was bisher schon von den Positionierungen
oder von den ersten Stimmen aus dem Rat zu
hören war, zeigen, es wird eher
schlechter. Zum Beispiel gibt es eine Idee
und einen Vorschlag, die Reichweite der
ePrivacy-Verordnung darauf zu beschränken,
dass nur Daten im Transit, im Transport
sozusagen, davon umfasst sind. De facto
liegen aber die meisten Daten heute in der
Cloud, liegen auf Servern. Und die wären
eben ausgenommen von den ePrivacy-Regeln.
Das heißt der Lobby-Kampf ist noch lange
nicht vorbei und jetzt drehen Tracking-
und Daten-Industrie nochmal richtig auf
und bekommen auch jetzt sehr breite
Unterstützung, also unter anderem auch von
RTL-Chefin Anke Schäferkordt, die sagt,
die EU würde jetzt mit der ganz großen
Datenschutz-Keule kommen, den Werbe-
Verband hatte ich eben schonmal genannt,
die sagen, lasst uns doch lieber weiter das
Modell der Selbstregulierung machen, hat
doch gut funktioniert in den letzten 10
Jahren, dass wir als Tracking-Branche uns
selbst regulieren. Ich hab mir das mal
angeguckt, aber dafür ist jetzt leider
nicht mehr die Zeit, wie diese
Regulierung... Selbstregulierung
eigentlich aussieht. Es gibt einen Code of
Conduct, den man sich mal durchlesen kann,
wo unter anderem drinsteht, dass man
Beschwerden auf der wunderhübschen Seite
meine-cockies.org, die eher aussieht wie
eine Hobby-Seite aus den frühen Nuller
Jahren, irgendwie sich beschweren kann,
falls man ein Problem hat. Und was findet
man dort auf der Seite eben nicht? Ein
Formular. OK. Also. OK, ich krieg das
Zeichen, ich darf das nicht mehr machen.
Deshalb nur noch einmal kurz durch
durchgegangen, ich zeig sie einfach nur an
der Stelle: ePrivacy-Mythen. Es sind
extrem viele Mythen im Umlauf. Wir haben
auf netzpolitik.org vor zwei Wochen ein
sehr lesenswertes Interview, wie ich
finde, dazu veröffentlicht, wo Florian
Glatzner vom Verbraucherzentrale-
Bundesverband einige der zentralen Mythen
wirklich mal aus- und vornimmt. Weil
natürlich die Erzählung, die EU übertreibt
total beim Datenschutz, die wissen nicht
was sie machen, die machen die
Innovationen kaputt in Europa und am Ende
profitieren dann doch nur die bösen
Amerikaner, das sind sehr starke
Erzählungen, die irgendwie gut
funktionieren in der Öffentlichkeit.
Deshalb. Das Fazit kann natürlich an der
Stelle nur lauten "tu wat" oder "tut wat".
Und zwar nicht nur praktisch, sondern eben
auch politisch. Datenschutz rockt oder
kann rocken, wenn er denn vernünftig
durchgesetzt wird und wenn er denn
vernünftig funktioniert. Und es ist an
uns, quasi das einzufordern, das von
Unternehmen einzufordern, die aber auch zu
beraten und es ihnen möglich zu machen,
selber technische Lösungen zu entwickeln,
und vor allen Dingen dem Datenschutz den
gesellschaftlichen Stellenwert zu
besorgen, den er verdient hat, und gerade
auch in den Medien. Also ich kann immer
noch nicht fassen, dass im Jahr 2017 noch
die meisten... noch den meisten
Nachrichtenredaktionen das Thema Datenschutz
zu trocken oder zu kompliziert ist, um
darüber zu berichten. Ich hab - nicht nur
weil ich unsere Texte am besten finde -
sozusagen die ganzen Artikel von uns immer
genommen, wenn ich was gezeigt habe. Es
hat einfach kaum jemand außer noch ein,
zwei Fachmedien darüber berichtet über das
Thema und das kann eigentlich im Jahr 2017
nicht mehr sein. Genau. An der Stelle sage
ich einfach mal Punkt.
Applaus
Wir werden bei netzpolitik.org natürlich
das machen, was wir weiter... was wir
immer machen, wir werden versuchen, alle
Leute mit den Informationen zu versorgen,
die sie brauchen, um selbst mündig sich
mit dem Thema auseinanderzusetzen. Wir
freuen uns über Spenden genauso wie EDRi
und Digitale Gesellschaft, das schiebe ich
nochmal hinterher, die eben im politischen
Prozess wirklich mit Politikerinnen und
Politikern, Verantwortungsträgern sprechen
und dafür sorgen, dass Nutzerinnen- und
Nutzer-Positionen vertreten werden. Also
die alle können unsere... eure
Unterstützung gebrauchen. Vielen Dank.
Applaus
Herald: Danke, Ingo. Ich glaube, wir haben
Zeit für eine Frage. Wenn ihr eine Frage
habt für Ingo, dann nehmt euch bitte eins
dieser Mikrofone in den Gängen, da haben
wir vier Mikrofone ausgestellt. Oh, da ist
jemand ganz schnell am Mikrofon Nummer 2.
Und bitte ganz deutlich ins Mikrofon
reinsprechen, damit wirs auch im Stream
hören können.
M2: Ich versuchs mal ohne sächsischen
Akzent - hallo. Ich hätt ne Frage zu den
Strafen. Ob da auch was reguliert wurde
oder ob da die Lobby Bezug drauf genommen
hat und das ein bisschen runterregulieren
konnte, oder ob sie sich da nicht
durchsetzen konnten.
ID: Nach dem, was ich von außen sozusagen
sagen kann, ist das nicht runter, ist an
der Stelle zumindest das Parlament hat
sich da nicht runterregulieren lassen. Das
ist analog zu dem, was in der Datenschutz-
Grundverordnung steht, und das ist quasi
eine Verhundertfachung, Vertausendfachung
von dem, was heute an Strafen möglich ist.
Also 4% des weltweiten Umsatzes,
das ist eben für einen global agierenden
Konzern dann wirklich so, dass endlich mal
ein empfindliches Maß bekommt. Von daher,
mehr wäre natürlich immer noch möglich, im
Wettbewerbsrecht sind es bis zu 10%
des Konzernumsatzes. Also, da geht noch
was.
H: Gibts es weitere Fragen? Wir haben noch
Zeit für eine weitere oder zwei weitere
Fragen, das war sehr kurz. Oh, am Mikrofon
Nr. 1.
M1: Was würde passieren, wenn ich bei der
Schufa meine Datenlöschung beantrage?
ID: Äääähm... gute Frage. Warte mal, bis
die Datenschutz-Grundverordnung im Mai
2018 in Kraft tritt oder wirksam ist - in
Kraft ist sie ja schon - und dann mach das
mal bitte und dann gib mir Bescheid. Dann
begleiten wir das, dann gucken wir uns das
an.
Lachen
H: Gute Antwort. lacht Und Mikrofon Nr. 2.
M2: Ingo, könntest du bitte nochmal kurz
erläutern, warum diese ePrivacy-Verordnung
zusätzlich zur EU-
Datenschutzgrundverordnung nötig ist. Es
sind sehr viele Sachen, die sind in der
EU-Datenschutzgrundverordnung sehr ähnlich
oder genau identisch geregelt.
ID: Also, der zentrale Punkt ist, dass
es... weil Kommunikationsdaten, Metadaten,
Inhaltsdaten eben besonders sensibel sind,
weil sie eben besonders viel aussagen,
dass es eben ein höheres und ein
konkreteres Schutzniveau bedarf. Also wenn
wir zum Beispiel uns anschauen, was die
Diensteanbieter machen dürfen mit den
Daten von ihren Kunden, dann bietet eben
die ePrivacy-Verordnung die Möglichkeit,
da eine klarere Grenze zu ziehen als das
über die Datenschutzgrundverordnung der
Fall ist. Da gibt es ja leider dieses
legitime Interesse als Verarbeitungsgrund,
das alles heißen kann. Und da ist es
einfach eine klarere, eine striktere
Grenze gezogen, wenn man sagt, nur auf
Basis von Einwilligung. Und sowas wie
privacy by default und Tracking-Schutz
durch Browser ist eben etwas, das über die
Datenschutzgrundverordnung nicht reguliert
ist. Also von daher ist die Antwort, es
ist an der Stelle einerseits eine
Ergänzung, weil bestimmte Sachen einfach
nicht abgedeckt sind durch die
Datenschutzgrundverordnung, die ist ja
sehr allgemein, die ist ja für alles vom
Bäcker eben bis zum Big-Data-Unternehmen,
und eigentlich aus einer Perspektive eines
progressiven Datenschutzes müsste man
sagen, genauso wie es mit der ePrivacy-
Verordnung jetzt für den Bereich
der elektronischen Kommunikation
passiert ist,
müsste man es vielleicht auch noch
für bestimmte andere Bereiche
machen, dass man eben diese sehr
grundsätzlichen, allgemeinen Regelungen,
die es gibt für den Datenschutz insgesamt,
ergänzt durch etwas Spezifisches.
Weil einfach der Datenschutz im
Gesundheitsbereich etwas ganz anderes ist
als jetzt beim Verkauf von Autos.
H: Okay, dann noch die letzte Frage, die
müssten wir auch kurz halten und dann geb
ich das Wort...
ID: Wir haben auch später angefangen.
H: ... an Mikrofon Nummer 1 bitte.
M1: Ja, ganz kurz: Die Lebensmittel-Mafia
hat ja ungefähr 2 Millarden dafür
ausgegeben für Lobby-Arbeit gegen die
Ampel. Ist jetzt schon bekannt, was die
Datenhehler ungefähr monetär an den Start
gebraucht haben?
ID: Kann ich nicht sagen, keine Ahnung.
Aber es ist eben klar, dass die spätestens
seit der Datenschutzgrundverordnung
deutlich besser aufgestellt sind. Also ich
kann es dir nicht monetär sagen, aber der
Aufwand ist enorm und auch allein das
Zahlenverhältnis, wie viele Leute sind vor
Ort und können mit Kommissionsvertretern
sprechen, steht eben in keinem Verhältnis
zu dem, was die digitale Zivilgesellschaft
da auf die Beine kriegen kann derzeit.
H: Okay und damit beenden wir den Talk.
Vielen Dank, Ingo!
Applaus
Abspannmusik
Untertitel erstellt von c3subtitles.de
im Jahr 2018. Mach mit und hilf uns!