34C3 Vorspannmusik Herald: Es ist einiges los in der politischen Arena der EU in Sachen Datenschutz. Wie ja einige von euch wissen, wird nächstes Jahr die Datenschutz-Grundverordnung wirksam werden und das ist bei Weitem noch nicht alles: Momentan findet eine Lobbyschlacht statt zu der ePrivacy-Verordnung und was da so alles gerade im Moment passiert, das wird uns heute Ingo erzählen. Ingo ist Redakteur bei Netzpolitik und ist auch dazu noch im Verein Digitale Gesellschaft und damit wünsche ich Euch einen wunderschönen ersten Talk und bitte helft mir mit Applaus für Ingo. Ingo Dachwitz: Guten Morgen oder Moin Moin, wie man in Hamburg sagt - Leipzig nich - glaub ich. Ganz schön früh ist es. Ich bin ganz überrascht, dass so viele hier sind, freut mich sehr. Ich glaube, ich bin noch nie so früh auf dem Kongress gewesen. Aber es ist sehr gut, dass es noch so früh ist, weil ich dazu neige meine Vorträge und Präsentationen immer so voll mit Inhalten zu packen, dass es eigentlich immer viel zu viel ist. Gut, dass ihr noch aufnahmefähig seid. Ich darf heute also über ein Stück Politik sprechen, das ich auf netzpolitik.org seit gut anderthalb Jahren begleite. Ziemlich von Anfang an - das politische Ringen um die ePrivacy-Verordnung oder auch „Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation“, wie sie offiziell und handlich heißen soll. Eine Verordnung, die die eben schon angesprochene Datenschutzgrundverordnung, die ja ab Mai 2018 wirksam ist - oder wirksam wird - ergänzen soll und zwar eben für den Bereich der elektronischen Kommunikation und insgesamt ein Thema, das in den Medien - in den klassischen Medien, aber auch in den sozialen Medien - so wenig Aufmerksamkeit erfährt, dass ich mich zwischendurch einmal gezwungen sehe zu solchen Überschriften zu greifen, um irgendwie zu versuchen das Thema an den Mensch zu bringen. Deshalb vielleicht mal die Frage, damit ich weiß, sozusagen auf was ich mich einstellen kann. Wer von euch hat von der ePrivacy-Verordnung oder von dem Thema schon mal gehört, zumindest? Okay, fast alle, sehr gut. Congress ist eben doch ein tolles Publikum. Wer würde sagen, er oder sie weiß, worum es genau geht? Okay, okay, so hatte ich es mir in etwa erhofft. Also eine ganz gute Ausgangsbasis. Und ich nenne dieses politische Ringen um die ePrivacy- Verordnung, über das ich heute spreche, wirklich ganz bewusst Lobbyschlacht. Auch wenn es natürlich ein bisschen martialisch klingt, weil die Auseinandersetzung um diese Verordnung echt heftig ist und die politischen Fronten doch ziemlich starr verlaufen. Deshalb auch dieses Hintergrundbild, das die damalige Lobby im englischen House of Commons zeigt, wo die Interessenvertreter eben herumlungerten. Ich hab das Originalbild von 1886 nur leicht modifiziert. Also eine der „schlimmsten Lobby-Kampagnen, die ich je gesehen habe“, zitiert die Transparenz- Organisation Corporate Europe einen Parlaments-Insider über den industriellen Gegenwind gegen die Verordnung. Ich habe gedacht, wir fangen einfach mal mit ein paar Beispielen dafür an. Mit nichts Geringerem als einem Atompilz visualisiert die Organisation Werbung Treibende im Markenverband die ePrivacy-Verordnung und ihre Konsequenzen. Also so viel zur martialischen Rhetorik. Die OWM, das ist ein Branchenverband, in dem von Adam A wie Adam Ritter oder Alfred Ritter GmbH oder Adam Opel GmbH über D wie Deutsche Telekom bis zu VW Volkswagen, W wie Wüstenrot, so ziemlich viele große deutsche Unternehmen vertreten sind. Also eine ePrivacy- Verordnung als Atomeinschlag oder dieses Statement von Thomas Duhr, Vizepräsident des Bundesverbandes Digitale Wirtschaft BVDW. Der sagt, die Verordnung negiere fundamentale Prinzipien der digitalen Wirtschaft. „Das Internet wie wir es heute kennen wird es damit nicht mehr geben“ Und ich habe noch ein drittes Beispiel zum Einstieg mitgebracht. Diesmal ein Film, produziert von einem breiten Bündnis europäischer Handels-, Verlags- und Werbeverbände, und ich hoffe das funktioniert jetzt. Das Video läuft... aber der Ton nicht. Video: "2018. Europe is the tech mecca. Startups are flourishing, consumers are enjoying the best apps avail... 2018..." ID: Nö, daran kann's nicht liegen. Video: "Europe is the tech mecca. Startups are flourishing, consumers are enjoying the best apps available and revenue from data-driven ads helps make that possible. Until one day, the apps go dark. Data- driven advertising is... 2018. Europe is the tech mecca. Startups are flourishing, consumers are enjoying the best apps available and revenue from data-driven ads helps make that possible. Until one day, the apps go dark. Data-driven advertising is no more. Less revenue, fewer startups, fewer apps. An app-less future consumers never saw coming. from tech mecca to tech wasteland. Enter the App-ocalypyse. Coming soon to cinemas." dramatische Musik ID: Ja, habt Ihr auch schon alle Angst, dass eure Apps plötzlich ausfallen? Lachen ..., weil der Datenschutz das Internet kaputt macht? Das soll es an Schauermärchen dann zum Einstieg aber auch schon mal gewesen sein. Stattdessen will ich euch jetzt erst mal kurz erzählen, was euch erwartet in den nächsten hoffentlich fünf Minuten. Timing ist nicht ganz so meine Stärke, aber ich versuche es mal hinzubekommen. Ich will heute zeigen warum das Internet, wie wir es kennen... parallel laufende Musik Video: "Within its digital single market the European Union..." Lachen ID: Okay, ich will zeigen, warum sich das Internet, wie wir es kennen - um das Zitat mal aufzugreifen - durch die ePrivacy- Verordnung tatsächlich etwas grundsätzlich verändern könnte. Wieso das aber eigentlich etwas Begrüßenswertes ist und was Martin Sonneborn mit der ganzen Geschichte zu tun hat. Dazu werde ich in meinem Vortrag heute primär zwei Dinge machen. Zum einen möchte ich verständlich machen, worum es eigentlich geht in der ePrivacy-Verordnung, und zum anderen möchte ich über den Entstehungsprozess und den aktuellen Stand des Verfahrens sprechen und auf das Lobbying und die schlimmsten Mythen eingehen, die über diesen Verordnungsvorschlag in Umlauf gebracht werden. Um das zu machen, will ich allerdings zuerst nochmal, bevor ich in die Details schaue, kurz auf den Kontext sozusagen eingehen, über den ich heute sprechen... ..., indem wir über Datenschutz und Privatsphäre in der digitalen Kommunikation sprechen. Und dieser Kontext, das ist für mich der gesellschaftliche Konflikt um die Kontrolle von personenbezogenen Daten. „Data Wars“, um mal im Bild zu bleiben könnte man quasi sagen und die ePrivacy- Verordnung ist eben nur ein Schlachtfeld oder ein Ort, an dem die Auseinandersetzung stattfindet, denn was wir derzeit erleben, ist, wie ein neues Wirtschaftsmodell etabliert wird, bei dem es nicht mehr in erster Linie darum geht gute Produkte oder gute Dienstleistung herzustellen, sondern eben möglichst viel Wissen in Form von Daten anzuhäufen. Ein Wirtschaftsmodell, in dem auch persönliche Informationen eben nicht mehr in erster Linie schützenswerte Güter sind, sondern handelbare Waren. Das Öl oder der Rohstoff der Zukunft, wie es viele - nicht zuletzt Bundeskanzlerin Angela Merkel - eben nennen. Und wir erleben derzeit ja eine andauernde Auseinandersetzung darum, wer diese persönlichen Daten kontrolliert, wer sie erzeugen und sammeln, handeln, verknüpfen, auswerten, nutzen und verwerten darf. Wenn wir zum Beispiel Datenskandale erleben derzeit, all die Gerichtsverfahren... Max Schrems spricht heute oder morgen, glaube ich. Die politischen Kämpfe um Datenschutz, da wird es sozusagen greifbar, der Konflikt um dieses neue Wirtschaftsmodell. Und ich will, bevor ich eben auf diese Verordnung gucke, mir dieses zugrunde liegende Geschäftsmodell noch mal kurz als Kontext, als Horizont quasi für heute in Erinnerung rufen. Das ist wahrscheinlich den meisten hier schon bekannt, kann aber nicht schaden, das vielleicht nochmal zu hören. Allen, die sich stärker damit auseinandersetzen wollen, mit diesem Geschäftsmodell der kommerziellen Überwachung, kann ich nur den Talk von Wolfie Christl vor einem Jahr empfehlen, auf den und dessen Studien und Erhebungen werde ich mich auch im Folgenden so ein bisschen stützen. Und ich versuche mal dieses Geschäftsmodell in 4 Phasen oder anhand von 4 Phasen zu beschreiben und mal kurz in diese Phasen rein zu gucken. Das erste ist quasi die Datafizierung von fast allem. Inzwischen lässt sich fast das ganze komplette Leben in Datenform eben aufzeichnen: Vom Konsum, also Online- Shopping, Kreditkarten-Daten bis zu Bonus-Systemen, über das vernetzte Zuhause von Sprach-Assistenzsystem wie Alexa und Co, über smarte Zahnbürsten bis zum vernetzten Sexspielzeug, das Thema Gesundheit vom Fitness-Armband bis zur App, für das Tracking von Menstruationszyklen und natürlich der Bereich Kommunikation von Suchmaschinen und Nachrichten-Webseiten über Messenger, soziale Netzwerke, Dating-Anwendungen bis hin zu Smart-TVs und einem Großteil aller Anwendungen für mobile Geräte. Und hier greife ich einfach mal auf eine Grafik von Wolfe Christl zurück, der auf dem Feld wirklich sehr lesenswerte Arbeit gemacht hat, um dieses Geschäfts-Modell und dieses Wirtschafts-Modell eben anschaulich zu machen und dessen Konsequenzen einmal visualisiert, welche Daten sind eigentlich über Konsumenten, Verbraucher, Nutzer früher angefallen und welche sind es heute, eigentlich eben ein umfassendes Bild. Und es wird eben deutlich, es geht dabei nicht nur um Daten, klassische, also einfache Daten wie Geburtsdaten oder Ähnliches, sondern es ist... sind auch die fluiden Dinge, sind Emotionen, Identitäten, Verhalten, Eigenschaften, die in Daten aufgegriffen werden und ich geh hier an der Stelle, weil wir heute über den Bereich der elektronischen Kommunikation sprechen, noch mal ein bisschen stärker auf das Feld ein. Studien zufolge oder einer Studie zufolge sind es zwischen 85 und 95 Prozent der beliebten Apps in Australien, Brasilien und Deutschland, die Daten an Drittparteien senden, selbst 60 Prozent der bezahlten Apps. Und wenn man mal nicht in den App-Bereich guckt, sondern ins Netz dann haben wir natürlich die omnipräsenten Cookies. Aber wenn wir eben über Web- Tracking sprechen, also das Nachverfolgen und Mitschneiden unseres Surfverhaltens, dann geht es eben schon lange nicht mehr nur um einfache Cookies, denn seitdem das Bewusstsein bei den Nutzerinnen und Nutzern dafür gestiegen ist, dass sie mit Hilfe von Tracking mit Cookies verfolgt werden, haben sich ja sozusagen Abwehrmaßnahmen entwickelt. Cookies löschen lassen nach jeder Session und so weiter. Aber Firmen entwickeln eben entsprechend neue Methoden, um das Verhalten aufzuzeichnen, Tracking, online- Tracking durchzuführen, von Zombie Cookies, die sich selbst der wiederherstellen, bis zum Fingerprinting- Device oder Browser Fingerprinting, bei dem Nutzer_innen von Webseiten mitten... mittels der Einstellungen der verwendeten Software oder des Gerätes wiedererkannt werden, ohne dass dafür Cookies benötigt werden müssen. Und eine Studie aus 2015, eine Erhebung aus 2015 ist zu der Erkenntnis gekommen, dass 90 Prozent der eine Million meistbesuchten Webseiten Nutzerdaten an Drittparteien weiterleiten. Und das gilt insbesondere auch für den Bereich der Nachrichten und Informationen, also nicht nur wir lesen, was auf den Nachrichtenseiten passiert, sondern die Nachrichtenseiten lesen uns, jedenfalls die meisten Nachrichtenseiten, netzpolitik.org nicht. Kann man an der Stelle ja mal kurz sagen. Aber das Tech Collective hat ein Tool bereitgestellt, trackography, mit dem man eben nachvollziehen kann, auf welchen Nachrichtenseiten man verfolgt wird und von wem. Und sind eben darauf gekommen, dass alleine wenn man auf Spiegel, Heute, Zeit, Bild und taz geht, es über 108 Verbindungen mit Drittparteien gibt, die eigentlich nichts mit dem Service zu tun haben. Also der erste Schritt, die erste Phase, die Datafizierung von Allen. Die zweite Phase ist die Kommodifizierung von Daten, also Daten werden Waren, handelbare Waren. Waren, die von spezialisierten Händlern, Data Brokern, verknüpft werden, veredelt werden , ausgewertet werden und eben gehandelt werden. Diese führen Informationen über Menschen aus unterschiedlichen Quellen zusammen in Profilen und bieten diese zum Kauf an. Hier mal zwei Beispiele, auch wieder aus der Arbeit von Wolfie Christl. Der Datenhändler Acxiom zum Beispiel verfügt nach eigenen Angaben über Informationen über 700 Millionen Menschen in den USA und Europa mit bis zu 3.000 einzelnen Attributen und Scores pro Person. Dazu zählen dann Informationen wie Einkaufsverhalten, Gesundheits-Interessen, aber eben auch das Kommunikationsverhalten und ganz klassische sozio-demografische Daten. Und auch Oracle, ehemals ja ein Softwarekonzern, inzwischen einer der größten Data Broker, wirbt damit dass sie Profile über zwei Milliarden Nutzerinnen und Nutzer haben, in denen sie unterschiedliche Daten aus unterschiedlichen Quellen zusammenführen. Diese Daten landen dann übrigens wieder bei sozialen Netzwerken, zum Beispiel Facebook und Snapchat kaufen beispielsweise von Oracle wieder Daten über ihre Nutzerinnen und Nutzer, um sozusagen das Profil von denen zu vervollständigen, unter anderem über das Offline-Einkaufsverhalten der Überwachungsforscher David Lyon spricht von kafkaesken Datenflüssen, die für Nutzerinnen und Nutzer überhaupt nicht mehr nachvollziehbar sind und wo sie nie wissen, an welchem Punkt sie von wem jetzt gerade eigentlich bewertet werden. So, die dritte Phase ist die Auswertung. Da könnte man natürlich jetzt auch viel zu erzählen. Big Data Mining und Predictive Analytics: hier nur mal ein kurzer Überblick über 3 Studien, die etwas über die Aussagekraft oder die Vorhersagekraft von personenbezogenen Daten eben aussagen. Beispielsweise die Analyse... Vorhersage von bestimmten Persönlichkeitseigenschaften anhand von Facebook-Likes, wo laut dieser Studie beispielsweise in den USA Ethnizität oder Geschlecht jeweils binär codiert mit extrem hoher Wahrscheinlichkeit vorhergesagt werden können anhand von nur einer Handvoll Likes. Und Facebook selbst beispielsweise wurde im vergangenen Jahr dabei erwischt, wie sie bei einer australischen Bank damit Werbung gemacht haben, dass diese Bank über das targeted advertising-Tool von Facebook, emotional verletzliche Jugendliche - Zitat, ist das - ausfindig machen können und sie genau in den Momenten ansprechen können, in denen sie sich - Zitat - wertlos fühlen, um dann mit ihrer Werbung sie zu erreichen. Also so viel zur Analyse und dann natürlich, darum geht es am Ende, die Entscheidungen, die auf Grundlage dieser Datenbasis getroffen werden. Von der Personalisierung von Nutzungsumgebungen über Targeted Advertising, Customer Relationship Management - wie lange muss ich in der Warteschlange in der Service-Hotline warten, kriege ich Gutscheine zugeschickt? Dann natürlich der große Bereich Scoring, also, wie werde ich bewertet in Hinblick auf meine Kreditwürdigkeit, Handyverträge, Versicherungen. Natürlich sozusagen sprechen wir hier an der Stelle über einerseits über Praktiken, die - Scoring im Bankenbereich oder im Kredit-Bereich - schon seit Jahrzehnten praktiziert werden. Und wenn wir zum Beispiel über den Einsatz von Scoring im Versicherungsbereich sprechen, über etwas das tendenziell noch eher in der Zukunft liegt, aber wo die Modelle sozusagen der Auswertung des, oder der Berechnung des Konsumenten, oder des versicherten Verhaltens und eine dementsprechend angepasste Versicherungsprämie schon in den Startlöchern stehen quasi. Und natürlich nicht zu vergessen: staatliche Datenbanken und Analyse-Systeme, die eben Muster erkennen, Verdächtige generieren, Verhalten vorhersagen sollen. Genau. Ok, so viel mal zum Kontext, vielleicht nochmal eben der Blick auf die Risiken, auch das ist eigentlich bekannt und gut diskutiert. Nur um sie hier als Kontext nochmal mit aufzuführen. Dort wo Daten vorhanden sind, große Datenbanken, da gibt's natürlich ein Interesse auch von Kriminellen da ranzukommen oder öffentliche Datenlecks. Es sei nur erinnert an den Fall der... den Ashley-Madison-Hack, bei dem plötzlich bekannt wurde, wer alles einen Seitensprung-Service benutzt, staatliche Zugriffe, Fehlinterpretationen, weil natürlich diese Vorhersage-Modelle auf Datenbasis, die Big Data-Vorhersage- Modelle auf Korrelationen und nicht auf Kausalität beruhen und man die Realität eben nur bedingt in Datenform erfassen kann. Die Macht-Asymmetrien und Manipulations-Potenziale, die damit einhergehen, dass zu einer gewissen Wahrscheinlichkeit vorhergesagt werden kann, wie lange ich denn beispielsweise in der Warteschleife einer Telefon-Hotline bleiben würde und wie lange man mich warten lassen muss, damit ich als nerviger Kunde wieder aufgebe. Diskriminierung, die reproduziert wird, weil sie in den Daten steckt. Und die sogenannten chilling effects, dadurch dass Menschen eben die Kontrolle über die kontextuelle Integrität der von ihnen preisgegebenen und über sie gesammelten Informationen verlieren und sie gleichzeitig eben wissen, dass ihre Lebenschancen davon abhängen können, was andere mit und aus diesen Informationen machen. Soviel zum Kontext. Fassen wir zusammen: Das Internet wie wir es kennen, um das Zitat aufzugreifen, heißt heute leider eben auch, dass es in weiten Teilen ein kommerziell überwachtes Internet ist, bei dem die Nutzer entmündigt werden. Der informationelle Kontrollverlust ist fester Bestandteil dieses Geschäftsmodells, das eben darauf basiert, dass die Einen durchleuchtet werden und vorhersagbar werden und die sich eben nicht besonders gut wehren können, dadurch dass die Analyse- und Erhebungsverfahren im Dunkeln liegen. Nicht verwunderlich ist es, dass eine repräsentative EU-Umfrage 2015 deshalb ergab, dass 32% der Deutschen ihren Internet... dass nur 32% der Deutschen ihren Internet- und Telefon-Anbietern vertrauen, für den restlichen Bereich der Internet-Wirtschaft waren es nur 19 Prozent, die Vertrauen hatten in diese Unternehmen. Und auf diesen informationellen Kontrollverlust kann man natürlich auf unterschiedliche Arten reagieren. Die einen halten diese Entwicklung für unaufhaltbar und predigen sozusagen vermeintlich pragmatisch den Kontrollverlust als Chance. So beispielsweise der Psychologe Michal Kosinski, der ein bisschen bekanntgeworden ist dadurch, dass er einige der zentralen so Studien gemacht hat zum Thema Vorhersage durch Big Data und der eben unfreiwilligerweise das Modell für Cambridge Analytica, das Grundmodell für Cambridge Analyticas Persönlichkeits-Analysen geschaffen hat. Der sagte aber eben bei einer Veranstaltung in Berlin in diesem Jahr im Sommer, dass es ja eine Chance wäre, wenn erst einmal alles bekannt wäre, und hat sozusagen als Beispiel gebracht, dass auch in autoritär-patriarchalen Gesellschaften beispielsweise, wenn erst mal bekannt wäre, wer alles homosexuell ist, dann würde die Diskriminierung aufhören. Okay, andere sehen quasi die Schwierigkeiten und Risiken, die mit diesen... mit dieser Entwicklung einhergehen, geben sich aber damit zufrieden, sich selbst zu schützen, Stichwort "works for me", und wieder andere versuchen, ein gewisses Maß an Kontrolle wiederherstellen, indem sie Technologie gestalten, die entweder mit möglichst wenig persönlichen Daten auskommt oder Nutzern, Nutzerinnen und Nutzern, Informationen und Wahlmöglichkeiten an die Hand gibt, indem sie andere aufklären und ihnen Mündigkeit ermöglichen oder eben, indem sie politische Rahmenbedingungen und Grenzen festlegen und für deren Durchsetzung sorgen. Darum geht es ja beim Datenschutz, letztendlich. Es geht nicht darum, Datenflüsse zu verhindern, sondern klare Grenzen dafür festzulegen, in welchen Bahnen sie passieren. Und jetzt nach dem Kontext zur eigentlichen Verordnung. Denn genau darum geht es bei der ePrivacy-Verordnung: klare Rahmenbedingungen zu schaffen für den Umgang mit Kommunikations-Daten. Und auch hier nochmal ein paar Zahlen: eine statistisch repräsentative Umfrage der EU- Kommission hat ergeben aus dem Jahr 2015, dass etwa 90 Prozent der EU-Bürger für datenschutzfreundliche Voreinstellungen, beispielsweise gegen Tracking sind und für das Recht auf verschlüsselte Kommunikation und dass 71 Prozent es ablehnen, dass Unternehmen ihre Daten ohne ihre Zustimmung verwenden. Und nachdem ich jetzt schon so oft erwähnt habe, schauen wir uns die Verordnung tatsächlich mal an, beziehungsweise noch ein ganz kurzer Blick auf ihren Vorgänger: Die ePrivacy- Richtlinie aus dem Jahr 2002 - in der EU gibt es ja zwei unterschiedliche sozusagen Rechtsinstrumente oder Gesetzesinstrumente, das eine sind die Richtlinien, das schwächere Instrument, das von den Mitgliedsstaaten immer noch umgesetzt werden muss in nationales Recht, und die Verordnungen, die unmittelbare Wirkung entfalten in den Mitgliedstaaten, die eben das stärkere, verbindlichere Instrument sind - und seit 2002 gibt es eine ePrivacy-Richtlinie, die jetzt abgelöst werden soll, weil sie nicht mehr wirklich funktional ist, weil sie beispielsweise den Kommunikationswandel der letzten Jahre nicht abdeckt. Wenn man sich mal zwei Zahlen vor Augen hält: 2012 haben die Menschen in Deutschland über 160 Millionen SMS-Nachrichten verschickt und 20 Millionen WhatsApp-Nachrichten, 2015 waren es weniger als 40 Millionen SMS, aber mehr als 660 Millionen WhatsApp- Nachrichten. WhatsApp ist aber als sozusagen neuer sogenannter over the top- Dienst von der ePrivacy-Richtlinie bisher nicht umfasst gewesen. Also over the top- Dienste, das sind die Kommunikations-Dienste, die nicht mit einem eigenen Netz daherkommen, sondern auf dem Internet aufsetzen. Dazu zählt auch Voice over IP-Telefonie oder irgendwie Webmail, diese Sachen sind bislang nicht reguliert durch die ePrivacy-Richtlinie, so dass dafür andere, weniger strenge Regeln gelten als für klassische Telefonie oder klassische SMS-Nachrichten. Und außerdem sind die Durchsetzungsmöglichkeiten im Rahmen der ePrivacy-Richtlinie eher so mäßig gewesen, sehr uneinheitlich umgesetzt worden, in Deutschland zum Teil auch in einem bestimmten Bereich auch gar nicht. Und in Deutschland ist beispielsweise für den Großteil der Durchsetzung die Bundesnetzagentur zuständig gewesen und nicht die Datenschutz-Aufsicht. In vielen anderen Ländern auch. Genau. Hinzu kommt, dass die Richtlinie in den Mitgliedsstaaten sehr unterschiedlich umgesetzt wurde, 2009 gab es zum Beispiel eine Ergänzung, die von manchen Cookie-Erweiterung genannte Ergänzung, die es eigentlich schon festgelegt hat, dass Cookies, also das Speichern von Informationen oder der Zugriff auf Informationen auf dem Gerät, nur gestattet ist auf der Grundlage von klaren und umfassenden Informationen. Und wenn es eine Einwilligung gibt. Das ist in Deutschland anders als beispielsweise in Frankreich und Spanien aber kaum umgesetzt und dementsprechend auch kaum durchgesetzt worden. Okay. Jetzt zur ePrivacy- Verordnung. Was steht denn eigentlich drin? Und ich beziehe mich im Folgenden auf die Fassung der ePrivacy-Verordnung oder der Position des EU-Parlaments. Das EU-Parlament hat am 26. Oktober seine Position dazu beschlossen, dass... der Prozess ist noch nicht am Ende, das heißt, das ist jetzt erstmal nur die Position des Parlaments, aber auf die beziehe ich mich im Weiteren. Und mit 29 Artikeln ist die ePrivacy-Verordnung in ihrem derzeitigen Zustand im Vergleich zur Datenschutzgrundverordnung, die sie ergänzen soll, durchaus schlank und sie enthält auch einige Regeln, die nicht im engeren Sinne etwas mit digitaler Kommunikation und Datenanalyse zu tun haben, auf die ich nicht weiter eingehen will, aber nur damit man es mal gehört hat: Sie enthält auch Regeln zur Rufnummerunterdrückung, zu Notrufen oder Telefonbüchern, zu Informationspflichten bei von Kommunikationsanbietern bei Sicherheitsrisiken und Datenlecks und zu Direktmarketing. Ich will mich aber auf die Regeln zum Umgang mit Kommunikationsdaten im engeren Sinne konzentrieren. Und da macht die ePrivacy- Verordnung in ihrem aktuellen Stand erst einmal deutlich: Wir sprechen hier über Grundrechte, wir sprechen nicht über irgendetwas, sondern es geht um Grundrechte, und zwar nicht nur um das Grundrecht auf den Datenschutz, EU- Grundrecht auf Datenschutz in Artikel 8 der Grundrechte-Charta, sondern auch auf Artikel 7, die Achtung des Privatlebens. Und in der Folge dann eben der Schutz diverser weiterer Grundrechte: freie Persönlichkeitsentfaltung, Menschenwürde, Meinungs-, Informations-, Religionsfreiheit. Über welche Daten sprechen wir, wenn wir über ePrivacy sprechen? Um das mal anschaulicher zu machen: Die Verordnung unterteilt in Inhaltsdaten und Metadaten. Inhaltsdaten sind also Textnachrichten, Sprache, Bilder, Videos, E-Mails, Ton, die geschützt sind. Und dann gibt's eben den ganz großen Bereich der Metadaten, also besuchte Webseiten, die Kommunikationsart, Kommunikationspartner, Browser- Einstellungen, Standortdaten, IP-Adressen, MAC-Adressen, mobile device identifiers, Datum und Uhrzeit der Kommunikation und eben Informationen über die verwendete Hard- und Software. Okay, jetzt aber wirklich: was steht drin? Unter anderem, dass Kommunikationsdienste-Anbieter keine kommerziellen... also Daten nicht kommerziell verarbeiten... ihrer Kunden nicht kommerziell verarbeiten dürfen ohne deren Einwilligung. Klingt jetzt erstmal nicht besonders revolutionär, ist es aber in Anbetracht dessen, was auf dem Tisch lag an Alternativen sozusagen. Also, natürlich fallen bei den Diensteanbietern bei unserem Telefon-Provider oder bei WhatsApp oder bei Skype, beim Messenger fallen natürlich Daten an, wenn wir über die kommunizieren, das geht gar nicht ohne. Und die dürfen von den Diensteanbietern eben nur genutzt werden, wenn es eine Einwilligung gibt. Man nennt das Verbot mit Erlaubnisvorbehalt. Eigentlich ist die Verarbeitung verboten, aber es gibt eben die Möglichkeit, sich das Einverständnis einzuholen. Ja, ist jetzt leider sehr viel Text. Und als Alternative zu diesem Prinzip, dass man eine Einwilligung braucht für die Verarbeitung, lagen auf dem Tisch unter anderem die Formulierung further processing, also die sehr vage Formulierung further processing, die es den Kommunikationsdienste-Anbietern ermöglicht hätte, die Daten, nachdem sie einmal gebraucht wurden, um den Kommunikations-Vorgang herzustellen, noch weiterverarbeitet werden dürfen unter bestimmten Bedingungen, aber eben potentiell einfach, ohne dass eine Einwilligung eingeholt werden muss oder aus der Datenschutz-Grundverordnung das sogenannte legitime Interesse, das eben auch eine Grundlage nach der Datenschutz- Grundverordnung darstellen kann, für die kommerzielle Verarbeitung von Daten. Legitimes Interesse von Unternehmen kann in dem Fall eben auch ein wirtschaftliches Interesse, ein Geschäftsmodell sein. Das lag auf dem Tisch als Alternative und das EU-Parlament hat sich entschieden hier dafür zu votieren, dass es bei dem Verbot mit Erlaubnis-Vorbehaltung gibt und gleichzeitig die Reichweite auszuweiten, also die over the top-Dienste sind jetzt eingefasst, Messenger, Voice over IP, Webmail, Direktnachrichten in sozialen Netzwerken und Apps, Dating-Apps und so weiter spielen jetzt dort mit rein, sollen durch die ePrivacy-Verordnung reguliert werden. Also die Reichweite wird erhöht, gleichzeitig gibt es eine ganz leichte Absenkung im Vergleich, des Schutzniveaus im Vergleich zur Datenschutzrichtlinie. Da stand nämlich noch... ePrivacy-Richtlinie, da stand nämlich noch drin, dass der Verarbeitungszweck einen Mehrwert für Betroffene haben muss. Diese Formulierung ist jetzt entfallen. Das hat vor allen Dingen damit zu tun, dass die EU- Kommission es durchaus Unternehmen, gerade so den europäischen, den TelKos leichter machen möchte, auch an Daten... am Datenmarkt sozusagen mitzuwirken und da Geld draus zu machen. Das heißt, die größtenteils amerikanischen Dienste WhatsApp und Co. werden jetzt auch den strengeren Regeln unterworfen und gleichzeitig werden die Regeln insgesamt, weil eben auch vor allen Dingen in Hinblick auf die europäischen TelKos, ein bisschen abgesenkt. Nichts destotrotz gibt es hohe Anforderungen an die Einwilligung, es gelten die Anforderungen der Datenschutz-Grundverordnung, also die muss informiert sein, sie darf nicht erzwungen sein, sie muss freiwillig sein. Da wird zwar noch viel drum gestritten, aber nach Datenschutz-Grundverordnung darf eine Einwilligung eben nicht... eine Einwilligung zur Datenverarbeitung eben nicht daran gekoppelt sein eigentlich, dass man einen Dienst nutzt. Also es darf nicht die Voraussetzung, einen Dienst... einen Dienst zu nutzen, dafür darf es nicht die Voraussetzung sein, dass man seine Daten preisgibt laut, Datenschutz-Grundverordnung. Auch das gilt hier. Und es gibt es relativ strikte Auflagen: Das darf nur passieren, diese Datenverarbeitung, wenn es ohne die Daten gar nicht geht, sie müssen möglichst schnell gelöscht oder anonymisiert werden, es muss eine Datenschutz Folgenabschätzung geben, also das Unternehmen ist dazu verpflichtet, sich hinzusetzen und zu sagen, okay, welche Daten erhebe ich jetzt hier eigentlich und welche Folgen hat das womöglich für die Privatsphäre und die Vertraulichkeit der Kommunikation meiner Nutzer. Und bei besonders Privatsphäre- invasiven Verfahren müssen eben die Datenschutzbehörden angefragt werden, also auch das eine Neuerung. Und wenn es um die Verwertung oder Auswertung von Kommunikations-Inhalten geht, müssen beide Kommunikations-Partner oder alle Kommunikations-Partner zustimmen. Das heißt Gmail, Google durchleuchtet derzeit ja die E-Mails seiner Nutzer automatisiert, um auf bestimmte Stichwörter, um eben zielgerichtete Werbung ausspielen zu können. Dafür bräuchte es in Zukunft dann die Einwilligung aller Kommunikationsteilnehmer. Und es gibt ein paar Ausnahmen, na klar. Die Daten dürfen verarbeitet werden zur Durchführung der Kommunikationsübermittlung, dürfen für Sicherheitsaspekte, zur Behebung von technischen Fehlern, zur Rechnungsstellung, zur Sicherung der Übertragungsqualität und für die persönliche Nutzung verarbeitet werden. Also wenn ich zum Beispiel möchte, dass meine E-Mail automatisiert übersetzt wird von meinem E-Mail-Programm, dann ist es eine sehr begrenzte personalisierte Nutzung und das ist weiterhin erlaubt, solche Services. Richtige Neuerungen gibt es im Bereich, also richtig heftige Neuerungen gibts im Bereich, oder könnte es im Bereich Tracking geben. Das sind die Artikel 8, 9 und 10, also Web Tracking, Online Tracking, auch da soll's ein Verbot mit Erlaubnis-Vorbehalt geben. Das ist im Vergleich zur Richtlinie keine, eigentlich keine Neuerung, wenn es umgesetzt wird, wäre es eben doch eine Neuerung. Da haben wir eine technikneutrale Formulierung, die dafür sorgen soll, dass auch neuere Formen des Web Trackings umfasst sind und dass es ausgeschlossen ist, dass jemand interpretiert, es ginge nur um Cookies, die auf Rechnern gespeichert werden, und eine echte Neuerung an der Stelle ist, dass do not track quasi rechtsverbindlich werden würde. Also der Standard, der seit einigen Jahren vorhanden ist, aber von den meisten Unternehmen ignoriert wird, dass man in seinem Browser einstellen kann: Ich möchte nicht getrackt werden oder eben auch: Ich bin einverstanden mit einem Tracking. Das soll rechtsverbindlich werden, das heißt es wäre relativ einfach, im Browser oder auch, wenn man sich das Smartphone anguckt, im Betriebssystem oder in Apps einzustellen, ich möchte nicht verfolgt werden, ich möchte nicht, dass mein Verhalten aufgezeichnet wird. Und gerade in Kombination mit einer echten Privacy by default, also eine Verpflichtung, die Daten, die Einstellungen, Datenschutzeinstellungen möglichst datenschutzfreundlich voreingestellt zu haben, wäre das sozusagen ein großer Schritt. Dass Nutzerinnen und Nutzer Online-Tracking besser selber kontrollieren können. Durchaus problematisch an der Stelle ist, dass natürlich die Tracker trotz Do-not- track-Signal eigentlich weiter fragen dürften, die Nutzerinnen und Nutzer weiter fragen dürfen sollen, ob sie denn einwilligen, dass sie doch getrackt werden dürfen, auch wenn sie eigentlich im Browser was anderes gesagt haben. Das ist so ein bisschen paradox und es birgt eine Gefahr , dass Unternehmen einfach weiter versuchen, über Cookie-Banner, Tracking- Banner sich das Einverständnis dann abzuholen. Das dürfte aber eine sehr spannende... wahrscheinlich wird es dann irgendwann vorm Gericht landen, weil es natürlich die Position gibt, dass eigentlich die Einwilligung über so ein Cookie-Banner keine richtige informierte Einwilligung ist. Und gerade in Verbot mit einem neuen Verbot von Tracking-Walls... ein explizites Verbot von Tracking-Walls fordert das EU-Parlament, also Dienste, Webseitenbetreiber dürfen es nicht zur Voraussetzung machen dafür, dass Nutzer ihren Dienst nutzen, auf ihre Webseite gehen, dass sie sich tracken lassen - kein take it or leave it mehr. Heute ist es ja oft so, man kann - selbst wenn man das Cookie-Banner anklickt, hat man die Auswahlmöglichkeiten, entweder zu sagen "Ich stimme zu" oder "Ich möchte mehr Informationen und dann stimme ich zu". Oder ich geh halt weg von der Webseite. Das ginge nicht mehr. Auch hier gibt es ein paar Ausnahmen. Vor allen Dingen für das Thema Reichweiten-Messung, da komme ich später nochmal drauf zu sprechen. Ein weiterer Bereich, der reguliert wird... werden würde, ist das Offline... sogenannte Offline-Tracking mit WLAN- und Bluetooth-Signalen. Das kommt auch in Deutschland mehr und mehr, dass sozusagen Nutzerinnen und Nutzer auch offline in der Innenstadt anhand der Signale getrackt werden, die ihr Smartphones von sich gibt. Um beispielsweise Besucherströme irgendwie in der Innenstadt nachverfolgen zu können oder in einem Geschäft, aber es hat natürlich auch ein hohes Privatsphäre- invasives Potenzial und hier schlägt das Parlament vor, dass das eben nur mit informierter Einwilligung der Nutzerinnen und Nutzer passiert oder dann, wenn es lediglich statistisches Zählen ist, also wenn es wirklich nicht darum geht, Leute zu identifizieren, Profile zu erstellen, sondern ganz klar ist, es geht darum, einfach nur zu zählen, wie viele Leute sind an einer bestimmten Uhrzeit zum Beispiel an meinem Laden vorbeigekommen oder, in welcher Ecke stehen insgesamt statistisch gesehen die meisten Leute in meinem Laden oder ähnliches. So, jetzt muss ich mal ein bisschen - damit noch über das Lobbying sprechen kann - auf die Uhr gucken. Eine weitere Neuerung ist der... wäre die effektive Rechtsdurchsetzung, effektivere Rechtsdurchsetzung. Bislang ist es ja so, dass Datenschutz vor allen Dingen auch daran krankt, dass er kaum durchgesetzt wird. Das würde sich... wird sich mit der Datenschutzgrundverordnung sowieso hoffentlich ändern, weil die Datenschutzbehörden stärkere Durchsetzungsmittel an die Hand bekommen. Hier an der Stelle, für den Bereich ePrivacy soll es einerseits eine Vereinheitlichung der Aufsicht geben bei den unabhängigen Datenschutzbehörden, es wird das Marktort-Prinzip gelten, es soll keine Schlupflöcher mehr geben durch die Wahl des Firmensitzes. Auch hier soll es Sanktionen von bis zu 20 Millionen Euro oder 4% des weltweiten Umsatzes geben, ein Recht auf Schadenersatz und - auch das hat das Parlament sozusagen reingeschrieben - ein Verbandsklagerecht, dass man sich vertreten lassen kann von NGOs beispielsweise. Jetzt muss ich mal auf die Zeit gucken. Wie viel hab ich noch? Ok, wow. Es soll mehr Transparenz über staatliche Zugriffe geben, also auch die ePrivacy-Verordnung... auch mit dieser ePrivacy-Verordnung würden Vorratsdatenspeicherung weiter möglich bleiben. Man hat da den Weg gewählt, das den Mitgliedsstaaten zu überlassen. Es wäre natürlich eine tolle Möglichkeit gewesen, an der Stelle auf europäischer Ebene zu sagen, okay, Vorratsdatenspeicherungen gehen eben nicht, ist aber eben nicht durchsetzbar und deshalb hat das Parlament zumindest entschieden, dass es mehr Transparenz geben soll an der Stelle, also Diensteanbieter müssen staatliche Zugriffe umfangreich kontroll... dokumentieren und Datenschutzbehörden zur Verfügung stellen, müssen selber jährlich statistische Berichte und Statistiken darüber veröffentlichen, wie viele Anfragen sie hatten. Und auch die Strafverfolgungsbehörden müssen jährliche... sollen dazu verpflichtet werden, jährliche Berichte vorzulegen. Und ich glaube, das ist der letzte inhaltliche Teil dazu: verstärkte Sicherheit. Auch hier gibt es sozusagen durchaus Fortschritte: Anbieter von Kommunikationsdiensten sollen verpflichtet werden, die Kommunikation ihrer Nutzer durch modernste technische Vorkehrungen wie Verschlüsselungsverfahren - explizit eben auch Ende-zu-Ende-Verschlüsselung zu schützen -, es soll ein explizites Verbot geben, verschlüsselte Kommunikationsdaten durch jemand anderen als den Nutzer selbst zu entschlüsseln und die EU- Mitgliedstaaten sollen keine Gesetze erlassen dürfen, die Backdoors ermöglichen, also ein relativ - gerade im Verhältnis, so habe ich es noch nirgendwo anders gesehen - dass das Recht auf verschlüsselte Kommunikation eben so stark auskodifiziert wäre. Den letzten Bereich überspringen wir mal, denn wir wollen ja noch über die Lobby-Schlacht sprechen. Fassen wir zusammen: also ein höheres Schutzniveau als das der Datenschutz- Grundverordnung für Kommunikationsdaten, bessere Kontrolle von Online-Tracking, Privacy by Default und ein Verbot von Tracking-Walls, klare Grenzen für das Offline-Tracking, bessere Durchsetzung des Datenschutzes, Klagemöglichkeiten für Verbände und NGOs, mehr Transparenz über staatliche Überwachung und ein verhältnismäßig stark kodifiziertes Recht auf Verschlüsselung. Auch wenn nicht alles perfekt ist in dieser Verordnung oder in dieser Position muss man schon sagen, das ist aus der Sicht von Nutzerinnen- und Nutzerrechten schon ein echt gutes Brett, was das Parlament da beschlossen hat. Und gerade wenn man sich anschaut, welchen schweren Stand Datenschutz praktisch und politisch derzeit hat und wenn man sich den Entstehungsprozess näher anschaut, muss man eben sagen, das EU-Parlament hat an der Stelle ganze Arbeit geleistet. "Das Internet, wie wir es kennen, ist in Gefahr." - Ich würde sagen: gut so, weil eben Nutzerinnen und Nutzer wieder die Möglichkeit bekommen sollen, mündiger zu entscheiden und stärker selbst zu steuern, was mit ihren Informationen passiert. Nicht wenige Lobbyisten dürfen sich Ende Oktober gefragt haben, als das Parlament das beschlossen hat, wie konnte das denn eigentlich passieren und wir können eins sagen: Am Aufwand, den die Werbe- und Tracking-Industrie betrieben hat, um diese Verordnung zu verhindern oder zu verwässern, hat es ganz bestimmt nicht gelegen. Ich hoffe, ihr seid bereit für noch ein paar... und ich hab noch ein paar Minuten für noch ein paar Schauer- und Weltuntergangsszenarien. Also los gings im Sommer 2016, erst mal das Verfahren mit einer Konsultation. Die EU-Kommission hat quasi angekündigt, wir wollen die ePrivacy-Richtlinie reformieren, und hat eine Konsultation gemacht - da hat sich schon sehr stark offenbart, wie groß die Spaltung ist. Also 83% der teilnehmenden Bürgerinnen und Bürger und NGOs waren eben dafür, dass es spezifische ePrivacy-Regelungen gibt zum Schutz der Kommunikation und nur 31% der Unternehmen waren dafür. Und während 77% der Zivilgesellschaft für ein Verbot von Tracking Walls beispielsweise waren, waren 75% der Unternehmen dagegen. Eine krasse Spaltung. Und kurz nach der Veröffentlichung dieser Konsultationen ist ein bemerkenswertes Bündnis aus quasi allen Firmen, die irgendwas mit digital zu tun haben, auf den Plan getreten und hat dafür geworben, die Verordnung, das ePrivacy-Thema einfach komplett zu streichen, die Verordnung gar nicht... überhaupt keine Reform vorzunehmen. Es gibt ja die Datenschutz- Grundverordnung, also das ist mal eine Liste der Unternehmen, die sich quasi... die mit vertreten waren in den Verbänden, die sich dafür ausgesprochen haben, die Regeln einfach wegzulassen. Also wirklich von Google, Facebook, Telekom bis hin zu so interessanten Unternehmen wie Airbus oder Bayer. Und AOL gibt's auch noch. Es gibt einen sehr lesenswerten Bericht der Transparenz-Organisation Corporate Europe, der sehr minutiös nachzeichnet, wo und wie das Big Data-Business versucht hat, die Regulierungs-Bestrebungen der EU zu beeinflussen, der ist sehr lesenswert. Da ist sozusagen der ganze Baukasten des Lobbyings zum Einsatz gekommen: Einzeltreffen mit hochrangigen Vertretern der EU-Kommission, Auftragsstudien, Veranstaltungen, Kampagnen... öffentliche Kampagnen und die Mobilisierung einzelner einflussreicher Unternehmen. Und bei der EU-Kommission haben sie damit relativ gute Karten gehabt. Von 41 Treffen, die dokumentiert sind zu diesem Thema - es sind in Wirklichkeit wahrscheinlich deutlich mehr - fanden 36 statt mit Unternehmensvertretern, nur fünf Treffen hochrangiger EU-Kommissionsvertreter fanden statt mit NGOs. Dementsprechend hat sich ein... ist der Entwurf, den die EU- Kommission dann im Frühjahr 20... im Januar 2017 vorgelegt hat, auch deutlich schwächer ausgefallen, als man das erhofft hatte und als es noch eine, im Dezember geleakte Version, ihres Entwurfs nahegelegt hatte, der einigen Firmen bzw. wirklich in dem großen, dem großen Bündnis aus Tracking- und Daten-Firmen reichte das nicht - den hier hatten wir eben schon - im Laufe des Jahres ist dann auch die Verlagsbranche auf den Anti-ePrivacy-Zug aufgesprungen, also "Die ePrivacy- Verordnung ist ein Angriff auf den freien Journalismus im Netz", sagt der Verband Deutscher Zeitschriftenverleger. Und der Bundesverband Deutscher Zeitungsverleger. In einem gemeinsamen Statement. Es gab einen offenen Brief von ganz vielen internationalen Verlagen an das EU- Parlament, das Thema wegzulassen und die ePrivacy-Verordnung nicht in dieser strengen Form zu verabschieden. Und natürlich die Filme habe ich euch... oder den einen Film habe ich euch eben schonmal kurz gezeigt. Es gibt auf der Seite noch ein paar mehr, Like a bad Movie, wenn ihr euch die anschauen wollt, es lohnt sich. Sodass am Ende selbst Michael Boni, der Verhandlungsführer der christdemokratischen Fraktion im Parlament, beklagte, dass der Lobbyismus übertrieben sei - zwar von beiden Seiten, aber eben deutlich übertriebener von Seiten der Wirtschaft. Nichts destotrotz hat es am Ende nichts genutzt: mit 318 zu 280 Stimmen hat das Parlament Ende Oktober diese Position beschlossen, die ich eben erzählt habe. Vorangegangen ist dem wirklich ein sehr krasser politischer spannender Krimi. Denn kurz vor der entscheidenden Abstimmung im Innen- und Justizausschuss des Parlaments, wo eben die Hauptverhandlungen stattgefunden haben, haben die Konservativen sozusagen wirklich zwei Tage vor der Abstimmung die Verhandlungen über Kompromisse abgebrochen. In dem Wissen, dass Sozialdemokraten, Liberale, Linke und Grüne alleine in dem Ausschuss nicht über die absolute Mehrheit verfügen, die notwendig gewesen ist oder wäre, um dieses starke Verhandlungsmandat zu beschließen. Die Konservativen wollten... oder die christdemokratische Fraktion wollte darauf bestehen, dass in jedem Falle ein further processing von Daten ermöglicht wird und hat dann die Verhandlung vorher abgebrochen. Die Rechnung ist allerdings nicht ganz aufgegangen. Ein bisschen verzockt an der Stelle: Mit genau 31 Stimmen, also genauso viel wie notwendig waren, hat dieses pro-Privacy-Bündnis am Ende die Abstimmung im Ausschuss gewonnen. Denn drei Stimmen fehlten denen eigentlich und zwei Abgeordnete der italienischen Fünf-Sterne-Bewegung haben mitgestimmt und dieser Spaßvogel hat eben auch mit dafür gestimmt. Applaus Und das obwohl er eigentlich nicht einmal in diesem Ausschuss sitzt. Denn er hat es geschafft, den NPD-Mann im diesem Ausschuss, Udo Voigt, zu überzeugen, dass er sein Stellvertreter sein kann an diesem Tag. Lachen, Applaus Also wir müssen Martin Sonneborn danken, aber ich will an dieser Stelle auch noch mal explizit wirklich sagen, dass natürlich die wichtige Vorarbeit an der Stelle ja von den Verhandlungsführern der Sozialdemokraten, Marju Lauristin aus Estland, natürlich Jan Albrecht und sein Team, die niederländische Abgeordnete der Liberalen Sophia in 't Veld und auch die federführende Linke Cornelia Ernst, an der Stelle echt gute Arbeit geleistet haben. Applaus Okay, damit es noch eine kurze Q&A geben kann, sage ich mal... überspringe ich jetzt mal so ein paar Kleinigkeiten, allerdings wichtig: der Lobby-Kampf, die Lobby-Schlacht ist eben noch lange nicht vorbei. Das Parlament hat seine Position beschlossen, bevor die ePrivacy-Verordnung wirklich verabschiedet wird, muss sich jetzt der Rat, der EU-Rat, also die Mitgliedsstaaten, die Regierungen der Mitgliedsstaaten positionieren. Das dauert noch an. Die derzeitige bulgarische Ratspräsidentschaft hat quasi gesagt, es wird vor Juni 2018 nichts. Eigentlich war mal geplant, dass die ePrivacy-Verordnung auch im Mai 2018 in Kraft tritt. Das heißt für den weiteren Prozess: besser als das, was das Parlament beschlossen hat, wird es wahrscheinlich eher nicht mehr. Die Erfahrungen im Trilog zeigen, und auch das was bisher schon von den Positionierungen oder von den ersten Stimmen aus dem Rat zu hören war, zeigen, es wird eher schlechter. Zum Beispiel gibt es eine Idee und einen Vorschlag, die Reichweite der ePrivacy-Verordnung darauf zu beschränken, dass nur Daten im Transit, im Transport sozusagen, davon umfasst sind. De facto liegen aber die meisten Daten heute in der Cloud, liegen auf Servern. Und die wären eben ausgenommen von den ePrivacy-Regeln. Das heißt der Lobby-Kampf ist noch lange nicht vorbei und jetzt drehen Tracking- und Daten-Industrie nochmal richtig auf und bekommen auch jetzt sehr breite Unterstützung, also unter anderem auch von RTL-Chefin Anke Schäferkordt, die sagt, die EU würde jetzt mit der ganz großen Datenschutz-Keule kommen, den Werbe- Verband hatte ich eben schonmal genannt, die sagen, lasst uns doch lieber weiter das Modell der Selbstregulierung machen, hat doch gut funktioniert in den letzten 10 Jahren, dass wir als Tracking-Branche uns selbst regulieren. Ich hab mir das mal angeguckt, aber dafür ist jetzt leider nicht mehr die Zeit, wie diese Regulierung... Selbstregulierung eigentlich aussieht. Es gibt einen Code of Conduct, den man sich mal durchlesen kann, wo unter anderem drinsteht, dass man Beschwerden auf der wunderhübschen Seite meine-cockies.org, die eher aussieht wie eine Hobby-Seite aus den frühen Nuller Jahren, irgendwie sich beschweren kann, falls man ein Problem hat. Und was findet man dort auf der Seite eben nicht? Ein Formular. OK. Also. OK, ich krieg das Zeichen, ich darf das nicht mehr machen. Deshalb nur noch einmal kurz durch durchgegangen, ich zeig sie einfach nur an der Stelle: ePrivacy-Mythen. Es sind extrem viele Mythen im Umlauf. Wir haben auf netzpolitik.org vor zwei Wochen ein sehr lesenswertes Interview, wie ich finde, dazu veröffentlicht, wo Florian Glatzner vom Verbraucherzentrale- Bundesverband einige der zentralen Mythen wirklich mal aus- und vornimmt. Weil natürlich die Erzählung, die EU übertreibt total beim Datenschutz, die wissen nicht was sie machen, die machen die Innovationen kaputt in Europa und am Ende profitieren dann doch nur die bösen Amerikaner, das sind sehr starke Erzählungen, die irgendwie gut funktionieren in der Öffentlichkeit. Deshalb. Das Fazit kann natürlich an der Stelle nur lauten "tu wat" oder "tut wat". Und zwar nicht nur praktisch, sondern eben auch politisch. Datenschutz rockt oder kann rocken, wenn er denn vernünftig durchgesetzt wird und wenn er denn vernünftig funktioniert. Und es ist an uns, quasi das einzufordern, das von Unternehmen einzufordern, die aber auch zu beraten und es ihnen möglich zu machen, selber technische Lösungen zu entwickeln, und vor allen Dingen dem Datenschutz den gesellschaftlichen Stellenwert zu besorgen, den er verdient hat, und gerade auch in den Medien. Also ich kann immer noch nicht fassen, dass im Jahr 2017 noch die meisten... noch den meisten Nachrichtenredaktionen das Thema Datenschutz zu trocken oder zu kompliziert ist, um darüber zu berichten. Ich hab - nicht nur weil ich unsere Texte am besten finde - sozusagen die ganzen Artikel von uns immer genommen, wenn ich was gezeigt habe. Es hat einfach kaum jemand außer noch ein, zwei Fachmedien darüber berichtet über das Thema und das kann eigentlich im Jahr 2017 nicht mehr sein. Genau. An der Stelle sage ich einfach mal Punkt. Applaus Wir werden bei netzpolitik.org natürlich das machen, was wir weiter... was wir immer machen, wir werden versuchen, alle Leute mit den Informationen zu versorgen, die sie brauchen, um selbst mündig sich mit dem Thema auseinanderzusetzen. Wir freuen uns über Spenden genauso wie EDRi und Digitale Gesellschaft, das schiebe ich nochmal hinterher, die eben im politischen Prozess wirklich mit Politikerinnen und Politikern, Verantwortungsträgern sprechen und dafür sorgen, dass Nutzerinnen- und Nutzer-Positionen vertreten werden. Also die alle können unsere... eure Unterstützung gebrauchen. Vielen Dank. Applaus Herald: Danke, Ingo. Ich glaube, wir haben Zeit für eine Frage. Wenn ihr eine Frage habt für Ingo, dann nehmt euch bitte eins dieser Mikrofone in den Gängen, da haben wir vier Mikrofone ausgestellt. Oh, da ist jemand ganz schnell am Mikrofon Nummer 2. Und bitte ganz deutlich ins Mikrofon reinsprechen, damit wirs auch im Stream hören können. M2: Ich versuchs mal ohne sächsischen Akzent - hallo. Ich hätt ne Frage zu den Strafen. Ob da auch was reguliert wurde oder ob da die Lobby Bezug drauf genommen hat und das ein bisschen runterregulieren konnte, oder ob sie sich da nicht durchsetzen konnten. ID: Nach dem, was ich von außen sozusagen sagen kann, ist das nicht runter, ist an der Stelle zumindest das Parlament hat sich da nicht runterregulieren lassen. Das ist analog zu dem, was in der Datenschutz- Grundverordnung steht, und das ist quasi eine Verhundertfachung, Vertausendfachung von dem, was heute an Strafen möglich ist. Also 4% des weltweiten Umsatzes, das ist eben für einen global agierenden Konzern dann wirklich so, dass endlich mal ein empfindliches Maß bekommt. Von daher, mehr wäre natürlich immer noch möglich, im Wettbewerbsrecht sind es bis zu 10% des Konzernumsatzes. Also, da geht noch was. H: Gibts es weitere Fragen? Wir haben noch Zeit für eine weitere oder zwei weitere Fragen, das war sehr kurz. Oh, am Mikrofon Nr. 1. M1: Was würde passieren, wenn ich bei der Schufa meine Datenlöschung beantrage? ID: Äääähm... gute Frage. Warte mal, bis die Datenschutz-Grundverordnung im Mai 2018 in Kraft tritt oder wirksam ist - in Kraft ist sie ja schon - und dann mach das mal bitte und dann gib mir Bescheid. Dann begleiten wir das, dann gucken wir uns das an. Lachen H: Gute Antwort. lacht Und Mikrofon Nr. 2. M2: Ingo, könntest du bitte nochmal kurz erläutern, warum diese ePrivacy-Verordnung zusätzlich zur EU- Datenschutzgrundverordnung nötig ist. Es sind sehr viele Sachen, die sind in der EU-Datenschutzgrundverordnung sehr ähnlich oder genau identisch geregelt. ID: Also, der zentrale Punkt ist, dass es... weil Kommunikationsdaten, Metadaten, Inhaltsdaten eben besonders sensibel sind, weil sie eben besonders viel aussagen, dass es eben ein höheres und ein konkreteres Schutzniveau bedarf. Also wenn wir zum Beispiel uns anschauen, was die Diensteanbieter machen dürfen mit den Daten von ihren Kunden, dann bietet eben die ePrivacy-Verordnung die Möglichkeit, da eine klarere Grenze zu ziehen als das über die Datenschutzgrundverordnung der Fall ist. Da gibt es ja leider dieses legitime Interesse als Verarbeitungsgrund, das alles heißen kann. Und da ist es einfach eine klarere, eine striktere Grenze gezogen, wenn man sagt, nur auf Basis von Einwilligung. Und sowas wie privacy by default und Tracking-Schutz durch Browser ist eben etwas, das über die Datenschutzgrundverordnung nicht reguliert ist. Also von daher ist die Antwort, es ist an der Stelle einerseits eine Ergänzung, weil bestimmte Sachen einfach nicht abgedeckt sind durch die Datenschutzgrundverordnung, die ist ja sehr allgemein, die ist ja für alles vom Bäcker eben bis zum Big-Data-Unternehmen, und eigentlich aus einer Perspektive eines progressiven Datenschutzes müsste man sagen, genauso wie es mit der ePrivacy- Verordnung jetzt für den Bereich der elektronischen Kommunikation passiert ist, müsste man es vielleicht auch noch für bestimmte andere Bereiche machen, dass man eben diese sehr grundsätzlichen, allgemeinen Regelungen, die es gibt für den Datenschutz insgesamt, ergänzt durch etwas Spezifisches. Weil einfach der Datenschutz im Gesundheitsbereich etwas ganz anderes ist als jetzt beim Verkauf von Autos. H: Okay, dann noch die letzte Frage, die müssten wir auch kurz halten und dann geb ich das Wort... ID: Wir haben auch später angefangen. H: ... an Mikrofon Nummer 1 bitte. M1: Ja, ganz kurz: Die Lebensmittel-Mafia hat ja ungefähr 2 Millarden dafür ausgegeben für Lobby-Arbeit gegen die Ampel. Ist jetzt schon bekannt, was die Datenhehler ungefähr monetär an den Start gebraucht haben? ID: Kann ich nicht sagen, keine Ahnung. Aber es ist eben klar, dass die spätestens seit der Datenschutzgrundverordnung deutlich besser aufgestellt sind. Also ich kann es dir nicht monetär sagen, aber der Aufwand ist enorm und auch allein das Zahlenverhältnis, wie viele Leute sind vor Ort und können mit Kommissionsvertretern sprechen, steht eben in keinem Verhältnis zu dem, was die digitale Zivilgesellschaft da auf die Beine kriegen kann derzeit. H: Okay und damit beenden wir den Talk. Vielen Dank, Ingo! Applaus Abspannmusik Untertitel erstellt von c3subtitles.de im Jahr 2018. Mach mit und hilf uns!