-
34C3 Vorspannmusik
-
Herald: Es ist einiges los in der
politischen Arena der EU in Sachen
-
Datenschutz. Wie ja einige von euch
wissen, wird nächstes Jahr die
-
Datenschutz-Grundverordnung wirksam werden
und das ist bei Weitem noch nicht alles:
-
Momentan findet eine Lobbyschlacht statt
zu der ePrivacy-Verordnung und was da so
-
alles gerade im Moment passiert, das wird
uns heute Ingo erzählen. Ingo ist
-
Redakteur bei Netzpolitik und ist auch
dazu noch im Verein Digitale Gesellschaft
-
und damit wünsche ich Euch einen
wunderschönen ersten Talk und bitte helft
-
mir mit Applaus für Ingo.
Ingo Dachwitz: Guten Morgen oder Moin
-
Moin, wie man in Hamburg sagt - Leipzig
nich - glaub ich. Ganz schön früh ist es.
-
Ich bin ganz überrascht, dass so viele
hier sind, freut mich sehr. Ich glaube,
-
ich bin noch nie so früh auf dem Kongress
gewesen. Aber es ist sehr gut, dass es
-
noch so früh ist, weil ich dazu neige
meine Vorträge und Präsentationen immer so
-
voll mit Inhalten zu packen, dass es
eigentlich immer viel zu viel ist. Gut,
-
dass ihr noch aufnahmefähig seid. Ich darf
heute also über ein Stück Politik
-
sprechen, das ich auf netzpolitik.org seit
gut anderthalb Jahren begleite. Ziemlich
-
von Anfang an - das politische Ringen um
die ePrivacy-Verordnung oder auch
-
„Verordnung über die Achtung des
Privatlebens und den Schutz
-
personenbezogener Daten in der
elektronischen Kommunikation“, wie sie
-
offiziell und handlich heißen soll. Eine
Verordnung, die die eben schon
-
angesprochene Datenschutzgrundverordnung,
die ja ab Mai 2018 wirksam ist - oder
-
wirksam wird - ergänzen soll und zwar eben
für den Bereich der elektronischen
-
Kommunikation und insgesamt ein Thema, das
in den Medien - in den klassischen Medien,
-
aber auch in den sozialen Medien - so
wenig Aufmerksamkeit erfährt, dass ich
-
mich zwischendurch einmal gezwungen sehe
zu solchen Überschriften zu greifen, um
-
irgendwie zu versuchen das Thema an den
Mensch zu bringen. Deshalb vielleicht mal
-
die Frage, damit ich weiß, sozusagen auf
was ich mich einstellen kann. Wer von euch
-
hat von der ePrivacy-Verordnung oder von
dem Thema schon mal gehört, zumindest?
-
Okay, fast alle, sehr gut. Congress ist
eben doch ein tolles Publikum. Wer würde
-
sagen, er oder sie weiß, worum es genau
geht? Okay, okay, so hatte ich es mir in
-
etwa erhofft. Also eine ganz gute
Ausgangsbasis. Und ich nenne dieses
-
politische Ringen um die ePrivacy-
Verordnung, über das ich heute spreche,
-
wirklich ganz bewusst Lobbyschlacht. Auch
wenn es natürlich ein bisschen martialisch
-
klingt, weil die Auseinandersetzung um
diese Verordnung echt heftig ist und die
-
politischen Fronten doch ziemlich starr
verlaufen. Deshalb auch dieses
-
Hintergrundbild, das die damalige Lobby im
englischen House of Commons zeigt, wo die
-
Interessenvertreter eben herumlungerten.
Ich hab das Originalbild von 1886 nur
-
leicht modifiziert. Also eine der
„schlimmsten Lobby-Kampagnen, die ich je
-
gesehen habe“, zitiert die Transparenz-
Organisation Corporate Europe einen
-
Parlaments-Insider über den industriellen
Gegenwind gegen die Verordnung. Ich habe
-
gedacht, wir fangen einfach mal mit ein
paar Beispielen dafür an. Mit nichts
-
Geringerem als einem Atompilz visualisiert
die Organisation Werbung Treibende im
-
Markenverband die ePrivacy-Verordnung und
ihre Konsequenzen. Also so viel zur
-
martialischen Rhetorik. Die OWM, das ist
ein Branchenverband, in dem von Adam A wie
-
Adam Ritter oder Alfred Ritter GmbH oder
Adam Opel GmbH über D wie Deutsche Telekom
-
bis zu VW Volkswagen, W wie Wüstenrot, so
ziemlich viele große deutsche Unternehmen
-
vertreten sind. Also eine ePrivacy-
Verordnung als Atomeinschlag oder dieses
-
Statement von Thomas Duhr, Vizepräsident
des Bundesverbandes Digitale Wirtschaft
-
BVDW. Der sagt, die Verordnung negiere
fundamentale Prinzipien der digitalen
-
Wirtschaft. „Das Internet wie wir es heute
kennen wird es damit nicht mehr geben“ Und
-
ich habe noch ein drittes Beispiel zum
Einstieg mitgebracht. Diesmal ein Film,
-
produziert von einem breiten Bündnis
europäischer Handels-, Verlags- und
-
Werbeverbände, und ich hoffe das
funktioniert jetzt. Das Video läuft...
-
aber der Ton nicht.
Video: "2018. Europe is the tech mecca.
-
Startups are flourishing, consumers are
enjoying the best apps avail... 2018..."
-
ID: Nö, daran kann's nicht liegen.
Video: "Europe is the tech mecca. Startups
-
are flourishing, consumers are enjoying
the best apps available and revenue from
-
data-driven ads helps make that possible.
Until one day, the apps go dark. Data-
-
driven advertising is... 2018. Europe is
the tech mecca. Startups are flourishing,
-
consumers are enjoying the best apps
available and revenue from data-driven ads
-
helps make that possible. Until one day,
the apps go dark. Data-driven advertising
-
is no more. Less revenue, fewer startups,
fewer apps. An app-less future consumers
-
never saw coming. from tech mecca to tech
wasteland. Enter the App-ocalypyse. Coming
-
soon to cinemas."
dramatische Musik
-
ID: Ja, habt Ihr auch schon alle Angst,
dass eure Apps plötzlich ausfallen?
-
Lachen ..., weil der Datenschutz das
Internet kaputt macht? Das soll es an
-
Schauermärchen dann zum Einstieg aber auch
schon mal gewesen sein. Stattdessen will
-
ich euch jetzt erst mal kurz erzählen, was
euch erwartet in den nächsten hoffentlich
-
fünf Minuten. Timing ist nicht ganz so
meine Stärke, aber ich versuche es mal
-
hinzubekommen. Ich will heute zeigen warum
das Internet, wie wir es kennen...
-
parallel laufende Musik
Video: "Within its digital single market
-
the European Union..."
Lachen
-
ID: Okay, ich will zeigen, warum sich das
Internet, wie wir es kennen - um das Zitat
-
mal aufzugreifen - durch die ePrivacy-
Verordnung tatsächlich etwas grundsätzlich
-
verändern könnte. Wieso das aber
eigentlich etwas Begrüßenswertes ist und
-
was Martin Sonneborn mit der ganzen
Geschichte zu tun hat. Dazu werde ich in
-
meinem Vortrag heute primär zwei Dinge
machen. Zum einen möchte ich verständlich
-
machen, worum es eigentlich geht in der
ePrivacy-Verordnung, und zum anderen
-
möchte ich über den Entstehungsprozess und
den aktuellen Stand des Verfahrens
-
sprechen und auf das Lobbying und die
schlimmsten Mythen eingehen, die über
-
diesen Verordnungsvorschlag in Umlauf
gebracht werden. Um das zu machen, will
-
ich allerdings zuerst nochmal, bevor ich
in die Details schaue, kurz auf den
-
Kontext sozusagen eingehen, über den ich
heute sprechen... ..., indem wir über
-
Datenschutz und Privatsphäre in der
digitalen Kommunikation sprechen. Und
-
dieser Kontext, das ist für mich der
gesellschaftliche Konflikt um die
-
Kontrolle von personenbezogenen Daten.
„Data Wars“, um mal im Bild zu bleiben
-
könnte man quasi sagen und die ePrivacy-
Verordnung ist eben nur ein Schlachtfeld
-
oder ein Ort, an dem die
Auseinandersetzung stattfindet, denn was
-
wir derzeit erleben, ist, wie ein neues
Wirtschaftsmodell etabliert wird, bei dem
-
es nicht mehr in erster Linie darum geht
gute Produkte oder gute Dienstleistung
-
herzustellen, sondern eben möglichst viel
Wissen in Form von Daten anzuhäufen. Ein
-
Wirtschaftsmodell, in dem auch persönliche
Informationen eben nicht mehr in erster
-
Linie schützenswerte Güter sind, sondern
handelbare Waren. Das Öl oder der Rohstoff
-
der Zukunft, wie es viele - nicht zuletzt
Bundeskanzlerin Angela Merkel - eben
-
nennen. Und wir erleben derzeit ja eine
andauernde Auseinandersetzung darum, wer
-
diese persönlichen Daten kontrolliert, wer
sie erzeugen und sammeln, handeln,
-
verknüpfen, auswerten, nutzen und
verwerten darf. Wenn wir zum Beispiel
-
Datenskandale erleben derzeit, all die
Gerichtsverfahren... Max Schrems spricht
-
heute oder morgen, glaube ich. Die
politischen Kämpfe um Datenschutz, da wird
-
es sozusagen greifbar, der Konflikt um
dieses neue Wirtschaftsmodell. Und ich
-
will, bevor ich eben auf diese Verordnung
gucke, mir dieses zugrunde liegende
-
Geschäftsmodell noch mal kurz als Kontext,
als Horizont quasi für heute in Erinnerung
-
rufen. Das ist wahrscheinlich den meisten
hier schon bekannt, kann aber nicht
-
schaden, das vielleicht nochmal zu hören.
Allen, die sich stärker damit
-
auseinandersetzen wollen, mit diesem
Geschäftsmodell der kommerziellen
-
Überwachung, kann ich nur den Talk von
Wolfie Christl vor einem Jahr empfehlen,
-
auf den und dessen Studien und Erhebungen
werde ich mich auch im Folgenden so ein
-
bisschen stützen. Und ich versuche mal
dieses Geschäftsmodell in 4 Phasen oder
-
anhand von 4 Phasen zu beschreiben und mal
kurz in diese Phasen rein zu gucken. Das
-
erste ist quasi die Datafizierung von fast
allem. Inzwischen lässt sich fast das
-
ganze komplette Leben in Datenform eben
aufzeichnen: Vom Konsum, also Online-
-
Shopping, Kreditkarten-Daten bis zu
Bonus-Systemen, über das vernetzte Zuhause
-
von Sprach-Assistenzsystem wie Alexa und
Co, über smarte Zahnbürsten bis zum
-
vernetzten Sexspielzeug, das Thema
Gesundheit vom Fitness-Armband bis zur
-
App, für das Tracking von
Menstruationszyklen und natürlich der
-
Bereich Kommunikation von Suchmaschinen
und Nachrichten-Webseiten über Messenger,
-
soziale Netzwerke, Dating-Anwendungen bis
hin zu Smart-TVs und einem Großteil aller
-
Anwendungen für mobile Geräte. Und hier
greife ich einfach mal auf eine Grafik von
-
Wolfe Christl zurück, der auf dem Feld
wirklich sehr lesenswerte Arbeit gemacht
-
hat, um dieses Geschäfts-Modell und dieses
Wirtschafts-Modell eben anschaulich zu
-
machen und dessen Konsequenzen einmal
visualisiert, welche Daten sind eigentlich
-
über Konsumenten, Verbraucher, Nutzer
früher angefallen und welche sind es
-
heute, eigentlich eben ein umfassendes
Bild. Und es wird eben deutlich,
-
es geht dabei nicht nur um Daten,
klassische, also einfache Daten
-
wie Geburtsdaten oder Ähnliches,
sondern es ist...
-
sind auch die fluiden Dinge, sind
Emotionen, Identitäten, Verhalten,
-
Eigenschaften, die in Daten aufgegriffen
werden und ich geh hier an der Stelle,
-
weil wir heute über den Bereich der
elektronischen Kommunikation sprechen,
-
noch mal ein bisschen stärker auf das Feld
ein. Studien zufolge oder einer Studie
-
zufolge sind es zwischen 85 und 95 Prozent
der beliebten Apps in Australien,
-
Brasilien und Deutschland, die Daten an
Drittparteien senden, selbst 60 Prozent
-
der bezahlten Apps. Und wenn man mal nicht
in den App-Bereich guckt, sondern ins Netz
-
dann haben wir natürlich die omnipräsenten
Cookies. Aber wenn wir eben über Web-
-
Tracking sprechen, also das Nachverfolgen
und Mitschneiden unseres Surfverhaltens,
-
dann geht es eben schon lange nicht mehr
nur um einfache Cookies, denn seitdem das
-
Bewusstsein bei den Nutzerinnen und
Nutzern dafür gestiegen ist, dass sie mit
-
Hilfe von Tracking mit Cookies verfolgt
werden, haben sich ja sozusagen
-
Abwehrmaßnahmen entwickelt. Cookies
löschen lassen nach jeder Session und so
-
weiter. Aber Firmen entwickeln eben
entsprechend neue Methoden, um das
-
Verhalten aufzuzeichnen, Tracking, online-
Tracking durchzuführen, von Zombie
-
Cookies, die sich selbst der
wiederherstellen, bis zum Fingerprinting-
-
Device oder Browser Fingerprinting, bei
dem Nutzer_innen von Webseiten mitten...
-
mittels der Einstellungen der verwendeten
Software oder des Gerätes wiedererkannt
-
werden, ohne dass dafür Cookies benötigt
werden müssen. Und eine Studie aus 2015,
-
eine Erhebung aus 2015 ist zu der
Erkenntnis gekommen, dass 90 Prozent der
-
eine Million meistbesuchten Webseiten
Nutzerdaten an Drittparteien weiterleiten.
-
Und das gilt insbesondere auch für den
Bereich der Nachrichten und Informationen,
-
also nicht nur wir lesen, was auf den
Nachrichtenseiten passiert, sondern die
-
Nachrichtenseiten lesen uns, jedenfalls
die meisten Nachrichtenseiten,
-
netzpolitik.org nicht. Kann man an der
Stelle ja mal kurz sagen. Aber das Tech
-
Collective hat ein Tool bereitgestellt,
trackography, mit dem man eben
-
nachvollziehen kann, auf welchen
Nachrichtenseiten man verfolgt wird und
-
von wem. Und sind eben darauf gekommen,
dass alleine wenn man auf Spiegel, Heute,
-
Zeit, Bild und taz geht, es über 108
Verbindungen mit Drittparteien gibt, die
-
eigentlich nichts mit dem Service zu tun
haben. Also der erste Schritt, die erste
-
Phase, die Datafizierung von Allen. Die
zweite Phase ist die Kommodifizierung von
-
Daten, also Daten werden Waren, handelbare
Waren. Waren, die von spezialisierten
-
Händlern, Data Brokern, verknüpft werden,
veredelt werden , ausgewertet werden und
-
eben gehandelt werden. Diese führen
Informationen über Menschen aus
-
unterschiedlichen Quellen zusammen in
Profilen und bieten diese zum Kauf an.
-
Hier mal zwei Beispiele, auch wieder aus
der Arbeit von Wolfie Christl. Der
-
Datenhändler Acxiom zum Beispiel verfügt
nach eigenen Angaben über Informationen
-
über 700 Millionen Menschen in den USA und
Europa mit bis zu 3.000 einzelnen
-
Attributen und Scores pro Person. Dazu
zählen dann Informationen wie
-
Einkaufsverhalten, Gesundheits-Interessen,
aber eben auch das Kommunikationsverhalten
-
und ganz klassische sozio-demografische
Daten. Und auch Oracle, ehemals ja ein
-
Softwarekonzern, inzwischen einer der
größten Data Broker, wirbt damit dass sie
-
Profile über zwei Milliarden Nutzerinnen
und Nutzer haben, in denen sie
-
unterschiedliche Daten aus
unterschiedlichen Quellen zusammenführen.
-
Diese Daten landen dann übrigens wieder
bei sozialen Netzwerken, zum Beispiel
-
Facebook und Snapchat kaufen
beispielsweise von Oracle wieder Daten
-
über ihre Nutzerinnen und Nutzer, um
sozusagen das Profil von denen zu
-
vervollständigen, unter anderem über das
Offline-Einkaufsverhalten der
-
Überwachungsforscher David Lyon spricht
von kafkaesken Datenflüssen, die für
-
Nutzerinnen und Nutzer überhaupt nicht
mehr nachvollziehbar sind und wo sie nie
-
wissen, an welchem Punkt sie von wem jetzt
gerade eigentlich bewertet werden. So, die
-
dritte Phase ist die Auswertung. Da könnte
man natürlich jetzt auch viel zu erzählen.
-
Big Data Mining und Predictive Analytics:
hier nur mal ein kurzer Überblick über
-
3 Studien, die etwas über die Aussagekraft
oder die Vorhersagekraft von
-
personenbezogenen Daten eben aussagen.
Beispielsweise die Analyse... Vorhersage
-
von bestimmten
Persönlichkeitseigenschaften anhand von
-
Facebook-Likes, wo laut dieser Studie
beispielsweise in den USA Ethnizität oder
-
Geschlecht jeweils binär codiert mit
extrem hoher Wahrscheinlichkeit
-
vorhergesagt werden können anhand von nur
einer Handvoll Likes. Und Facebook selbst
-
beispielsweise wurde im vergangenen Jahr
dabei erwischt, wie sie bei einer
-
australischen Bank damit Werbung gemacht
haben, dass diese Bank über das targeted
-
advertising-Tool von Facebook, emotional
verletzliche Jugendliche - Zitat, ist das -
-
ausfindig machen können und sie genau in
den Momenten ansprechen können, in denen
-
sie sich - Zitat - wertlos fühlen, um dann
mit ihrer Werbung sie zu erreichen. Also
-
so viel zur Analyse und dann natürlich,
darum geht es am Ende, die Entscheidungen, die
-
auf Grundlage dieser Datenbasis
getroffen werden. Von der Personalisierung
-
von Nutzungsumgebungen über Targeted
Advertising, Customer Relationship
-
Management - wie lange muss ich in der
Warteschlange in der Service-Hotline
-
warten, kriege ich Gutscheine zugeschickt?
Dann natürlich der große Bereich Scoring,
-
also, wie werde ich bewertet in Hinblick
auf meine Kreditwürdigkeit, Handyverträge,
-
Versicherungen. Natürlich sozusagen
sprechen wir hier an der Stelle über
-
einerseits über Praktiken, die - Scoring
im Bankenbereich oder im Kredit-Bereich -
-
schon seit Jahrzehnten praktiziert werden.
Und wenn wir zum Beispiel über den Einsatz
-
von Scoring im Versicherungsbereich
sprechen, über etwas das tendenziell noch
-
eher in der Zukunft liegt, aber wo die
Modelle sozusagen der Auswertung des, oder
-
der Berechnung des Konsumenten, oder des
versicherten Verhaltens und eine
-
dementsprechend angepasste
Versicherungsprämie schon in den
-
Startlöchern stehen quasi. Und natürlich
nicht zu vergessen: staatliche Datenbanken
-
und Analyse-Systeme, die eben Muster
erkennen, Verdächtige generieren,
-
Verhalten vorhersagen sollen. Genau. Ok,
so viel mal zum Kontext, vielleicht nochmal
-
eben der Blick auf die Risiken, auch das
ist eigentlich bekannt und gut diskutiert.
-
Nur um sie hier als Kontext nochmal mit
aufzuführen. Dort wo Daten vorhanden sind,
-
große Datenbanken, da gibt's natürlich
ein Interesse auch von Kriminellen da
-
ranzukommen oder öffentliche Datenlecks.
Es sei nur erinnert an den Fall der... den
-
Ashley-Madison-Hack, bei dem plötzlich
bekannt wurde, wer alles einen
-
Seitensprung-Service benutzt, staatliche
Zugriffe, Fehlinterpretationen, weil
-
natürlich diese Vorhersage-Modelle auf
Datenbasis, die Big Data-Vorhersage-
-
Modelle auf Korrelationen und nicht auf
Kausalität beruhen und man die Realität
-
eben nur bedingt in Datenform erfassen
kann. Die Macht-Asymmetrien und
-
Manipulations-Potenziale, die damit
einhergehen, dass zu einer gewissen
-
Wahrscheinlichkeit vorhergesagt werden
kann, wie lange ich denn beispielsweise in
-
der Warteschleife einer Telefon-Hotline
bleiben würde und wie lange man mich
-
warten lassen muss, damit ich als nerviger
Kunde wieder aufgebe. Diskriminierung, die
-
reproduziert wird, weil sie in den
Daten steckt. Und die sogenannten chilling
-
effects, dadurch dass Menschen eben die
Kontrolle über die kontextuelle Integrität
-
der von ihnen preisgegebenen und über sie
gesammelten Informationen verlieren und
-
sie gleichzeitig eben wissen, dass ihre
Lebenschancen davon abhängen können, was
-
andere mit und aus diesen Informationen
machen. Soviel zum Kontext. Fassen wir
-
zusammen: Das Internet wie wir es kennen,
um das Zitat aufzugreifen, heißt heute
-
leider eben auch, dass es in weiten Teilen
ein kommerziell überwachtes Internet ist,
-
bei dem die Nutzer entmündigt werden. Der
informationelle Kontrollverlust ist fester
-
Bestandteil dieses Geschäftsmodells, das
eben darauf basiert, dass die Einen
-
durchleuchtet werden und vorhersagbar
werden und die sich eben nicht besonders
-
gut wehren können, dadurch dass die
Analyse- und Erhebungsverfahren im Dunkeln
-
liegen. Nicht verwunderlich ist es, dass
eine repräsentative EU-Umfrage 2015
-
deshalb ergab, dass 32% der Deutschen
ihren Internet... dass nur 32%
-
der Deutschen ihren Internet- und
Telefon-Anbietern vertrauen, für den
-
restlichen Bereich der Internet-Wirtschaft
waren es nur 19 Prozent, die Vertrauen
-
hatten in diese Unternehmen. Und auf
diesen informationellen Kontrollverlust
-
kann man natürlich auf unterschiedliche
Arten reagieren. Die einen halten diese
-
Entwicklung für unaufhaltbar und predigen
sozusagen vermeintlich pragmatisch den
-
Kontrollverlust als Chance. So
beispielsweise der Psychologe Michal
-
Kosinski, der ein bisschen bekanntgeworden
ist dadurch, dass er einige der zentralen
-
so Studien gemacht hat zum Thema
Vorhersage durch Big Data und der eben
-
unfreiwilligerweise das Modell für
Cambridge Analytica, das Grundmodell für
-
Cambridge Analyticas
Persönlichkeits-Analysen geschaffen hat.
-
Der sagte aber eben bei einer
Veranstaltung in Berlin in diesem Jahr
-
im Sommer, dass es ja eine Chance wäre,
wenn erst einmal alles bekannt wäre, und
-
hat sozusagen als Beispiel gebracht, dass
auch in autoritär-patriarchalen
-
Gesellschaften beispielsweise, wenn erst
mal bekannt wäre, wer alles homosexuell
-
ist, dann würde die Diskriminierung
aufhören. Okay, andere sehen quasi die
-
Schwierigkeiten und Risiken, die mit
diesen... mit dieser Entwicklung
-
einhergehen, geben sich aber damit
zufrieden, sich selbst zu schützen,
-
Stichwort "works for me", und wieder
andere versuchen, ein gewisses Maß an
-
Kontrolle wiederherstellen, indem sie
Technologie gestalten, die entweder mit
-
möglichst wenig persönlichen Daten
auskommt oder Nutzern, Nutzerinnen und
-
Nutzern, Informationen und
Wahlmöglichkeiten an die Hand gibt, indem
-
sie andere aufklären und ihnen Mündigkeit
ermöglichen oder eben, indem sie politische
-
Rahmenbedingungen und Grenzen festlegen
und für deren Durchsetzung sorgen. Darum
-
geht es ja beim Datenschutz, letztendlich.
Es geht nicht darum, Datenflüsse zu
-
verhindern, sondern klare Grenzen dafür
festzulegen, in welchen Bahnen sie
-
passieren. Und jetzt nach dem Kontext zur
eigentlichen Verordnung. Denn genau darum
-
geht es bei der ePrivacy-Verordnung: klare
Rahmenbedingungen zu schaffen für den
-
Umgang mit Kommunikations-Daten. Und auch
hier nochmal ein paar Zahlen: eine
-
statistisch repräsentative Umfrage der EU-
Kommission hat ergeben aus dem Jahr 2015,
-
dass etwa 90 Prozent der EU-Bürger für
datenschutzfreundliche Voreinstellungen,
-
beispielsweise gegen Tracking sind und für
das Recht auf verschlüsselte Kommunikation
-
und dass 71 Prozent es ablehnen, dass
Unternehmen ihre Daten ohne ihre
-
Zustimmung verwenden. Und nachdem ich
jetzt schon so oft erwähnt habe, schauen
-
wir uns die Verordnung tatsächlich mal an,
beziehungsweise noch ein ganz kurzer Blick
-
auf ihren Vorgänger: Die ePrivacy-
Richtlinie aus dem Jahr 2002 - in der EU
-
gibt es ja zwei unterschiedliche sozusagen
Rechtsinstrumente oder
-
Gesetzesinstrumente, das eine sind die
Richtlinien, das schwächere Instrument,
-
das von den Mitgliedsstaaten immer noch
umgesetzt werden muss in nationales Recht,
-
und die Verordnungen, die unmittelbare
Wirkung entfalten in den Mitgliedstaaten,
-
die eben das stärkere, verbindlichere
Instrument sind - und seit 2002 gibt es
-
eine ePrivacy-Richtlinie, die jetzt
abgelöst werden soll, weil sie nicht mehr
-
wirklich funktional ist, weil sie
beispielsweise den Kommunikationswandel
-
der letzten Jahre nicht abdeckt. Wenn man
sich mal zwei Zahlen vor Augen hält: 2012
-
haben die Menschen in Deutschland über 160
Millionen SMS-Nachrichten verschickt und
-
20 Millionen WhatsApp-Nachrichten, 2015
waren es weniger als 40 Millionen SMS,
-
aber mehr als 660 Millionen WhatsApp-
Nachrichten. WhatsApp ist aber als
-
sozusagen neuer sogenannter over the top-
Dienst von der ePrivacy-Richtlinie bisher
-
nicht umfasst gewesen. Also over the top-
Dienste, das sind die
-
Kommunikations-Dienste, die nicht mit einem
eigenen Netz daherkommen, sondern auf dem
-
Internet aufsetzen. Dazu zählt auch Voice
over IP-Telefonie oder irgendwie Webmail,
-
diese Sachen sind bislang nicht reguliert
durch die ePrivacy-Richtlinie, so dass
-
dafür andere, weniger strenge Regeln
gelten als für klassische Telefonie oder
-
klassische SMS-Nachrichten. Und außerdem
sind die Durchsetzungsmöglichkeiten im
-
Rahmen der ePrivacy-Richtlinie eher so
mäßig gewesen, sehr uneinheitlich
-
umgesetzt worden, in Deutschland zum Teil
auch in einem bestimmten Bereich auch gar
-
nicht. Und in Deutschland ist
beispielsweise für den Großteil der
-
Durchsetzung die Bundesnetzagentur
zuständig gewesen und nicht die
-
Datenschutz-Aufsicht. In vielen anderen
Ländern auch. Genau. Hinzu kommt, dass die
-
Richtlinie in den Mitgliedsstaaten sehr
unterschiedlich umgesetzt wurde, 2009 gab
-
es zum Beispiel eine Ergänzung, die von
manchen Cookie-Erweiterung genannte
-
Ergänzung, die es eigentlich schon
festgelegt hat, dass Cookies, also das
-
Speichern von Informationen oder der
Zugriff auf Informationen auf dem Gerät,
-
nur gestattet ist auf der Grundlage von
klaren und umfassenden Informationen. Und
-
wenn es eine Einwilligung gibt. Das ist in
Deutschland anders als beispielsweise in
-
Frankreich und Spanien aber kaum umgesetzt
und dementsprechend auch kaum durchgesetzt
-
worden. Okay. Jetzt zur ePrivacy-
Verordnung. Was steht denn eigentlich
-
drin? Und ich beziehe mich im Folgenden
auf die Fassung der ePrivacy-Verordnung
-
oder der Position des EU-Parlaments. Das
EU-Parlament hat am 26. Oktober seine
-
Position dazu beschlossen, dass... der
Prozess ist noch nicht am Ende, das heißt,
-
das ist jetzt erstmal nur die Position des
Parlaments, aber auf die beziehe ich mich
-
im Weiteren. Und mit 29 Artikeln ist die
ePrivacy-Verordnung in ihrem derzeitigen
-
Zustand im Vergleich zur
Datenschutzgrundverordnung, die sie
-
ergänzen soll, durchaus schlank und sie
enthält auch einige Regeln, die nicht im
-
engeren Sinne etwas mit digitaler
Kommunikation und Datenanalyse zu tun
-
haben, auf die ich nicht weiter eingehen
will, aber nur damit man es mal gehört
-
hat: Sie enthält auch Regeln zur
Rufnummerunterdrückung, zu Notrufen oder
-
Telefonbüchern, zu Informationspflichten
bei von Kommunikationsanbietern bei
-
Sicherheitsrisiken und Datenlecks und zu
Direktmarketing. Ich will mich aber auf
-
die Regeln zum Umgang mit
Kommunikationsdaten im engeren Sinne
-
konzentrieren. Und da macht die ePrivacy-
Verordnung in ihrem aktuellen Stand erst
-
einmal deutlich: Wir sprechen hier über
Grundrechte, wir sprechen nicht über
-
irgendetwas, sondern es geht um
Grundrechte, und zwar nicht nur um das
-
Grundrecht auf den Datenschutz, EU-
Grundrecht auf Datenschutz in Artikel 8
-
der Grundrechte-Charta, sondern auch auf
Artikel 7, die Achtung des Privatlebens.
-
Und in der Folge dann eben der Schutz
diverser weiterer Grundrechte: freie
-
Persönlichkeitsentfaltung, Menschenwürde,
Meinungs-, Informations-,
-
Religionsfreiheit. Über welche Daten
sprechen wir, wenn wir über ePrivacy
-
sprechen? Um das mal anschaulicher zu
machen: Die Verordnung unterteilt in
-
Inhaltsdaten und Metadaten. Inhaltsdaten
sind also Textnachrichten, Sprache,
-
Bilder, Videos, E-Mails, Ton, die
geschützt sind. Und dann gibt's eben den
-
ganz großen Bereich der Metadaten, also
besuchte Webseiten, die Kommunikationsart,
-
Kommunikationspartner, Browser-
Einstellungen, Standortdaten, IP-Adressen,
-
MAC-Adressen, mobile device identifiers,
Datum und Uhrzeit der Kommunikation und
-
eben Informationen über die verwendete
Hard- und Software. Okay, jetzt aber
-
wirklich: was steht drin? Unter anderem,
dass Kommunikationsdienste-Anbieter keine
-
kommerziellen... also Daten nicht
kommerziell verarbeiten... ihrer Kunden
-
nicht kommerziell verarbeiten dürfen ohne
deren Einwilligung. Klingt jetzt erstmal
-
nicht besonders revolutionär, ist es aber
in Anbetracht dessen, was auf dem Tisch
-
lag an Alternativen sozusagen. Also,
natürlich fallen bei den Diensteanbietern
-
bei unserem Telefon-Provider oder bei
WhatsApp oder bei Skype, beim Messenger
-
fallen natürlich Daten an, wenn wir über
die kommunizieren, das geht gar nicht
-
ohne. Und die dürfen von den
Diensteanbietern eben nur genutzt werden,
-
wenn es eine Einwilligung gibt. Man nennt
das Verbot mit Erlaubnisvorbehalt.
-
Eigentlich ist die Verarbeitung verboten,
aber es gibt eben die Möglichkeit, sich
-
das Einverständnis einzuholen. Ja, ist
jetzt leider sehr viel Text. Und als
-
Alternative zu diesem Prinzip, dass man
eine Einwilligung braucht für die
-
Verarbeitung, lagen auf dem Tisch unter
anderem die Formulierung further
-
processing, also die sehr vage
Formulierung further processing, die es
-
den Kommunikationsdienste-Anbietern
ermöglicht hätte, die Daten, nachdem sie
-
einmal gebraucht wurden, um den
Kommunikations-Vorgang herzustellen, noch
-
weiterverarbeitet werden dürfen unter
bestimmten Bedingungen, aber eben
-
potentiell einfach, ohne dass eine
Einwilligung eingeholt werden muss oder
-
aus der Datenschutz-Grundverordnung das
sogenannte legitime Interesse, das eben
-
auch eine Grundlage nach der Datenschutz-
Grundverordnung darstellen kann, für die
-
kommerzielle Verarbeitung von Daten.
Legitimes Interesse von Unternehmen kann
-
in dem Fall eben auch ein wirtschaftliches
Interesse, ein Geschäftsmodell sein. Das
-
lag auf dem Tisch als Alternative und das
EU-Parlament hat sich entschieden hier
-
dafür zu votieren, dass es bei dem Verbot
mit Erlaubnis-Vorbehaltung gibt und
-
gleichzeitig die Reichweite auszuweiten,
also die over the top-Dienste sind jetzt
-
eingefasst, Messenger, Voice over IP,
Webmail, Direktnachrichten in sozialen
-
Netzwerken und Apps, Dating-Apps und so
weiter spielen jetzt dort mit rein, sollen
-
durch die ePrivacy-Verordnung reguliert
werden. Also die Reichweite wird erhöht,
-
gleichzeitig gibt es eine ganz leichte
Absenkung im Vergleich, des Schutzniveaus im
-
Vergleich zur Datenschutzrichtlinie. Da
stand nämlich noch... ePrivacy-Richtlinie,
-
da stand nämlich noch drin, dass der
Verarbeitungszweck einen Mehrwert für
-
Betroffene haben muss. Diese Formulierung
ist jetzt entfallen. Das hat vor allen
-
Dingen damit zu tun, dass die EU-
Kommission es durchaus Unternehmen, gerade
-
so den europäischen, den TelKos leichter
machen möchte, auch an Daten... am
-
Datenmarkt sozusagen mitzuwirken und da
Geld draus zu machen. Das heißt, die
-
größtenteils amerikanischen Dienste
WhatsApp und Co. werden jetzt auch den
-
strengeren Regeln unterworfen und
gleichzeitig werden die Regeln insgesamt,
-
weil eben auch vor allen Dingen in
Hinblick auf die europäischen TelKos, ein
-
bisschen abgesenkt. Nichts destotrotz gibt
es hohe Anforderungen an die Einwilligung,
-
es gelten die Anforderungen der
Datenschutz-Grundverordnung, also die
-
muss informiert sein, sie
darf nicht erzwungen sein, sie muss
-
freiwillig sein. Da wird zwar noch viel
drum gestritten, aber nach
-
Datenschutz-Grundverordnung darf eine
Einwilligung eben nicht... eine
-
Einwilligung zur Datenverarbeitung eben
nicht daran gekoppelt sein eigentlich,
-
dass man einen Dienst nutzt. Also es darf
nicht die Voraussetzung, einen Dienst...
-
einen Dienst zu nutzen, dafür darf es
nicht die Voraussetzung sein, dass man
-
seine Daten preisgibt laut,
Datenschutz-Grundverordnung. Auch das gilt
-
hier. Und es gibt es relativ strikte
Auflagen: Das darf nur passieren, diese
-
Datenverarbeitung, wenn es ohne die Daten
gar nicht geht, sie müssen möglichst
-
schnell gelöscht oder anonymisiert werden,
es muss eine Datenschutz Folgenabschätzung
-
geben, also das Unternehmen ist dazu
verpflichtet, sich hinzusetzen und zu
-
sagen, okay, welche Daten erhebe ich jetzt
hier eigentlich und welche Folgen hat das
-
womöglich für die Privatsphäre und die
Vertraulichkeit der Kommunikation meiner
-
Nutzer. Und bei besonders Privatsphäre-
invasiven Verfahren müssen eben die
-
Datenschutzbehörden angefragt werden, also
auch das eine Neuerung. Und wenn es um die
-
Verwertung oder Auswertung von
Kommunikations-Inhalten geht, müssen beide
-
Kommunikations-Partner oder alle
Kommunikations-Partner zustimmen. Das heißt
-
Gmail, Google durchleuchtet derzeit ja die
E-Mails seiner Nutzer automatisiert, um
-
auf bestimmte Stichwörter, um eben
zielgerichtete Werbung ausspielen zu
-
können. Dafür bräuchte es in Zukunft dann
die Einwilligung aller
-
Kommunikationsteilnehmer. Und es gibt ein
paar Ausnahmen, na klar. Die Daten dürfen
-
verarbeitet werden zur Durchführung der
Kommunikationsübermittlung, dürfen für
-
Sicherheitsaspekte, zur Behebung von
technischen Fehlern, zur
-
Rechnungsstellung, zur Sicherung der
Übertragungsqualität und für die
-
persönliche Nutzung verarbeitet werden.
Also wenn ich zum Beispiel möchte, dass
-
meine E-Mail automatisiert übersetzt wird
von meinem E-Mail-Programm, dann ist es
-
eine sehr begrenzte personalisierte
Nutzung und das ist weiterhin erlaubt,
-
solche Services. Richtige Neuerungen gibt
es im Bereich, also richtig heftige
-
Neuerungen gibts im Bereich, oder könnte
es im Bereich Tracking geben. Das sind die
-
Artikel 8, 9 und 10, also Web Tracking,
Online Tracking, auch da soll's ein Verbot
-
mit Erlaubnis-Vorbehalt geben. Das ist im
Vergleich zur Richtlinie keine, eigentlich
-
keine Neuerung, wenn es umgesetzt wird,
wäre es eben doch eine Neuerung. Da haben
-
wir eine technikneutrale Formulierung, die
dafür sorgen soll, dass auch neuere Formen
-
des Web Trackings umfasst sind und dass es
ausgeschlossen ist, dass jemand
-
interpretiert, es ginge nur um Cookies,
die auf Rechnern gespeichert werden, und
-
eine echte Neuerung an der Stelle ist,
dass do not track quasi rechtsverbindlich
-
werden würde. Also der Standard, der seit
einigen Jahren vorhanden ist, aber von den
-
meisten Unternehmen ignoriert wird, dass
man in seinem Browser einstellen kann: Ich
-
möchte nicht getrackt werden oder eben
auch: Ich bin einverstanden mit einem
-
Tracking. Das soll rechtsverbindlich
werden, das heißt es wäre relativ einfach,
-
im Browser oder auch, wenn man sich das
Smartphone anguckt, im Betriebssystem oder
-
in Apps einzustellen, ich möchte nicht
verfolgt werden, ich möchte nicht, dass
-
mein Verhalten aufgezeichnet wird. Und
gerade in Kombination mit einer echten
-
Privacy by default, also eine
Verpflichtung, die Daten, die
-
Einstellungen, Datenschutzeinstellungen
möglichst datenschutzfreundlich
-
voreingestellt zu haben, wäre das
sozusagen ein großer Schritt. Dass
-
Nutzerinnen und Nutzer Online-Tracking
besser selber kontrollieren können.
-
Durchaus problematisch an der Stelle ist,
dass natürlich die Tracker trotz Do-not-
-
track-Signal eigentlich weiter fragen
dürften, die Nutzerinnen und Nutzer weiter
-
fragen dürfen sollen, ob sie denn
einwilligen, dass sie doch getrackt werden
-
dürfen, auch wenn sie eigentlich im
Browser was anderes gesagt haben. Das ist
-
so ein bisschen paradox und es birgt eine
Gefahr , dass Unternehmen einfach weiter
-
versuchen, über Cookie-Banner, Tracking-
Banner sich das Einverständnis dann
-
abzuholen. Das dürfte aber eine sehr
spannende... wahrscheinlich wird es dann
-
irgendwann vorm Gericht landen, weil es
natürlich die Position gibt, dass
-
eigentlich die Einwilligung über so ein
Cookie-Banner keine richtige informierte
-
Einwilligung ist. Und gerade in Verbot mit
einem neuen Verbot von Tracking-Walls...
-
ein explizites Verbot von Tracking-Walls
fordert das EU-Parlament, also Dienste,
-
Webseitenbetreiber dürfen es nicht zur
Voraussetzung machen dafür, dass Nutzer
-
ihren Dienst nutzen, auf ihre Webseite
gehen, dass sie sich tracken lassen - kein
-
take it or leave it mehr. Heute ist es ja
oft so, man kann - selbst wenn man das
-
Cookie-Banner anklickt, hat man die
Auswahlmöglichkeiten, entweder zu sagen
-
"Ich stimme zu" oder "Ich möchte mehr
Informationen und dann stimme ich zu".
-
Oder ich geh halt weg von der Webseite.
Das ginge nicht mehr. Auch hier gibt es
-
ein paar Ausnahmen. Vor allen Dingen für
das Thema Reichweiten-Messung, da komme
-
ich später nochmal drauf zu sprechen. Ein
weiterer Bereich, der reguliert wird...
-
werden würde, ist das Offline...
sogenannte Offline-Tracking mit WLAN- und
-
Bluetooth-Signalen. Das kommt auch in
Deutschland mehr und mehr, dass sozusagen
-
Nutzerinnen und Nutzer auch offline in der
Innenstadt anhand der Signale getrackt
-
werden, die ihr Smartphones von sich gibt.
Um beispielsweise Besucherströme irgendwie
-
in der Innenstadt nachverfolgen zu können
oder in einem Geschäft, aber es hat
-
natürlich auch ein hohes Privatsphäre-
invasives Potenzial und hier schlägt das
-
Parlament vor, dass das eben nur mit
informierter Einwilligung der Nutzerinnen
-
und Nutzer passiert oder dann, wenn es
lediglich statistisches Zählen ist, also
-
wenn es wirklich nicht darum geht, Leute
zu identifizieren, Profile zu erstellen,
-
sondern ganz klar ist, es geht darum,
einfach nur zu zählen, wie viele Leute
-
sind an einer bestimmten Uhrzeit zum
Beispiel an meinem Laden vorbeigekommen
-
oder, in welcher Ecke stehen insgesamt
statistisch gesehen die meisten Leute in
-
meinem Laden oder ähnliches. So, jetzt muss
ich mal ein bisschen - damit noch über das
-
Lobbying sprechen kann - auf die Uhr
gucken. Eine weitere Neuerung ist der...
-
wäre die effektive Rechtsdurchsetzung,
effektivere Rechtsdurchsetzung. Bislang
-
ist es ja so, dass Datenschutz vor allen
Dingen auch daran krankt, dass er kaum
-
durchgesetzt wird. Das würde sich... wird
sich mit der Datenschutzgrundverordnung
-
sowieso hoffentlich ändern, weil die
Datenschutzbehörden stärkere
-
Durchsetzungsmittel an die Hand bekommen.
Hier an der Stelle, für den Bereich
-
ePrivacy soll es einerseits eine
Vereinheitlichung der Aufsicht geben bei
-
den unabhängigen Datenschutzbehörden, es
wird das Marktort-Prinzip gelten, es soll
-
keine Schlupflöcher mehr geben durch die
Wahl des Firmensitzes. Auch hier soll es
-
Sanktionen von bis zu 20 Millionen Euro
oder 4% des weltweiten Umsatzes
-
geben, ein Recht auf Schadenersatz und -
auch das hat das Parlament sozusagen
-
reingeschrieben - ein Verbandsklagerecht,
dass man sich vertreten lassen kann von
-
NGOs beispielsweise. Jetzt muss ich mal
auf die Zeit gucken. Wie viel hab ich
-
noch? Ok, wow. Es soll mehr Transparenz
über staatliche Zugriffe geben, also auch
-
die ePrivacy-Verordnung... auch mit dieser
ePrivacy-Verordnung würden
-
Vorratsdatenspeicherung weiter möglich
bleiben. Man hat da den Weg gewählt, das
-
den Mitgliedsstaaten zu überlassen. Es
wäre natürlich eine tolle Möglichkeit
-
gewesen, an der Stelle auf europäischer
Ebene zu sagen, okay,
-
Vorratsdatenspeicherungen gehen eben
nicht, ist aber eben nicht durchsetzbar
-
und deshalb hat das Parlament zumindest
entschieden, dass es mehr Transparenz
-
geben soll an der Stelle, also
Diensteanbieter müssen staatliche Zugriffe
-
umfangreich kontroll... dokumentieren und
Datenschutzbehörden zur Verfügung stellen,
-
müssen selber jährlich statistische
Berichte und Statistiken darüber
-
veröffentlichen, wie viele Anfragen sie
hatten. Und auch die
-
Strafverfolgungsbehörden müssen
jährliche... sollen dazu verpflichtet
-
werden, jährliche Berichte vorzulegen. Und
ich glaube, das ist der letzte inhaltliche
-
Teil dazu: verstärkte Sicherheit. Auch
hier gibt es sozusagen durchaus
-
Fortschritte: Anbieter von
Kommunikationsdiensten sollen verpflichtet
-
werden, die Kommunikation ihrer Nutzer
durch modernste technische Vorkehrungen
-
wie Verschlüsselungsverfahren - explizit
eben auch Ende-zu-Ende-Verschlüsselung zu
-
schützen -, es soll ein explizites Verbot
geben, verschlüsselte Kommunikationsdaten
-
durch jemand anderen als den Nutzer selbst
zu entschlüsseln und die EU-
-
Mitgliedstaaten sollen keine Gesetze
erlassen dürfen, die Backdoors
-
ermöglichen, also ein relativ - gerade im
Verhältnis, so habe ich es noch nirgendwo
-
anders gesehen - dass das Recht auf
verschlüsselte Kommunikation eben so stark
-
auskodifiziert wäre. Den letzten Bereich
überspringen wir mal, denn wir wollen ja
-
noch über die Lobby-Schlacht sprechen.
Fassen wir zusammen: also ein höheres
-
Schutzniveau als das der Datenschutz-
Grundverordnung für Kommunikationsdaten,
-
bessere Kontrolle von Online-Tracking,
Privacy by Default und ein Verbot von
-
Tracking-Walls, klare Grenzen für das
Offline-Tracking, bessere Durchsetzung des
-
Datenschutzes, Klagemöglichkeiten für
Verbände und NGOs, mehr Transparenz über
-
staatliche Überwachung und ein
verhältnismäßig stark kodifiziertes Recht
-
auf Verschlüsselung. Auch wenn nicht alles
perfekt ist in dieser Verordnung oder in
-
dieser Position muss man schon sagen, das
ist aus der Sicht von Nutzerinnen- und
-
Nutzerrechten schon ein echt gutes Brett,
was das Parlament da beschlossen hat. Und
-
gerade wenn man sich anschaut, welchen
schweren Stand Datenschutz praktisch und
-
politisch derzeit hat und wenn man sich
den Entstehungsprozess näher anschaut,
-
muss man eben sagen, das EU-Parlament hat
an der Stelle ganze Arbeit geleistet. "Das
-
Internet, wie wir es kennen, ist in
Gefahr." - Ich würde sagen: gut so, weil
-
eben Nutzerinnen und Nutzer wieder die
Möglichkeit bekommen sollen, mündiger zu
-
entscheiden und stärker selbst zu steuern,
was mit ihren Informationen passiert.
-
Nicht wenige Lobbyisten dürfen sich Ende
Oktober gefragt haben, als das Parlament
-
das beschlossen hat, wie konnte das denn
eigentlich passieren und wir können eins
-
sagen: Am Aufwand, den die Werbe- und
Tracking-Industrie betrieben hat, um diese
-
Verordnung zu verhindern oder zu
verwässern, hat es ganz bestimmt nicht
-
gelegen. Ich hoffe, ihr seid bereit für
noch ein paar... und ich hab noch ein paar
-
Minuten für noch ein paar Schauer- und
Weltuntergangsszenarien. Also los gings im
-
Sommer 2016, erst mal das Verfahren mit
einer Konsultation. Die EU-Kommission hat
-
quasi angekündigt, wir wollen die
ePrivacy-Richtlinie reformieren, und hat
-
eine Konsultation gemacht - da hat sich
schon sehr stark offenbart, wie groß die
-
Spaltung ist. Also 83% der
teilnehmenden Bürgerinnen und Bürger und
-
NGOs waren eben dafür, dass es spezifische
ePrivacy-Regelungen gibt zum Schutz der
-
Kommunikation und nur 31% der
Unternehmen waren dafür. Und während 77%
-
der Zivilgesellschaft für ein
Verbot von Tracking Walls beispielsweise
-
waren, waren 75% der Unternehmen
dagegen. Eine krasse Spaltung. Und kurz
-
nach der Veröffentlichung dieser
Konsultationen ist ein bemerkenswertes
-
Bündnis aus quasi allen Firmen, die
irgendwas mit digital zu tun haben, auf
-
den Plan getreten und hat dafür geworben,
die Verordnung, das ePrivacy-Thema einfach
-
komplett zu streichen, die Verordnung gar
nicht... überhaupt keine Reform
-
vorzunehmen. Es gibt ja die Datenschutz-
Grundverordnung, also das ist mal eine
-
Liste der Unternehmen, die sich quasi...
die mit vertreten waren in den Verbänden,
-
die sich dafür ausgesprochen haben, die
Regeln einfach wegzulassen. Also wirklich
-
von Google, Facebook, Telekom bis hin zu
so interessanten Unternehmen wie Airbus
-
oder Bayer. Und AOL gibt's auch noch. Es
gibt einen sehr lesenswerten Bericht der
-
Transparenz-Organisation Corporate Europe,
der sehr minutiös nachzeichnet, wo und wie
-
das Big Data-Business versucht hat, die
Regulierungs-Bestrebungen der EU zu
-
beeinflussen, der ist sehr lesenswert. Da
ist sozusagen der ganze Baukasten des
-
Lobbyings zum Einsatz gekommen:
Einzeltreffen mit hochrangigen Vertretern
-
der EU-Kommission, Auftragsstudien,
Veranstaltungen, Kampagnen... öffentliche
-
Kampagnen und die Mobilisierung einzelner
einflussreicher Unternehmen. Und bei der
-
EU-Kommission haben sie damit relativ gute
Karten gehabt. Von 41 Treffen, die
-
dokumentiert sind zu diesem Thema - es
sind in Wirklichkeit wahrscheinlich
-
deutlich mehr - fanden 36 statt mit
Unternehmensvertretern, nur fünf Treffen
-
hochrangiger EU-Kommissionsvertreter
fanden statt mit NGOs. Dementsprechend hat
-
sich ein... ist der Entwurf, den die EU-
Kommission dann im Frühjahr 20... im
-
Januar 2017 vorgelegt hat, auch deutlich
schwächer ausgefallen, als man das erhofft
-
hatte und als es noch eine, im Dezember
geleakte Version, ihres Entwurfs nahegelegt
-
hatte, der einigen Firmen bzw. wirklich in
dem großen, dem großen Bündnis aus
-
Tracking- und Daten-Firmen reichte das
nicht - den hier hatten wir eben schon -
-
im Laufe des Jahres ist dann auch die
Verlagsbranche auf den Anti-ePrivacy-Zug
-
aufgesprungen, also "Die ePrivacy-
Verordnung ist ein Angriff auf den freien
-
Journalismus im Netz", sagt der Verband
Deutscher Zeitschriftenverleger. Und der
-
Bundesverband Deutscher Zeitungsverleger.
In einem gemeinsamen Statement. Es gab
-
einen offenen Brief von ganz vielen
internationalen Verlagen an das EU-
-
Parlament, das Thema wegzulassen und die
ePrivacy-Verordnung nicht in dieser
-
strengen Form zu verabschieden. Und
natürlich die Filme habe ich euch... oder
-
den einen Film habe ich euch eben schonmal
kurz gezeigt. Es gibt auf der Seite noch
-
ein paar mehr, Like a bad Movie, wenn ihr
euch die anschauen wollt, es lohnt sich.
-
Sodass am Ende selbst Michael Boni, der
Verhandlungsführer der
-
christdemokratischen Fraktion im
Parlament, beklagte, dass der Lobbyismus
-
übertrieben sei - zwar von beiden Seiten,
aber eben deutlich übertriebener von Seiten
-
der Wirtschaft. Nichts destotrotz hat es am
Ende nichts genutzt: mit 318 zu 280
-
Stimmen hat das Parlament Ende Oktober
diese Position beschlossen, die ich eben
-
erzählt habe. Vorangegangen ist dem
wirklich ein sehr krasser politischer
-
spannender Krimi. Denn kurz vor der
entscheidenden Abstimmung im Innen- und
-
Justizausschuss des Parlaments, wo eben
die Hauptverhandlungen stattgefunden
-
haben, haben die Konservativen sozusagen
wirklich zwei Tage vor der Abstimmung die
-
Verhandlungen über Kompromisse
abgebrochen. In dem Wissen, dass
-
Sozialdemokraten, Liberale, Linke und
Grüne alleine in dem Ausschuss nicht über
-
die absolute Mehrheit verfügen, die
notwendig gewesen ist oder wäre, um dieses
-
starke Verhandlungsmandat zu beschließen.
Die Konservativen wollten... oder die
-
christdemokratische Fraktion wollte darauf
bestehen, dass in jedem Falle ein further
-
processing von Daten ermöglicht wird und
hat dann die Verhandlung vorher
-
abgebrochen. Die Rechnung ist allerdings
nicht ganz aufgegangen. Ein bisschen
-
verzockt an der Stelle: Mit genau 31
Stimmen, also genauso viel wie notwendig
-
waren, hat dieses pro-Privacy-Bündnis am
Ende die Abstimmung im Ausschuss gewonnen.
-
Denn drei Stimmen fehlten denen eigentlich
und zwei Abgeordnete der italienischen
-
Fünf-Sterne-Bewegung haben mitgestimmt und
dieser Spaßvogel hat eben auch mit dafür
-
gestimmt.
Applaus
-
Und das obwohl er eigentlich
nicht einmal in diesem Ausschuss sitzt.
-
Denn er hat es geschafft, den NPD-Mann im
diesem Ausschuss, Udo Voigt, zu
-
überzeugen, dass er sein Stellvertreter
sein kann an diesem Tag.
-
Lachen, Applaus
Also wir müssen Martin Sonneborn danken,
-
aber ich will an dieser Stelle auch noch
mal explizit wirklich sagen, dass
-
natürlich die wichtige Vorarbeit an der
Stelle ja von den Verhandlungsführern der
-
Sozialdemokraten, Marju Lauristin aus
Estland, natürlich Jan Albrecht und sein
-
Team, die niederländische Abgeordnete der
Liberalen Sophia in 't Veld und auch die
-
federführende Linke Cornelia Ernst, an der
Stelle echt gute Arbeit geleistet haben.
-
Applaus
Okay, damit es noch eine kurze Q&A geben
-
kann, sage ich mal... überspringe ich
jetzt mal so ein paar Kleinigkeiten,
-
allerdings wichtig: der Lobby-Kampf, die
Lobby-Schlacht ist eben noch lange nicht
-
vorbei. Das Parlament hat seine Position
beschlossen, bevor die ePrivacy-Verordnung
-
wirklich verabschiedet wird, muss sich
jetzt der Rat, der EU-Rat, also die
-
Mitgliedsstaaten, die Regierungen der
Mitgliedsstaaten positionieren. Das dauert
-
noch an. Die derzeitige bulgarische
Ratspräsidentschaft hat quasi gesagt, es
-
wird vor Juni 2018 nichts. Eigentlich war
mal geplant, dass die ePrivacy-Verordnung
-
auch im Mai 2018 in Kraft tritt. Das heißt
für den weiteren Prozess: besser als das,
-
was das Parlament beschlossen hat, wird es
wahrscheinlich eher nicht mehr. Die
-
Erfahrungen im Trilog zeigen, und auch das
was bisher schon von den Positionierungen
-
oder von den ersten Stimmen aus dem Rat zu
hören war, zeigen, es wird eher
-
schlechter. Zum Beispiel gibt es eine Idee
und einen Vorschlag, die Reichweite der
-
ePrivacy-Verordnung darauf zu beschränken,
dass nur Daten im Transit, im Transport
-
sozusagen, davon umfasst sind. De facto
liegen aber die meisten Daten heute in der
-
Cloud, liegen auf Servern. Und die wären
eben ausgenommen von den ePrivacy-Regeln.
-
Das heißt der Lobby-Kampf ist noch lange
nicht vorbei und jetzt drehen Tracking-
-
und Daten-Industrie nochmal richtig auf
und bekommen auch jetzt sehr breite
-
Unterstützung, also unter anderem auch von
RTL-Chefin Anke Schäferkordt, die sagt,
-
die EU würde jetzt mit der ganz großen
Datenschutz-Keule kommen, den Werbe-
-
Verband hatte ich eben schonmal genannt,
die sagen, lasst uns doch lieber weiter das
-
Modell der Selbstregulierung machen, hat
doch gut funktioniert in den letzten 10
-
Jahren, dass wir als Tracking-Branche uns
selbst regulieren. Ich hab mir das mal
-
angeguckt, aber dafür ist jetzt leider
nicht mehr die Zeit, wie diese
-
Regulierung... Selbstregulierung
eigentlich aussieht. Es gibt einen Code of
-
Conduct, den man sich mal durchlesen kann,
wo unter anderem drinsteht, dass man
-
Beschwerden auf der wunderhübschen Seite
meine-cockies.org, die eher aussieht wie
-
eine Hobby-Seite aus den frühen Nuller
Jahren, irgendwie sich beschweren kann,
-
falls man ein Problem hat. Und was findet
man dort auf der Seite eben nicht? Ein
-
Formular. OK. Also. OK, ich krieg das
Zeichen, ich darf das nicht mehr machen.
-
Deshalb nur noch einmal kurz durch
durchgegangen, ich zeig sie einfach nur an
-
der Stelle: ePrivacy-Mythen. Es sind
extrem viele Mythen im Umlauf. Wir haben
-
auf netzpolitik.org vor zwei Wochen ein
sehr lesenswertes Interview, wie ich
-
finde, dazu veröffentlicht, wo Florian
Glatzner vom Verbraucherzentrale-
-
Bundesverband einige der zentralen Mythen
wirklich mal aus- und vornimmt. Weil
-
natürlich die Erzählung, die EU übertreibt
total beim Datenschutz, die wissen nicht
-
was sie machen, die machen die
Innovationen kaputt in Europa und am Ende
-
profitieren dann doch nur die bösen
Amerikaner, das sind sehr starke
-
Erzählungen, die irgendwie gut
funktionieren in der Öffentlichkeit.
-
Deshalb. Das Fazit kann natürlich an der
Stelle nur lauten "tu wat" oder "tut wat".
-
Und zwar nicht nur praktisch, sondern eben
auch politisch. Datenschutz rockt oder
-
kann rocken, wenn er denn vernünftig
durchgesetzt wird und wenn er denn
-
vernünftig funktioniert. Und es ist an
uns, quasi das einzufordern, das von
-
Unternehmen einzufordern, die aber auch zu
beraten und es ihnen möglich zu machen,
-
selber technische Lösungen zu entwickeln,
und vor allen Dingen dem Datenschutz den
-
gesellschaftlichen Stellenwert zu
besorgen, den er verdient hat, und gerade
-
auch in den Medien. Also ich kann immer
noch nicht fassen, dass im Jahr 2017 noch
-
die meisten... noch den meisten
Nachrichtenredaktionen das Thema Datenschutz
-
zu trocken oder zu kompliziert ist, um
darüber zu berichten. Ich hab - nicht nur
-
weil ich unsere Texte am besten finde -
sozusagen die ganzen Artikel von uns immer
-
genommen, wenn ich was gezeigt habe. Es
hat einfach kaum jemand außer noch ein,
-
zwei Fachmedien darüber berichtet über das
Thema und das kann eigentlich im Jahr 2017
-
nicht mehr sein. Genau. An der Stelle sage
ich einfach mal Punkt.
-
Applaus
-
Wir werden bei netzpolitik.org natürlich
-
das machen, was wir weiter... was wir
immer machen, wir werden versuchen, alle
-
Leute mit den Informationen zu versorgen,
die sie brauchen, um selbst mündig sich
-
mit dem Thema auseinanderzusetzen. Wir
freuen uns über Spenden genauso wie EDRi
-
und Digitale Gesellschaft, das schiebe ich
nochmal hinterher, die eben im politischen
-
Prozess wirklich mit Politikerinnen und
Politikern, Verantwortungsträgern sprechen
-
und dafür sorgen, dass Nutzerinnen- und
Nutzer-Positionen vertreten werden. Also
-
die alle können unsere... eure
Unterstützung gebrauchen. Vielen Dank.
-
Applaus
-
Herald: Danke, Ingo. Ich glaube, wir haben
-
Zeit für eine Frage. Wenn ihr eine Frage
habt für Ingo, dann nehmt euch bitte eins
-
dieser Mikrofone in den Gängen, da haben
wir vier Mikrofone ausgestellt. Oh, da ist
-
jemand ganz schnell am Mikrofon Nummer 2.
Und bitte ganz deutlich ins Mikrofon
-
reinsprechen, damit wirs auch im Stream
hören können.
-
M2: Ich versuchs mal ohne sächsischen
Akzent - hallo. Ich hätt ne Frage zu den
-
Strafen. Ob da auch was reguliert wurde
oder ob da die Lobby Bezug drauf genommen
-
hat und das ein bisschen runterregulieren
konnte, oder ob sie sich da nicht
-
durchsetzen konnten.
ID: Nach dem, was ich von außen sozusagen
-
sagen kann, ist das nicht runter, ist an
der Stelle zumindest das Parlament hat
-
sich da nicht runterregulieren lassen. Das
ist analog zu dem, was in der Datenschutz-
-
Grundverordnung steht, und das ist quasi
eine Verhundertfachung, Vertausendfachung
-
von dem, was heute an Strafen möglich ist.
Also 4% des weltweiten Umsatzes,
-
das ist eben für einen global agierenden
Konzern dann wirklich so, dass endlich mal
-
ein empfindliches Maß bekommt. Von daher,
mehr wäre natürlich immer noch möglich, im
-
Wettbewerbsrecht sind es bis zu 10%
des Konzernumsatzes. Also, da geht noch
-
was.
H: Gibts es weitere Fragen? Wir haben noch
-
Zeit für eine weitere oder zwei weitere
Fragen, das war sehr kurz. Oh, am Mikrofon
-
Nr. 1.
M1: Was würde passieren, wenn ich bei der
-
Schufa meine Datenlöschung beantrage?
ID: Äääähm... gute Frage. Warte mal, bis
-
die Datenschutz-Grundverordnung im Mai
2018 in Kraft tritt oder wirksam ist - in
-
Kraft ist sie ja schon - und dann mach das
mal bitte und dann gib mir Bescheid. Dann
-
begleiten wir das, dann gucken wir uns das
an.
-
Lachen
-
H: Gute Antwort. lacht Und Mikrofon Nr. 2.
M2: Ingo, könntest du bitte nochmal kurz
-
erläutern, warum diese ePrivacy-Verordnung
zusätzlich zur EU-
-
Datenschutzgrundverordnung nötig ist. Es
sind sehr viele Sachen, die sind in der
-
EU-Datenschutzgrundverordnung sehr ähnlich
oder genau identisch geregelt.
-
ID: Also, der zentrale Punkt ist, dass
es... weil Kommunikationsdaten, Metadaten,
-
Inhaltsdaten eben besonders sensibel sind,
weil sie eben besonders viel aussagen,
-
dass es eben ein höheres und ein
konkreteres Schutzniveau bedarf. Also wenn
-
wir zum Beispiel uns anschauen, was die
Diensteanbieter machen dürfen mit den
-
Daten von ihren Kunden, dann bietet eben
die ePrivacy-Verordnung die Möglichkeit,
-
da eine klarere Grenze zu ziehen als das
über die Datenschutzgrundverordnung der
-
Fall ist. Da gibt es ja leider dieses
legitime Interesse als Verarbeitungsgrund,
-
das alles heißen kann. Und da ist es
einfach eine klarere, eine striktere
-
Grenze gezogen, wenn man sagt, nur auf
Basis von Einwilligung. Und sowas wie
-
privacy by default und Tracking-Schutz
durch Browser ist eben etwas, das über die
-
Datenschutzgrundverordnung nicht reguliert
ist. Also von daher ist die Antwort, es
-
ist an der Stelle einerseits eine
Ergänzung, weil bestimmte Sachen einfach
-
nicht abgedeckt sind durch die
Datenschutzgrundverordnung, die ist ja
-
sehr allgemein, die ist ja für alles vom
Bäcker eben bis zum Big-Data-Unternehmen,
-
und eigentlich aus einer Perspektive eines
progressiven Datenschutzes müsste man
-
sagen, genauso wie es mit der ePrivacy-
Verordnung jetzt für den Bereich
-
der elektronischen Kommunikation
passiert ist,
-
müsste man es vielleicht auch noch
für bestimmte andere Bereiche
-
machen, dass man eben diese sehr
grundsätzlichen, allgemeinen Regelungen,
-
die es gibt für den Datenschutz insgesamt,
ergänzt durch etwas Spezifisches.
-
Weil einfach der Datenschutz im
Gesundheitsbereich etwas ganz anderes ist
-
als jetzt beim Verkauf von Autos.
H: Okay, dann noch die letzte Frage, die
-
müssten wir auch kurz halten und dann geb
ich das Wort...
-
ID: Wir haben auch später angefangen.
H: ... an Mikrofon Nummer 1 bitte.
-
M1: Ja, ganz kurz: Die Lebensmittel-Mafia
hat ja ungefähr 2 Millarden dafür
-
ausgegeben für Lobby-Arbeit gegen die
Ampel. Ist jetzt schon bekannt, was die
-
Datenhehler ungefähr monetär an den Start
gebraucht haben?
-
ID: Kann ich nicht sagen, keine Ahnung.
Aber es ist eben klar, dass die spätestens
-
seit der Datenschutzgrundverordnung
deutlich besser aufgestellt sind. Also ich
-
kann es dir nicht monetär sagen, aber der
Aufwand ist enorm und auch allein das
-
Zahlenverhältnis, wie viele Leute sind vor
Ort und können mit Kommissionsvertretern
-
sprechen, steht eben in keinem Verhältnis
zu dem, was die digitale Zivilgesellschaft
-
da auf die Beine kriegen kann derzeit.
H: Okay und damit beenden wir den Talk.
-
Vielen Dank, Ingo!
-
Applaus
-
Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2018. Mach mit und hilf uns!
