Erstellt am: 19. 12. 2016 - 19:00 Uhr

EU nimmt 2017 Facebook und Co. in die Pflicht

US-Internetkonzerne geraten in Europa sowohl steuerlich wie auch mit konsequenten Datenschutzregeln und Forderungen gegen "Hasspostings" immer mehr unter Druck

Die in der vergangenen Woche geleakte Novelle für eine neue "ePrivacy"-Verordnung ist ein weiteres Indiz für einen Trend, der sich im Lauf des Jahres immer klarer abgezeichnet hatte: Facebook und andere US-Internetkonzerne kommen in Europa von allen Seiten unter Druck. Laut Entwurf der EU-Kommission sollen die für europäische Telekoms und Provider gültigen Datenschutzregeln 2017 auf die Internetfirmen ausgedehnt werden. Diese Datenschutzvorgaben aber sind großteils auf Kollionskurs mit den Geschäftsmodellen der Konzerne.

Am Montag gab Apple bekannt, das Urteil der Kommission gegen sein irisches Steuersparmodell anzufechten; im Lauf des Jahres hatten immer mehr EU-Mitgliedstaaten verlangt, dass die US-Internetkonzerne Steuern dort bezahlen, wo ihre Umsätze entstehen. Am Freitag haben Deutschland und Österreich neue Gesetze angekündigt, um gegen "Hasspostings" und "Falschnachrichten" auf Facebook vorzugehen und eine EU-weite Regelung verlangt.

Gleichstellung per Verordnung

ISPA

Maximilian Schubert, Generalsekretär der ISPA

Mit der im Entwurf der ePrivacy-Novelle wurde eine Gleichstellung der Internetfirmen mit Zugangsanbietern beim Schutzniveau von Kundendaten angestrebt, sagte Maximilian Schubert, Generalsekretär der Internetserviceprovider Österreichs (ISPA) zu ORF.at. Angesichts der europaweit in der Vergangenheit völlig unterschiedlich umgesetzten Richtlinie zum Datenschutz oder der missglückten und längst obsoleten zu Cookies sei sehr begrüßenswert, dass es sich nun nicht mehr um eine Richtlinie handle, die bei der Umsetzung in nationales Recht viel Spielraum lasse.

Wie die DSGVO ist der e-Privacy-Entwurf eine Verordnung, die quer durch die EU wortgetreu umgesetzt werden müsse. Das helfe, "Situationen wie in Irland" künftig zu vermeiden, so Schubert weiter. Gemeint ist damit die demonstrativ laxe Umsetzung der ersten Datenschutzrichtlinie von 1995 in Irland, wo die Europazentralen der allermeisten US-Internetkonzerne angesiedelt sind.

Public Domain

Artikel 10 der e-Privacy-Verordnung

"Privacy by Design

Die Kontrollinstinstanz für Facebook, Apple und Google ist Europas mithin kleinste Datenschutzbehörde, die obendrein weit außerhalb von Dublin mitten in der irischen Provinz angesiedelt ist. Zudem setzte Irland bis zuletzt alles daran, um die Bestimmungen der Datenschutzgrundverordnung möglichst zu verwässern, durchsetzen konnten sich die Iren mit Forderungen - etwa nach Rügen statt Strafen auch bei schweren Datenschutzverstößen - freilich nicht.

Dieses irische Steuer- und Datenschutzbiotop für die IT-Großkonzerne aus den USA ist einerseits durch das Steuerverfahren gegen Irland bzw. Apple sehr gefährdet. Dazu kommen nun die Datenschutzvorgaben, deren Umsetzung diesmal zwingend ist. Artikel 10 der geplanten e-Privacy-Verordnung setzt direkt auf der Vorgabe der DGSVO von "Privacy by Design" für alle Services auf. Die ausgelieferte Software - ob standalone oder zusammen mit der Hardware - muss sozusagen mit der Grundeinstellung "Datenschutz" daherkommen.

Die Linie e-Privacy

Datenweitergabe an Dritte ist da einmal als Voreinstellung bei Smartphones, Tablets oder auch Geräte für das "Internet der Dinge" explizit verboten, Freigaben für den Zugriff auf diese Daten kann also nur der Besitzer der Geräte selbst erteilen. Diese Linie zieht sich durch die gesamte Verordnung: Zugriffe auf personenbezogene Daten der Kunden im Internet sind grundsätzlich nicht erlaubt, sofern sie nicht zur Abwicklung des Services technisch notwendig sind.

Public Domain

Dasselbe Prinzip gilt etwa auch für sogenannte "Cold Calls", also Direktmarketing am Telefon. Anders als Marketing via E-mail waren diese unverlangten und vielfach bereits maschinell abgewickelten Verkaufsanrufe, in der EU nicht einheitlich geregelt. Die neue Regelung hält fest, dass dies nur statthaft ist, wenn die Angerufenen davor die Einwilligung erteilt hatten. Bestandkunden können natürlich auch in Folge telefonisch kontaktiert werden, im Fall von solchermaßen geschäftlicher E-Mail ist in jeder ein "unsubscribe"-Link zwingend vorgesehen.

Metadaten dürfen so ebenfalls nur unter bestimmten Bedingungen verarbeitet werden, darunter fallen Qualitätskontrolle, Netzwerksicherheit oder Notfalldienste oder eben Kunden, die dazu eingewilligt haben. Grundsätzlich müssen Metadaten unmittelbar nach Ende der Kommunikation gelöscht bzw. anonymisiert werden, Ausnahmen gibt es logischerweise für Rechnungszwecke.

Public Domain

Auch hier dasselbe Bild: Grundsätzlich wird einmal die Vertraulichkeit der Kommunikation festgehalten, die Zugriffsmöglichkeiten für Dritte sind so als Ausnahmen definiert.

Gleichstellungsfragen

Was die Gleichstellung der europäischen Telekoms betrifft, so habe es allerdings auch hierzulande unter den ISPA-Mitgliedern "unterschiedliche Ansichten" gegeben, ob diese Gleichstellung nämlich "nach unten oder doch nach oben" gehen sollte, so der ISPA-Generalsekretätr weiter. Die Telekom-Lobby ETNO und eine halbes Dutzend anderer Industrieverbände aus Europa und den USA hatten noch vor dem Start der Arbeit an der Novellierung im Sommer überhaupt eine ersatzlose Streichung der ePrivacy-Richtlinie gefordert.

Diese versuchte Anpassung "nach ganz unten" gibt einen Vorgeschmack darauf, dass nach dem offiziellen Start im Jänner massive Lobbyingkampagnen sowohl der Telekoms wie auch der Internetkonzerne zu erwarten sind. Das geleakte Dokument ist ja nur ein erster Entwurf für die e-Privacy-Verordnung , der im Jänner dem EU-Ministerrat und dann dem EU-Parlament vorgelegt wird.

Diesem Kommissionsentwurf sieht man es jedenfalls nicht an, dass er noch unter dem bisher für die digitale Agenda zuständigen Kommissar Günther Oettinger entstanden ist. Ganz anders als etwa der Entwurf für eine Novelle der Copyright-Richtlinie bildet dieser Ansatz nicht die Partialinteressen verschiedener Wirtschaftszweige ab, sondern ist - wie auch sein Name e-Privacy sagt - aus der Perpektive von Individuen verfasst. Selbiges lässt sich nicht über sehr viele EU-Richtlinien und Verordnungen sagen.