Von Dr. Olaf Koglin
Seit einem Jahr wird über Entwürfe der sog. ePrivacy-Verordnung diskutiert – der von der EU-Kommission stammende erste Entwurf datiert auf den 10.01.2017. Aus dem früheren Datenschutzrecht ist dabei eine gesetzliche Regulierung für Software-Produkte geworden, die nicht nur Browser, sondern jede Software mit Kommunikationskomponente betrifft - auch Open Source Software.
Hintergrund:
Wie beim Übergang von der Datenschutz-Richtlinie aus 1995 – die wie alle EU-Richtlinien jeweils individuell und heterogen durch nationale Gesetze umgesetzt werden musste – zur Datenschutz-Grundverordnung soll beim „Cookie-Recht“ die bisherige ePrivacy-Richtlinie (das ist die Richtlinie 2002/58, die durch Richtlinie 2009/136 insb. in ihrem Artikel 5 novelliert wurde) durch eine Verordnung ersetzt werden. EU-Verordnungen gelten mit ihrem originalen EU-Text unmittelbar in allen Mitgliedsstaaten. D.h., es wird zwar verschiedene Sprachfassungen derselben EU-Verordnung geben, der Inhalt der Verordnung und eines jeden Paragrafen (die in EU-Normen „Artikel“ heißen) ist aber in allen Sprachfassungen exakt identisch und gilt einheitlich in allen Mitgliedsstaaten, ohne dass es einer Umsetzung bedarf und ohne dass Spielraum für unterschiedliche Umsetzungen besteht.
Die für Cookies und ähnliche Technologien relevanten Teile sind Art. 8, 9 (bzw. je nach Entwurf 4a) und 10 des ePrivacy-Entwurfs. Art. 8 regelt verkürzt, unter welchen Voraussetzungen Daten im Endgerät des Users gespeichert oder ausgelesen werden dürfen. Diese Themen sind derzeit Gegenstand zahlreicher politischer Diskussionen, auf die hier nicht weiter eingegangen werden soll.
Ein Datenschutzgesetz – was ist der Bezug zu Open Source Software?
Wichtig: Anders als im den entsprechenden Teilen der bisherigen ePrivacy-Richtlinie und des deutschen Telemediengesetzes soll die Cookie-Regulierung kein Datenschutzgesetz mehr sein, sondern unabhängig davon gelten, ob dort personenbezogene Daten gespeichert werden.
Der EU denkt dabei an Cookies und damit an Browser. Ihr schwebt dabei vor, dass die Einstellungen für Cookies & Co. differenziert in den Browser-Einstellungen vorgenommen werden können und dann verbindlich sind. Daher sollen die Browser-Hersteller verpflichtet werden, entsprechende Einstellmöglichkeiten zu implementieren. Konsequenterweise soll dies aber nicht nur klassische Browser betreffen – bekanntlich verschiebt sich die Internet-Nutzung der Enduser vom „stationären“ Internet zum mobilen. Daher sollen, insoweit folgerichtig, auch Smartphone-Browser und Apps gleichermaßen von der Regulierung erfasst werden.
Der entsprechende Art. 10 soll in etwa lauten (hier die Textzusammenfassung des Rats vom 05.12.2017):
Article 10 Information and options for privacy settings to be provided
1. Software placed on the market permitting electronic communications, including the retrieval and presentation of information on the internet, shall offer the option to prevent any other parties than the end-user from storing information on the terminal equipment of an end-user or processing information already stored on that equipment.
2. Upon installation or first usage, the software referred to in paragraph 1 shall inform the end-user about the privacy settings options and, to continue with the installation or usage, require the end-user to consent to a setting.
2a. The software referred to in paragraph 1 shall provide in a clear manner easy ways for end-users to change the privacy setting consented to under paragraph 2 at any time during the use.
3. In the case of software which has already been installed on [25 May 2018], the requirements under paragraphs 1 and 2 shall be complied with at the time of the first update of the software, but no later than [25 August 2018].
Somit gilt diese Regulierung nicht nur für Browser, sondern gem. Art. 10 Abs. 1 für jede Software, die „elektronische Kommunikation” ermöglicht. Dies entspricht klar dem Ziel des Gesetzgebers und den Definitionen in Art. 4 – electronic communication meint nicht nur Software zur bewussten Kommunikation durch einen Menschen wie Browser, Skype und WhatsApp, sondern jegliche Software, die Daten überträgt, und zwar einschließlich Machine-to-machine-Kommunikation (M2M) und dem vielzitierten „Internet of Things“. Die ePrivacy-Verordnung soll also jegliche Software regulieren mit Ausnahme von „Offline-Programmen“ wie einer Taschenlampen-App.
Diese Programme müssen nach Art. 10 Abs. 1 die Option anbieten, dass Drittanbieter im Endgerät keine Daten speichern können und keine dort gespeicherten Daten verarbeiten können. Zudem müssen die Programme nach Art. 10 Abs. 2 so modifiziert werden, dass „upon installation or first usage“ eine entsprechende Abfrage zu den „privacy settings“ erfolgen muss. Dabei muss der User aktiv in die entsprechenden Einstellungen einwilligen („consent“). Doch Vorsicht – „consent“, hier als Verb verwendet, hat unter der DSGVO eine ganz besondere Bedeutung, und auf diese wird in der ePrivacy-VO verwiesen (je nach ePrivacy-Entwurf durch Art. 9 oder Art. 4a). Um einen solchen „consent“ zu erhalten, muss der User vorher ausführlich informiert werden und eine bewusste, freie Entscheidung treffen (die Anforderungen in Form eines Prüfungsschemas finden Sie hier unter 4.a)
Für bereits installierte Software gibt es nach Art. 10 Abs. 3 mit einer Übergangsfrist von maximal drei Monaten die Verpflichtung, die Software an die genannten Anforderungen aus Art. 10 Abs. 1 und 2 anzupassen. Somit besteht auch für früher geschriebene Software, die gar nicht weiter gepflegt wird, eine entsprechende Update-Pflicht. Die EU denkt hier an die großen Browserhersteller, denen diese Pflicht vielleicht auferlegt werden könnte (interessante Frage dabei: Muss Microsoft eine konforme Fassung des Explorer für Windows XP bereitstellen oder reicht eine aktuelle Edge-Version?).
Nach Art. 23 Abs. 1 sollen Software-Provider einem Bußgeld von bis zu 10 Mio. EUR unterliegen, wenn sie diese Pflichten nicht einhalten. Dieser Bußgeldrahmen (oder alternativ 2% des Jahresumsatzes, was für Open Source-Projekte in der Regel nicht höher als 10 Mio. EUR sein wird; eine der Ausnahmen könnte die „Althaftung“ von Sun Microsystems bzw. Oracle für Open Office sein) wurde aus der Datenschutz-Grundverordnung übernommen.
Wozu führt das?
Hier läuft ein gutgemeinter Gedanke aus dem Ruder: Die EU denkt an Cookies und will die Browser-Hersteller zum Gatekeeper der Cookie-Opt-Ins machen. So weit, so gut. In sich konsequent soll diese Regulierung nicht nur für echte Browser-Cookies gelten, sondern auch für andere Formen des Trackings.
Dann ist aber schon der Anwendungsbereichs beinahe endlos: Die Regulierung verpflichtet nicht nur die wenigen großen Browseranbieter, sondern jeden Software-Anbieter. Und sie gilt zudem nicht nur für Trackingsoftware und Browser, sondern faktisch für jede Software, die eine Internetverbindung hat und Daten, zumindest im Browser oder im Cache, speichert.
Und das gilt nicht nur bezüglich der aktuellen, gepflegten Software, sondern ohne zeitliche Begrenzung auch für Altsoftware, die vielleicht gar nicht mehr gepflegt wird. Da sich Art. 10 nicht nur an gewerbliche Software-Provider richtet, sondern allgemeine Anforderungen an Software in der EU stellt, sind auch Open-Source-Projekte und -Programmierer betroffen.
Da aber der Bußgeldrahmen aus der Datenschutz-Grundverordnung übernommen wurde, wo man an die großen Konzerne wie Facebook oder Google dachte, liegt der Bußgeldrahmen für Verstöße bei 10 Mio. EUR.
Dies wäre eine bedauernswerte Bedrohung für Open-Source-Projekte.
Transparenzhinweis: Der Autor arbeitet für die Axel Springer SE, die sich in der Frage der Zulässigkeit werbefinanzierter Geschäftsmodelle eindeutig positioniert.