Entwürfe der EU-Kommission für den sogenannten Digital-Omnibus und damit verknüpfte umfangreiche Änderungen an der Datenschutz-Grundverordnung (DSGVO) nähren die Befürchtungen von Kritikern vor einem „Kahlschlag“ und einem „massiven Stutzen“ von Bürgerrechten. Hauptsächlich verfolgt die Brüsseler Regierungsinstitution mit dem umfangreichen Gesetzespaket das Ziel, digitale Vorschriften zu vereinfachen und so den Verwaltungsaufwand sowie Kosten für Unternehmen zu senken. Dies soll die Wettbewerbsfähigkeit Europas stärken. Allerdings verdichten sich nun die Hinweise, dass dies auf Kosten bestehender Datenschutzstandards geschehen könnte.

Größter Stein des Anstoßes bei den Verordnungsvorschlägen, die Netzpolitik.org veröffentlicht hat, ist die angestrebte Ausweitung der Anwendung des „berechtigten Interesses“ aus Artikel 6 DSGVO als Rechtsgrundlage für die Verarbeitung personenbezogener Informationen. Die DSGVO erlaubt eine solche nur, wenn eine gesetzliche Basis dafür vorliegt. Das legitime Interesse ist eine solche, erfordert aber eine Abwägung zwischen den Interessen des Verantwortlichen wie eines Unternehmens und den Grundrechten und Grundfreiheiten der Betroffenen.

Der Entwurf umschreibt umfangreiche Veränderungen für das Online-Tracking und die Nutzung von Cookies, die den momentan bereits als unzureichend empfundenen Schutz der Nutzerdaten weiter aufweichen würden. Im Fokus steht dabei die Rechtsgrundlage für das Speichern und Auslesen von nicht unbedingt notwendigen Cookies auf den Geräten der Nutzer. Bisher verlangen EU-Gesetze wie die E-Privacy-Richtlinie hierfür die ausdrückliche und informierte Einwilligung der Nutzer per Opt-in.

Alt-neuer Ansatz gegen Cookie-Banner-Flut

Der Vorschlag der Kommission würde diese strenge Zustimmungspflicht aufheben und stattdessen die gesamte Palette an Rechtsgrundlagen eröffnen, welche die DSGVO bietet. Darunter fällt auch das berechtigte Interesse von Website-Betreibern und Tracking-Firmen. Damit könnte das Speichern und Auslesen von Tracking-Cookies bereits aufgrund unternehmerischer Ziele erfolgen. Die Anwender hätten in diesem Fall nur noch die Möglichkeit eines nachträglichen Widerspruchs (Opt-out), was eine erhebliche Verschiebung der Beweislast und des Schutzniveaus zugunsten von Firmen darstellen würde.

Gleichzeitig will die Kommission der Cookie-Banner-Flut und der damit einhergehenden Zustimmungsmüdigkeit der Nutzer entgegenwirken. Ihr schwebt vor, den Weg für automatisierte und maschinenlesbare Angaben zu individuellen Präferenzen und deren Berücksichtigung durch Website-Anbieter zu ebnen, sobald entsprechende Standards verfügbar sind. Dies soll technisch über Signale funktionieren, die beispielsweise von Browsern oder Betriebssystemen an die Websites gesendet werden und die individuelle Entscheidung der Nutzer über die Annahme oder Ablehnung von Cookies übermitteln. Seitenbetreiber wären so verpflichtet, Voreinstellungen automatisch zu beachten.

Eine wesentliche Ausnahme von dieser geplanten Anpassung soll für Medienanbieter gelten. Die Kommission beabsichtigt, diese von der automatisierten Berücksichtigung der Nutzereinstellungen auszunehmen „angesichts der Bedeutung des unabhängigen Journalismus in einer demokratischen Gesellschaft und um dessen wirtschaftliche Grundlage nicht zu untergraben“. Dies würde es Nachrichten-Portalen weiterhin ermöglichen, strengere Regeln für die Einwilligung zu verlangen, um Einnahmen durch personalisierte Werbung zu sichern. An einer einschlägigen Lösung arbeitet die EU seit Jahren.

Rühren am AI Act

Zugleich will die Kommission den Papieren zufolge das Training von KI-Systemen mit personenbezogenen Daten künftig auf Basis des berechtigten Interesses von Tech-Konzernen ermöglichen. Auch dies würde die derzeit oft nötige Einholung von Einwilligungen der Betroffenen erübrigen und den Datenkonsum für die Entwicklung von Künstlicher Intelligenz erleichtern. Die EU-Datenschutzbeauftragten warnten dagegen voriges Jahr: Das vielbeschworene berechtigte Interesse sei kein Patentrezept.

Die Exekutivinstanz bringt ferner „gezielte Vereinfachungsmaßnahmen“ ins Spiel, die eine zeitnahe, reibungslose und verhältnismäßige Umsetzung der KI-Verordnung gewährleisten sollen. Eine konkrete Maßnahme ist die Bündelung der Aufsicht über KI beim sogenannten AI Office. Das ist eine Behörde, die direkt bei der Kommission angesiedelt ist. Von dieser zentralisierten Kontrollstruktur würden vor allem sehr große Online-Plattformen profitieren, da ihre KI-Systeme aufgrund ihrer Reichweite und ihres Einflusses nach dem AI Act als besonders kritisch gelten.

Schutz sensibler Daten aufgeweicht

Der Entwurf sieht auch eine signifikante Neudefinition von besonders sensiblen Daten vor, die derzeit mit Artikel 9 der DSGVO einen erhöhten Schutz genießen. Die Kommission argumentiert, dass für die meisten der dort aufgeführten Datenarten keine signifikanten Risiken für die Grundrechte der Betroffenen entstünden, wenn sie nicht direkt sensible Informationen offenbarten. Letzteres gelte etwa, wenn die sexuelle Orientierung oder der Gesundheitszustand einer Person nur durch „einen aufwendigen intellektuellen Prozess“ wie Vergleich, Querverweise oder logische Schlussfolgerungen abgeleitet werden könne.

Auch in Situationen, in denen die sensible Information nicht mit Gewissheit einer spezifischen natürlichen Person zuzuordnen ist, sieht die Kommission keine signifikanten Risiken. Für diese „indirekt sensiblen Daten“ soll daher der allgemeine Schutz der Artikel 5 und 6 der DSGVO ausreichen, ohne dass das grundsätzliche Verarbeitungsverbot des Artikels 9 greifen müsse.

„Vom Datenschutz wird nichts bleiben“

In diesem Sinne soll der Anwendungsbereich von Artikel 9 angepasst werden. Der erhöhte Schutz soll künftig nur noch Daten umfassen, die sich unmittelbar auf eine spezifische betroffene Person beziehen und deren ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, den Gesundheitszustand, das Sexualleben oder die sexuelle Orientierung direkt offenbaren. Der besonders strenge Schutz von genetischen und biometrischen Daten soll aufgrund ihrer einzigartigen und spezifischen Merkmale indes unangetastet bleiben.

Der frühere Kommissionsdirektor und einer der DSGVO-Gründerväter, Paul Nemitz, schlägt angesichts der Initiative Alarm: „Vom Datenschutz wird nichts mehr übrigbleiben.“ Seiner Ansicht nach führt das Vorhaben dazu, dass „das Leben von Menschen, ausgedrückt in personenbezogenen Daten, zum Gegenstand einer allgemeinen maschinellen Erfassung“ gemacht würde. Er sieht darin einen Verstoß gegen die Grundrechte-Charta der EU. Ihren finalen Entwurf will die Kommission Mitte November vorlegen.

(nie)

Die Bundesnetzagentur hat in Deutschland 72 Automaten als Postfilialen zugelassen. Dort muss die Post nun keine normalen Filialen mehr betreiben, in denen ein Mensch am Schalter steht. Es dürften noch deutlich mehr Automatenfilialen werden: Wie die Bundesnetzagentur mitteilte, werden für das ganze Bundesgebiet noch 553 Anträge bearbeitet – die meisten dürften genehmigt werden.

Sollten alle Anträge angenommen werden, wäre jede zwanzigste Postfiliale in Deutschland ein Automat. Die Post hat circa 12.600 Postfilialen, meistens handelt es sich um Supermärkte oder Kioske mit Post-Schaltern.

Mit den zugelassenen Automaten nutzt die Post eine neue, seit Jahresbeginn geltende gesetzliche Regelung, der zufolge sie bei der Erfüllung ihrer Pflicht für ein flächendeckendes Filialnetz auf Automaten zurückgreifen kann. Für diese Anrechnung muss aber die Bundesnetzagentur zustimmen, die sich davor mit den betroffenen Kommunen abgestimmt hat.

Wo die Automatenfilialen sind

Bei den Automaten geht es um sogenannte Poststationen, in denen Pakete abgegeben und abgeholt, Briefmarken gekauft und Briefe eingeworfen werden können. Außerdem ist eine Videoberatung möglich. Ihr großer Vorteil ist, dass sie rund um die Uhr verfügbar sind. Die Automatenfilialen sind zumeist auf dem Land oder am Stadtrand.

Die Post muss in größeren Dörfern und in Städten Filialen betreiben, meistens geht es um Postschalter in Supermärkten und Kiosken. Dabei hat sie seit Jahren Schwierigkeiten, was vor allem am Strukturwandel auf dem Land liegt: Wenn in einem Dorf der letzte Krämerladen dichtmacht, hat die Post auch keinen Partner mehr, bei dem sie einen Postschalter aufstellen kann.

Ende September hatte sie in Deutschland in 160 Orten keine Filiale, obwohl sie dort hätte eine haben müssen. Für die Hälfte habe man aber bereits Lösungen gefunden, die „zeitnah“ umgesetzt würden, sagte ein Post-Sprecher.

(nen)

Die Entwickler der datenschutzkonformen Webanalyse-Software Umami haben Version 3.0 veröffentlicht. Das Major-Release bietet eine grundlegend überarbeitete Benutzeroberfläche, neue Analyse-Funktionen wie Segmente und Kohorten sowie zusätzliche Tracking-Optionen über Links und Pixel. Allerdings müssen bestehende Nutzer eine wichtige Änderung beachten: Die Open-Source-Software unterstützt ab sofort ausschließlich PostgreSQL als Datenbank, der MySQL-Support wurde komplett entfernt.

Umami positioniert sich als cookiefreie Alternative zu Google Analytics und richtet sich vor allem an Unternehmen, die DSGVO-konforme Webanalysen durchführen möchten. Bereits seit Version 2.0 bietet die unter MIT-Lizenz stehende Software erweiterte geografische Auswertungen und Team-Funktionen.

Die neue Navigationsleiste ermöglicht einen schnelleren Zugriff auf alle überwachten Websites. Über ein eingebettetes Dropdown-Menü können Anwender direkt zwischen verschiedenen Projekten wechseln. Alle Reports sind nun auf separate Seiten ausgelagert, was die Übersichtlichkeit verbessern soll. Eine zentrale Neuerung betrifft das Filter-System: Umami v3 speichert alle angewendeten Filter direkt in der URL als Query-Parameter. Nutzer können so gefilterte Ansichten per Link mit Dritten teilen, ohne die Filtereinstellungen manuell nachbauen zu müssen. Zudem erlaubt das überarbeitete Filterformular das gleichzeitige Hinzufügen und Bearbeiten mehrerer Filter.

Segmente und Kohortenanalyse für Nutzergruppen

Mit Segmenten können Anwender vordefinierte Filterkombinationen speichern und wiederverwenden. Ein Segment wie „Windows-Nutzer aus Deutschland“ lässt sich dann mit einem Klick auf beliebige Auswertungen anwenden. Ergänzend führt Umami v3 Kohorten ein – eine aus konkurrierender Webanalyse-Software bekannte Funktion. Eine Kohorte gruppiert Nutzer, basierend auf einem bestimmten Zeitraum sowie einem gemeinsamen Ereignis. Ein Beispiel wäre „Registrierungen im November 2025“. Über die Zeit lässt sich dann analysieren, wie sich das Verhalten dieser Gruppe entwickelt, etwa bei Retention-Analysen. Sowohl Segmente als auch Kohorten können als Filterparameter verwendet werden.

Neu in Umami v3 sind zwei zusätzliche Tracking-Elemente: Links und Pixels. Links funktionieren als Kurz-URLs mit Weiterleitung – ähnlich wie bei Bit.ly. Sie eignen sich, um Klicks auf externe Ressourcen oder Download-Zahlen zu messen, ohne dass auf der Zielseite Tracking-Code installiert sein muss. Pixels sind unsichtbare Bilder, die sich in E-Mails oder auf externen Websites einbetten lassen. Typische Anwendungsfälle sind die Messung von Newsletter-Öffnungsraten oder Traffic-Analysen auf Plattformen, wo kein JavaScript-Tracker installiert werden kann. Beide Elemente verfügen über eigene Statistikseiten, analog zu den Website-Auswertungen.

Außerdem erhalten Administratoren eine neue zentrale Admin-Seite, über die sie alle Nutzer, Websites und Teams im System verwalten können. Das Feature Boards – mit dem sich individuelle Dashboards zusammenstellen lassen – hat es hingegen nicht mehr in die Version 3.0 geschafft. Die Entwickler arbeiten noch daran und planen die Veröffentlichung für ein kommendes Release.

PostgreSQL wird Pflicht – Migration notwendig

Der bedeutendste Breaking Change betrifft die Datenbankunterstützung: Umami v3 funktioniert ausschließlich mit PostgreSQL. Bestehende Nutzer mit MySQL-Datenbanken müssen ihre Daten migrieren, wofür die Entwickler eine Migrationsanleitung bereitstellen. Alle Informationen zum neuen Release finden sich im Umami-Blog. Neben der freien Version für den Eigenbetrieb bietet Umami seine Software als Cloud-Dienst an.

Im Markt der freien Google-Analytics-Alternativen positioniert sich Umami neben Projekten wie Plausible und Rybbit. Während Plausible auf extreme Schlankheit setzt und Rybbit geografische Visualisierungen betont, fokussiert sich Umami mit Version 3 verstärkt auf professionelle Analyse-Features wie Kohortenanalyse und flexible Segmentierung.

(fo)