Den digitale verden ville sett annerledes ut i dag med ePrivacy-forordningen. Dataindustrien kjempet kraftig imot planen, men denne lobbyvirksomheten kan slå tilbake på dem selv: Det finnes ingen vei utenom et sporingsforbud på nett.
Da EU-kommisjonen trakk sitt forslag til ePrivacy-forordningen i februar, var det bare bransjemediene som skrev om det. En lov som skulle oppnå store ting endte opp med å lide en stille død. Likevel var reformen i sin tid et av de mest omstridte prosjektene i EU. Lovens løfte: at den digitale kommunikasjonen til folk i EU endelig skulle beskyttes effektivt mot kommersiell overvåking.
I dag er problemstillingen mer aktuell enn noen gang. I flere måneder har den tyske nettavisen netzpolitik.org, sammen med kringkasteren Bayerischer Rundfunk og internasjonale partnere, herunder NRK, publisert granskinger som viser at kontrollen over informasjon i den digitale verden har gått fullstendig tapt: Databroker Files viser tydelig hvordan brukeres nøyaktige posisjon og andre data fra smarttelefon-apper havner hos datahandlere via reklameøkosystemet på internett, som sløser dem bort uten noen forholdsregler.
ePrivacy-forordningen var ment å forebygge nettopp dette. At den til slutt mislyktes er en seier for dataindustriens lobbyister. Men det er tvilsomt hvor lenge de kommer til å glede seg over det.
Er det EU som har skylda for cookie-bannere?
ePrivacy-historien begynte for mer enn 20 år siden. I begynnelsen av 2000-tallet var digitale kommunikasjonsformer på fremmarsj i Europa, men de var ennå ikke underlagt noen enhetlig beskyttelse. Med ePrivacy-direktivet innførte EU i 2002 en slags digital versjon av postvesenets diskresjonsplikt , som i tillegg til forbudet mot telefonavlytting også forbød avlytting av e-post og tekstmeldinger.
Digitaliseringen kom til å skyte fart i de påfølgende årene. I 2002 kommuniserer stadig flere på nettet eller søker etter informasjon. På samme tid leter stadig flere selskaper etter nye inntektskilder på internett. Google og andre legger grunnlaget for overvåkningskapitalismen i denne perioden. De første smarttelefonene lanseres. Nettreklame blir den dominerende forretningsmodellen på internett, og plutselig er det mange selskaper som lagrer og analyserer det vi gjør på nettet. De bruker informasjonskapsler og annen teknologi for å gjenkjenne brukere og lage profiler.
Det digitale kommunikasjonsvernet er i ferd med å bli truet, og EU tar grep. I 2009 innførte EU for første gang regler om sporing på nettet i ePrivacy-direktivet. Som følge av dette fikk loven tilnavnet «Cookie-direktivet», noe som gjenspeiler en stor misforståelse. Direktivet var egentlig ment å stramme inn personvernet ved å fastsette at brukernes atferd på nettet bare kan spores hvis de samtykker til det. Den fremvoksende dataindustrien ignorerer imidlertid direktivets intensjon og finner i stedet opp cookie-bannere: en form for pseudo-samtykke som dukker opp når man besøker nettsteder, og som verken informerer brukerne ordentlig om sporing eller gir dem et reelt valg.
Fordi tilsynsorgan i ulike land ikke hadde noe reell håndhevingsmakt på den tiden, og medlemslandene implementerte direktivet på ulike måter (i noen tilfeller ikke i det hele tatt), var det ingen som håndhevet reglene. I årene som fulgte, dukket bannerne opp overalt på nettet, og brukerne ble lei av dem. «Samtykke? De plagsomme tingene du alltid må klikke bort på Internett?» Det tok et drøyt tiår før det tyske forbrukerrådet i 2019 fikk en avklaring fra EU-domstolen om at de forhåndsutfylte samtykkene var ulovlige.
Do Not Track blir rett og slett ignorert
Samtidig gjøres det også i USA forsøk på å fremme en type digital selvbestemmelsesrett. I stedet for juridiske løsninger er det her fokus på tekniske løsninger: I 2009 utviklet personvernforskerne Christopher Soghoian, Sid Stamm og Dan Kaminsky «Do Not Track» (DNT), en teknisk standard for nettlesere som gjør det mulig for brukerne å velge om de ønsker å bli sporet eller ikke, med bare noen få klikk i innstillingene. Det mektige forvaltningsorganet Federal Trade Commission (FTC) støtter prosjektet, og på tidlig 2010-tall integrerer nettlesere som Firefox og Internet Explorer DNT-standarden. Etter hvert har også Safari og Chrome fulgt etter.
Problemet er bare at dataindustrien også ignorerer dette uttrykket for brukernes ønsker. De store søkemotorene Google og Yahoo, for eksempel, følger ikke reglene. Til og med noen store nettaviser vil snart ikke lenger tillate brukere som har aktivert Do Not Track å gå inn på sidene deres. På et eller annet tidspunkt begynner nettleserne gradvis å slå av funksjonen igjen. Etter et tiår ble standardiseringsarbeidet i W3C-konsortiet endelig lagt død i 2019.
I et kort øyeblikk så det ut som om Do Not Track og digital selvbestemmelse på internett fortsatt kunne lykkes, takket være en oppgradering av ePrivacy-direktivet.
Initiativet til reformen er så gammelt at det stammer fra EU-kommisjonen under ledelse av president Jean-Claude Juncker. Kommisjonen hadde forberedt en generell gjennomgang av ePrivacy-direktivet siden 2016. Arbeidet med dette ble påbegynt umiddelbart etter at personvernforordningen (GDPR) ble ferdigstilt. Ettersom GDPR er såpass generaliserende, var det helt fra starten klart at det var behov for mer spesifikke og strengere regler for å beskytte den digitale kommunikasjonen. Ideelt sett burde disse reglene ha vært på plass innen 2018, når personvernforordningen skulle tre i kraft etter en overgangsperiode på to år.
Å ta selvbestemmelsesretten på alvor
I dette arbeidet hadde EU-kommisjonen støtte fra et overveldende flertall av befolkningen i Europa. En representativ EU-undersøkelse som Kommisjonen bestilte i 2016, viste at 90 prosent av EU-borgerne støttet sikker ende-til-ende-kryptert kommunikasjon. 89 prosent av de spurte var enige i påstanden om at enkle standardinnstillinger i nettleseren burde være nok til å hindre sporing. Og nesten tre fjerdedeler var uenige i at selskaper skulle kunne dele dataene deres med andre uten å spørre om lov – selv om det skulle være for å hjelpe selskaper med å tilby nye tjenester de kunne ha bruk for.
Endelig ønsket EU å ta ideen om selvbestemmelsesrett og om frivillig og informert samtykke på alvor.
Daværende kommissær for det indre marked, Andrus Ansip, la frem et forslag til reform av det gamle direktivet i 2017. Den nye ePrivacy-forordningen skulle blant annet likestille meldingstjenester og nettelefoni med tradisjonelle telekomtjenester som tekstmeldinger og telefon, for å utvide det digitale personvernet til å omfatte de nyeste kommunikasjonsformene. Sporing på nettet skulle bare være tillatt med eksplisitt samtykke, og nettsteder skulle måtte godta DNT-signaler i nettleseren. Tilsvarende regelverk ble også planlagt for apper og «tingenes internett».
For å sikre at reglene virkelig ville fungere denne gangen, skulle tilsynsorgan gis sterke sanksjonsmidler, slik det er åpnet for i personvernforordningen. For å få mer standardiserte og forpliktende regler skulle den nye loven også bli en forordning, som i motsetning til et direktiv ville ha umiddelbar virkning. Kort sagt ønsket EU endelig å ta ideen om selvbestemmelsesrett og om frivillig og informert samtykke på alvor.
Og ikke bare skulle ePrivacy-forordningen fremme personvernet, den skulle også tjene EUs økonomiske interesser. Hvis meldingstjenester og andre digitale kommunikasjonstjenester i hendene på amerikanske selskaper ble regulert like strengt som europeiske telefoniselskaper, ville Big Tech ha mistet sitt konkurransefortrinn – den hensynsløse innsamlingen av data. På den tiden ble det snakket mye om «level playing field», det vil si like konkurransevilkår som respekterer folks rett til privatliv.
Så kom Martin Sonneborn
Ideelt sett ville reglene ha ført til at selskapene ikke lenger skulle trenge å konkurrere om hvem som var flinkest til å lure brukerne for opplysningene deres, men heller hvem som kunne vinne deres tillit. Nyhetssider kunne for eksempel ha fått frivillig tillatelse fra sine faste lesere til å spore dem, mens tvilsomme amerikanske selskaper ville ha havnet på «Do Not Track»-listen. Fra dagens perspektiv virker disse ideene som drømmerier fra personvernfantaster, men den gangen ble de nesten virkelighet.
Foto Alexander Klink via Wikimedia Commons
EU-parlamentet utarbeidet sin holdning til forslaget under stort tidspress og under ledelse av den estiske sosialdemokraten Marju Lauristin. Det dannet seg raskt en bred allianse av sosialdemokrater, grønne, venstresida og store deler av de liberale, som kraftig spisset det noe utydelige utkastet. De ønsket blant annet å lovfeste en rett til kryptert kommunikasjon og å utforme reglene om «Do Not Track» på en slik måte at selskapene ikke lenger skulle kunne ignorere dem. Det skulle også være eksplisitt forbudt å ekskludere brukere som avviser sporing.
Med unntak av ytre høyre var det bare de konservative som var sterkt imot disse planene. Den tyske EU-parlamentarikeren Axel Voss (CDU) sammenlignet de folkevalgte som engasjerte seg for personvern med iranske religionsvektere som ikke hadde forstått at tidene var i endring. I stedet for personvern burde det nå utelukkende fokuseres på databruk. Kort før den avgjørende avstemningen i den ansvarlige parlamentariske komiteen avlyste de konservative kompromissforhandlingene.
Det førte til at de ambisiøse reformplanene nesten falt under komitébehandlingen. Men så dukket plutselig Martin Sonneborn opp. Satirepolitikeren fra det tyske partiet «die PARTEI» satt egentlig i en annen komité, men stilte overraskende opp for å stemme som vararepresentant for den evig fraværende Udo Voigt fra det høyreekstreme NPD. Sammen med to medlemmer fra den italienske Femstjernersbevegelsen sikret Sonneborn flertallet for personvern i komiteen. Høsten 2017 vedtok EU-parlamentet den foreslåtte posisjonen, som skulle bli den siste store suksessen for personvernforkjemperne på lang tid.
Under konstant angrep fra datalobbyen
ePrivacy-reformen ble lagt til side etter at den hadde passert gjennom Parlamentet. Det europeiske råd tenkte ikke engang på å la seg presse av Kommisjonens ambisiøse tidsplan. I stedet tok de seg fire år.
I mellomtiden hadde dataindustrien satt i gang en lobbykampanje uten sidestykke. Allerede i 2016 hadde nettreklamebransjen kjempet for å få opphevet ePrivacy-regelverket i sin helhet. Selskaper som ønsket å tjene penger på reklame og data ble opprørt over Parlamentets vedtak, og dannet en bred allianse for å kjempe imot. De tok frem de store skytsene. På den tiden illustrerte reklameorganisasjoner gjerne ePrivacy-forordningen med en atomsopp fordi de mente at den ville pulverisere nettreklame. Bransjen skapte stor ståhei med nye åpne brev, ensidige oppdragsstudier, diskusjoner på bakrommet og en internettvideo som advarte mot en «App-okalypse» forårsaket av personvern. En tysk IT-bransjeforening advarte til og med mot «slutten på internett slik vi kjenner det».
Også de europeiske medieselskapene sluttet seg til denne uhellige alliansen. Mange som ellers aldri ble lei av å advare mot trusselen fra Big Tech, lobbet nå side om side med dem mot ePrivacy-forordningen. Springer-sjef Matthias Döpfner kalte reformen «galskap», mens tyske avisforeninger snakket om et «angrep på den frie journalistikken».
Kampanjen var vellykket: Medlemslandene skjøv lovforslaget rett fra hurtigsporet til sidesporet. Mens noen land holdt fast ved den opprinnelige ideen med forordningen, ønsket andre til og med å gjøre den om til en datautvinningslov og for eksempel gi medieselskaper en blankofullmakt til sporing. Først i 2021 klarte Rådet å komme frem til en kraftig nedtonet innstilling.
ePrivacy-forordningen er død, lenge leve personvernet
De påfølgende trilogforhandlingene mellom EU-kommisjonen, Rådet og Parlamentet var enda tyngre enn diskusjonene i Rådet. Det rapporterte i hvert fall den ansvarlige parlamentarikeren, sosialdemokraten Birgit Sippel. Posisjonene var nå så langt fra hverandre at ingen lenger regnet med at det ville bli noe enighet.
Til syvende og sist kan prosjektets gravlegging til og med være et friskt pust for personvernet. For problemene har tross alt ikke forsvunnet. Tvert imot, som Databroker Files-etterforskningene nylig har avdekket: Hvis datahandlere til og med sløser bort presise lokasjonsdata om regjeringens tjenestemenn, militærfolk og etterretningsagenter, som attpåtil påstås å være samlet inn med deres samtykke, har EU sviktet på alle punkter når det gjelder personvern i forbindelse med digital kommunikasjon.
Historien om ePrivacy viser at ideen om informert og frivillig samtykke som et verktøy for selvbestemmelse over egne personopplysninger var på hell allerede før innføringen av GDPR. ePrivacy-forordningen kunne ha gitt ideen nytt liv, hvis ikke dataindustrien hadde forhindret dette. Nå er det bare mer radikale løsninger som gjenstår.
Den beste løsningen ville være et generelt forbud mot sporing, persontilpasset reklame og handel med personopplysninger. I 2022 mislyktes et parlamentarisk initiativ om å forby målrettet reklame. Nå krever stadig flere organisasjoner nettopp dette – fra miljøbevegelsen til forskjellige forbrukerorganisasjoner. Tiden er inne for dette nå!
Teksten ble opprinnelig publisert hos netzpolitik.org 19. februar. Oversatt av Attac Norge.
Lisensiert under Creative Commons BY-NC-SA 4.0