EU-Datenschützer begrüßt neue Regeln für Cookies und Infos über Sicherheitspannen

Der EU-Datenschutzbeauftragte Peter Hustinx zeigt sich erfreut über das baldige Inkrafttreten der "E-Privacy-Richtlinie", die unter anderem erstmals eine Pflicht zur Information über Datenschutzbrüche mit sich bringt.

In Pocket speichern vorlesen Druckansicht 39 Kommentare lesen
Lesezeit: 5 Min.

Der EU-Datenschutzbeauftragte Peter Hustinx zeigt sich erfreut über das baldige Inkrafttreten der überarbeiteten Richtlinie (PDF-Datei) über den Datenschutz in der elektronischen Kommunikation. Mit der Einigung in der zuletzt noch umstrittenen Frage des Grundrechtsschutzes bei Maßnahmen wie Internetsperren vorige Woche sei der Weg frei für die baldige formale Annahme des Telecom-Pakets einschließlich der novellierten "E-Privacy-Direktive", erläuterte der Datenschützer in einer Mitteilung (PDF-Datei) Anfang der Woche. Die neuen Bestimmungen müssten nach dem letztmaligen Segen Brüssels von den Mitgliedsstaaten dann innerhalb von 18 Monaten in nationales Recht umgesetzt werden.

Laut Hustinx bringt die Reform der Datenschutzrichtlinie "viele Verbesserungen" zur Sicherung der Privatsphäre aller Europäer mit sich, die sich in der Online-Welt betätigen. Konkret verweist der Datenschützer darauf, dass Diensteanbieter erstmals zur Information über Datenpannen verpflichtet werden. Dabei ist ein zweistufiges Verfahren vorgesehen. Könnten die Sicherheitsbrüche Nutzer persönlich betreffen, indem etwa Identitätsdiebstahl, Betrug oder Imageschäden zu befürchten sind, müssen die Betroffenen auch selbst über entsprechende Vorfälle aufgeklärt werden. In weniger schweren Fällen müssen die Provider entsprechende Eingeständnisse über die Verletzung ihrer Schutzpflichten zunächst nationalen Regulierungsbehörden oder anderen "kompetenten" Verwaltungsinstanzen melden. Diese sollen dann entscheiden, ob auch Verbraucher in Kenntnis zu setzen sind. Dazu kommt die Verpflichtung für Firmen, über Sicherheitsdebakel die Öffentlichkeit etwa in Jahresberichten zu informieren.

Mit deutlicher Verspätung sorgen derzeit die novellierten Bestimmungen zum Zugriff auf vom Nutzer etwa auf Festplatten oder USB-Sticks gespeicherte Daten durch Dritte für Aufregung. So ist fälschlicherweise pauschal davon die Rede, dass mit den bereits im Juni 2008 festgezurrten neuen Auflagen für das Setzen jedes Cookies vorher das Plazet des Surfers einzuholen sei. Tatsächlich lässt die entsprechende Formulierung in Artikel 5 der reformierten Richtlinie für sich allein genommen viel Interpretationsspielraum. Dort heißt es wörtlich, dass die Speicherung von oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer "auf der Grundlage von klaren und umfassenden Informationen" seine Einwilligung gegeben hat.

Diese Auflage soll einer Ablage von Daten oder dem Zugang dazu aber nicht entgegenstehen, "wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann". Eine Erläuterung zu dieser kryptischen Formulierung bringt Erwägungsgrund 66 der Direktive. Demnach sollen die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, "so benutzerfreundlich wie möglich gestaltet werden". Wenn es technisch durchführbar und wirksam ist, heißt es darin weiter, kann die Einwilligung des Nutzers "über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden".

Der für die Richtlinie zuständige Berichterstatter des EU-Parlaments, Alexander Alvaro, hatte daher bereits bei der Ausarbeitung des Kompromisses betont, dass die vom Nutzer eingestellten Präferenzen zur Akzeptanz von Cookies als Zustimmung zur Datenerhebung gewertet würden. Nur bei Informationskrümeln zur Speicherung von Nutzerdaten mit dem Multimediaprogramm Flash sowie bei tiefer in die Rechnerinfrastruktur eingreifender Spyware sei künftig eine gesonderte Einwilligung einzuholen. Neu auf EU-Ebene ist aber auch, dass Werber für das automatisierte Versenden ihrer Reklamebotschaften per E-Mail, Fax, SMS oder MMS sowie für maschinelle Marketinganrufe eine vorherige Zustimmung der Verbraucher einholen müssen.

Hustinx spricht daher von einem "erhöhten Schutz gegen das Abhören der Kommunikation des Nutzer durch den Einsatz beispielsweise von Spyware oder Cookies". Zudem würden die Möglichkeiten von Netzbürgern und Providern, die durch Spam Schaden erleiden, verbessert, gegen die Verursacher rechtlich vorzugehen. Nicht zuletzt bringe die Richtlinie eine deutliche Stärkung der Durchsetzungsrechte der nationalen Datenschutzbehörden mit sich, die grenzüberschreitende Kooperationen einschließe. Hustinx appellierte zugleich an die Politik, die zunächst nur für die TK-Branche geltenden Informationspflichten auf alle Wirtschaftsbereiche auszudehnen und die Benachrichtigungsverfahren detailliert festzulegen.

Siehe dazu auch:

  • Richtlinie des Europäischen Parlaments und des Rates zur Änderung der Richtlinie über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung über die Zusammenarbeit im Verbraucherschutz

(jk)