Vorentwurf für europäische E-Privacy-Verordnung: Privacy by Default und weniger Warn-Banner

Inhaltsverzeichnis

Für Januar wird der Entwurf für die E-Privacy-Verordnung der Europäischen Union erwartet. Auf Politico.eu wurde nun schon ein vorläufiger Entwurf der EU-Kommission für das EU-Parlament geleakt, der in der Datenschutzszene gemischt kommentiert wird.

Bei der Regelung handelt es sich dem Vorentwurf nach um eine Verordnung. Diese gilt unmittelbar in allen Mitgliedstaaten und wird von allen gleich umgesetzt werden müssen. Die Kommission stützt ihren Vorentwurf unter anderem auf eine öffentliche Anhörung, in der 89 Prozent der antwortenden EU-Bürger angaben, dass Web-Browser in ihrer Grundeinstellung unterbinden sollen, dass Informationen geteilt werden. Die Cookie-Regelung der bisherigen e-Privacy-Richtlinie beispielsweise wurde von den Mitgliedstaaten sehr unterschiedlich interpretiert.

Strengere Anforderungen

Die Verordnung stellt nun spezifische und strengere Anforderungen. So bezieht sich eine Regelung auf die Standardeinstellungen von Web-Browsern, die vom Start weg datenschutzfreundlichst konfiguriert sein müssen. Die gilt gerade für mobile Browser, deren Einstellungen Nutzer oftmals nicht selbst ändern können. Web-Browser müssen künftig den Nutzer um Einwilligung bitten, wenn sie Cookies auswerten oder speichern. Auch muss der Browser die Einwilligung einholen, wenn er sensible Daten erfassen will, die etwa von den Gerätesensoren bereitgestellt werden. Damit könnte die Generierung "digitaler Fingerabdrücke" behindert werden.

Die Kommission will außerdem die Cookie-Warn-Banner abschaffen, die Website-Besucher auffordern, der Speicherung von Cookies zuzustimmen. Website-Betreiber sollen nicht über Cookies informieren müssen, die Konfigurationszwecken dienen. Auch besteht bei Tracking-Cookies keine Informationspflicht, wenn der Web-Browser Zustimmung oder Ablehnung über einen Do-Not-Track-Mechanismus übermitteln kann. Diese Regelung geht über die Grundverordnung hinaus. Datenverarbeiter müssen überdies nach Artikel 7 Metadaten löschen, wenn diese nicht mehr für einen gesetzlich begründeten Zweck benötigt werden.

Kritik an Opt-out, Lob für Privacy by Design

Sorgen macht sich der grüne Europaabgeordnete Jan Philipp Albrecht wegen einer Ausnahmeregelung in Artikel 16, die die Verwendung von E-Mail-Kontaktdaten ohne weitere Einwilligung erlaubt, wenn es bereits eine "Kundenbeziehung" zwischen Anbieter und Nutzer gibt. Hierfür ist eine Opt-Out-Regelung vorgesehen.

Als "vielversprechend" bezeichnete die europäische Verbraucherorganisation BEUC die Privacy-by-Design-Regelung in Artikel 10. Sie verlangt Privacy-by-Default für alle Geräte- und Softwareeinstellungen, um Dritte an der weiteren Datenverarbeitung zu behindern. Damit stärkt die Verordnung die Privacy-by-Design- und Privacy-by-Default-Vorgaben der Europäischen Datenschutzgrundverordnung.

Die Bedingungen dafür, eine Einwilligung einzuholen, entsprechen ebenfalls der Grundverordnung, was die enge Verzahnung der beiden Verordnungen verdeutlicht. Sie legt fest, dass Endnutzer ihre einmal gegebene Einwilligung jederzeit zurückziehen können. Neu ist aber, dass sie dies nur in Intervallen von sechs Monaten wiederholt tun können. "Dies fällt hinter die Grundverordnung zurück", kritisiert Albrecht.

Harte Sanktionen

Die Verordnung sieht aber wie die Datenschutzgrundverordnung harte Sanktionen bei Verstößen vor. Die von den Datenschutz-Aufsichtsbehörden zu verhängenden Bußgelder können bis zu 20 Millionen Euro oder vier Prozent des jährlichen weltweiten Umsatzes betragen.

Die E-Privacy-Verordnung soll laut einem Sprecher der EU-Kommission die E-Privacy-Richtlinie aus den Jahren 2002 und 2009 an die Europäische Datenschutzgrundverordnung angleichen. Außerdem soll sie für Anbieter von Telefonie- und Internetdiensten gelten. Bisher galt die Richtlinie nur für klassische Telefoniedienste, weswegen etwa so genannte Over-the-Top-Dienste wie Skype, WhatsApp oder Signal nicht reguliert waren. (anw)