E-Privacy: Kein Datensammeln aus "berechtigtem Interesse" mehr
Die deutsche EU-Ratspräsidentschaft hat einen Entwurf für eine E-Privacy-Verordnung vorgelegt. Cookies aus "berechtigtem Interesse" wären nicht mehr möglich.
(Bild: Shutterstock/dotshock)
Die Bundesregierung will verhindern, dass Betreiber von Webseiten und anderer Dienste die Erfassung von Nutzerdaten pauschal mit "berechtigtem Interesse" begründen können. Dies geht aus einem neuen Entwurf für die seit Jahren umstrittene E-Privacy-Verordnung hervor, den die deutsche Präsidentschaft des EU-Ministerrats am Mittwoch an die anderen Mitgliedsstaaten geschickt hat.
Die Klauseln für berechtigte Interessen hat Deutschland in den Artikeln 6 und 8 des neuen Entwurfs gestrichen, in denen es um die zulässige Verarbeitung von Verbindungs- und Standortdaten sowie um Zugriffe auf Endgeräte der Nutzer und das Sammeln von Informationen etwa mithilfe von Cookies geht. Bislang krümeln einige Betreiber von Webseiten die Browser-Dateien noch ohne Information und Einwilligung auf die Festplatte. Sie verweisen dabei in der Regel auf ihr "berechtigtes Interesse".
Generell müssen etwa Unternehmen, die im Rahmen ihrer Geschäftstätigkeit personenbezogene Informationen von Kunden verarbeiten, dies nicht notwendigerweise durch eine rechtliche Pflicht oder einen Vertrag mit einer Person begründen. Sie können sich etwa auch auf berechtigte Interessen berufen, erläutert die EU-Kommission. Als Beispiel führt sie die Zwecke an, Direktwerbung zu betreiben, Betrug zu verhindern und die Netzwerk- und Informationssicherheit eines IT-Systems zu gewährleisten.
Klare Regeln
Die Bundesregierung möchte Datenverarbeitungen aus diesen Gründen weiter ermöglichen und schafft einzelne konkrete Erlaubnistatbestände dafür. Darüber hinausgehende weitere Formen des berechtigten Interesses will sie aber ausschließen. Zudem soll es Anbietern elektronischer Kommunikationsdienste wie E-Mail, Telefonie oder Messaging weiterhin möglich bleiben, Daten von Nutzern mit deren Einwilligung zu verarbeiten.
So heißt es in den Erwägungsgründen zu Artikel 8: Die Zustimmung zum Setzen eines Cookies oder eines ähnlichen Identifizierungsmerkmals muss der Dienstleister selbst oder der Betreiber eines Anzeigennetzwerks einholen. Diese könnten diese Aufgabe auch an eine Drittpartei delegieren. Von einer solchen Einwilligung sei dann auch der erneute Besuch einer Webseite abgedeckt.
Wer auf seiner Homepage unentgeltlich Inhalte verfügbar macht und sich über Banner finanziert, soll den Zugang dazu mit dem Aufspielen von Cookies ohne Zustimmung der Nutzer verbinden können. Auf vielen Nachrichtenseiten wie "Spiegel Online" ist diese Praxis bereits üblich. (Personalisierter) Werbung kann man dort nur entfliehen, wenn man ein kostenpflichtiges Abo abschließt. In dem Entwurf wird diese Bestimmung an die Voraussetzung geknüpft, dass der User auf Basis präziser Informationen "zwischen verschiedenen Diensten" wählen kann.
Um Nutzer nicht mit Einwilligungsanfragen zu überlasten, bringt die Ratspräsidentschaft Softwarelösungen etwa direkt im Browser ins Spiel, "um eine spezifische und informierte Zustimmung durch transparente und benutzerfreundliche Einstellungen zu geben". So soll es möglich sein, einen oder mehrere Anbieter von Cookies für spezifische Zwecke auf eine Whitelist zu setzen. Über eine transparente Übersicht ist zu gewährleisten, dass ein Betroffener seine Einwilligung jederzeit widerrufen kann.
"Do not track" gestrichen
Auf ein konkretes Verfahren will die Bundesregierung hier nicht setzen: Artikel 10 zum "Do not Track"-Standard, der sich in der Praxis kaum durchsetzen konnte, hat sie gestrichen. Der Europäische Datenschutzausschuss (EDSA) soll aber einschlägige Richtlinien herausgeben und bewährte Praktiken empfehlen.
Ein Einverständnis ist dem Plan zufolge zudem nicht nötig bei Authentifizierungs-Cookies zur Überprüfung der Identität von Nutzern, die an Online-Transaktionen beteiligt sind. Das Gleiche gilt beim Speichern von Artikel in einem Warenkorb. Cookies könnten zudem "ein legitimes und nützliches Instrument sein", um die Wirksamkeit eines bereitgestellten Dienstes etwa "für Website-Design und Werbung" zu messen oder Besucher zu zählen. Sollte es dabei aber um personalisierte Werbung und das Erstellen von Profilen über einzelne Nutzer gehen, müssten diese vorher einwilligen.
