Tracking und Cookies: EU-DatenschĂĽtzern geht geplante E-Privacy-Verordnung nicht weit genug
Die Artikel-29-Datenschutzgruppe hat große Löcher im Entwurf für eine Verordnung für die Privatsphäre in der elektronischen Kommunikation ausgemacht. Vor allem bei Metadaten und Cookies drängt sie auf Korrekturen.
"Vier Punkte mit schweren Bedenken" hat die Artikel-29-Gruppe der EU-Datenschutzbeauftragten in einer jetzt veröffentlichten Stellungnahme zum Entwurf der EU-Kommission für eine Reform der Richtlinie für die Privatsphäre in der elektronischen Kommunikation ausgemacht. Die Experten begrüßen zwar, dass die Kommission die geplanten Regeln in eine Verordnung packen und damit deren einheitliche Wirkung in allen Mitgliedsstaaten sicherstellen will. Es sei auch richtig, "Over-the-Top-Anbieter" wie WhatsApp oder Skype mit einzubeziehen. An einigen Stellen drohe die Initiative aber hinter der allgemeinen Datenschutzgrundverordnung zurückzubleiben.
Zustimmung von Sender und Empfänger
Nachbesserungen fordern die Kontrolleure etwa bei den Möglichkeiten zur Analyse von Inhalten und den zugehörigen Metadaten elektronischer Kommunikation. Ausgangspunkt müsse hier sein, dass sensible Informationen nebst Verbindungs- und Standortdaten nur mit der ausdrücklichen Einwilligung "aller Endnutzer" verarbeitet werden dürften. Sender und Empfänger müssten also zustimmen. Damit Provider Nutzern Dienste wie Suchfunktionen oder Text-zu-Sprache auf deren expliziten Wunsch hin anbieten könnten, sollten enge Ausnahmen von diesem Prinzip im nationalen Recht verankert werden.
Auch der besonders umstrittenen künftigen Handhabe von Cookies, mit denen sich unter anderem das Surfverhalten verfolgen lässt, wenden sich die Datenschützer zu. Sie erkennen zwar die Überlegungen der Kommission an, dass die Nutzer derzeit "überlastet werden mit Anfragen", in das Setzen der Browserdateien einzuwilligen. Die Voreinstellungen der Navigationswerkzeuge fürs Web und vergleichbare Software könnten daher eine Rolle dabei spielen, dieses Problem anzugehen. Die Datenschutzgrundverordnung schreibe aber vor, dass ein Opt-in "informiert" und spezifisch erfolgen müsse. Eine allgemeine Browsereinstellung sei daher keine Lösung.
Spezifische Cookies
Dem Nutzer müsse es möglich sein, separat für jede Webseite oder App bestimmten "Tracking-Zielen" zuzustimmen, halten die Praktiker fest. Eine datenverarbeitende Stelle könne also um Einwilligung bitten etwa für verschiedene von ihr kontrollierte Dienste, solange das Gesuch gesondert präsentiert werde. Es dürfe aber nicht etwa eine pauschale Option angeboten werden, von vornherein unspezifisch "alle Cookies zu akzeptieren", da die Zustimmung damit nicht "feinkörnig" genug wäre.
Andererseits soll es den Datenschützern zufolge schon möglich sein, über den Browser eine bewusste Entscheidung zu treffen, generell Cookies anzunehmen. Webseitenbetreiber und Vermarkter müssten in diesem Fall im Anschluss nicht mehr in jedem Einzelfall nachfragen. Wichtig sei es aber, von vornherein datenschutzfreundliche Einstellungen zu setzen und die Nutzer darüber während des Installationsprozesses von Software zu informieren. Die Änderungsmöglichkeiten sollten sich auch nicht auf Cookies und andere "Einflüsse durch Drittparteien" beschränken. Die Gruppe empfiehlt zudem, in diesem Zusammenhang den " Do-Not-Track-Mechanismus" verbindlich zu machen.
Ablehnung von Tracking Walls
Entschieden sprechen sich die Experten gegen die Praxis einzelner Webanbieter aus, Nutzer nur auf ihre Seiten zu lassen, wenn sie sich über verschiedenste Dienste hinweg verfolgen lassen. Derartige "Tracking Walls" seien mit den europäischen Datenschutzbestimmungen keineswegs vereinbar. Metadaten und insbesondere Ortsangaben von WLAN- oder Bluetooth-Nutzern dürften zudem nur gesammelt werden, wenn die Betroffenen eingewilligt hätten oder die Informationen anonymisiert würden. Auch bei der letzteren Option seien aber strikte Vorgaben wie eine klare Zweckbindung und eingeschränkte Speicherfrist zu beachten. Die Kommission müsse daher an den genannten Stellen dringend nacharbeiten. (kbe)