Das EU-Parlament hat Ende 2009 eine Revision der e-Privacy-Richtlinie 2002/58/EG beschlossen. Das Ziel war, mehr Transparenz und Sicherheit für die Verbraucher zu schaffen. Die praktische Umsetzung der neuen Richtlinie 2009/136/EG in den Mitgliedstaaten dürfte sich ab 2011 konkretisieren, was auch Konsequenzen für die Schweiz haben wird.
Die neue e-Privacy-Richtlinie wurde entworfen, um den Anforderungen der digitalen Technologien gerecht zu werden. Die Richtlinie ergänzt die EU-Datenschutzrichtlinie und umfasst alle Themen im Bereich der Privatsphäre im Sektor der elektronischen Kommunikation. Ziel ist die Erhöhung von Transparenz und Sicherheit für die Verbraucher.
Ein Kernstück der Neuerung betrifft die Verwendung von Cookies. Sie können Logins, Passwörter und Präferenzen abspeichern, was für den Nutzer praktisch ist. Doch Cookies können auch dazu verwendet werden, das Surfverhalten einer Person im Netz nach zu verfolgen. So ist es für Online-Werbetreibende möglich, anhand der Cookies, die sie über unterschiedliche Webseiten verteilen, Nutzerprofile anzulegen und die Konsumenten gezielt zu bewerben. Dieses Verfahren ist unter dem Namen Online Behavioural Advertising (OBA) bekannt.
Inhalt der E-Privacy-Richtlinie
Die bisherige Opt-Out-Lösung der alten Richtlinie wurde durch eine so genannte «Informed-Consent»-Lösung, also durch ein Opt-In des Users nach eingehender Information über Art und Zweck der Datenbearbeitung, abgelöst. Von der Einwilligungspflicht ausgenommen sollen Verfahren sein, deren «alleiniger Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist», damit ein ausdrücklich gewünschter Dienst zur Verfügung gestellt werden kann (so genannte «Session-Cookies», bspw. bei der Authentifizierung für einen bestimmten Dienst).
Die Anforderungen an die vorgängige Information werden in den Erläuterungen zur Richtlinie ausgeführt. Demnach sollen die Information und die Einräumung des Rechts, Cookies abzulehnen, «so benutzerfreundlich wie möglich gestaltet werden». Wenn es technisch durchführbar und wirksam sei, könne die Einwilligung des Nutzers «über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden». Die Folgen und Bedeutung dieser Erläuterungen sind umstritten. Möglicherweise beinhaltet dies, dass der User seine Zustimmung bzw. seine Ablehnung der Datenbearbeitung durch eigens gewählte Browsereinstellungen bezüglich der Cookies ausdrücken kann. Nur bei Browserdateien zur Speicherung von Nutzerdaten mit dem Multimediaprogramm Flash sowie bei Manipulationsversuchen mit Spyware, die tiefer in die Rechnerinfrastruktur eingreift, soll der Nutzer gesondert einwilligen
Umsetzung der Richtlinie
Indes einige Mitgliedstaaten der EU die Vorgaben der Richtlinie bereits in ihr nationales Recht umgesetzt haben, tun sich andere Länder noch schwer. Tatsächlich scheint es eine grosse Herausforderung zu sein, einen praktikablen Weg zu finden, den gesetzlichen Vorgaben des «Informed Consent» zu genügen und gleichzeitig die Benutzerfreundlichkeit beim Surfen nicht wesentlich einzuschränken.
Selbstregulierung als Lösung?
Die Online-Werbebranche plädiert grundsätzlich für die Selbstregulierung der Industrie. Die European Advertising Standards Alliance (EASA) und die IAB Europe wollten einer strikten Gesetzgebung in den EU-Mitgliedstaaten zuvorkommen und verfassten ein Verhaltenskodex (Code of Conduct) für ihre Mitglieder. Mit diesem Kodex soll die Transparenz erhöht und den Usern eine bessere Kontrolle eingeräumt werden. Per Klick auf ein Icon, welches dem User bei der Anwendung von OBA eingeblendet wird, soll er erfahren können, wer sich hinter der Werbung verbirgt und was mit seinen Nutzerdaten geschieht. Sodann soll er die Möglichkeit erhalten, sein Opt-out zu erklären und Firmen zu sperren, welche derartige Cookies verwenden. Weiter wird mit http://www.youronlinechoices.eu/ eine Website implementiert, welche die Konsumentinnen und Konsumenten über OBA informiert und Möglichkeiten aufzeigt, ihr Opt-out kundzutun. Die Branchenvertreter setzten sich zum Ziel, dass das beschriebene Opt-Out-System innerhalb eines Jahres bei gut 70% der Mitglieder aller nationalen Selbstregulierungsorganisationen implementiert sein wird.
Haltung der Artikel-29-Datenschutzgruppe
Da dieser Verhaltenskodex der Branche im Wesentlichen ein Opt-Out-Mechanismus für die Erfassung des Surfverhaltens des Users vorsieht, hat die Artikel-29-Datenschutzgruppe - das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes - in einem Papier vom Dezember 2011 erneut festgehalten, dass die vorgeschlagenen Selbstregulierungsmassnahmen den Anforderungen der Richtlinie nicht genügten. Im Wesentlichen müssten Information und Transparenz bei der Anwendung von OBA-Tools verbessert werden. Weiter sei der vorgeschlagene Opt-Out-Mechanismus gegen den Erhalt zielgerichteter Onlinewerbung unvereinbar mit der Opt-In-Bestimmung der EU-Richtlinie.
Die nur auf Englisch vorhandene Opinion 16/2011 der Artikel-29-Datenschutzgruppe ebenso wie eine Zusammenfassung finden Sie als pdf-Dokumente ganz unten.
Folgen für die Schweiz
Da die Schweiz nicht Mitglied der EU ist, gilt das EU-Gemeinschaftsrecht für sie grundsätzlich nur dann, wenn sie dies explizit beschliesst. So oder so werden die Regelungen aber auch für die in der Schweiz ansässigen Anbieter und Nutzer Konsequenzen haben. Es gilt abzuwarten, wie die Richtlinie in den EU-Mitgliedstaaten im Detail umgesetzt wird. Erst dann lassen sich die konkreten Folgen für Schweizer Unternehmen abschätzen.
Der EDÖB unterstützt einerseits private Initiativen zur Verbesserung der Privacy im Online-Marketingbereich und verfolgt die Entwicklungen im In- und Ausland intensiv. Ein Sonderfall Schweiz ist selbstverständlich nicht denkbar, allein schon weil auch für Websites von Schweizer Dienstleistern oder Werbenetzwerken keine Landesgrenzen existieren. Grundsätzlich sind die europäischen Tendenzen zugunsten einer datenschutzfreundlicheren Ausgestaltung des Online-Marketings begrüssenswert. Die Umsetzung soll aber gleichzeitig benutzerfreundlich und einfach handhabbar sein. Auch für die Schweiz gilt, dass Transparenz und Information beim Einsatz von Tracking-Tools gewährleistet sein müssen. Je nach Sensibilität der bearbeiteten Personendaten werden dabei erhöhte Anforderungen an die Informationspflichten gestellt und muss ein Betroffener der Bearbeitung seiner Daten ausdrücklich zugestimmt haben, damit eine solche überhaupt zulässig ist.
Weiterführende Informationen:
Neben der E-Privacy-Richtlinie der EU laufen im Bereich Datenschutz im Internet diverse staatliche und private Initiativen. Hier eine Auswahl:
1.) «Do-Not-Track»-Einstellungen im Browser
Mozilla bietet mit der aktuellen Firefox-Browsergeneration die Funktion «Websites mitteilen, dass ich nicht verfolgt werden möchte» an. Apple hat angekündigt, künftig in seinem Standardbrowser Safari ebenfalls eine solche «Do-Not-Track»-Option zu integrieren. Auch der Internet Explorer 9 blockiert Cookies, wenn der User dies entsprechend einstellt.
2.) Private Browsing
Ein weiterer Schutzmechanismus steht mit der Funktion «Private Browsing» in den meisten Browsern zur Verfügung. Stellt man die Funktion entsprechend ein, werden keine Daten wie besuchte Seiten, Cookies und ähnliches gespeichert. Man surft, ohne lokale Spuren zu hinterlassen.
3.) Gesetzgebung USA
Facebook, Google und Yahoo haben sich gemeinsam mit mehreren US-Wirtschaftsverbänden gegen die Festschreibung spezieller Vorgaben für den Datenschutz im Internet ausgesprochen (ausführlich: http://www.heise.de/newsticker/meldung/Facebook-Google-und-Yahoo-gegen-Browser-Datenschutzfunktion-1238567.html). Allerdings soll die Web-Browser-Datenschutzfunktion «Do Not Track» möglicherweise bald in den USA gesetzlich verankert werden. Der demokratische Senator John D. Rockefeller IV hat einen Gesetzentwurf in den US-Senat eingebracht (http://commerce.senate.gov/public/?a=Files.Serve&File_id=85b45cce-63b3-4241-99f1-0bc57c5c1cff), der die Federal Trade Commission veranlassen soll, verpflichtende Datenschutzrichtlinien für Onlinewerber auszuarbeiten. Zum neusten Stand dazu vgl. http://epic.org/privacy/consumer/online_tracking_and_behavioral.html
Links:
Anleitung zur Löschung von Cookies:
Weiterführende Informationen