Erläuterungen zur E-Privacy-Richtlinie der EU für mehr Transparenz im Internet

Das EU-Parlament hat Ende 2009 eine Revision der e-Privacy-Richtlinie 2002/58/EG beschlossen. Das Ziel war, mehr Transparenz und Sicherheit für die Verbraucher zu schaffen. Die praktische Umsetzung der neuen Richtlinie 2009/136/EG in den Mitgliedstaaten dürfte sich ab 2011 konkretisieren, was auch Konsequenzen für die Schweiz haben wird.

Die neue e-Privacy-Richtlinie wurde entworfen, um den Anforderungen der digitalen Technologien gerecht zu werden. Die Richtlinie ergänzt die EU-Datenschutzrichtlinie und umfasst alle Themen im Bereich der Privatsphäre im Sektor der elektronischen Kommunikation. Ziel ist die Erhöhung von Transparenz und Sicherheit für die Verbraucher.

Ein Kernstück der Neuerung betrifft die Verwendung von Cookies. Sie können Logins, Passwörter und Präferenzen abspeichern, was für den Nutzer praktisch ist. Doch Cookies können auch dazu ver­wen­det werden, das Surfverhalten einer Person im Netz nach zu verfolgen. So ist es für Online-Werbe­trei­ben­de möglich, anhand der Cookies, die sie über unterschiedliche Webseiten verteilen, Nutzerprofile anzulegen und die Konsumenten gezielt zu bewerben. Dieses Verfahren ist unter dem Namen Online Behavioural Advertising (OBA) bekannt.

Inhalt der E-Privacy-Richtlinie

Die bisherige Opt-Out-Lösung der alten Richtlinie wurde durch eine so genannte «Informed-Consent»-Lösung, also durch ein Opt-In des Users nach eingehender Information über Art und Zweck der Datenbearbeitung, abgelöst. Von der Einwilligungspflicht ausgenommen sollen Verfahren sein, deren «alleiniger Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kom­mu­nikationsnetz ist», damit ein ausdrücklich gewünschter Dienst zur Verfügung gestellt werden kann (so genannte «Session-Cookies», bspw. bei der Authentifizierung für einen bestimmten Dienst).

Die Anforderungen an die vorgängige Information werden in den Erläuterungen zur Richtlinie aus­geführt. Demnach sollen die Information und die Einräumung des Rechts, Cookies abzulehnen, «so benutzerfreundlich wie möglich gestaltet werden». Wenn es technisch durchführbar und wirksam sei, könne die Einwilligung des Nutzers «über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden». Die Folgen und Bedeutung dieser Erläuterungen sind umstritten. Möglicherweise beinhaltet dies, dass der User seine Zustimmung bzw. seine Ablehnung der Datenbearbeitung durch eigens gewählte Browsereinstellungen bezüglich der Cookies ausdrücken kann. Nur bei Browserdateien zur Speicherung von Nutzerdaten mit dem Multi­mediaprogramm Flash sowie bei Manipulationsversuchen mit Spyware, die tiefer in die Rechnerinfra­struk­tur eingreift, soll der Nutzer gesondert einwilligen

Umsetzung der Richtlinie

Indes einige Mitgliedstaaten der EU die Vorgaben der Richtlinie bereits in ihr nationales Recht um­gesetzt haben, tun sich andere Länder noch schwer. Tatsächlich scheint es eine grosse Herausforde­rung zu sein, einen praktikablen Weg zu finden, den gesetzlichen Vorgaben des «Informed Consent» zu genügen und gleichzeitig die Benutzerfreundlichkeit beim Surfen nicht wesentlich einzuschränken.

Selbstregulierung als Lösung?

Die Online-Werbebranche plädiert grundsätzlich für die Selbstregulierung der Industrie. Die European Advertising Standards Alliance (EASA) und die IAB Europe wollten einer strikten Gesetzgebung in den EU-Mitgliedstaaten zuvorkommen und verfassten ein Verhaltenskodex (Code of Conduct) für ihre Mit­glieder. Mit diesem Kodex soll die Transparenz erhöht und den Usern eine bessere Kontrolle einge­räumt werden. Per Klick auf ein Icon, welches dem User bei der Anwendung von OBA eingeblendet wird, soll er erfahren können, wer sich hinter der Werbung verbirgt und was mit seinen Nutzerdaten geschieht. Sodann soll er die Möglichkeit erhalten, sein Opt-out zu erklären und Firmen zu sperren, welche derartige Cookies verwenden. Weiter wird mit http://www.youronlinechoices.eu/ eine Website im­ple­men­tiert, welche die Konsumentinnen und Konsumenten über OBA informiert und Möglichkeiten aufzeigt, ihr Opt-out kundzutun. Die Branchenvertreter setzten sich zum  Ziel, dass das beschriebene Opt-Out-System innerhalb eines Jahres bei gut 70% der Mitglieder aller nationalen Selbstregulie­rungsorganisationen implementiert sein wird.

Haltung der Artikel-29-Datenschutzgruppe

Da dieser Verhaltenskodex der Branche im Wesentlichen ein Opt-Out-Mechanismus für die Erfassung des Surfverhaltens des Users vorsieht, hat die Artikel-29-Datenschutzgruppe - das unabhängige Be­ra­tungsgremium der Europäischen Kommission in Fragen des Datenschutzes - in einem Papier vom Dezember 2011 erneut festgehalten, dass die vorgeschlagenen Selbstregulierungsmassnahmen den Anforderungen der Richtlinie nicht genügten. Im Wesentlichen müssten Information und Transparenz bei der Anwendung von OBA-Tools verbessert werden. Weiter sei der vorgeschlagene Opt-Out-Me­cha­nismus gegen den Erhalt zielgerichteter Onlinewerbung unvereinbar mit der Opt-In-Bestimmung der EU-Richtlinie.

Die nur auf Englisch vorhandene Opinion 16/2011 der Artikel-29-Datenschutzgruppe ebenso wie eine Zusammenfassung  finden sich in der Spalte rechts.

Folgen für die Schweiz

Da die Schweiz nicht Mitglied der EU ist, gilt das EU-Gemeinschaftsrecht für sie grundsätzlich nur dann, wenn sie dies explizit beschliesst. So oder so werden die Regelungen aber auch für die in der Schweiz ansässigen Anbieter und Nutzer Konsequenzen haben. Es gilt abzuwarten, wie die Richtlinie in den EU-Mitgliedstaaten im Detail umgesetzt wird. Erst dann lassen sich die konkreten Folgen für Schweizer Unternehmen abschätzen.

Der EDÖB unterstützt einerseits private Initiativen zur Verbesserung der Privacy im Online-Marketing­bereich und verfolgt die Entwicklungen im In- und Ausland intensiv. Ein Sonderfall Schweiz ist selbst­ver­ständlich nicht denkbar, allein schon weil auch für Websites von Schweizer Dienstleistern oder Werbenetzwerken keine Landesgrenzen existieren. Grundsätzlich sind die europäischen Tendenzen zugunsten einer datenschutzfreundlicheren Ausgestaltung des Online-Marketings begrüssenswert. Die Umsetzung soll aber gleichzeitig benutzerfreundlich und einfach handhabbar sein. Auch für die Schweiz gilt, dass Transparenz und Information beim Einsatz von Tracking-Tools gewährleistet sein müssen. Je nach Sensibilität der bearbeiteten Personendaten werden dabei erhöhte Anforderungen an die Informationspflichten gestellt und muss ein Betroffener der Bearbeitung seiner Daten aus­drücklich zugestimmt haben, damit eine solche überhaupt zulässig ist.

Weiterführende Informationen:

Neben der E-Privacy-Richtlinie der EU laufen im Bereich Datenschutz im Internet diverse staatliche und private Initiativen. Hier eine Auswahl:

1.) «Do-Not-Track»-Einstellungen im Browser

Mozilla bietet mit der aktuellen Firefox-Browsergeneration die Funktion «Websites mitteilen, dass ich nicht verfolgt werden möchte» an. Apple hat angekündigt, künftig in seinem Standardbrowser Safari ebenfalls eine solche «Do-Not-Track»-Option zu integrieren. Auch der Internet Explorer 9 blockiert Cookies, wenn der User dies entsprechend einstellt.