19.04.2017 von

EU-Entwurf bringt strengeren Datenschutz im Internet

Die Europäische Kommission will den Datenschutz im Internet stärken und Verletzungen mit saftigen Strafen bedrohen. Auch für Software-Hersteller gibt es neue Pflichten.

Neben der Datenschutz-Grundverordnung, die im Mai 2018 in Kraft tritt, gab es bereits bisher eigenständige Regelungen für den Datenschutz bei elektronischer Kommunikation. Diese Regelungen sollen ab Mai 2018 durch eine neue EU-Verordnung ersetzt werden, die nicht nur für Telekommunikationsunternehmen, sondern auch für Messenger-Dienste, Webseiten-Betreiber und Software-Hersteller neue Spielregeln bringen.

Cookies: Datenschutz über Browser-Einstellung

Wer kennt sie nicht, die lästigen Aufforderungen, der Verwendung von Cookies zuzustimmen? Nutzer klicken sie meist ungelesen weg. Der Grund dafür, dass derartige Aufforderungen in den letzten Jahren rasant zugenommen haben, sind die bisherigen Vorschriften in der EU, die die Zustimmung der Nutzer zur Verwendung von Cookies erfordern.

Cookies sind kleine Textdateien, die von einer Website auf dem Endgerät des Nutzers gespeichert werden und bei jedem erneuten Aufruf der Website mitgesendet werden. Dies ermöglicht es der Website, Nutzer wiederzuerkennen und ihnen personalisierte Inhalte anzubieten. Insbesondere personalisierte Werbung basiert weitgehend auf der Verwendung von Cookies.

Nach der neuen Verordnung soll zwar weiterhin die Zustimmung des Nutzers für die Verwendung von Cookies erforderlich sein. Allerdings sieht die Verordnung vor, dass eine solche Zustimmung auch durch Browser-Einstellungen vorgenommen werden kann (siehe unten). Lästige Aufforderungen, der Verwendung von Cookies zuzustimmen, werden damit weitgehend entfallen. Umgekehrt werden Nutzer ihren Browser gewissenhafter konfigurieren müssen, wenn sie nicht wollen, dass Cookies auf ihren Endgeräten platziert werden.

Device-Fingerprinting im Internet nur mit Zustimmung

Die neuen Regeln für Cookies gelten im Übrigen auch für das Auslesen von Informationen aus einem Endgerät. Eine als „Device-Fingerprinting“ bekannte Technik erlaubt es beispielsweise, ein Endgerät anhand seiner Konfiguration (Software-Versionsnummern, Bildschirmauflösung, etc.) wiederzuerkennen. Auch diese Art der Nutzeridentifizierung ist nur mit Zustimmung der Nutzer zulässig.

Website-Betreibern, die diese Vorschriften verletzen, droht nach der neuen Verordnung eine Geldstrafe von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Konzernumsatzes – der höhere Betrag kommt zum Tragen. Insgesamt wird es wesentlich leichter, die Anforderungen für die Verwendung von Cookies einzuhalten, Verletzungen werden für Website-Betreiber jedoch wesentlich teurer.

Internet-Software muss Datenschutz forcieren

Erstmals werden auch Software-Hersteller in die Pflicht genommen, ihre Software mit datenschutzfreundlichen Grundeinstellungen auszustatten. Software, die zur Internet-Kommunikation dient (z.B. Webbrowser), muss Nutzern Datenschutz-Einstellungen bieten, mit denen sie insbesondere Cookies oder Device-Fingerprinting unterbinden können. Sind die Grundeinstellungen der Software nicht datenschutzfreundlich oder wird die Software z.B. durch ein automatisches Update vom Hersteller weniger datenschutzfreundlich konfiguriert, so droht dem Hersteller ebenfalls eine Strafe von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Mit dieser Regelung betritt die Europäische Union legistisches Neuland und schafft erstmals eine direkte Regulierung von Software. Obwohl vom Ansatz her grundsätzlich zu begrüßen, wirft die konkrete Umsetzung zahlreiche Fragen auf: Wird ein Browser in der Standardeinstellung die Adresse der zuletzt besuchten Webseite an die nächste Webseite mitsenden dürfen (als sogenannter „Referer-Header“) oder Informationen über den verwendeten Webbrowser übermitteln dürfen (im „User-Agent-Header“)? Beides entspricht sowohl der gängigen Praxis als auch einschlägigen technischen Standards und ist Voraussetzung für die Funktionsfähigkeit vieler Websites.

Nicht nur Mails fallen unter Spam

Unaufgeforderte elektronische Nachrichten (Spam) sind derzeit grundsätzlich verboten, wenn sie an mehr als 50 Empfänger gerichtet sind oder dem Direktmarketing dienen. Nach den neuen Regeln soll es nur noch darauf ankommen, ob die unaufgeforderten Nachrichten dem Direktmarketing dienen – tun sie das nicht, sollen auch Massen-Mails zulässig sein. Dies würde insbesondere bedeuten, dass unaufgeforderte Nachrichten politischer Parteien – die bisher an der 50-Empfänger-Grenze scheiterten – zulässig würden.

Diese neuen Regeln gelten allerdings künftig unabhängig von der Art des Kommunikationsdienstes, mit dem die Nachrichten übermittelt werden: Werbe-E-Mails sind daher genauso erfasst wie Werbenachrichten per SMS, WhatsApp, Facebook oder Twitter. Berühmte Persönlichkeiten mit einer großen Gefolgschaft auf Twitter werden daher nicht – wie bisher regelmäßig der Fall – verschleierte Werbebotschaften an ihre Follower absetzen dürfen. Denn einer Berühmtheit auf Twitter zu folgen, wird nicht als Zustimmung zum Empfang beliebiger Werbenachrichten von dieser Person und ihren Sponsoren zu werten sein.

Für Unternehmen bleibt allerdings eine in der Praxis wichtige Ausnahme erhalten: Eine Zustimmung des Empfängers ist nicht erforderlich, wenn der Unternehmer die E-Mail-Adresse von einem Kunden erhalten hat und dem Kunden sowohl bei der Erhebung der E-Mail-Adresse als auch mit jeder E-Mail die Möglichkeit eines Opt-Out gegeben hat.

Verletzt ein Unternehmen allerdings die neuen Regeln gegen Spam, so gilt wiederum die saftige Strafdrohung von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Konzernumsatzes.

Kommunikationsgeheimnis gilt für alle Internet-Dienste

Ein Streitpunkt der bisherigen Regulierung war, dass das Kommunikationsgeheimnis und damit verbundene Beschränkungen für die Auswertung von Kommunikationsdaten nur für Telekommunikationsanbieter galt. Nach der neuen Verordnung soll das Kommunikationsgeheimnis künftig für alle Internet-Dienste gelten, die einen Informationsaustausch zwischen einzelnen Nutzern ermöglichen (z.B. WhatsApp oder Webmail-Dienste). Mit dieser Ausweitung des Kommunikationsgeheimnisses sollen gleiche Wettbewerbsbedingungen für klassische Telekommunikationsanbieter und Internet-Unternehmen geschaffen werden.

Eingriffe in das Kommunikationsgeheimnis werden jedoch mit Einwilligung des Nutzers zulässig sein. Es wird daher weiterhin möglich sein, Kommunikationsdienste anzubieten, die sich durch personalisierte Werbung finanzieren.

Schadenersatz wird zur scharfen Waffe beim Datenschutz

Die neue Verordnung sieht für Verletzungen nicht nur harte Strafe vor, sondern gewährt Nutzern auch ein Recht auf Schadenersatz. Dieses Recht umfasst den Ersatz sowohl des materiellen als auch des ideellen Schadens (wie die erlittene emotionale Beeinträchtigung bei schweren Datenschutzverletzungen). Insbesondere bei Verletzungen des Kommunikationsgeheimnisses werden Nutzer daher selbst starke rechtliche Instrumente in der Hand haben, um sich zur Wehr setzen zu können. Unternehmen werden hingegen gut beraten sein, die nach den neuen Regeln erforderlichen Einwilligungen einzuholen, um sich kostspielige Geldbußen und Gerichtsprozesse zu ersparen.

Conclusio

Der Entwurf der EU-Kommission bedeutet für alle Beteiligten eine große Umstellung beim Thema Datenschutz im Internet: Browser-Entwickler müssen Konfigurationsmöglichkeiten für Cookies und Device-Fingerprinting implementieren und datenschutzfreundliche Grundeinstellungen vornehmen. Website-Betreiter müssen diese individuellen Einstellungen abfragen und berücksichtigen. Alle Internet-Dienste müssen in Zukunft das Kommunikationsgeheimnis beachten, Direktvermarkter können sich nicht mehr auf die 50-Empfänger-Grenze ausreden, Twitter-Stars werden auf ihr Wording achten müssen. Ansonstend drohen saftige Strafen. Aber auch die User sind gefordert: Sie müssen ihre Browser gewissenhafter konfigurieren und sich aktiv zur Wehr setzen, wenn sie in ihren Rechten beschränkt werden.

Einführung in die Datenschutz-Grundverordnung

Dieser Text erschien in gekürzter Form im Februar 2017 in der Zeitschrift „E-Media“.

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.