Skip to content Skip to navigation Logo Verbraucherzentrale Bundesverband

13.01.2017 > Onlinemeldung

Ein Schritt in die richtige Richtung für Verbraucherschutz im digitalen Zeitalter

Einschätzung des vzbv zur neuen ePrivacy-Verordnung
Quelle: 
Lars Zahner - photocase.de
  • Neue ePrivacy-Verordnung soll die europäische Datenschutz-Grundverordnung im Bereich der elekronischen Kommunikation ergänzen.
  • vzbv begrüßt die verbraucherfreundlichen Grundsätze im Entwurf der EU-Kommission für eine ePrivacy-Verordnung.
  • vzbv kritisiert aber im Entwurf unter anderem das fehlende Verbandsklagerecht und die Möglichkeit für Offline-Tracking ohne Einwilligung des Nutzers.

Die EU-Kommission hat am 10. Januar 2017 einen Entwurf für eine „Verordnung über Privatsphäre und elektronische Kommunikation“ (ePrivacy-Verordnung) veröffentlicht. Die neue EU-Verordnung soll ab Mai 2018 die bisherige Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) ablösen und die europäische Datenschutz-Grundverordnung (DSGVO) detailliert ergänzen.

Der Verordnungsvorschlag enthält viele verbraucherfreundliche Ansätze, aber auch einige kritische Punkte. Aus Sicht des Verbraucherzentrale Bundesverbandes (vzbv) müssen noch viele Detailfragen geklärt werden. Im vorliegenden Entwurf wurden einige gute Ansätze verwässert, die in einer bereits zuvor bekannt gewordenen Fassung enthalten waren.

ePrivacy-Verordnung bietet verbraucherfreundliche Grundsätze

Um Privatsphäre und Vertraulichkeit im Bereich der elektronischen Kommunikation sicher-zustellen, reicht die DSGVO alleine nicht aus. Durch die spezifischen Risiken im Bereich der elektronischen Kommunikation ist es notwendig, die abstrakten Vorschriften der DSGVO für diesen Bereich zu konkretisieren. Auch bezieht sich die DSGVO nur auf den Schutz personenbezogener Daten, während die ePrivacy-Verordnung darüber hinaus das Recht auf vertrauliche Kommunikation festschreibt. Außerdem werden wichtige verbraucherschützende Vorschriften des Vorschlags durch die DSGVO nicht abgedeckt, wie Regeln zu unerbetenen Nachrichten per E-Mail und Telefon.

Anbieter als Hüter des Kommunikationsgeheimnisses

Der vzbv sieht Anbieter elektronischer Kommunikation in der Pflicht, die Vertraulichkeit unter Verwendung des aktuellen Stands der Technik abzusichern. Die Prinzipien des Datenschutzes durch entsprechende Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sind wichtige Instrumente, um Verbraucher zu schützen. Insbesondere jene, deren Wissensstand über Internet-Technologien gering ist. Diese Grundsätze sind ein Kern der DSGVO und sollten auch in der ePrivacy-Verordnung als sektorspezifische Rechtsvorschrift detailliert umgesetzt werden.

Der vzbv hat seine Einschätzung zum Entwurf der ePrivacy-Verordnung in folgenden Punkten zusammengefasst.

Gleiches Recht für alle Verbraucher in der EU
 

Erfreulich ist nach Ansicht des vzbv, dass hier – wie bereits bei der Datenschutz-Grundverordnung – das „Marktortprinzip“ gelten soll. Dies bedeutet, dass sich alle Unternehmen an die gleichen Regelungen halten müssen, wenn sie ihre Angebote an Verbraucher in Europa richten – unabhängig davon ob sie einen Sitz in Europa haben oder nicht.

ePrivacy-Verordnung gilt auch für Instant Messaging-Dienste
 

Ein wichtiger Schritt nach vorne ist, dass künftig auch „Over-The-Top-Kommunikationsanbieter“ von der Verordnung erfasst werden sollen. Dabei handelt es sich um Kommunikationsdienste, die über das Internet angeboten werden, wie beispielsweise Internettelefonie, Instant Messaging oder Chats in Sozialen Netzwerken. Bisher fallen lediglich klassische Telekommunikationsanbieter unter die ePrivacy-Regelung, was aber auf Grund des ökonomischen, sozialen und politischen Bedeutungszuwachses der Over-The-Top-Dienste kein ausreichendes Schutzniveau mehr darstellt. Für viele Verbraucher ist nicht verständlich, weshalb eine Nachricht die sie per SMS verschicken, einen höheren Schutz genießt als eine Nachricht, die sie - über dieselbe Smartphone-App - über das Internet versenden.

ePrivacy heißt: Do not track!
 

Positiv ist, dass es weiterhin untersagt ist, Inhalte von Nachrichten und Verbindungsdaten abzufangen oder zu überwachen, außer wenn der betroffene Nutzer eingewilligt hat oder es dafür eine gesetzliche Ermächtigung gibt. Gleiches gilt, wenn Unternehmen das Verhalten und die Interessen der Nutzer im Internet nachverfolgen wollen (das so genannte „Tracking“) oder wenn Unternehmen die persönlichen Daten der Verbraucher verwenden möchten, um diesen Werbung beispielsweise per E-Mail, SMS oder Telefon zukommen zu lassen.

Unklare Details schmälern die Verbraucherfreundlichkeit
 

Leider liegt der Teufel auch bei der ePrivacy-Verordnung im Detail. Denn hinsichtlich der Form der Einwilligungen, aber auch der Ausnahmen von diesen Grundsätzen gibt es noch viel Klärungsbedarf. Dies gilt besonders für die vorgeschlagenen Regelungen zum Tracking, also wenn das Verhalten des Nutzers über mehrere Webseiten, Applikationen oder Endgeräte hinweg erfasst wird beziehungsweise Nutzerprofile erstellt werden. Dies betrifft nicht nur Browser-Cookies, also Dateien, die auf den Endgeräten des Nutzers gespeichert werden, um ihn wiederzuerkennen, sondern jegliche Tracking-Technologie. Künftig soll es möglich sein, dass Verbraucher ihre Einwilligung in ein Tracking über die Einstellungen ihrer Softwareprogramme ausdrücken, also beispielsweise über ihren Webbrowser oder innerhalb einer App. Hierbei muss jedoch sichergestellt werden, dass der Wunsch des Verbrauchers respektiert wird. Unternehmen dürfen den Wunsch des Nutzers nicht umgehen können, indem sie ihm – unabhängig von seiner Softwareeinstellung – eine Einwilligung abringen, die er nicht bewusst abgeben wollte. Der vzbv fordert, das Tracking von Minderjährigen oder im Gesundheitsbereich zu Werbezwecken grundsätzlich zu untersagen.

Die EU-Kommission konnte sich leider nicht zu einer Regelung durchringen, dass Software stets datenschutzfreundlich voreingestellt sein muss. Nutzer müssen immerhin künftig bei der Installation aktiv eine der Einstellungen auswählen. In der Praxis dürfte diese Regelung jedoch für Ärger sorgen, wenn der Nutzer nach Installation jeglicher Kommunikationssoftware entsprechende Einstellungen vornehmen muss.

Inakzeptabel: Offline-Tracking ohne Einwilligung des Nutzers
 

Der Verordnungsentwurf enthält auch einige sehr kritische Punkte. Smartphones und andere Geräte versenden eindeutig wiedererkennbare Signale, um eine Telefon-, Internet-, WLAN- oder Bluetooth-Verbindung zu ermöglichen. Diese Signale können von Unternehmen, wie beispielsweise dem Einzelhandel, verwendet werden, um die Verbraucher in der Offline-Welt zu tracken. So können sie einen Verbraucher wiedererkennen, wenn er zum wiederholten Male ein Geschäft betritt oder seine Bewegungen innerhalb des Geschäftes nachverfolgen. Je nach eingesetzter Technik ist ein solches Tracking über eine Entfernung von mehreren hundert Metern möglich. Dieses Offline-Tracking soll künftig ohne die Einwilligung der Verbraucher erlaubt sein – nach den derzeitigen Plänen soll noch nicht einmal eine Widerspruchsmöglichkeit bestehen. Verbraucher sollen lediglich mit Hilfe von Schildern oder ähnlichem informiert werden, wenn sie einen derart überwachten Bereich betreten. Der vzbv fordert auch für das Offline-Tracking eine vorherige Einwilligung des Betroffenen.

Verordnung sieht kein Verbandsklagerecht vor
 

Auch fallen einige Rechte der Verbraucher hinter den guten Vorgaben der Datenschutz-Grundverordnung zurück. Denn nach dieser können betroffene Personen Verbraucherverbände oder andere Organisationen ohne Gewinnerzielungsabsicht damit beauftragen, in ihrem Namen gegen ein Unternehmen zu klagen, wenn dieses gegen den Schutz ihrer persönlichen Daten verstößt. Ein solches Verbandsklagerecht wurde aber aus dem aktuellen Entwurf gestrichen. Verbraucherverbände könnten also in allen Branchen die Datenschutzinteressen der Verbraucher durchsetzen, außer im besonders sensiblen Telekommunikationsbereich.

Rechte zur Integrität und zum Schutz der Verbraucher-IT-Systeme fehlen
 

Die zentrale Voraussetzung für eine vertrauliche Kommunikation ist das Recht des Nutzers, selbst Schutzmaßnahmen gegen unrechtmäßige Angriffe auf sein IT-System vorzunehmen. So sollt die ePrivacy-Verordnung für Nutzer das Recht vorsehen ihre Kommunikation, Netzwerke und Endgeräte vor „malvertising“,also dem ausspielen von Schadsoftware über manipulierte Werbebanner, zu schützen, indem sie Ad-Blocker oder ähnliche Techniken einsetzen. Die Regelung sollte nach Ansicht des vzbv außerdem unterbinden, dass Unternehmen Sicherheitsmaßnahmen der Nutzer umgehen.

Weitere Informationen