Am 10. Jänner 2017 sind in der EU eine Reihe neuer Datenschutzbestimmungen vorgestellt und zum Teil deren Änderung in Kraft getreten. Ein Überblick:
- Verordnung über Datenschutz und elektronische Kommunikation [1]
- Verordnung über Datenschutzbestimmungen für EU-Institutionen [2]
- Mitteilung über den Austausch und den Schutz personenbezogener Daten in einer globalisierten Welt [3]
Die vorgeschlagene e-Privacy-Regelung aktualisiert die bereits Bestehende. Die neuen Regeln umfassen auch elektronische Kommunikationsdienste wie Skype und WhatsApp. Die wichtigsten Bestimmungen daraus sind:
- Zustimmung: Die Definition der Zustimmung ist die gleiche wie die der GDPR [4] [5] (General Data Protection Regulation): "eine frei gegebene, spezifische, informierte und eindeutige Zustimmung durch eine Erklärung oder durch eine eindeutige Bestätigung, dass der Nutzer der Verarbeitung seiner Daten zustimmt". Die Nutzer werden alle sechs Monate an die Möglichkeit erinnert, ihre Zustimmung zu widerrufen.
- Cookies und Online-Identifikatoren: Da Internet-Browser dem Nutzer die Möglichkeit von Datenschutzeinstellungen anbieten, mit denen sie entscheiden können, ob sie Cookies akzeptieren oder nicht, können die unbeliebten Cookie-Banner zukünftig entfallen. Websitebetreiber haben jedoch weiterhin die Möglichkeit, durch Anfragen an die Nutzer eine explizite Zustimmung zu erhalten.
- Direktmarketing: Für Direktmarketing (B2C) ist eine vorherige Zustimmung erforderlich. Den Mitgliedstaaten ist es erlaubt, ein Opt-Out-System für Direktmarketing-Anrufe zu verwenden. Eine spezielle Vorwahl für Direktmarketing-Anrufe wird von der Kommission vorgeschlagen. Eine Ausnahme für Bestandskunden wird in den Vorschlag eingearbeitet und ist in der geltenden Richtlinie enthalten.
- Adblocking: Website-Anbieter sind berechtigt, abzufragen, ob der Browser eines Users die angebotenen Inhalte (wie auch Werbung) empfangen kann, ohne eine Zustimmung einzuholen. Website-Anbieter können den Besucher fragen, ob ein Adblocker (Werbeblocker) in Verwendung ist und ob der Besucher bereit ist, diesen zu deaktivieren.
- Sanktionen: Die vorgeschlagenen Geldbußen richten sich nach der Datenschutzgrundverordnung (GDPR), das wären bis 20 Millionen Euro oder für Gewerbetreibende 4% des weltweiten Umsatzes (lt. Artikel 83 Abs. 5 [6]).
Die Kommission fordert den Rat und das Europäische Parlament auf, die E-Privacy Richtlinie parallel mit der Datenschutzverordnung am 25. Mai 2018 in Kraft zu setzen.
Um Zweigleisigkeiten zu vermeiden ist die Kommission bestrebt, die Datenschutzbestimmungen der E-Privacy Richtlinie an die der GDPR anzupassen - dies wird grundsätzlich begrüßt, leider gehen die Vorschläge nicht weit genug: anstelle des Opt-Out-Systems für Direktmarketing-Anrufe sollte beispielsweise ein Double-Opt-In System zur weiteren Einschränkung für Werbung zwingend festgehalten werden (Anm. d. Redaktion).
[1] http://europa.eu/rapid/press-release_IP-17-16_de.htm
[2] http://ec.europa.eu/newsroom/document.cfm?doc_id=41158
[3] http://ec.europa.eu/newsroom/document.cfm?doc_id=41157
[4] http://www.eugdpr.org/
[5] https://www.rtr.at/de/inf/TKForum2016/Praesentation_Datenschutz-Grundverordnung_und_Datenschutz-Richtlinie.pdf
[6] http://eur-lex.europa.eu/legal-content/de/TXT/?uri=CELEX%3A32016R0679
Alle Angaben ohne Gewähr. Ein Haftungsanspruch ist ausgeschlossen.