rating service  security service privacy service
2004/06/03 EU-Datenschutzrichtlinie für elektronische Kommunikation - Zwischenbilanz
Richtlinie 2002/58/EG, DSG 2000, TKG 2003, ECG
Seit 1.11.2003 müsste die Datenschutzrichtlinie für elektronische Kommunikation in allen EU-Staaten umgesetzt sein - Besonders im Online-Bereich wurden einige Techniken neu geregelt - Umsetzung der Sicherheitsanforderungen noch unzureichend - Konvergenzvorgaben in Österreich ungenügend umgesetzt

Die EU-Datenschutzrichtlinie geht auf eine Reihe spezifischer Probleme der Online-Kommunikation ein. Am 12. Juli 2002 verabschiedet musste die Richtlinie bis 31. Oktober 2003 von den Mitgliedsländern umgesetzt werden. Nach gut 200 Tagen Zeit für eine Zwischenbilanz. Für Österreich wurden die wichtigsten Bestimmungen der Telekom-Datenschutz-Richtlinie im neuen Telekommunikationsgesetz 2003 (TKG 2003) umgesetzt. Nicht immer eindeutig, nicht immer vollständig.

In den formalen Grundlagen des Datenschutzes änderte sich durch die neue Richtlinie wenig. Die 'eigentliche' EU-Datenschutzrichtlinie, die auch die Grundlage des DSG 2000 in Österreich bildet, bleibt weiterhin in Kraft und gibt die allgemeinen Rahmenbedingungen für den Datenschutz in der EU vor.


SPAM - Opt-in/Opt-out

Die wohl am heftigsten diskutierte Änderung war die Änderung der Regeln für Werbe-Emails. Die EU ging von der ursprünglich bestehenden opt-out-Regelung ab und ging zum opt-in-Prinzip über. Dieses opt-in-Prinzip war in Österreich bereits in der alten Fassung des TKG vorgesehen und wurde in der neuen Fassung aufgeweicht (§107 neue Fassung). Während für Verbraucher weiterhin das opt-in-Prinzip gilt, wobei die Ausnahmen der Richtlinie übernommen wurden, gilt für Unternehmen (und deren Mitarbeiter) eine opt-out-Regelung. Verwirrend.


Cookies, Web-Bugs und Spyware

Diese Techniken dienen zum Benutzer-Tracking und erleichtern die Identifikation von Benutzern, die Analyse des Online-Verhaltens und die Erstellung von Interessensprofilen.

Derartige Techniken sind nunmehr grundsätzlich erlaubt, müssen jedoch angekündigt werden. Weiters ist der genaue Zweck der eingesetzten Techniken anzugeben. Dies bedeutet insbesondere, dass die Homepage einer Website 'Cookie-frei' sein muss, um den Benutzer Gelegenheit zu geben, sich über die verwendeten Tracking-Methoden zu informieren.


Verkehrs-, Verbindungs- und Standortdaten

Verkehrsdaten, die zur Abwicklung eines Kommunikationsfalles notwendig sind, dürfen nur für diese Abwicklung und gegebenenfalls für die Abrechnung verwendet werden. Anschliessend sind sie zu löschen. Sofern diese Daten noch verfügbar sind, können sie auch für Klärung von Benutzer-(Support-)anfragen oder zur Vermarktung eigener Telekomangebote genutzt werden.

Ein anderer Bereich, der von der Richtlinie geregelt wurde und ebenfalls im TKG umgesetzt ist, ist die Behandlung von Standortdaten, die nicht zu den Verkehrsdaten zu zählen sind.

Standortdaten sind zusätzliche Verkehrsangaben, die nicht zur Erfüllung einer Kommunikationsübertragung notwendig sind und die die genaue Position eines Benutzers lokalisieren. Aufgrund der technischen Entwicklung stehen inzwischen sehr genaue Informationen über den aktuellen Standort eines Handy-Benutzers zur Verfügung. Solche Standortdaten sind Grundlage für 'location based services', von denen sich die Mobilfunkunternehmen in den nächsten Jahren steigende Umsätze erwarten (z.B. Restaurantführer, ...).

Derartige Standortdaten dürfen nur in anonymisierter Form oder mit der ausdrücklichen Zustimmung des Betroffenen verwendet werden. Zusätzlich muss für den Betroffenen jederzeit die Möglichkeit gegeben sein, die Zustimmung zu widerrufen bzw. den Dienst jederzeit selbständig zu unterdrücken.


Aufklärungspflicht zu technischen Sicherheitsmaßnahmen

Noch immer zu wenig beachtet wird die Verpflichtung der EU-Datenschutzrichtlinie im Telekommunikationsbereich technische Sicherheitsmaßnahmen zu ergreifen. Dies bedeutet insbesondere den verpflichtenden Einsatz von Verschlüsselungs- und Zertifizierungstechniken im Internet-Verkehr.

Weiters wären Betreiber von Onlinediensten verpflichtet, ihre Benutzer kostenfrei über spezifische Sicherheitsrisken ihres Online-Dienstes und deren Abhilfe aufzuklären. Soweit dies technisch machbar ist, wäre dies sogar in personalisierter Form erforderlich. Erkennt etwa ein Web-Server, dass ein Benutzer mit ungeeigneter (veralteter) Software versucht sensible Transaktionen (Bestellungen, Telebanking, ...) abzuwickeln, dann besteht nach der Datenschutzrichtlinie die Verpflichtung, den Benutzer darauf aufmerksam zu machen. Werden diese Informationspflichten verletzt, kann der Online-Betreiber für Schäden und Missbrauch zur Haftung herangezogen werden.


Der persönliche Computer als Teil der Privatsphäre

Viele Webdesigner betrachten den Computer des Website-Benutzers als verlängerte Präsentationsbühne ihrer Designfantasien, tatsächlich handelt es sich jedoch um Teil der Privatsphäre des Benutzers, die so zu verlassen ist, wie sie vorgefundne wurden. Diese Position schliesst eine Reihe von technisch möglichen 'Spielchen' aus:
- keine Zwangs-Pop-Up-Fenster
- kein Öffnen mehrer Fenster im Hintergrund
- kein ausschalten einzelner Browserfunktionen ('Zurück-Buttom, rechte Maustaste, ...)
- kein Aufblähen des Browserfenster auf ganze Bildschirmseite
- kein Einbau von unsichtbarer Schrift
- kein Einbau von sachlich nicht notwendigen Fremdlinks (Advertiser-Zähler)
- keine Verwendung zentraler Web-Log-Tools, wie Nedstat


Auskunftspflicht der Telekombetreiber gegenüber Behörden

Verwirrung bereiten mittlerweile eine Reihe von Auskunftsverpflichtungen, die unter anderem im e-commerce-gesetz (ECG), Sicherheitspolizeigesetz (SPG), in der Strafprozessordnung (STPO) und im Finanzstrafgesetz festgeschrieben sind.

In keinem Fall wird die vorbeugende (vorausschauende) Speicherung von Verkehrs- oder Inhaltsdaten verlangt. Nur auf richterlichen Befehl (geregelt in der STPO) ist die Herausgabe von Inhalts-, Verkehrs- oder Standortdaten zulässig. In allen anderen Fällen - auch wenn Behörden immer wieder anderes behaupten - ist ausschließlich die Bekanntgabe von Teilnehmerstammdaten (Name, Adresse, Anschlussnummer) zulässig.


Konvergenz noch in den Kinderschuhen

Das EU-Telekom-Paket 2002, stand im Zeichen der Konvergenz unterschiedlicher Informationsdienste. Tatsächlich steckt die von der EU angestrebte Konvergenz noch in den Kinderschuhen. Weder ist die gemeinsame Regelung von Rundfunk-(broadcast) und Telekom-(interaktiv)Diensten geglückt, noch die gemeinsame Regelung von Infrastruktur, Endgeräten und Dienst-(Inhalts-)Angeboten im Telekombereich.

Besonders im Internet-Bereich verstärkt sich die Gefahr der Zerplitterung der anzuwendenden Regelungen. Online-Dienstanbieter müssen mittlerweile, teilweise abhängig von der Art der technischen Realisierung ihrer Dienste, die unterschiedlichsten Rechtsbereiche und Zuständigkeiten anwenden. Abgesehen vom Telekommunikationsgesetz sind dies das e-commerce-Gesetz, das DSG 2000 und Konsumentenschutzbestimmungen. Für wesentliche Teile der EU-TK-Datenschutzrichtlinie, etwa bei der Durchsetzung der Informationspflichten bei Cookies und Web-Bugs (User-Tracking) oder bei der Information der Benutzer über besondere Sicherheitsrisken im Onlineverkehr, fühlt sich in Österreich niemand zuständig.

Auch auf Seiten der EU wären eine Reihe von technischen Initiativen notwendig, etwa die Förderung der Entwicklung von Endbenutzerbetriebssystemen, die stabil und störungsfrei funktionieren und zumindest Standardangriffen (Mail-Würmern, Viren, Browserwürmern) standhalten.

Auch Browser, die - ähnlich wie Stadtpläne - tatsächliches Navigieren erlauben oder PrivacyGeneratoren (etwa auf Basis der P3P-Empfehlungen, die die Durchsetzung von Datenschutzstandards fördern, wären notwendig.

mehr --> Ist der Einsatz von Filterlisten oder Überwachungssoftware in ...
mehr --> Wozu dürfen WHOIS-Daten verwendet werden?
mehr --> Dürfen Cookies vertrauliche Informationen im Klartext abspeich...
mehr --> Datenschutz Seminare der ARGE DATEN
Archiv --> http://europa.eu.int/eur-lex/de/lif/reg/de_register_132060.html
andere --> http://ris.bka.gv.at/taweb-cgi/taweb?x=d&o=l&v=bgbl&db=BGBL&q={$QUERY}&sl=100&t=...
andere --> http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2003/wp69_de.pdf
andere --> http://europa.eu.int/eur-lex/pri/de/oj/dat/2002/l_201/l_20120020731de00370047.pdf

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2017webmaster