Zwischenbilanz zur Datenschutzrichtlinie
Die EU-Datenschutzrichtlinie für elektronische Kommunikation müsste seit 1. Jänner 2003
in allen EU-Staaten umgesetzt sein.
Die Umsetzung der Sicherheitsanforderungen ist jedoch in den meisten Ländern nach wie vor unzureichend. In Österreich sind die Konvergenzvorgaben noch ungenügend umgesetzt, wie die ARGE Daten in ihrem Newsletter berichtet.
Die wohl heftigsten Diskussionen gab es über die Änderung der Regeln für Werbe-E-Mails. Die EU ging von der ursprünglich bestehenden Opt-out-Regelung ab und ging zum Opt-in-Prinzip über.
Dieses Opt-in-Prinzip war in Österreich bereits in der alten Fassung des Telekommunikationsgesetzes [TKG] vorgesehen und wurde in der neuen Fassung aufgeweicht.
Verwirrende Regel
Die verwirrende Regel lautet nun: Während für Verbraucher
weiterhin das Opt-in-Prinzip gilt, wobei die Ausnahmen der
Richtlinie übernommen wurden, gilt für Unternehmen eine
Opt-out-Regel.
Spam-Verbot in Österreich aufgeweichtVerkehrsdaten nur für Abrechnung
Cookies, Web-Bugs und Spyware, also Techniken, die dem Benutzer-Tracking dienen, sind nun grundsätzlich erlaubt, müssen jedoch angekündigt werden. Weiters ist der genaue Zweck der eingesetzten Techniken anzugeben.
Ein weiterer Punkt sind Verkehrsdaten: Diese sind zur Kommunikationsabwicklung [etwa beim Schicken einer SMS] nötig, dürfen aber nur für diese Abwicklung und gegebenenfalls für die Abrechnung verwendet werden. Anschließend sind sie zu löschen.
Ein anderer Bereich, der von der Richtlinie geregelt wurde und ebenfalls im TKG umgesetzt ist, ist die Behandlung von Standortdaten, die nicht zu den
Verkehrsdaten zählen.
Standortdaten sind zusätzliche Verkehrsangaben, die für die Kommunikationsübertragung nicht notwendig sind und die genaue Position eines Benutzers lokalisieren. Auf Grund der technischen Entwicklung stehen inzwischen sehr genaue Informationen über den aktuellen Standort eines Handy-Nutzers
zur Verfügung. Derartige Standortdaten dürfen nur in anonymisierte Form oder mit der ausdrücklichen Zustimmung des Betroffenen verwendet werden.
EU ermahnt
Die EU-Kommission hat im Dezember gegen neun Länder ein
Vertragsverletzungsverfahren wegen mangelnder Umsetzung von
EU-Datenschutzbestimmungen eingeleitet.
EU-Kommission mahnt Datenschutz einTechnische Sicherheitsmaßnahmen
Wenig beachtet wird nach wie vor die Verpflichtung,
technische Sicherheitsmaßnahmen zu ergreifen. Das bedeutet vor allem den Einsatz von Verschlüsselungs- und Zertifizierungstechniken im
Internet-Verkehr.
Betreiber von Online-Diensten sind demnach verpflichtet, ihre Benutzer gratis über spezifische Sicherheitsrisken ihres Online-Dienstes und deren
Abhilfe aufzuklären.
Soweit das technisch machbar ist, wäre es sogar in personalisierter Form erforderlich. Werden diese Informationspflichten verletzt, kann der Online-Betreiber für Schäden und Missbrauch zur Haftung herangezogen werden.
