04.06.2004

ÖSTERREICH

Zwischenbilanz zur Datenschutzrichtlinie

Die EU-Datenschutzrichtlinie für elektronische Kommunikation müsste seit 1. Jänner 2003

in allen EU-Staaten umgesetzt sein.

Die Umsetzung der Sicherheitsanforderungen ist jedoch in den meisten Ländern nach wie vor unzureichend. In Österreich sind die Konvergenzvorgaben noch ungenügend umgesetzt, wie die ARGE Daten in ihrem Newsletter berichtet.

Die wohl heftigsten Diskussionen gab es über die Änderung der Regeln für Werbe-E-Mails. Die EU ging von der ursprünglich bestehenden Opt-out-Regelung ab und ging zum Opt-in-Prinzip über.

Dieses Opt-in-Prinzip war in Österreich bereits in der alten Fassung des Telekommunikationsgesetzes [TKG] vorgesehen und wurde in der neuen Fassung aufgeweicht.

Verkehrsdaten nur für Abrechnung

Cookies, Web-Bugs und Spyware, also Techniken, die dem Benutzer-Tracking dienen, sind nun grundsätzlich erlaubt, müssen jedoch angekündigt werden. Weiters ist der genaue Zweck der eingesetzten Techniken anzugeben.

Ein weiterer Punkt sind Verkehrsdaten: Diese sind zur Kommunikationsabwicklung [etwa beim Schicken einer SMS] nötig, dürfen aber nur für diese Abwicklung und gegebenenfalls für die Abrechnung verwendet werden. Anschließend sind sie zu löschen.

Ein anderer Bereich, der von der Richtlinie geregelt wurde und ebenfalls im TKG umgesetzt ist, ist die Behandlung von Standortdaten, die nicht zu den

Verkehrsdaten zählen.

Standortdaten sind zusätzliche Verkehrsangaben, die für die Kommunikationsübertragung nicht notwendig sind und die genaue Position eines Benutzers lokalisieren. Auf Grund der technischen Entwicklung stehen inzwischen sehr genaue Informationen über den aktuellen Standort eines Handy-Nutzers

zur Verfügung. Derartige Standortdaten dürfen nur in anonymisierte Form oder mit der ausdrücklichen Zustimmung des Betroffenen verwendet werden.

Technische Sicherheitsmaßnahmen

Wenig beachtet wird nach wie vor die Verpflichtung,

technische Sicherheitsmaßnahmen zu ergreifen. Das bedeutet vor allem den Einsatz von Verschlüsselungs- und Zertifizierungstechniken im

Internet-Verkehr.

Betreiber von Online-Diensten sind demnach verpflichtet, ihre Benutzer gratis über spezifische Sicherheitsrisken ihres Online-Dienstes und deren

Abhilfe aufzuklären.

Soweit das technisch machbar ist, wäre es sogar in personalisierter Form erforderlich. Werden diese Informationspflichten verletzt, kann der Online-Betreiber für Schäden und Missbrauch zur Haftung herangezogen werden.