E-Privacy? EU-Richtlinie und Cookies

Carl-Christian Buhr

(Die Aussagen des Vortragenden sind persönlich

und binden nicht die Kommission.)http://slidesha.re/eprivacyeu

http://bit.ly/cc_buhr, @ccbuhr

13. Datenschutzkongress

Berlin, 8. Mai 2012

http://bit.ly/NeelieKroesEU,@NeelieKroesEU

http://ec.europa.eu/digital-agenda

DAE

101 Maßnahmen

http://bit.ly/NeelieKroesEU,@NeelieKroesEU

Berater für...

e-Privacy/DatenschutzCloud ComputingIKT-StandardisierungIKT-ForschungspolitikSupercomputingetc.

http://bit.ly/cc_buhr,@ccbuhr

http://ec.europa.eu/digital-agenda

101 Maßnahmen

Die “e-Privacy”-Richtlinie

Datenschutzrichtlinie(2002/58/EC) für elektronische Kommunikation, zuletzt geändert durch Richtlinie 2009/136/EC

⟹ Verabschiedet durch EU-Parlament und -Rat 2009

⟹ Umsetzungsfrist in den Mitgliedstaaten: 25. Mai 2011, Verspätungen in zahlreichen Fällen

Artikel 5(3)Verweigerungsrecht → Zustimmung

“Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”

Artikel 5(3)

⟹ Nicht nur für Cookies

⟹ Nicht nur für bestimmte Zwecke

⟹ Nicht nur für Telekoms

⟹ Verpflichtet die Anbieter

⟹ Technologieneutral

Status Quo ungenügend

Übersetzung aus: Online privacy – reinforcing trust and confidence, Brüssel, 22.06.2011, http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/461

“[Die Novelle der e-Privacy-Richtlinie bedeutet eine materielle Stärkung des Schutzes der Bürger unddie Mitgliedstaaten müssen sicherstellen, dass sich dies in ihren Gesetzen widerspiegelt.]”

Umsetzung in EU-StaatenCOCOM-Arbeitspapier

⟹ Arbeitspapier der Kommissionsdienste vom

20.10.2010

⟹ Für den Kommunikationsausschuss der Vertreter der Mitgliedstaaten

⟹ Ziel: Weit abweichenden Umsetzungen entgegenwirken

Übersetzung aus: Online privacy – reinforcing trust and confidence, Brüssel, 22.06.2011, http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/461

“[Sobald Nutzerprofile existieren können sie potentiell für viele verschiedene Zwecke benutzt werden.]”

“[Der Unterschied zwischen einer Zusage nicht zu verfolgen und einer Zusage die Ergebnisse einer Verfolgung nicht für bestimmte Zwecke zu nutzen]”

Es geht um “tracking”

EASA/IAB-Selbstregulierunghttp://www.easa-alliance.org/page.aspx/386

“[Was mir an dieser Lösung gefällt, ist dass sie aktiv ist. Die Wirtschaft sagt nicht bloß – was viele leider immer noch tun – dass alles in Ordnung ist weil Benutzer Cookies in ihren Browsern abstellen können.]” [Übersetzung, Link]

⟹ Zweifel (z.B. Artikel-29-Gruppe) ob ohne weiteres Konformität garantiert ist

⟹ Umfang: begrenzt auf bestimmte Methoden und Zwecke

Eine umfassendere Diskussion Verfolg mich nicht: Do not track

DNT kann für alle Geräte sowie Arten und Zwecke der Verfolgung wirksam sein

“[Wir brauchen einen Standard!]”

Frist: June 2012

Standardisierungsprozess des W3C

Wunschszenario

1. Einfache Hilfe: “Mit DNT auf der sicheren Seite”2. Positive Rückkopplung: Verwendung durch Anbieter und Nutzer3. Mit Hilfe von Innovation durch Softwarehersteller, auf der Basis eines zureichendenStandards

Browsereinstellungen usw.

1. Richtlinie zielt auf Diensteanbieter, nicht Browseranbieter

2. DNT kommuniziert Nutzerpräferenzen an den Anbieter

⟹ Nicht ausgeschlossen dass Einstellungen o.ä. zukünftig reichen

⟹ Frage: Was passiert bei fehlendem DNT?(Aufforderung an den Nutzer? Rückgriff auf frühere Angaben? usw.)

Verweise

e-Privacy-Richtlinie 2009http://ec.europa.eu/information_society/policy/ecomm/doc/24eprivacy.pdf

http://ec.europa.eu/information_society/policy/ecomm/eu-rules/index_en.htm

COCOM-Papierhttp://bit.ly/cocom_guidance

OR http://circa.europa.eu/Public/irc/infso/cocom1/library?l=/public_documents_2010/cocom10-34_guidance/_EN_1.0_&a=d

W3C DNT Standardisierunghttp://www.w3.org/2011/tracking-protection

Relevante Reden von Neelie Kroes04/10/2011 http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/62922/06/2011 http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/46117/09/2010: http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/10/452

Blog-BeitragZu DNT, mit Video: http://blogs.ec.europa.eu/neelie-kroes/donottrack/

Kontakt<web>http://bit.ly/{NeelieKroesEU, cc_buhr}</web>

<twitter>@NeelieKroesEU, @ccbuhr</twitter><facebook>http://on.fb.me/Neelie_Kroes</facebook>