Passwort vergessen?  | 
 |  Passwort vergessen?  | 
Suche
  • Login
  • Login

Mittwoch, 13. Dezember 2017

Datenschutz

Strenge Regeln für Metadaten

Von Christiane Schulzki-Haddouti | 23. Februar 2017 | Ausgabe 08

Die EU-Kommission will mit einer neuen Verordnung konkrete Datenschutzvorgaben für digitale Dienste und smarte Geräte machen.

e-privacy BU
Foto: panthermedia.net/A. Kirch

Daten, wie sie fürs Smart Home anfallen, – z.B. Stromverbrauch – müssen laut Kommissionsentwurf umgehend gelöscht oder anonymisiert werden.

Das Smart Home und die Vernetzung von Haustechnik bietet Verbrauchern viele Möglichkeiten. Doch „wo große Chancen sind, bleiben auch Risiken“, wie etwa eine gefährdete Privatsphäre, warnt Bundesjustizminister Heiko Maas (SPD). Für gesetzgeberische Eingriffe sei es noch zu früh, stellte der Minister vergangene Woche auf einer Veranstaltung fest.

Dabei steht der erste Eingriff kurz bevor: Die EU-Kommission stellte jetzt einen Entwurf für eine E-Privacy-Verordnung vor, die nicht nur wie bisher Webdienste, sondern auch das „Internet der Dinge“ reguliert. Ebenso müssen sich telefonieähnliche Internetdienste wie Skype und Whatsapp an die neuen Datenschutzregeln halten.

Technischen Lösungen räumt die Verordnung grundsätzlich einen Vorrang vor juristischen Regelungen ein. Hersteller müssen etwa während der Installation über die möglichen Privatsphäreeinstellungen informieren und vom Nutzer die Einwilligung für die Einstellungen einholen. Hat der Verbraucher seine Einwilligung bereits erteilt, weil es den Dienst oder das Gerät schon länger gibt als die Verordnung, müssen die Hersteller dies über ein Software-Update spätestens bis August 2018 nachholen.

Neu sind explizite Regeln für Metadaten wie Nutzungs-, Stromverbrauchs-, Temperatur- oder Ortsdaten, sofern sie einer Person zugeordnet werden können. Die Datenverarbeiter müssen diese Metadaten umgehend löschen oder anonymisieren, wenn die Übertragung abgeschlossen ist und die Metadaten für Abrechnungszwecke nicht mehr benötigt werden. Diese Daten dürfen personenbezogen nur dann verarbeitet werden, wenn der Nutzer ausdrücklich eingewilligt hat. Speziell die Ortsdaten wollen derzeit Telekommunikationsanbieter an Betriebe des öffentlichen Nahverkehrs vermarkten, damit diese ihre Fahrpläne optimieren können.

Metadaten, die nicht im Kontext einer definierten Dienstleistung generiert werden, werden zunächst schwächer geschützt. Betroffen sind auch Anbieter sogenannter Heatmaps, die u. a. Temperaturdaten farblich visualisieren und auf Ortsdaten basieren. Sie dürfen solche Daten zunächst ohne die Einwilligung der Betroffenen verarbeiten. Um zu verhindern, dass solche Daten später Personen zugeordnet werden, schreibt die Kommission im Falle eines hohen Grundrechtsrisikos eine Datenschutzfolgeabschätzung vor. Werden die Daten wiederholt erfasst, müssen die Nutzer darüber informiert werden. Der Datenerfasser muss auch darüber aufklären, wie die Nutzer die Datensammlung vermeiden können.

Möglicherweise wird es von der generellen Löschpflicht eine Ausnahme geben, von der staatliche Sicherheitsbehörden profitieren sollen. So diskutieren die Mitgliedstaaten derzeit, ob sie eine Nachfolgeregelung für die vom Europäischen Gerichtshof einkassierte Vorratsdatenspeicherung von Metadaten in der E-Privacy-Verordnung unterbringen können.

Geht es um die Inhalte elektronischer Kommunikation wie E-Mail- oder Messaging-Nachrichten, liegt die Latte deutlich höher, da mit ihnen ein höheres Grundrechtsrisiko verbunden ist. Wollen die Betreiber die Inhalte etwa für Werbezwecke analysieren, wie es z. B. bei Googles E-Mail-Dienst der Fall ist, müssen sie vorab die Datenschutz-Aufsichtsbehörden konsultieren. Die Anbieter sind verpflichtet, sich an die Empfehlungen der Behörden zu halten. Nutzer dürfen laut Entwurf jederzeit ihre Einwilligung zurücknehmen, wobei der Anbieter sie daran jedes halbe Jahr erinnern muss. Dabei darf ihnen die Nutzung des Dienstes nicht automatisch verweigert werden.

Auch im Falle der Cookies räumt die Verordnung technischen Datenschutzlösungen einen Vorrang ein. So entfällt die Informationspflicht, wenn der Nutzer über seinen Internetbrowser automatisch mit dem Do-Not-Track-Mechanismus signalisieren kann, ob er Cookies des direkt besuchten Anbieters akzeptieren, jedoch die von Drittanbietern blockieren möchte. Überdies müssen die Websitebetreiber nicht mehr darüber informieren, wenn sie Cookies auf Rechnern platzieren, die lediglich Konfigurationszwecken dienen. Das ist allerdings auch der Fall, wenn Shopping-Portale sich frühere Klicks merken, um einen Warenkorb zu befüllen.

Bisher hat die Werbeindustrie technische Einstellungen wie Do-Not-Track straflos ignoriert. Das könnte künftig teuer werden: Der Sanktionsrahmen der E-Privacy-Verordnung entspricht dem der Datenschutzgrundverordnung. Die Aufsichtsbehörden können Strafen in Höhe von bis zu 4 % des Jahresumsatzes eines Unternehmens verhängen.

stellenangebote

mehr