Arbeitsgruppe fⁿr den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten

Stellungnahme der Arbeitsgruppe

Das "Platform for Privacy Preferences"-Projekt (P3P) geht davon aus, daß der Schutz der Privatsphäre und der Datenschutz zwischen dem Internet-Nutzer, dessen Daten erfaßt werden, und der Internetseite, die die Daten erfaßt, zu vereinbaren ist. Die Philosophie stützt sich auf die Überlegung, daß der Nutzer in die Erfassung seiner personenbezogenen Daten durch ein Site einwilligt ("Open Profiling Standard" soll eine sichere Übermittlung eines Standardprofils personenbezogener Daten garantieren), sofern die erklärten, die Privatsphäre berührenden Praktiken des Sites wie die Zweckbestimmungen, für die Daten erfaßt werden, und die Frage, ob die Daten für weitere Zweckbestimmungen verwendet oder an Dritte weitergeleitet werden oder nicht, den Anforderungen des Nutzers genügen. Das World Wide Web Konsortium (W3C) hat sich bemüht, ein einheitliches Vokabular zu entwickeln, mit dem die Präferenzen des Nutzers und die Praktiken des Sites artikuliert werden. Die Möglichkeit einer Anpassung dieses Vokabulars an die Bedürfnisse und die geltenden Bestimmungen in spezifischen geographischen Gebieten wurde nicht in Betracht gezogen. Da P3P weltweite Anwendbarkeit anstrebt, ist überraschend, daß das Vokabular nicht unter Berücksichtigung der höchsten bekannten Standards des Datenschutzes und der Privatsphäre entwickelt wurde, sondern statt dessen das Bemühen im Vordergrund stand, niedrigere gemeinsame Normen zu formalisieren. Diese politischen Entscheidungen bedeuten, daß die Einführung von P3P und OPS in der Europäischen Union wahrscheinlich eine Reihe spezifischer Probleme aufwerfen wird, die nachstehend erörtert werden. Sollen P3P und OPS sich auf den Schutz der Privatsphäre im On-line-Umfeld positiv auswirken, so ist von wesentlicher Bedeutung, daß diese Fragen behandelt werden.

Eine technische Plattform für den Schutz der Privatsphäre wird per se nicht ausreichen, um die Privatsphäre im Netz zu schützen. Sie muß im Zusammenhang mit einem Rahmen verbindlicher Datenschutzbestimmungen Anwendung finden, der für alle Individuen ein Minimum an nichtverhandelbarem Datenschutz vorsieht. Die Verwendung von P3P und OPS in Ermangelung eines derartigen Rahmens bringt die Gefahr mit sich, die Verantwortung für den eigenen Schutz vordringlich dem einzelnen Nutzer zuzuschieben, und diese Entwicklung würde den weltweit eingeführten Grundsatz untergraben, demzufolge der Dateiverantwortliche für die Einhaltung der Grundsätze des Datenschutzes zuständig ist (OECD-Leitlinien 1980, Übereinkommen Nr. 108 des Europarats aus dem Jahre 1981, VN-Leitlinien 1990, EU-Richtlinien 95/46/EG und 97/66/EG). Eine derartige Umkehrung der Zuständigkeit setzt außerdem einen Kenntnisstand im Hinblick auf die Gefahren voraus, die die Datenverarbeitung für die Privatsphäre des Individuums nach sich zieht, der realistischerweise von den meisten Bürgern nicht erwartet werden kann.

Es besteht die Gefahr, daß P3P nach ihrer Realisierung bei der nächsten Generation der Software der Navigationsprogramme in der Europäischen Union niedergelassene Betreiber irreführenderweise veranlassen könnte, zu glauben, daß sie von einigen ihrer gesetzlichen Verpflichtungen entlastet werden können (beispielsweise Gewährleistung des Rechts einzelner Nutzer auf Zugriff zu ihren Daten), wenn der einzelne Nutzer diesem als Teil der On-line-Verhandlung zustimmt. De facto werden die Unternehmen, Organisationen und Einzelpersonen, die in der Europäischen Union niedergelassen sind und über das Internet Dienstleistungen anbieten, in jedem Fall die in der Datenschutzrichtlinie 95/46/EG niedergelegten Bestimmungen im Hinblick auf alle personenbezogenen Daten zu befolgen haben, die sie erfassen und verarbeiten. P3P kann somit nicht nur unter den Betreibern im Hinblick auf ihre Verpflichtungen, sondern auch unter den Internet-Nutzern im Hinblick auf den Charakter ihrer Datenschutzrechte zur Verwirrung führen. Software für Navigationsprogramme, die in der Europäischen Union verkauft oder vertrieben wird, muß deshalb so gestaltet und ausgelegt werden, daß sie gewährleistet, daß On-line-Vereinbarungen, die im Widerspruch zu geltenden Datenschutzgesetzen stehen, nicht möglich sind.

Für Nutzer in der Europäischen Union, die mit Internetseiten mit Sitz in Nicht-EU-Ländern in Kontakt treten, ist das Hauptproblem, daß die Organisation, der sie personenbezogene Daten liefern, nicht unter die EU-Richtlinie oder sonstige tatsächlich umgesetzte Datenschutzbestimmungen fallen könnte. Für die Entscheidung, ob Daten an solche Internetseiten geliefert werden sollen, ist nicht nur eine annähernde Kenntnis des Inhalts der geltenden Bestimmungen ausschlaggebend, sondern auch, ob es Sanktionen für die Nichteinhaltung und - und am wichtigsten - ob es einfache, effiziente Mittel gibt, Rechtsmittel zu erhalten, wenn gegen die Regeln verstoßen wird. Eine On-line- "Platform for privacy preferences" sollte theoretisch den Nutzern eine solche Information liefern können. So wie sich das P3P-Vokabular zur Zeit darstellt, ist es allerdings nicht so angelegt, daß es die Information über Sanktionen oder Rechtsmittel für die Benutzer fordert oder auch nur ermöglicht. Um P3P zu einem nützlichen Instrument für den Erhalt der informierten On-line-Einwilligung in die Übermittlung personenbezogener Daten von EU-Benutzern (wie in Artikel 26 Absatz 1 Buchstabe a der Richtlinie gefordert) zu machen, muß deshalb das Standardvokabular erneut abgefragt werden.

Da die meisten Internet-Nutzer die konfigurierten Einstellungen ihres Navigationsprogramms wahrscheinlich nicht verändern werden, wird die Position der Standardvorgabe im Hinblick auf die Privatsphärenpräferenzen eines Anwenders bedeutende Auswirkungen auf das allgemeine Niveau des On-line-Schutzes der Privatsphäre haben. P3P und OPS müssen in die Browser-Technologie mit Standardvorgabepositionen eingebracht werden, die das Interesse des Nutzers an einem hohen Schutzniveau der Privatsphäre widerspiegeln (einschließlich der Möglichkeit, Internetseiten anonym durchzusehen), ihn aber nicht selbst bei seinen Versuchen aufhalten oder behindern, zu den Seiten Zugriff zu erhalten. Wenn ein Betreiber als Voraussetzung für den Zugang zu seiner Seite fordert, daß ein Profil identifizierbarer Daten vorgesehen wird, sollte jedesmal von dem Nutzer die Einwilligung in die Bereitstellung dieser Information für die betreffende Seite eingeholt werden. Ist für eine Seite eine derartige Information nicht erforderlich, so sollte der Zugriff nahtlos erfolgen können. Die großen Hersteller der Navigationsprogramm-Software sind dafür verantwortlich, daß P3P und OPS in einer Art und Weise umgesetzt werden, die das Niveau des Schutzes der Privatsphäre eher erhöht als reduziert.

Wegen der Bedeutung des Umsetzungsprozesses von P3P und OPS und den zur Zeit in der Arbeitsgruppe im Zusammenhang mit der Funktionalität der Internet-Protokolle (HTTP) zur Diskussion stehenden gesonderten Fragen fördert die Arbeitsgruppe die Entwicklung von Internet-Software, die mit den in der Europäischen Union geltenden Datenschutzbestimmungen übereinstimmt, und ist der Ansicht, daß es angebracht wäre, Mechanismen zu entwickeln, um die diesbezügliche Konformität der Internet-Software zu überprüfen.

Brüssel, 16. Juni 1998

Für die Arbeitsgruppe

Der Vorsitzende
P.J. HUSTINX