DIE GRUPPE FÜR DEN SCHUTZ DER RECHTE VON PERSONEN BEI DER VERARBEITUNG PERSONENBEZOGENER DATEN

eingesetzt durch die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.Oktober 1995,

gestützt auf Artikel 29 und 30 Absatz 3 der Richtlinie,

gestützt auf ihre Geschäftsordnung, insbesondere auf die Artikel 12 und 14 Absatz 3 -,

EMPFIEHLT:

1. Die Gruppe fordert die Software- und Hardwareindustrie auf, Internetprodukte zu erarbeiten, die den Schutz der Privatsphäre gewährleisten und die zur Einhaltung der europäi- schen Datenschutzvorschriften notwendigen Mittel beinhalten.

Eine Voraussetzung für die rechtmäßige Verarbeitung personenbezogener Daten ist die Unterrichtung des Betroffenen, damit er von der jeweiligen Verarbeitung Kenntnis hat. Daher ist die Gruppe insbesondere über alle Arten von Verarbeitungsvorgängen besorgt, die gegenwärtig über Software und Hardware im Internet ablaufen, ohne daß die Betroffenen hiervon Kenntnis haben, die für sie also "unsichtbar" sind.

Typische Beispiele für eine solche unsichtbare Verarbeitung sind das öChatteringö auf HTTP-Ebene , automatische Hyperlinks zu Dritten, aktive Inhalte (wie Java, ActiveX oder andere nutzerorientierte Scripttechniken) sowie die Cookie-Merkmale, die zur Zeit in den üblichen Browsern vorhanden sind.

2. Alle Internet-Software- und Hardwareprodukte sollten den Internetbenutzer darüber informieren, welche Daten sie sammeln, speichern und übertragen wollen und aus welchem Grund sie erforderlich sind.

Ferner sollten Internet-Software- und Hardwareprodukte dem Datenbenutzer ermöglichen, später jederzeit problemlos Zugang zu den über ihn gesammelten Daten zu erhalten.

Dies bedeutet beispielsweise:

- bei einer Browser-Software, daß sie bei der Herstellung der Verbindung mit einem Webserver (Senden einer Anfrage oder Erhalt einer Webseite) den Benutzer darüber aufklärt, welche Informationen zu welchem Zweck übertragen werden soll.

- Bei von einer Webseite an den Benutzer gesendeten Hyperlinks, daß der Browser des Benutzers ihm diese - unabhängig von der Methode - alle anzeigt.

- Bei Cookies, daß der Benutzer darüber unterrichtet wird, wenn die Internetsoftware ein Cookie empfangen, speichern oder senden will. Diese Mitteilung sollte in allgemein verständlicher Sprache erklären, welche Information zu welchem Zweck in diesem Cookie gespeichert werden soll und wie lange das Cookie gilt.

3. Die Konfiguration von Hardware- und Software-Produkten sollte keine Standardeinstellung beinhalten, die das Sammeln, Speichern oder Versenden der im Client vorgehaltenen Daten zuläßt. Zum Beispiel:

- Die Browsersoftware sollte standardmäßig so konfiguriert sein, daß nur die unbedingt zur Herstellung der Internetverbindung erforderlichen Informationen verarbeitet werden. Cookies sollten nie standardmäßig gespeichert oder gesendet werden.

- Bei der Installation eines Browsers sollte dessen Funktion für die Speicherung und den Versand der Daten über die Identität oder das Kommunikationsverhalten des Benutzers (Profil) nicht automatisch mit derartigen, zuvor schon im Rechner des Benutzers abgespeicherten Daten versorgt werden.

4. Internet-Hardware- und Softwareprodukte müssen dem Betroffenen die freie Entscheidung über die Verarbeitung seiner personenbezogenen Daten ermöglichen und zwar mit benutzerfreundlichen Tools zur Selektion (d.h. Ablehnung oder Änderung) für den Empfang, die Speicherung bzw. den Versand client-persistenter Informationen anhand bestimmter Kriterien (u.a. Profile, Bereich oder Identität des Internetservers, Art und Dauer der gesammelten, gespeicherten bzw. versandten Informationen usw.). Der Benutzer sollte klare Anweisungen über die Verwendung von Soft- und Hardware zur Implementierung dieser Optionen und Tools erhalten. Zum Beispiel:

5. Die Browser-Software sollte dem Benutzer Konfigurationsoptionen bieten, damit er vorgeben kann, welche Daten sie sammeln und übertragen soll oder nicht.

6. Im Falle der Cookies bedeutet dies, daß der Benutzer immer die Option haben muß, das Senden oder Speichern eines Cookies insgesamt zuzulassen oder abzulehnen. Ferner sollte er entscheiden können, welche Informationsbestandteile eines Cookies beibehalten oder entfernt werden sollen, z.B. je nach der Gültigkeitsdauer des Cookies oder der sendenden oder empfangenden Webseiten.

7. Internet-Software- und Hardwareprodukte sollten es den Benutzern ermöglichen, client-persistente Informationen einfach und ohne Beteiligung des Senders zu entfernen. Der Benutzer sollte klare Anweisungen darüber erhalten, wie dies zu tun ist. Falls die Information nicht entfernt werden kann, muß zuverlässig sichergestellt werden, daß sie nicht übertragen und gelesen wird.

- Cookies und andere client-persistente Informationen sollten entsprechend eines bestimmten Standards im Client-Computer gespeichert werden und leicht und selektiv zu löschen sein.

HINTERGRUND

Momentan ist es unmöglich, das Internet zu verwenden, ohne ständig auf Funktionalitäten zu stoßen, die die Privatsphäre verletzen und, für den Betroffenen unsichtbar, alle möglichen Verarbeitungsprozesse personenbezogener Daten vornehmen. Mit anderen Worten, der Internet-Benutzer weiß nichts davon, daß seine personenbezogenen Daten gesammelt und weiterverarbeitet wurden und für ihm unbekannte Zwecke genutzt werden könnten. Der Betroffene hat keine Kenntnis von dieser Verarbeitung und keine diesbezügliche Entscheidungsfreiheit.

Ein Beispiel für diese Technik ist das sogenannte Cookie, das man definieren könnte als einen Computer-Informationseintrag, der von einem Webserver an den Computer des Benutzers gesandt wird, um ihn bei späteren Besuchen auf der gleichen Webseite wieder identifizieren zu können.

Browser sind Softwareprogramme, die u.a. dafür geschrieben wurden, das im Internet vorhandene Material graphisch anzuzeigen. Ein Browser kommuniziert zwischen dem Computer des Benutzers (Client) und dem entfernten Computer, auf dem die Informationen gespeichert sind (Webserver). Häufig senden die Browser mehr Informationen an den Webserver als zur Herstellung der Kommunikation eigentlich erforderlich ist. Die klassischen Browser teilen dem angewählten Webserver automatisch die Art und Sprache des anwählenden Browsers mit, die Bezeichnungen weiterer auf dem Benutzer-PC installierter Softwareprogramme und Betriebssysteme, die Seite, von der der Verweis kommt, Cookies usw. Solche Daten können von der Browser-Software auch unbemerkt systematisch an Dritte übertragen werden.

Mit diesen Techniken lassen sich sogenannte Clicktrails über den Internet-Benutzer anlegen. Clicktrails beinhalten Informationen über das Verhalten einer Person, deren Identität, Suchweg oder Auswahlverhalten beim Besuch der Webseite. Sie enthalten die Links, die der Benutzer aufgerufen hat und die auf dem Webserver protokolliert sind.

Die europäischen Datenschutz-Richtlinien 95/46/EG und 97/66/EG enthalten detaillierte Be- stimmungen für den Schutz der Rechte von Personen hinsichtlich ihrer personenbezogener Daten. Beide Richtlinien sind für die in dieser Empfehlung behandelten Belange von Bedeutung, da es hier um die Verarbeitung der personenbezogenen Daten der Internet-Benutzer geht. Cookies oder Browser können Daten enthalten oder weiter verarbeiten, die eine direkte oder indirekte Identifizierung des einzelnen Internet-Benutzers ermöglichen.

Die Anwendung der Bestimmungen über faire Verarbeitung, rechtmäßige Gründe für die Verarbeitung und das Recht des Betroffenen, über die Verarbeitung seiner eigenen Daten zu bestimmen, führten zur vorstehenden Empfehlung.

Besondere Sorge bereiten der Gruppe die Risiken, die die Verarbeitung personenbezogener Daten von Personen in sich birgt, die hiervon keinerlei Kenntnis haben. Die Software- und Hardwareentwickler sind daher aufgerufen, die Grundsätze dieser Richtlinien zu berücksichtigen und zu respektieren, um die Privatsphäre der Internet-Benutzer angemessen zu schützen.

Brüssel, den 23. Februar 1999
Für die Gruppe
Der Vorsitzende
Peter HUSTINX