Um das zu realisieren, könnten auch die Hersteller von Browsern in die Pflicht genommen werden: Laut dem Entwurf sollen Webbrowser künftig Nutzern die Möglichkeit bieten, Tracking grundsätzlich zu regulieren. Darf jemand Cookies bei mir setzen? Und wenn ja, darf dies nur ein Erstanbieter oder auch Drittanbieter? Gestritten wird unter anderem darüber, wie genau die Voreinstellung aussehen soll – also ob der Nutzer selbst aktiv werden muss, um seine Privatsphäre zu schützen. Die DSGVO zumindest geht von „Privacy by Default“ aus: Datenschutzeinstellungen sollen nach der Installation zunächst so strikt wie möglich sein und erst anschließend durch Nutzer abgeschwächt werden können. Generell sollen Tracking-Dienste nur dann ohne Zustimmung der Nutzer erlaubt sein, wenn sie rein statistischen Auswertungen dienen.
Auch das World Wide Web Consortium (W3C) hat sich mit dem Schutz der Privatsphäre auseinandergesetzt. Ergebnis ist der Do-not-track-HTTP-Header, den viele gängige Browser bereits unterstützen. Durch ihn können Nutzer über den Browser einstellen, dass sie kein Tracking wünschen. Der HTTP-Header leitet dann diese Information an die Website weiter. Derzeit sind allerdings Website-Anbieter nicht verpflichtet, diesem Wunsch auch Folge zu leisten. Das könnte sich mit der ePrivacy-Verordnung der EU ändern. Diese geht allerdings noch einen Schritt weiter, denn laut ihr soll nicht nur der Browser, sondern jede Technik zur Datenübertragung am Datenschutz beteiligt sein.
Aufgenommen wurde in den Entwurf zur ePrivacy daher auch die Maschine-zu-Maschine-Kommunikation. Damit reagiert die EU auf Herausforderungen, die das Internet der Dinge mit sich bringen. Für diese Datenübermittlung soll das gleiche gelten, wie auch für solche, bei der Nutzer direkt involviert sind. Geplant ist, dass Geräte nur dann persönliche Daten übermitteln, wenn die Nutzer dem zugestimmt haben. Dies könnte zum Beispiel GPS-Daten der Smartphones betreffen.
Generell soll gelten, dass Nutzer darüber informiert werden müssen, welche Daten von ihnen man zu welchem Zweck aufnimmt. Deshalb soll eine Zustimmung auch nicht versteckt in den AGBs möglich sein oder an andere Dienste gekoppelt werden. Wenn beim Onlineshopping beispielweise Benutzerdaten übertragen werden müssen – und das müssen sie immer – ist dies zulässig. Nicht zulässig soll es allerdings sein, diese Daten dann auch noch für Werbezwecke zu verwenden. Hierfür wäre eine neue, spezifische Zustimmung nötig.
Die ePrivacy-Verordnung soll aber nicht nur das Abgreifen persönlicher Daten durch Unternehmen begrenzen. Auch das Eingreifen von staatlicher Seite soll durch ePrivacy stärker reguliert werden. So soll eine Ende-zu-Ende-Verschlüsselung obligatorisch werden: Jede Datenübertragung soll vollständig verschlüsselt stattfinden und auch nicht von Regierungen eingesehen werden können. Die Einrichtung von Backdoors soll ebenfalls verbindlich verboten werden: Hintertüren, die Hersteller einbauen, um Regierungen einen Zugang zu gewähren, wären demnach illegal.
Vom Internet weg bewegt sich ePrivacy, wenn es um Direktmarketing geht: Während sich für das E-Mail-Marketing prinzipiell nichts ändert, soll die Verordnung insbesondere das Telefonmarketing stärker reglementieren: Der Vorschlag lautet, dass Telefonanrufe zu Werbezwecken nur dann erlaubt sind, wenn der Anrufende seine Rufnummer offenbart oder er einen verbindlichen Code verwendet, um zu signalisieren, dass es sich um einen Werbeanruf handelt.