In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Dr. Sibylle Gierschmann

Werbung 
Datenschutz und Online Behavioural Advertising
Dr. Sibylle Gierschmann, LL.M.
Fachanwältin für Urheber- und Medienrecht
Bild einfügen
(Cover Small)
Kompakt-Workshop:
Rechtsfragen im Internet
München, 28. März 2012
Worum geht‘s?
© Dr. Sibylle Gierschmann
2
Contents
01 > Worum geht es bei OBA?
02 > Derzeitige Rechtslage
03 > ePrivacy-Richtlinie
04 > Umsetzung in Deutschland?
05 > Selbstregulierung?
06 > Next steps?
© Dr. Sibylle Gierschmann
3
01 > Worum geht es bei OBA?
Bild einfügen
(Right Hand Banner Small)
© Dr. Sibylle Gierschmann
4
Online Behavioural Advertising – Ablauf
besucht URL
setzt 1st-Party-Cookie
setzt 3rd-Party-Cookie
Übermittlung von Logfile-Info
Website-Betreiber
(Publisher)
Website-Besucher
(User)
Übermittlung von
Logfile-Info
Webanalysetool
(3rd Party)
© Dr. Sibylle Gierschmann
- liest 3rd-Party-Cookie aus,
- berechnet Wahrscheinlichkeiten,
- erstellt Profil
Werbenetzwerk
(3rd Party)
5
Profilbildung anhand von Cookie-ID-Informationen
> Profil für ID #5489922967754151
– Interessenkategorien, z.B. „Auto, Politik, Reisen“
– Kategoriensegmente, z.B. „Sportautos > BMW, Porsche…“
– Grundlage: Gelesene Inhalte, Clickstreams, Onlinesuchverlauf
– Beispiel:
Quelle: http://advertising.yahoo.com/
© Dr. Sibylle Gierschmann
6
02 > Derzeitige Rechtslage
Bild einfügen
(Right Hand Banner Small)
© Dr. Sibylle Gierschmann
7
Derzeitige Rechtslage in Deutschland
> Hinweis auf Cookies in Datenschutzerklärung, § 13 (1) TMG
§ 13 (1) S.2 TMG
Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der
Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss
für den Nutzer jederzeit abrufbar sein.
> Grundsatz: Einwilligung erforderlich für Erhebung und Verwendung von
Nutzungsdaten (§ 15 TMG), d.h.
– Merkmale zur Identifikation des Nutzers
– Angaben über Beginn, Ende, Umfang der Nutzung
– Angabe zu besuchten Telemediendiensten
> Ausnahme: „pseudonymisierte Nutzungsprofile“ für Zwecke der Werbung,
Marktforschung oder bedarfsgerechten Gestaltung der Telemedien, § 15 (3) TMG
– Hinweis auf Widerspruchsrecht in Datenschutzerklärung
– Kein Zusammenführen mit Daten des Trägers des Pseudonyms
© Dr. Sibylle Gierschmann
8
Geht es überhaupt um Datenschutz?
§ 3 (1) BDSG
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche
Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person
(Betroffener).
> ≠ anonymisierte Daten
> ≠ Firmendaten, aber: „Durchschlagen“ möglich!
§ 3 (6) BDSG (Anonymisieren)
Verändern personenbezogener Daten derart, dass… nicht mehr oder nur mit
einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft
… zugeordnet werden können
§ 3 (6a) BDSG (Pseudonymisieren)
Ersetzen von Identifikationsmerkmalen durch ein Kennzeichen, um
Bestimmbarkeit auszuschließen oder zu erschweren
© Dr. Sibylle Gierschmann
9
Bisherige Auffassung der Aufsichtsbehörden
> IP-Adresse = Personenbeziehbares Datum, deshalb Kürzung des letzten Oktetts
vor jeder Auswertung
> IP-Adresse ≠ Pseudonym, da personenbeziehbar
> Unique Identifier können ein Pseudonym sein sofern sie keine „sprechenden“
Daten beinhalten
> In der Datenschutzerklärung: Aufklärung über Cookies
> Einräumen einer Widerspruchsmöglichkeit (mind. Opt-out cookie)
> Kein Zusammenführen mit Daten über den Träger des Pseudonyms
© Dr. Sibylle Gierschmann
10
Bsp: Einsatz von Google Analytics
> Bedenken der Aufsichtsbehörde:
– Unzureichende Widerspruchmöglichkeiten (Opt-Out-Plugin für Browser nur
für eins von drei Skripten)
– Kürzung/Maskierung der IP-Adressen erst nach Übermittlung in die USA
(trotz Unterwerfung unter Safe Harbour)
> Seit Okt 2011 „datenschutzkonform verwendbar“ bei:
– Vertrag zur Auftragsdatenverarbeitung
– Datenschutzerklärung mit Hinweis auf Widerspruchmöglichkeiten
– Einbindung des entsprechenden Programmcodes, der Anonymisierung der
IP-Adresse in der EU erlaubt
– Löschung von Altdaten, die vorher erhoben worden sind?
© Dr. Sibylle Gierschmann
11
03 > ePrivacy-Richtlinie
Bild einfügen
(Right Hand Banner Small)
© Dr. Sibylle Gierschmann
12
Cookies - ePrivacy-RL 2009/136/EG
Art. 5 (3) S.1 ePrivacy-RL 2009/136/EG
„…Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im
Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn…der
Nutzer…seine Einwilligung gegeben hat.“
> RL-Text Bisher: „…auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern“
Aber: 66. Erwägungsgrund zur ePrivacy-RL 2009/136/EG
„Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten
so benutzerfreundlich wie möglich gestaltet werden … […] Wenn es technisch durchführbar
und wirksam ist, kann die Einwilligung des Nutzers…über die Handhabung der
entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung
ausgedrückt werden.“
© Dr. Sibylle Gierschmann
13
Fragen bei der Umsetzung der RL in nationales Recht
#
Frage
1
Einwilligung bevor der Cookie gesetzt wird?
2
Reicht konkludente Einwilligung aus? Opt-out?
3
Sind Standard-Browsereinstellungen ausreichend?
4
Wird Einwilligung jedes Mal benötigt, wenn ein Cookie gesetzt wird?
5
Einwilligung nur bei Verarbeitung „personenbezogener Daten“?
6
Weiterreichende Informationen auf Webseiten erforderlich? (z.B.
Speicherzeitpunkt, Arten verarbeiteter Daten, Zwecke…)
© Dr. Sibylle Gierschmann
14
Meinung der EU-Aufsichtsbehörden
> Opt-in bereits für Cookie-Setzen erforderlich
– default setting des Browsers oder opt-out cookie ist keine Einwilligung;
– Erwähnen der Praxis in Privacy Policy genügt nicht
> Einmalige Einwilligung kann genügen, diese muss zeitlich beschränkt sein (z.B. 1
Jahr)
> Automatische Löschung der Cookies nach bestimmter Zeit
> Nutzerinformation darüber:
– wer Cookies platziert
– dass Cookie für die Erstellung von Profilen genutzt wird
– welche Art Informationen hierfür gesammelt werden
– dass Profil für zielgerichtete Werbung genutzt wird
– dass Cookie die Identifizierung des Nutzers über zahlreiche Webseiten
ermöglicht
© Dr. Sibylle Gierschmann
15
Wie wurde die RL in anderen Mitgliedstaaten umgesetzt? (1/2)
> United Kingdom
– „seine Einwilligung gegeben hat“
– „kann durch Nutzer ausgedrückt werden durch Verändern oder Setzen der
Browser-Einstellungen“
> Information Commissioner (Aufsichtsbehörde)
– Bisherige Browser-Einstellungen nicht ausreichend
– Ausreichend können sein:
Pop-ups
AGB
Einstellungen des Nutzers
Analytische Cookies müssen transparent erläutert werden, evtl. ist eine Lösung
das Platzieren eines rollierenden Textes in der Kopf- oder Fusszeile der Website
 Größte Herausforderung: Third Party Cookies: Sicherstellen, das alles dafür
getan wird, dass der Nutzer eine informierte Entscheidung treffen kann




© Dr. Sibylle Gierschmann
16
Wie wurde die RL in anderen Mitgliedstaaten umgesetzt? (2/2)
> Frankreich
– „seine Einwilligung gegeben hat“
– „die basieren kann auf Einstellungen des Nutzers“
> CNIL (Aufsichtsbehörde)
– Bisherige Browser-Einstellungen nicht ausreichend
– Erforderlich ist Einwilligung für „spezifischen“ Cookie und bestimmten Zweck
– Ausreichend können sein
 NICHT: AGB
 NICHT: Pop-ups, da oftmals von Browser unterdrückt
 Banner in der Kopfzeile der Website
 Eingeblendete Einwilligungserklärung
 Anticken einer Box
– Haftung für Third party cookies
© Dr. Sibylle Gierschmann
17
04 > Umsetzung in Deutschland?
Bild einfügen
(Right Hand Banner Small)
© Dr. Sibylle Gierschmann
18
Was passiert in Deutschland?
> Auffassung der Aufsichtsbehörden: Änderung des TMG erforderlich
> Gesetzesentwurf Bundesrat vom 21.03.2011
– Erweiterte Informationspflichten (Kategorien von Empfängern, zuständige
Aufsichtsbehörde)
– Entspricht Wortlaut des Art. 5 (3) EU-RL, d.h. Einwilligung für Speicherung und Zugriff
– § 15 (3) TMG bleibt, aber „Setzen“ des Cookies erfordert bereits EW
> Stellungnahme der Bundesregierung vom 03.08.2011
– Vorschläge i.R. der TKG-Novelle
– Bisher diskutiert: Begrenzung auf Speicherung + Zugriff auf „personenbezogene
Daten“
> Gesetzesentwurf der SPD vom 24.01.2012
– Abgelehnt von den zuständigen Ausschüssen am 29.02.2012
© Dr. Sibylle Gierschmann
19
Ist eine Gesetzesänderung erforderlich?
> Alexander Alvaro, Abgeordneter EU-Parlament, Berichterstatter ePrivacy-RL
– Art. 5 (3) sollte vor allem auf Spyware abzielen
– Das Erfordernis einer „vorherigen“, „ausdrücklichen“ Einwilligung wurde abgelehnt
– Art. 5 (3) ist im Zusammenhang mit dem 66. Erwägungsgrund zu lesen, der ein Recht
auf Widerspruch ausreichen lässt
– Browser Settings müssen bei „normalen“ Cookies ausreichen, da diese keine
sensitiven Daten speichern und für den Nutzer erkennbar sind (Ausnahme: Flash
Cookies, die Browser umgehen)
– Transparenz ist der Schlüssel
> 66. Erwägungsgrund
„Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten
so benutzerfreundlich wie möglich gestaltet werden … […] Wenn es technisch durchführbar
und wirksam ist, kann die Einwilligung des Nutzers…über die Handhabung der
entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung
ausgedrückt werden.“
© Dr. Sibylle Gierschmann
20
05 > Selbstregulierung?
Bild einfügen
(Right Hand Banner Small)
© Dr. Sibylle Gierschmann
21
Ausblick bzgl. Selbstregulierungskonzept
> Klarer + verständlicher Hinweis des Publishers auf Datenerhebung +
Verwendung von OBA, insbesondere
–
–
–
–
Identität & Kontaktdaten des Publishers
Art der Daten (inkl. Hinweis auf Personenbezug gem. § 3 BDSG)
Angabe des Zwecks & der Empfänger bzw. Zielgruppe
Mechanismus zur Ausübung eines Wahlrechts über die Erhebung & Verwendung von
Daten für OBA
– Kommunikation der Unterwerfung unter Selbstregulierung
– Link zur zentralen OBA-Industriewebseite
> Kennzeichnung von OBA mittels
Piktogramm um die bzw. in der Anzeige
© Dr. Sibylle Gierschmann
22
Ausblick bzgl. Selbstregulierungskonzept
Werbetreibender:
Toyota
close [x]
Auslieferung der Werbung von:
Yahoo!
Zugeschnitten von:
Diese Werbung wurde aufgrund vorheriger
Besuche auf Ihre individuellen Bedürfnisse
abgestimmt.
Hier können sie Ihre Präferenzen bzgl.
solcher Werbung einstellen.
Erfahren Sie mehr über Privatsphäre und
die Vorteile verhaltensbezogener Werbung.
© Dr. Sibylle Gierschmann
23
06 > Next steps?
Bild einfügen
(Right Hand Banner Small)
© Dr. Sibylle Gierschmann
24
Next steps
> Welches Aufsichtsbehörde ist zuständig, d.h. wo hat das Unternehmen seinen
Sitz?
– Sitz in Deutschland?
– Niederlassung auch in anderen Mitgliedstaaten?
– Sitz außerhalb der EU/des EWR?
> Welche Art von Cookies werden eingesetzt?
– Session-Cookie
– First Party/Third Party Cookie
– Flash Cookies
> In Bezug auf Deutschland
–
–
–
–
Datenschutzerklärung anpassen
Opt-out-Möglichkeit vorsehen
Vertrag zur Auftragsdatenverarbeitung erforderlich?
Auf Anonymisierung der IP-Adresse achten
© Dr. Sibylle Gierschmann
25
Vielen Dank für die Aufmerksamkeit!
Für weitere Fragen stehe ich gerne zur Verfügung:
Dr. Sibylle Gierschmann
Partner
Copyright & Media Law
IT & Telecoms
Litigation & Dispute Resolution
Isartorplatz 8
80331 München
T: +49 (0) 89 210 38 138
F: +49 (0) 89 210 38 300
E: [email protected]
© Dr. Sibylle Gierschmann
26
Zugehörige Unterlagen
Datenschutz im Marketing - Offline und Online Werbung Zielgruppe
Datenschutz im Marketing - Offline und Online Werbung Zielgruppe
Premiere: Sibylle Berg - „Es sagt mir nichts, das
Premiere: Sibylle Berg - „Es sagt mir nichts, das
Interne städtische Schreiben (in der Schrift Arial TT, 11point, mit
Interne städtische Schreiben (in der Schrift Arial TT, 11point, mit
datenschutzerklärung
datenschutzerklärung
President The Original
President The Original
Datenschutzerklärung
Datenschutzerklärung
N/Nr. 53 del/vom 27/04/2017
N/Nr. 53 del/vom 27/04/2017
sogenanntes „Double- Opt - In“ Verfahren
sogenanntes „Double- Opt - In“ Verfahren
Impressum Weingut Gebr. Ludwig Thomas Ludwig Im Bungert 10
Impressum Weingut Gebr. Ludwig Thomas Ludwig Im Bungert 10
1. Allgemeines Wenn Sie unsere Website besuchen
1. Allgemeines Wenn Sie unsere Website besuchen
Datenschutz möchte das Vertrauen der Nutzer in das Web fördern
Datenschutz möchte das Vertrauen der Nutzer in das Web fördern
Neubau Wirtschaftsgebäude in der Jägerkaserne Bischofswiesen
Neubau Wirtschaftsgebäude in der Jägerkaserne Bischofswiesen
stiftung - Freie Universität Berlin
stiftung - Freie Universität Berlin
Waldforum Riddagshausen - Niedersächsischen Landesforsten
Waldforum Riddagshausen - Niedersächsischen Landesforsten
Einwilligung von Melderegisterauskünften zum Zwecke der
Einwilligung von Melderegisterauskünften zum Zwecke der
Erklärung der Einwilligung gegenüber der Auskunft verlangender
Erklärung der Einwilligung gegenüber der Auskunft verlangender
Presseheft - Polyfilm Verleih
Presseheft - Polyfilm Verleih
Herunterladen
Werbung