Datenschutz und Online Behavioural Advertising Dr. Sibylle Gierschmann, LL.M. Fachanwältin für Urheber- und Medienrecht Bild einfügen (Cover Small) Kompakt-Workshop: Rechtsfragen im Internet München, 28. März 2012 Worum geht‘s? © Dr. Sibylle Gierschmann 2 Contents 01 > Worum geht es bei OBA? 02 > Derzeitige Rechtslage 03 > ePrivacy-Richtlinie 04 > Umsetzung in Deutschland? 05 > Selbstregulierung? 06 > Next steps? © Dr. Sibylle Gierschmann 3 01 > Worum geht es bei OBA? Bild einfügen (Right Hand Banner Small) © Dr. Sibylle Gierschmann 4 Online Behavioural Advertising – Ablauf besucht URL setzt 1st-Party-Cookie setzt 3rd-Party-Cookie Übermittlung von Logfile-Info Website-Betreiber (Publisher) Website-Besucher (User) Übermittlung von Logfile-Info Webanalysetool (3rd Party) © Dr. Sibylle Gierschmann - liest 3rd-Party-Cookie aus, - berechnet Wahrscheinlichkeiten, - erstellt Profil Werbenetzwerk (3rd Party) 5 Profilbildung anhand von Cookie-ID-Informationen > Profil für ID #5489922967754151 – Interessenkategorien, z.B. „Auto, Politik, Reisen“ – Kategoriensegmente, z.B. „Sportautos > BMW, Porsche…“ – Grundlage: Gelesene Inhalte, Clickstreams, Onlinesuchverlauf – Beispiel: Quelle: http://advertising.yahoo.com/ © Dr. Sibylle Gierschmann 6 02 > Derzeitige Rechtslage Bild einfügen (Right Hand Banner Small) © Dr. Sibylle Gierschmann 7 Derzeitige Rechtslage in Deutschland > Hinweis auf Cookies in Datenschutzerklärung, § 13 (1) TMG § 13 (1) S.2 TMG Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein. > Grundsatz: Einwilligung erforderlich für Erhebung und Verwendung von Nutzungsdaten (§ 15 TMG), d.h. – Merkmale zur Identifikation des Nutzers – Angaben über Beginn, Ende, Umfang der Nutzung – Angabe zu besuchten Telemediendiensten > Ausnahme: „pseudonymisierte Nutzungsprofile“ für Zwecke der Werbung, Marktforschung oder bedarfsgerechten Gestaltung der Telemedien, § 15 (3) TMG – Hinweis auf Widerspruchsrecht in Datenschutzerklärung – Kein Zusammenführen mit Daten des Trägers des Pseudonyms © Dr. Sibylle Gierschmann 8 Geht es überhaupt um Datenschutz? § 3 (1) BDSG Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). > ≠ anonymisierte Daten > ≠ Firmendaten, aber: „Durchschlagen“ möglich! § 3 (6) BDSG (Anonymisieren) Verändern personenbezogener Daten derart, dass… nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft … zugeordnet werden können § 3 (6a) BDSG (Pseudonymisieren) Ersetzen von Identifikationsmerkmalen durch ein Kennzeichen, um Bestimmbarkeit auszuschließen oder zu erschweren © Dr. Sibylle Gierschmann 9 Bisherige Auffassung der Aufsichtsbehörden > IP-Adresse = Personenbeziehbares Datum, deshalb Kürzung des letzten Oktetts vor jeder Auswertung > IP-Adresse ≠ Pseudonym, da personenbeziehbar > Unique Identifier können ein Pseudonym sein sofern sie keine „sprechenden“ Daten beinhalten > In der Datenschutzerklärung: Aufklärung über Cookies > Einräumen einer Widerspruchsmöglichkeit (mind. Opt-out cookie) > Kein Zusammenführen mit Daten über den Träger des Pseudonyms © Dr. Sibylle Gierschmann 10 Bsp: Einsatz von Google Analytics > Bedenken der Aufsichtsbehörde: – Unzureichende Widerspruchmöglichkeiten (Opt-Out-Plugin für Browser nur für eins von drei Skripten) – Kürzung/Maskierung der IP-Adressen erst nach Übermittlung in die USA (trotz Unterwerfung unter Safe Harbour) > Seit Okt 2011 „datenschutzkonform verwendbar“ bei: – Vertrag zur Auftragsdatenverarbeitung – Datenschutzerklärung mit Hinweis auf Widerspruchmöglichkeiten – Einbindung des entsprechenden Programmcodes, der Anonymisierung der IP-Adresse in der EU erlaubt – Löschung von Altdaten, die vorher erhoben worden sind? © Dr. Sibylle Gierschmann 11 03 > ePrivacy-Richtlinie Bild einfügen (Right Hand Banner Small) © Dr. Sibylle Gierschmann 12 Cookies - ePrivacy-RL 2009/136/EG Art. 5 (3) S.1 ePrivacy-RL 2009/136/EG „…Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn…der Nutzer…seine Einwilligung gegeben hat.“ > RL-Text Bisher: „…auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern“ Aber: 66. Erwägungsgrund zur ePrivacy-RL 2009/136/EG „Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden … […] Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers…über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“ © Dr. Sibylle Gierschmann 13 Fragen bei der Umsetzung der RL in nationales Recht # Frage 1 Einwilligung bevor der Cookie gesetzt wird? 2 Reicht konkludente Einwilligung aus? Opt-out? 3 Sind Standard-Browsereinstellungen ausreichend? 4 Wird Einwilligung jedes Mal benötigt, wenn ein Cookie gesetzt wird? 5 Einwilligung nur bei Verarbeitung „personenbezogener Daten“? 6 Weiterreichende Informationen auf Webseiten erforderlich? (z.B. Speicherzeitpunkt, Arten verarbeiteter Daten, Zwecke…) © Dr. Sibylle Gierschmann 14 Meinung der EU-Aufsichtsbehörden > Opt-in bereits für Cookie-Setzen erforderlich – default setting des Browsers oder opt-out cookie ist keine Einwilligung; – Erwähnen der Praxis in Privacy Policy genügt nicht > Einmalige Einwilligung kann genügen, diese muss zeitlich beschränkt sein (z.B. 1 Jahr) > Automatische Löschung der Cookies nach bestimmter Zeit > Nutzerinformation darüber: – wer Cookies platziert – dass Cookie für die Erstellung von Profilen genutzt wird – welche Art Informationen hierfür gesammelt werden – dass Profil für zielgerichtete Werbung genutzt wird – dass Cookie die Identifizierung des Nutzers über zahlreiche Webseiten ermöglicht © Dr. Sibylle Gierschmann 15 Wie wurde die RL in anderen Mitgliedstaaten umgesetzt? (1/2) > United Kingdom – „seine Einwilligung gegeben hat“ – „kann durch Nutzer ausgedrückt werden durch Verändern oder Setzen der Browser-Einstellungen“ > Information Commissioner (Aufsichtsbehörde) – Bisherige Browser-Einstellungen nicht ausreichend – Ausreichend können sein: Pop-ups AGB Einstellungen des Nutzers Analytische Cookies müssen transparent erläutert werden, evtl. ist eine Lösung das Platzieren eines rollierenden Textes in der Kopf- oder Fusszeile der Website Größte Herausforderung: Third Party Cookies: Sicherstellen, das alles dafür getan wird, dass der Nutzer eine informierte Entscheidung treffen kann © Dr. Sibylle Gierschmann 16 Wie wurde die RL in anderen Mitgliedstaaten umgesetzt? (2/2) > Frankreich – „seine Einwilligung gegeben hat“ – „die basieren kann auf Einstellungen des Nutzers“ > CNIL (Aufsichtsbehörde) – Bisherige Browser-Einstellungen nicht ausreichend – Erforderlich ist Einwilligung für „spezifischen“ Cookie und bestimmten Zweck – Ausreichend können sein NICHT: AGB NICHT: Pop-ups, da oftmals von Browser unterdrückt Banner in der Kopfzeile der Website Eingeblendete Einwilligungserklärung Anticken einer Box – Haftung für Third party cookies © Dr. Sibylle Gierschmann 17 04 > Umsetzung in Deutschland? Bild einfügen (Right Hand Banner Small) © Dr. Sibylle Gierschmann 18 Was passiert in Deutschland? > Auffassung der Aufsichtsbehörden: Änderung des TMG erforderlich > Gesetzesentwurf Bundesrat vom 21.03.2011 – Erweiterte Informationspflichten (Kategorien von Empfängern, zuständige Aufsichtsbehörde) – Entspricht Wortlaut des Art. 5 (3) EU-RL, d.h. Einwilligung für Speicherung und Zugriff – § 15 (3) TMG bleibt, aber „Setzen“ des Cookies erfordert bereits EW > Stellungnahme der Bundesregierung vom 03.08.2011 – Vorschläge i.R. der TKG-Novelle – Bisher diskutiert: Begrenzung auf Speicherung + Zugriff auf „personenbezogene Daten“ > Gesetzesentwurf der SPD vom 24.01.2012 – Abgelehnt von den zuständigen Ausschüssen am 29.02.2012 © Dr. Sibylle Gierschmann 19 Ist eine Gesetzesänderung erforderlich? > Alexander Alvaro, Abgeordneter EU-Parlament, Berichterstatter ePrivacy-RL – Art. 5 (3) sollte vor allem auf Spyware abzielen – Das Erfordernis einer „vorherigen“, „ausdrücklichen“ Einwilligung wurde abgelehnt – Art. 5 (3) ist im Zusammenhang mit dem 66. Erwägungsgrund zu lesen, der ein Recht auf Widerspruch ausreichen lässt – Browser Settings müssen bei „normalen“ Cookies ausreichen, da diese keine sensitiven Daten speichern und für den Nutzer erkennbar sind (Ausnahme: Flash Cookies, die Browser umgehen) – Transparenz ist der Schlüssel > 66. Erwägungsgrund „Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden … […] Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers…über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“ © Dr. Sibylle Gierschmann 20 05 > Selbstregulierung? Bild einfügen (Right Hand Banner Small) © Dr. Sibylle Gierschmann 21 Ausblick bzgl. Selbstregulierungskonzept > Klarer + verständlicher Hinweis des Publishers auf Datenerhebung + Verwendung von OBA, insbesondere – – – – Identität & Kontaktdaten des Publishers Art der Daten (inkl. Hinweis auf Personenbezug gem. § 3 BDSG) Angabe des Zwecks & der Empfänger bzw. Zielgruppe Mechanismus zur Ausübung eines Wahlrechts über die Erhebung & Verwendung von Daten für OBA – Kommunikation der Unterwerfung unter Selbstregulierung – Link zur zentralen OBA-Industriewebseite > Kennzeichnung von OBA mittels Piktogramm um die bzw. in der Anzeige © Dr. Sibylle Gierschmann 22 Ausblick bzgl. Selbstregulierungskonzept Werbetreibender: Toyota close [x] Auslieferung der Werbung von: Yahoo! Zugeschnitten von: Diese Werbung wurde aufgrund vorheriger Besuche auf Ihre individuellen Bedürfnisse abgestimmt. Hier können sie Ihre Präferenzen bzgl. solcher Werbung einstellen. Erfahren Sie mehr über Privatsphäre und die Vorteile verhaltensbezogener Werbung. © Dr. Sibylle Gierschmann 23 06 > Next steps? Bild einfügen (Right Hand Banner Small) © Dr. Sibylle Gierschmann 24 Next steps > Welches Aufsichtsbehörde ist zuständig, d.h. wo hat das Unternehmen seinen Sitz? – Sitz in Deutschland? – Niederlassung auch in anderen Mitgliedstaaten? – Sitz außerhalb der EU/des EWR? > Welche Art von Cookies werden eingesetzt? – Session-Cookie – First Party/Third Party Cookie – Flash Cookies > In Bezug auf Deutschland – – – – Datenschutzerklärung anpassen Opt-out-Möglichkeit vorsehen Vertrag zur Auftragsdatenverarbeitung erforderlich? Auf Anonymisierung der IP-Adresse achten © Dr. Sibylle Gierschmann 25 Vielen Dank für die Aufmerksamkeit! Für weitere Fragen stehe ich gerne zur Verfügung: Dr. Sibylle Gierschmann Partner Copyright & Media Law IT & Telecoms Litigation & Dispute Resolution Isartorplatz 8 80331 München T: +49 (0) 89 210 38 138 F: +49 (0) 89 210 38 300 E: [email protected] © Dr. Sibylle Gierschmann 26