Die Datenschutzgrundverordnung tritt heute in Kraft

Heute, am 25. Mai 2016, tritt die Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft.

Die Verordnung war am 14. April 2016 vom Europäischen Parlament beschlossen und am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht worden. Die Verordnung sieht eine Übergangszeit von zwei Jahren vor und gilt damit ab dem 25. Mai 2018 in der gesamten Europäischen Union direkt.

Die EU-Datenschutz-Grundverordnung ist mit 99 Artikeln und 173 sog. Erwägungsgründen deutlich umfangreicher als z. B. das deutsche Bundesdatenschutzgesetz. Die aktuelle Fassung ist hier abrufbar: link

 

 

 

IP-Adressen und der EugH. Der Tag der Entscheidung ist der 12.05.2016.

Der 12.5.2016 dürfte einer der wichtigsten Tage des Jahres für die Onlinebranche werden. Denn an diesem Tage werden vor dem europäischen Gerichtshof die sogenannten Schlussanträge im IP-Adressen Fall gestellt und damit auch veröffentlicht.

Der Politiker Patrick Breyer, Piratenpartei, klagte gegen die BRD. Er wollte dem Bund verbieten lassen, IP-Adressen von Besuchern auf Webseiten des Bundes über die Dauer der Nutzung hinaus speichern zu dürfen. Diese Speicherung der Daten würden gegen das BMG verstoßen. Der BGH legte daraufhin diesen Fall dem europäischen Gerichtshof vor. Er wollte zwei Fragen geklärt wissen:

a) Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr — Datenschutz-Richtlinie — dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt ?

b) Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann ?

Im Kern geht es also um die Frage, ob eine IP-Adresse ein personenbezogenes Datum ist oder nicht. Die Bedeutung des Rechtsstreites geht aber weit darüber hinaus: gelten dieselben Überlegungen auch für andere Online Identifier, wie zum Beispiel Cooki Id´s, User Id´s, Digitale Fingerprints, etc. ?

Alle Geschäftsmodelle der Onlinebranche stehen im Rahmen dieses Verfahrens auf dem Prüfstand. Es bleibt also abzuwarten wie der EuGH entscheiden wird in dieser so wichtigen Fragestellung.

Der Einsatz von Google-Analytics ohne Datenschutzhinweis ist abmahnbar – aber nicht nur das.

Das Landgericht Hamburg hat in einer Entscheidung vom 10.03.2016 im Wege einer einstweiligen Verfügung einem Webseitenbetreiber untersagt, „Google-Analytics“ einzusetzen, ohne den Besucher des Internetangebotes zu Beginn des Nutzungsvorgangs hierüber zu informieren. Nach Ansicht des Landgerichtes Hamburgs verstoße der Webseitenbetreiber gegen seine Informationspflichten gem. § 13 Abs. 1 Satz 1 TMG (Telemediengesetz).

Danach muss nämlich jeder Betreiber einer Webseite den Nutzer über Art, Umfang und Zweck der Erhebung und Verwendung von Daten unterrichten. Und das gilt auch für den Einsatz von Google-Analytics. Da die Vorschrift nach § 13 Abs. 1 TMG auch eine sog. „Marktverhaltensregelung“ nach § 3 a des Gesetzes gegen unlauteren Wettbewerb darstelle, könne ein Mitbewerber einen solchen Verstoß auch abmahnen.

Das Urteil zeigt, dass immer mehr Mitbewerber, aber auch Verbraucherschutzverbände gegen den Verstoß von datenschutzrechtlichen Bestimmungen vorgehen und Webseitenbetreibern durch einstweilige Verfügungen den Betrieb ihrer Webseite untersagen, sofern die datenschutzrechtlichen Voraussetzungen nicht gegeben sind. Umso wichtiger ist es in der Zukunft, datenschutzkonforme Datenschutzerklärungen dem Besucher einer Webseite zur Verfügung zu stellen. Denn das Urteil gilt natürlich nicht nur für den Einsatz von Google-Analytics, sondern für jedes Tool, dass ein Webseitenbetreiber einsetzt, ohne die Besucher der Webseite darüber zu informieren.

Safe Harbor II – neue Übergangsfrist

Als Reaktion auf das Urteil des europäischen Gerichtshofs vom 06.10.2015 zur Ungültigkeit des Safe Harbor-Abkommens handelte vor kurzem die Europäische Kommission gemeinsam mit der Federal Trade Commission (FTC) der USA ein neues Abkommen aus. Daraufhin haben die Datenschutzbehörden die „Schonfrist“ bis Ende April verlängert.

Der Nachfolger des Safe-Harbor-Abkommens firmiert demnach unter dem etwas  sonderbaren Namen „EU-US-Privacy Shield“. Tausende Unternehmen in Europa sollen damit auf mehr Rechtssicherheit bei transatlantischen Datentransfers hoffen.

Geplant ist demnach, dass das US-Handelsministerium Firmen, die Daten aus Europa verarbeiten, überwacht. Wer sich nicht an Standards hält, dem drohen Sanktionen bis hin zu einer Streichung von der Liste. Die US-Seite sagt demnach eine Aufsicht der eigenen Justiz- und Sicherheitsbehörden zu. Beide Partner sollen die Umsetzung der Vereinbarungen jedes Jahr gemeinsam überprüfen.

Nach der neuen Regelung sollen also kurzgefasst die USA  der EU  zusichern, die Daten angemessen zu schützen. EU-Bürger sollen in den USA klagen dürfen und ein sog. „Ombudsmann“ im US-Außenministerium soll sich um Beschwerden kümmern.

Vor diesem Hintergrund verlängerten auch die Aufsichtsbehörden die „Schonfrist“ bis Ende April 2016. Diese kritisieren aber die neue Regelung als zu unverbindlich. Es bleibt also abzuwarten, wie es im April weitergeht.

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) – Ein Blick auf die Neuregelungen aus der Sicht der Onlinebranche

Nach jahrelangen Verhandlungen haben sich die EU-Kommission, das EU-Parlament und der EU-Rat im abschließenden sog. Trilog bekanntlich am 15.12.2015 auf einen Kompromisstext geeinigt. Damit steht fest, dass die EU-Datenschutzverordnung als für alle Mitgliedsstaaten verbindliche Regelung vermutlich spätestens im ersten Quartal 2018 in Kraft treten wird.

Die datenschutzrechtlichen Grundprinzipien bleiben im Kern bestehen.

Aus der deutschen Sicht ändert sich durch die neue Verordnung nicht viel an den datenschutzrechtlichen Grundprinzipien. Es bleibt bei den Grundsätzen der „Datenvermeidung und Datensparsamkeit“, der „Zweckbindung“, des „Verbotes mit Erlaubnisvorbehalts“ und der „Transparenz“ (vgl. Art. 5 „Principals relating to personal data processing“).

Auswirkungen für die Onlinebranche

Die praktischen Auswirkungen für die Onlinebranche sind zum Teil erheblich. Denn der Anwendungsbereich des neuen Datenschutzrechtes wird sich zukünftig erheblich ausweiten. Das betrifft insbesondere den Umfang des Anwendungsbereiches der „personenbezogenen Daten“. Bisher fiel unter den Begriff der „personenbezogenen Daten“ ein Datum, dass eine natürliche Person identifizieren konnte oder zumindest identifizierbar machte, wie beispielsweise Name, Vorname, Telefonnummer, etc. Da jedoch Cookie-IDs, User-ID´s, IP-Adressen, Mac-Adressen, etc. aus der Sicht der Onlinebranche natürliche Personen jedenfalls nicht ohne weiteres identifizierbar machten, wurde vielfach der Standpunkt vertreten, dass diese Daten als anonym einzustufen seien. Die Verarbeitung von anonymen Daten unterliegt aber nicht dem Anwendungsbereich der Datenschutzgesetze. Folglich war das die datenschutzrechtliche Begründung, weshalb moderne Online- und Trackingtechnologien, wie beispielsweise das Cookie-Synching, das Cross-Device-Targeting, das OBA und viele andere Targetingtechnologien für zulässig erachtet wurden.

Dieser Betrachtungsweise ist durch die neue Datenschutzverordnung nunmehr ein Riegel vorgeschoben, denn die neue EU-DSGVO stellt in Art. 4 Abs. 1 nunmehr ausdrücklich klar:

„..’personal data‘ means any information relating to an identified or
identifiable natural person ‚data subject‘; an identifiable person is one who
can be identified, directly or indirectly, in particular by reference to an
identifier such as a name, an identification number, location data, online
identifier or to one or more factors specific to the physical, physiological,
genetic, mental, economic, cultural or social identity of that person“

Näheres ergibt sich aus den für die Onlinebranche sog. „Erwägungsgrund“ 24, der weitere Beispiele auch benennt:

“…online identifiers provided by their devices, applications,
tools and protocols, such as Internet Protocol addresses, cookie identifiers
or other identifiers such as Radio Frequency Identification tags…“

Im Klartext dürften also zukünftig „Online-Identifier“, wie Cookie-IDs, IP-Adressen, etc. unzweifelhaft als personenbezogene Daten zu betrachten sein. Das stellt also eine ganz wesentliche Änderung gegenüber dem bisherigen Recht dar. In praktischer Hinsicht bedeutet das, dass die Verarbeitung solcher Online-Identifier zukünftig an und für sich der Einwilligung bedarf. Der Betroffene muss eine Einwilligung für genau definierte Zwecke abgeben. Allerdings ist in Art. 4 Nummer 8 EU-DSGVO erfreulicherweise klargestellt, dass diese Einwilligung auch durch schlüssige Handlungen, etwa durch das Weiternutzen von Onlinediensten, erklärt werden kann. Das wird deutlich durch die sprachliche Abkehr von der ausdrücklichen („explicit“) Einwilligung hin zur unmissverständlichen („unambigous“)  Einwilligung des Nutzers.

In vielen Fällen der Onlineindustrie wird eine solche Einwilligung vermutlich aber gar nicht erforderlich sein und das liegt an der neu geschaffenen „Online-Marketing-Klausel“ des Art. 6 Abs.1 f EU-DSGVO.

Ermächtigung für Onlinewerbezwecke

Denn die Rettung naht in Form dieses Art. 6 Abs. 1 f der EU-DSGVO. Denn in Art. 6 EU-DSGVO sind unterschiedliche Tatbestände benannt, die eine einwilligungslose Verarbeitung personenbezogener Daten gestatten. Die wichtigste Vorschrift für die Onlinebranche ist dabei die Regelung des Art. 6 Abs. 1 f.

Diese lautet:

“Processing of personal data shall be lawful only if and to the extent that at

least one of the following applies:

….

  1. f) processing is necessary for the purposes of the legitimate interests pursued

by the controller or by a third party, except where such interests are

overridden by the interests or fundamental rights and freedoms of the data

subject which require protection of personal data, in particular where the data subject is a child. ….”

In dieser Klausel wird  nicht nur eine gesetzliche Erlaubnis für die klassischen Direktmarketingmethoden zu sehen sein, sondern auch und erst recht für die Durchführung nutzungsbasierter Online-Werbung. Personenbezogene Daten können nach dieser Regelung bei einem „legitimen Interesse“ des Datenverarbeiters genutzt werden, solange diese legitimen Interessen nicht offensichtlich hinter den Interessen des Betroffenen zurückzustehen haben. Dass es sich bei den Werbeinteressen der Onlinebranche um „legitime Interessen“ im Sinne der EU-DSGVO handelt, ergibt sich aus dem Erwägungsgrund 38 zu dieser Vorschrift. Dort heißt es nämlich:

“The legitimate interests of a controller, including of a controller to which the data may be disclosed, or of a third party may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding…”

Am Ende heißt der für die Onlinewerbebranche so wichtige Satz: „…“

“The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.”

Damit steht also fest, dass „Werbeinteressen“ als „legitime Interessen“ im Sinne von Art. 6 Abs. 1 f EU-DSGVO gelten. Jedes wie auch immer geartete berechtigte Interesse des Werbetreibenden reicht also grundsätzlich aus, um die Datenverarbeitung zu legitimieren. Eine Regelung, die sehr ähnlich ist zu einer Regelung im Bundesdatenschutzgesetz, nämlich § 28 Abs. 1 BDSG. Die Anforderungen an ein berechtigtes Interesse sind dabei nicht allzu streng. So soll es beispielsweise für die Weitergabe von Daten an Dritte ausreichen, dass diese Dritten ihrerseits ein berechtigtes Interesse geltend machen können. Das ist natürlich insbesondere für den Adresshandel von erheblicher Bedeutung. Bei der Auslegung des Begriffs der „ berechtigten Interessen“ nähert man sich in bemerkenswerter Weise den US-amerikanischen Vorstellungen des Datenschutzes an. Denn zukünftig werden die „redlichen Erwartungen der Betroffenen“ offenbar zum zentralen Ausgangspunkt der Abwägung. Denn Daten, deren Verarbeitung die User („Betroffene“) redlicherweise erwarten dürfen, dürfen zukünftig auf der Basis von Art. 6 weitreichend ohne eine Einwilligung verarbeitet werden. Das ergibt sich unter anderem auch aus dem Erwägungsgrund 38, in dem es heißt:

“The legitimate interests of a controller, including of a controller to which the data may be disclosed, or of a third party may provide a legal basis for processing, provided that theinterests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on the relationship with the controller.”

Kurzum: auch zukünftig werden die meisten Geschäftsmodelle der Onlinebranche ohne eine Einwilligung auskommen, solange sie sich innerhalb des Anwendungsbereiches dieser „redlichen Erwartungen“ ihrer User bewegen. Wie weit der Umfang dieser „redlichen Erwartungen“ tatsächlich geht, bleibt in der Zukunft abzuwarten. Möglicherweise macht es auch Sinn diese „redlichen Erwartungen“ in der eigenen Datenschutzerklärung anzusprechen und damit ihren Anwendungsbereich auszudehnen.

Opt-Out ist zukünftig zwingend erforderlich.

Art. 19 EU-DSGVO sieht vor, dass zukünftig bei der Verarbeitung von Nutzungsdaten zwingend ein Opt-Out möglich sein muss.

Das ist für die deutsche Onlinebranche nichts neues, der Anwendungsbereich dieser Regelung geht aber über den Anwendungsbereich des in Deutschland bereits bekannten § 15 Abs. 3 TMG hinaus. Positiv im Sinne der Onlinebranche ist der Umstand, dass die Regelungen von Art. 19 Abs. 1 und Abs. 2 EU-DSGVO eine Widerspruchsregelung (Opt-Out) ausdrücklich auch auf die Fälle der Profilbildung gem. Art. 6 Abs. 1 e und f EU-DSGVO vorsehen. Dadurch wird nämlich deutlich, dass der EU-Gesetzgeber diese Profilbildung für die Onlineindustrie ausdrücklich gesehen hat und regeln wollte.

Die Informationen über das Widerspruchsrecht müssen spätestens beim ersten Kontakt mit der datenverarbeitenden Stelle (z. B. dem Publisher) gegeben werden. Das kann z. B. in der Datenschutzerklärung geschehen oder über das zentral gesteuerte Präferenzmanagement-Tool unter www.meine-cookies.org. Diese Plattform basiert auf der vom BVDW maßgeblich getragenen Selbstregulierung der Werbewirtschaft beim Online-Behavioral-Targeting (OBA) über den Deutschen Datenschutzrat Online Werbung (DDOW).

Fazit:

Die aus der Sicht der Onlinebranche wichtigsten Regelungen lassen nach einer ersten, vorläufigen Analyse folgenden Schluss zu:

  • Die wesentlichen Geschäftsmodelle der Onlinebranche dürften auch zukünftig nicht ernsthaft gefährdet sein.
  • Zwar ist der Begriff der personenbezogenen Daten erweitert worden, so dass es zukünftig nicht mehr möglich sein wird, den Standpunkt zu vertreten, Cookie-IDs, IP-Adressen und andere Online Identifier seien anonym.
  • In praktischer Hinsicht dürfte diese Änderung des Datenschutzrechtes aber keine größeren Auswirkungen haben. Das liegt in erster Linie an dem neu gefassten Art. 6, insbesondere an Abs. 1 f, der Online Marketing Klausel der EU-DSGVO. Die Verarbeitung der personenbezogenen Daten zum Zwecke der Onlinewerbung wird daher zukünftig voraussichtlich auf diese „legitimen Interessen“ gestützt werden, von denen in § 6 Abs. 1 f EU-DSGVO die Rede ist.

Die EU-DSGVO enthält noch eine Vielzahl von weiteren Regelungen, die für die Onlinebranche praktische Auswirkungen haben.

Benötigen Sie daher Hilfe bei der Analyse der zukünftigen Anforderungen der EU-DSGVO und ihrer Auswirkungen auf Ihr Unternehmen oder das Geschäftsmodell Ihres Unternehmens, dann wenden Sie sich gerne an uns: Eickmeier@Unverzagtvonhave.de oder Telefon 040 41400034.