Neues zum Smart TV: Was hat „Adressable-TV“ mit Datenschutz zu tun?

Unter Adressable-TV versteht man die Verknüpfung des klassischen linearen Fernsehens mit digitaler Werbung. Weil diese Verknüpfung aber über Hbb-TV Geräte, also auf internetfähigen Geräten, empfangen werden kann, wird es zukünftig möglich, solche Werbeformate in traditionellen linearen Fernsehprogrammen über AdServer-Technologien auszuliefern und individuell auszuwerten. Deutschlandweit sind inzwischen rd. 12 Mio. internetfähige TV-Geräte ans Netz angeschlossen und können damit auch angesteuert werden. Targeting im klassischen TV wird damit endlich – möchte man meinen – möglich. Dass die aus Adressable-TV gewonnenen Daten zum Teil über Vorteile gegenüber klassischen demographischen Daten verfügen, wie sie beispielsweise die Arbeitsgemeinschaft Fernsehforschung (AGF) anbietet, liegt auf der Hand. Denn die über Hbb-TV gemessenen technischen Reichweiten sind für die klassische Werbewirtschaft oftmals noch interessanter, weil hierdurch der tatsächliche User erfasst wird, der im Moment der Erfassung zusieht. Dagegen liegen die AGF-Daten in der Regel erst am letzten Tag vor. Bei dem Adressable-TV findet also Targeting quasi in Realtime statt.

Wo aber liegt das datenschutzrechtliche Problem beim Adressable-TV? Auf den ersten Blick könnte man meinen, letztlich handelt es sich beim Adressable-TV doch um nichts anderes, als ein weiteres Endgerät, dass nunmehr an das Internet angeschlossen ist und folglich gelten hier dieselben Regeln wie im Internet. Im Internet ist es aber bekanntlich gem. § 15 Abs. 3 TMG möglich, beispielsweise zum Zwecke der Werbung und Marktforschung pseudonyme Nutzerprofile zu erstellen, sofern auf diesen Umstand hingewiesen wird und der Nutzer die Möglichkeit eines Opt-Outs hat.

Die Datenschutzbehörden weigern sich allerdings, diese Regelungen auch beim Adressable-TV/Hbb-TV zur Anwendung zu bringen. Tatsächlich droht gerade der „Untergang“ des Adressable-TVs durch eine „Orientierungshilfe“ der Landesdatenschutzbehörden. Diese „Orientierungshilfe“ zu den Datenschutzanforderungen an Smart-TV-Dienste, erstellt vom sog. „Düsseldorfer Kreis“ unter Federführung des bayerischen Landesamtes für Datenschutz, wurde in der Sitzung des Düsseldorfern Kreises vom 15./16. September 2015 beschlossen. Die Orientierungshilfe richtet sich an die Anbieter von Smart-TV-Diensten und –Produkten. Dazu zählen nach Ansicht des Düsseldorfer Kreises insbesondere Gerätehersteller, Portalbetreiber, App-Anbieter, Anbieter von Empfehlungsdiensten und Anbieter von Hbb-TV Angeboten. Wer sie noch nicht hat, kann sie gerne bei uns anfordern, eine E-Mail genügt.

In dieser Orientierungshilfe bewerten die Aufsichtsbehörden insbesondere die bei den Anbieter von Hbb-TV-Angeboten und ihren Vermarktern geübte Praxis, über eine mit dem Rundfunksignal versandte URL bereits bei der Auswahl eines Senders unmittelbar und ohne weitere Tätigkeiten des Nutzers eine Internetverbindung zu dem Server des Hbb-TV-Anbieter auszulösen. Denn dabei verwendet der Anbieter zumindest die IP-Adresse des Nutzers als (vermeintlich) personenbezogenes Datum, ohne dass für diesen datenverarbeitenden Schritt eine Rechtsgrundlage erkennbar sein. Folgerichtig halten die Aufsichtsbehörden diese Praxis für datenschutzrechtswidrig. Vielmehr weisen die Aufsichtsbehörden darauf hin, dass der Aufruf der Web-Dienste im Rahmen von Hbb-TV und die damit einhergehende wechselseitige Kommunikation erst dann stattfinden dürfe, wenn dies durch den Nutzenden selbst initiiert würde. Dies könne z. B. durch die aktive Entscheidung erfolgen, den „Red-Button“ bei Hbb-TV zu bestätigen und damit den Abruf eines Dienstes bewusst zu veranlassen. Dagegen bewerten die Aufsichtsbehörden das alleinige Einschalten eines bestimmten Programmes nicht als „bewusste Inanspruchnahme“ von Telemedien. Und eben so wenig könne das bloße Verbinden des Gerätes mit dem Internet nicht als Einwilligung verstanden werden.

D.h. im Klartext: So wie derzeit Hbb-TV genutzt wird, insbesondere zum Zwecke des Adressable-TVs und des Targetings, soll es zukünftig nicht mehr zulässig sein. Die Übertragung der IP-Adresse dürfe vielmehr erst dann erfolgen, wenn der Nutzer aktiv den „Red-Button“ geklickt habe. Die Bildung von Nutzungsprofilen nach § 15 Abs. 3 des TMG könne deshalb frühestens nach einer solchen Interaktion des Nutzenden erfolgen. Profile dürfen also erst nach Anklicken des Red-Buttons erstellt werden, aber nicht vorher. Überhaupt dürfe die IP-Adresse vor dem Klicken des Red-Buttons nicht übertragen werden.

Mit dieser Einschätzung der Aufsichtsbehörden läuft das Hbb-TV Gefahr, in Deutschland eingestellt zu werden, bevor es überhaupt richtig losgegangen ist. Denn es wird praktisch nicht möglich sein, dieses Problem technisch zu lösen. Es ist nun einmal so, dass ein Hbb-TV fähiges Gerät, dass bewusst von seinem Erwerber mit dem WLAN verbunden wurde, zur Anbindung an das Internet die IP-Adresse übermitteln muss. So funktioniert das Internet nun einmal. Es bleibt also abzuwarten, ob sich diese Auffassung der Aufsichtsbehörden durchsetzen  und wie sich die tatsächliche Praxis weiterentwickeln wird. Für weitere Anfragen zu diesem Thema wenden Sie sich gerne an uns.

 

ULD veröffentlicht Positionspapier zu den Folgen der Safe-Harbor Entscheidung des EuGH

Das ULD hat in einem ersten Positionspapier die wesentlichen Folgen des EuGH-Urteils für Unternehmen und öffentliche Stellen  zusammengefasst.

Ohne das Datenschutzniveau in den Vereinigten Staaten von Amerika konkret selbst zu bewerten, habe der EuGH mit diesem Grundsatzurteil hohe Maßstäbe für jedwede Datenübermittlung in Staaten außerhalb der Europäischen Union und Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum aufgestellt. In dem Urteil würde deutlich, dass die Safe-Harbor-Entscheidung aus dem Jahr 2000 diesen Maßstäben nicht gerecht werde: Weder habe die Europäische Kommission bei dieser Entscheidung das Datenschutzniveau in den USA ausreichend mit Blick auf die dortige Rechtslage geprüft, noch enthalte die Safe-Harbor-Entscheidung die erforderlichen Schutzmöglichkeiten für europäische Bürgerinnen und Bürger.

Das Urteil des EuGH habe daher über „Safe Harbor“ hinaus Folgen für andere rechtliche Instrumente, die bisher zur Rechtfertigung einer Datenübermittlung in die Vereinigten Staaten herangezogen wurden. Die vom EuGH aufgestellten Grundsätze bezüglich des notwendigen Schutzniveaus machten auch eine Neubewertung solcher Übermittlungen nötig, die auf einer Einwilligung beruhen oder auf Grundlage von Standardvertragsklauseln durchgeführt werden.

Mit Blick auf die hohen Anforderungen, die der EuGH in seinem Urteil aufgestellt habe, könne eine dauerhafte Lösung nur in einer wesentlichen Änderung im US-amerikanischen Recht liegen. Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten ihre Verfahren schnellstmöglich überprüfen und Alternativen für eine Verarbeitung personenbezogener Daten in den USA erwägen. Dies gilt nicht nur für solche Übermittlungen, die sich bisher auf die Safe-Harbor-Grundsätze gestützt haben, sondern für sämtliche Übermittlungen in die USA.

Das ULD hat daher in einem ersten Positionspapier die wesentlichen Folgen des EuGH-Urteils für Unternehmen und öffentliche Stellen in Schleswig-Holstein zusammengefasst. Das Positionspapier kann abgerufen werden unter:

https://www.datenschutzzentrum.de/artikel/967-.html

 

 

Einsatz von Facebook Custom Audiences – rechtswidrig?

Unternehmen, die Facebook Custom Audiences einsetzen, riskieren nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht die Eröffnung eines Bußgeldverfahrens.

Das Bayerische Landesamt hat in seinem kürzlich veröffentlichen Tätigkeitsbericht 2013/2014 die Ansicht vertreten, dass der Einsatz von „Facebook Custom Audiences“ rechtswidrig sei. Bei „Facebook Custom Audiences“  werden personenbezogene Datensätze, die als Identifier eine E-Mail-Adresse oder eine Telefonnummer besitzen, von Unternehmen anonymisiert (verhasht) und an Facebook übertragen. Facebook vergleicht diese Hashwerte der übermittelten Daten mit eigenen Hashwerten, die im Rahmen der Facebook-Nutzung erhoben wurden. Hierdurch kann Facebook eigene Facebook-Nutzer mit denen der Kunden abgleichen und diese identifizieren.

Beim Einsatz dieser Technologie wird für die Verschlüsselung das bekannte MD5-Verfahren verwendet. Nach Auffassung reicht dieses Verfahren für die Verschlüsselungszwecke nicht aus. Nach Ansicht des Bayerischen Landesamtes könne tatsächlich eine sog. „Brute-Force-Attacke“ dadurch deutlich beschleunigt werden, wenn ursprüngliche Klartexteigenschaften der MD5-gehashten Werte berücksichtigt werden. Wörtlich heißt es in dem Tätigkeitsbericht:

„E-Mail-Adressen bestehen oftmals aus Vornamen, Nachnamen, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zugrunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70 – 80 %  aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können“.

Facebook könne deshalb nach Ansicht des Bayerischen Landesamtes ohne wesentlichen Aufwand einen Hashwert bei der überwiegenden Zahl der Fälle zurückrechnen, wodurch auch nicht-Facebook-Nutzer betroffen sein können. Es komme deshalb trotz der vermeintlichen Anonymisierung zu einer Verarbeitung von personenbezogenen Daten die somit eine Einwilligung der betroffenen Personen bedürfe, deren Daten im Rahmen der „Custom Audiences“ an Facebook übermittelt werden. Da diese im Allgemeinen nicht vorliegen dürfte, sei von der Nutzung von „Facebook Custom Audiences“ abzuraten. Tatsächlich könne der Einsatz der „Custom Audiences“ ohne Einwilligung der Nutzer sogar eine Ordnungswidrigkeit darstellen, die mit Bußgeldern sanktioniert werden kann.

Twitter und Geotargeting

Twitter ermöglicht nun auch Geotargeting. Hierbei handelt es sich um eine Option für Werbetreibende, die auf Twitter geschaltete Werbung nun auch ortsgebunden anzeigen zu können. In Deutschland ermöglicht Twitter bisher die Auswahl aus 16 Städten, in den USA hingegen ist schon eine Auswahl bis auf die Postleitzahl möglich.

Datenschutzrechtlich bietet der neue Service von Twitter für sich genommen keine Bedenken. Zwar arbeitet Twitter mit personenbezogenen Daten, um die Zielgruppe auszuwählen, diese Daten werden laut Twitter nur akkumuliert und damit anonymisiert oder mit Erlaubnis weitergegeben. Für weitere Fragen zu dieser Thematik empfehlen wir auch unseren Beitrag zum location based advertising.