Safe Harbor II – neue Übergangsfrist

Als Reaktion auf das Urteil des europäischen Gerichtshofs vom 06.10.2015 zur Ungültigkeit des Safe Harbor-Abkommens handelte vor kurzem die Europäische Kommission gemeinsam mit der Federal Trade Commission (FTC) der USA ein neues Abkommen aus. Daraufhin haben die Datenschutzbehörden die „Schonfrist“ bis Ende April verlängert.

Der Nachfolger des Safe-Harbor-Abkommens firmiert demnach unter dem etwas  sonderbaren Namen „EU-US-Privacy Shield“. Tausende Unternehmen in Europa sollen damit auf mehr Rechtssicherheit bei transatlantischen Datentransfers hoffen.

Geplant ist demnach, dass das US-Handelsministerium Firmen, die Daten aus Europa verarbeiten, überwacht. Wer sich nicht an Standards hält, dem drohen Sanktionen bis hin zu einer Streichung von der Liste. Die US-Seite sagt demnach eine Aufsicht der eigenen Justiz- und Sicherheitsbehörden zu. Beide Partner sollen die Umsetzung der Vereinbarungen jedes Jahr gemeinsam überprüfen.

Nach der neuen Regelung sollen also kurzgefasst die USA  der EU  zusichern, die Daten angemessen zu schützen. EU-Bürger sollen in den USA klagen dürfen und ein sog. „Ombudsmann“ im US-Außenministerium soll sich um Beschwerden kümmern.

Vor diesem Hintergrund verlängerten auch die Aufsichtsbehörden die „Schonfrist“ bis Ende April 2016. Diese kritisieren aber die neue Regelung als zu unverbindlich. Es bleibt also abzuwarten, wie es im April weitergeht.

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) – Ein Blick auf die Neuregelungen aus der Sicht der Onlinebranche

Nach jahrelangen Verhandlungen haben sich die EU-Kommission, das EU-Parlament und der EU-Rat im abschließenden sog. Trilog bekanntlich am 15.12.2015 auf einen Kompromisstext geeinigt. Damit steht fest, dass die EU-Datenschutzverordnung als für alle Mitgliedsstaaten verbindliche Regelung vermutlich spätestens im ersten Quartal 2018 in Kraft treten wird.

Die datenschutzrechtlichen Grundprinzipien bleiben im Kern bestehen.

Aus der deutschen Sicht ändert sich durch die neue Verordnung nicht viel an den datenschutzrechtlichen Grundprinzipien. Es bleibt bei den Grundsätzen der „Datenvermeidung und Datensparsamkeit“, der „Zweckbindung“, des „Verbotes mit Erlaubnisvorbehalts“ und der „Transparenz“ (vgl. Art. 5 „Principals relating to personal data processing“).

Auswirkungen für die Onlinebranche

Die praktischen Auswirkungen für die Onlinebranche sind zum Teil erheblich. Denn der Anwendungsbereich des neuen Datenschutzrechtes wird sich zukünftig erheblich ausweiten. Das betrifft insbesondere den Umfang des Anwendungsbereiches der „personenbezogenen Daten“. Bisher fiel unter den Begriff der „personenbezogenen Daten“ ein Datum, dass eine natürliche Person identifizieren konnte oder zumindest identifizierbar machte, wie beispielsweise Name, Vorname, Telefonnummer, etc. Da jedoch Cookie-IDs, User-ID´s, IP-Adressen, Mac-Adressen, etc. aus der Sicht der Onlinebranche natürliche Personen jedenfalls nicht ohne weiteres identifizierbar machten, wurde vielfach der Standpunkt vertreten, dass diese Daten als anonym einzustufen seien. Die Verarbeitung von anonymen Daten unterliegt aber nicht dem Anwendungsbereich der Datenschutzgesetze. Folglich war das die datenschutzrechtliche Begründung, weshalb moderne Online- und Trackingtechnologien, wie beispielsweise das Cookie-Synching, das Cross-Device-Targeting, das OBA und viele andere Targetingtechnologien für zulässig erachtet wurden.

Dieser Betrachtungsweise ist durch die neue Datenschutzverordnung nunmehr ein Riegel vorgeschoben, denn die neue EU-DSGVO stellt in Art. 4 Abs. 1 nunmehr ausdrücklich klar:

„..’personal data‘ means any information relating to an identified or
identifiable natural person ‚data subject‘; an identifiable person is one who
can be identified, directly or indirectly, in particular by reference to an
identifier such as a name, an identification number, location data, online
identifier or to one or more factors specific to the physical, physiological,
genetic, mental, economic, cultural or social identity of that person“

Näheres ergibt sich aus den für die Onlinebranche sog. „Erwägungsgrund“ 24, der weitere Beispiele auch benennt:

“…online identifiers provided by their devices, applications,
tools and protocols, such as Internet Protocol addresses, cookie identifiers
or other identifiers such as Radio Frequency Identification tags…“

Im Klartext dürften also zukünftig „Online-Identifier“, wie Cookie-IDs, IP-Adressen, etc. unzweifelhaft als personenbezogene Daten zu betrachten sein. Das stellt also eine ganz wesentliche Änderung gegenüber dem bisherigen Recht dar. In praktischer Hinsicht bedeutet das, dass die Verarbeitung solcher Online-Identifier zukünftig an und für sich der Einwilligung bedarf. Der Betroffene muss eine Einwilligung für genau definierte Zwecke abgeben. Allerdings ist in Art. 4 Nummer 8 EU-DSGVO erfreulicherweise klargestellt, dass diese Einwilligung auch durch schlüssige Handlungen, etwa durch das Weiternutzen von Onlinediensten, erklärt werden kann. Das wird deutlich durch die sprachliche Abkehr von der ausdrücklichen („explicit“) Einwilligung hin zur unmissverständlichen („unambigous“)  Einwilligung des Nutzers.

In vielen Fällen der Onlineindustrie wird eine solche Einwilligung vermutlich aber gar nicht erforderlich sein und das liegt an der neu geschaffenen „Online-Marketing-Klausel“ des Art. 6 Abs.1 f EU-DSGVO.

Ermächtigung für Onlinewerbezwecke

Denn die Rettung naht in Form dieses Art. 6 Abs. 1 f der EU-DSGVO. Denn in Art. 6 EU-DSGVO sind unterschiedliche Tatbestände benannt, die eine einwilligungslose Verarbeitung personenbezogener Daten gestatten. Die wichtigste Vorschrift für die Onlinebranche ist dabei die Regelung des Art. 6 Abs. 1 f.

Diese lautet:

“Processing of personal data shall be lawful only if and to the extent that at

least one of the following applies:

….

  1. f) processing is necessary for the purposes of the legitimate interests pursued

by the controller or by a third party, except where such interests are

overridden by the interests or fundamental rights and freedoms of the data

subject which require protection of personal data, in particular where the data subject is a child. ….”

In dieser Klausel wird  nicht nur eine gesetzliche Erlaubnis für die klassischen Direktmarketingmethoden zu sehen sein, sondern auch und erst recht für die Durchführung nutzungsbasierter Online-Werbung. Personenbezogene Daten können nach dieser Regelung bei einem „legitimen Interesse“ des Datenverarbeiters genutzt werden, solange diese legitimen Interessen nicht offensichtlich hinter den Interessen des Betroffenen zurückzustehen haben. Dass es sich bei den Werbeinteressen der Onlinebranche um „legitime Interessen“ im Sinne der EU-DSGVO handelt, ergibt sich aus dem Erwägungsgrund 38 zu dieser Vorschrift. Dort heißt es nämlich:

“The legitimate interests of a controller, including of a controller to which the data may be disclosed, or of a third party may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding…”

Am Ende heißt der für die Onlinewerbebranche so wichtige Satz: „…“

“The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.”

Damit steht also fest, dass „Werbeinteressen“ als „legitime Interessen“ im Sinne von Art. 6 Abs. 1 f EU-DSGVO gelten. Jedes wie auch immer geartete berechtigte Interesse des Werbetreibenden reicht also grundsätzlich aus, um die Datenverarbeitung zu legitimieren. Eine Regelung, die sehr ähnlich ist zu einer Regelung im Bundesdatenschutzgesetz, nämlich § 28 Abs. 1 BDSG. Die Anforderungen an ein berechtigtes Interesse sind dabei nicht allzu streng. So soll es beispielsweise für die Weitergabe von Daten an Dritte ausreichen, dass diese Dritten ihrerseits ein berechtigtes Interesse geltend machen können. Das ist natürlich insbesondere für den Adresshandel von erheblicher Bedeutung. Bei der Auslegung des Begriffs der „ berechtigten Interessen“ nähert man sich in bemerkenswerter Weise den US-amerikanischen Vorstellungen des Datenschutzes an. Denn zukünftig werden die „redlichen Erwartungen der Betroffenen“ offenbar zum zentralen Ausgangspunkt der Abwägung. Denn Daten, deren Verarbeitung die User („Betroffene“) redlicherweise erwarten dürfen, dürfen zukünftig auf der Basis von Art. 6 weitreichend ohne eine Einwilligung verarbeitet werden. Das ergibt sich unter anderem auch aus dem Erwägungsgrund 38, in dem es heißt:

“The legitimate interests of a controller, including of a controller to which the data may be disclosed, or of a third party may provide a legal basis for processing, provided that theinterests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on the relationship with the controller.”

Kurzum: auch zukünftig werden die meisten Geschäftsmodelle der Onlinebranche ohne eine Einwilligung auskommen, solange sie sich innerhalb des Anwendungsbereiches dieser „redlichen Erwartungen“ ihrer User bewegen. Wie weit der Umfang dieser „redlichen Erwartungen“ tatsächlich geht, bleibt in der Zukunft abzuwarten. Möglicherweise macht es auch Sinn diese „redlichen Erwartungen“ in der eigenen Datenschutzerklärung anzusprechen und damit ihren Anwendungsbereich auszudehnen.

Opt-Out ist zukünftig zwingend erforderlich.

Art. 19 EU-DSGVO sieht vor, dass zukünftig bei der Verarbeitung von Nutzungsdaten zwingend ein Opt-Out möglich sein muss.

Das ist für die deutsche Onlinebranche nichts neues, der Anwendungsbereich dieser Regelung geht aber über den Anwendungsbereich des in Deutschland bereits bekannten § 15 Abs. 3 TMG hinaus. Positiv im Sinne der Onlinebranche ist der Umstand, dass die Regelungen von Art. 19 Abs. 1 und Abs. 2 EU-DSGVO eine Widerspruchsregelung (Opt-Out) ausdrücklich auch auf die Fälle der Profilbildung gem. Art. 6 Abs. 1 e und f EU-DSGVO vorsehen. Dadurch wird nämlich deutlich, dass der EU-Gesetzgeber diese Profilbildung für die Onlineindustrie ausdrücklich gesehen hat und regeln wollte.

Die Informationen über das Widerspruchsrecht müssen spätestens beim ersten Kontakt mit der datenverarbeitenden Stelle (z. B. dem Publisher) gegeben werden. Das kann z. B. in der Datenschutzerklärung geschehen oder über das zentral gesteuerte Präferenzmanagement-Tool unter www.meine-cookies.org. Diese Plattform basiert auf der vom BVDW maßgeblich getragenen Selbstregulierung der Werbewirtschaft beim Online-Behavioral-Targeting (OBA) über den Deutschen Datenschutzrat Online Werbung (DDOW).

Fazit:

Die aus der Sicht der Onlinebranche wichtigsten Regelungen lassen nach einer ersten, vorläufigen Analyse folgenden Schluss zu:

  • Die wesentlichen Geschäftsmodelle der Onlinebranche dürften auch zukünftig nicht ernsthaft gefährdet sein.
  • Zwar ist der Begriff der personenbezogenen Daten erweitert worden, so dass es zukünftig nicht mehr möglich sein wird, den Standpunkt zu vertreten, Cookie-IDs, IP-Adressen und andere Online Identifier seien anonym.
  • In praktischer Hinsicht dürfte diese Änderung des Datenschutzrechtes aber keine größeren Auswirkungen haben. Das liegt in erster Linie an dem neu gefassten Art. 6, insbesondere an Abs. 1 f, der Online Marketing Klausel der EU-DSGVO. Die Verarbeitung der personenbezogenen Daten zum Zwecke der Onlinewerbung wird daher zukünftig voraussichtlich auf diese „legitimen Interessen“ gestützt werden, von denen in § 6 Abs. 1 f EU-DSGVO die Rede ist.

Die EU-DSGVO enthält noch eine Vielzahl von weiteren Regelungen, die für die Onlinebranche praktische Auswirkungen haben.

Benötigen Sie daher Hilfe bei der Analyse der zukünftigen Anforderungen der EU-DSGVO und ihrer Auswirkungen auf Ihr Unternehmen oder das Geschäftsmodell Ihres Unternehmens, dann wenden Sie sich gerne an uns: Eickmeier@Unverzagt.law oder Telefon 040 41400034.

Neues zum Smart TV: Was hat „Adressable-TV“ mit Datenschutz zu tun?

Unter Adressable-TV versteht man die Verknüpfung des klassischen linearen Fernsehens mit digitaler Werbung. Weil diese Verknüpfung aber über Hbb-TV Geräte, also auf internetfähigen Geräten, empfangen werden kann, wird es zukünftig möglich, solche Werbeformate in traditionellen linearen Fernsehprogrammen über AdServer-Technologien auszuliefern und individuell auszuwerten. Deutschlandweit sind inzwischen rd. 12 Mio. internetfähige TV-Geräte ans Netz angeschlossen und können damit auch angesteuert werden. Targeting im klassischen TV wird damit endlich – möchte man meinen – möglich. Dass die aus Adressable-TV gewonnenen Daten zum Teil über Vorteile gegenüber klassischen demographischen Daten verfügen, wie sie beispielsweise die Arbeitsgemeinschaft Fernsehforschung (AGF) anbietet, liegt auf der Hand. Denn die über Hbb-TV gemessenen technischen Reichweiten sind für die klassische Werbewirtschaft oftmals noch interessanter, weil hierdurch der tatsächliche User erfasst wird, der im Moment der Erfassung zusieht. Dagegen liegen die AGF-Daten in der Regel erst am letzten Tag vor. Bei dem Adressable-TV findet also Targeting quasi in Realtime statt.

Wo aber liegt das datenschutzrechtliche Problem beim Adressable-TV? Auf den ersten Blick könnte man meinen, letztlich handelt es sich beim Adressable-TV doch um nichts anderes, als ein weiteres Endgerät, dass nunmehr an das Internet angeschlossen ist und folglich gelten hier dieselben Regeln wie im Internet. Im Internet ist es aber bekanntlich gem. § 15 Abs. 3 TMG möglich, beispielsweise zum Zwecke der Werbung und Marktforschung pseudonyme Nutzerprofile zu erstellen, sofern auf diesen Umstand hingewiesen wird und der Nutzer die Möglichkeit eines Opt-Outs hat.

Die Datenschutzbehörden weigern sich allerdings, diese Regelungen auch beim Adressable-TV/Hbb-TV zur Anwendung zu bringen. Tatsächlich droht gerade der „Untergang“ des Adressable-TVs durch eine „Orientierungshilfe“ der Landesdatenschutzbehörden. Diese „Orientierungshilfe“ zu den Datenschutzanforderungen an Smart-TV-Dienste, erstellt vom sog. „Düsseldorfer Kreis“ unter Federführung des bayerischen Landesamtes für Datenschutz, wurde in der Sitzung des Düsseldorfern Kreises vom 15./16. September 2015 beschlossen. Die Orientierungshilfe richtet sich an die Anbieter von Smart-TV-Diensten und –Produkten. Dazu zählen nach Ansicht des Düsseldorfer Kreises insbesondere Gerätehersteller, Portalbetreiber, App-Anbieter, Anbieter von Empfehlungsdiensten und Anbieter von Hbb-TV Angeboten. Wer sie noch nicht hat, kann sie gerne bei uns anfordern, eine E-Mail genügt.

In dieser Orientierungshilfe bewerten die Aufsichtsbehörden insbesondere die bei den Anbieter von Hbb-TV-Angeboten und ihren Vermarktern geübte Praxis, über eine mit dem Rundfunksignal versandte URL bereits bei der Auswahl eines Senders unmittelbar und ohne weitere Tätigkeiten des Nutzers eine Internetverbindung zu dem Server des Hbb-TV-Anbieter auszulösen. Denn dabei verwendet der Anbieter zumindest die IP-Adresse des Nutzers als (vermeintlich) personenbezogenes Datum, ohne dass für diesen datenverarbeitenden Schritt eine Rechtsgrundlage erkennbar sein. Folgerichtig halten die Aufsichtsbehörden diese Praxis für datenschutzrechtswidrig. Vielmehr weisen die Aufsichtsbehörden darauf hin, dass der Aufruf der Web-Dienste im Rahmen von Hbb-TV und die damit einhergehende wechselseitige Kommunikation erst dann stattfinden dürfe, wenn dies durch den Nutzenden selbst initiiert würde. Dies könne z. B. durch die aktive Entscheidung erfolgen, den „Red-Button“ bei Hbb-TV zu bestätigen und damit den Abruf eines Dienstes bewusst zu veranlassen. Dagegen bewerten die Aufsichtsbehörden das alleinige Einschalten eines bestimmten Programmes nicht als „bewusste Inanspruchnahme“ von Telemedien. Und eben so wenig könne das bloße Verbinden des Gerätes mit dem Internet nicht als Einwilligung verstanden werden.

D.h. im Klartext: So wie derzeit Hbb-TV genutzt wird, insbesondere zum Zwecke des Adressable-TVs und des Targetings, soll es zukünftig nicht mehr zulässig sein. Die Übertragung der IP-Adresse dürfe vielmehr erst dann erfolgen, wenn der Nutzer aktiv den „Red-Button“ geklickt habe. Die Bildung von Nutzungsprofilen nach § 15 Abs. 3 des TMG könne deshalb frühestens nach einer solchen Interaktion des Nutzenden erfolgen. Profile dürfen also erst nach Anklicken des Red-Buttons erstellt werden, aber nicht vorher. Überhaupt dürfe die IP-Adresse vor dem Klicken des Red-Buttons nicht übertragen werden.

Mit dieser Einschätzung der Aufsichtsbehörden läuft das Hbb-TV Gefahr, in Deutschland eingestellt zu werden, bevor es überhaupt richtig losgegangen ist. Denn es wird praktisch nicht möglich sein, dieses Problem technisch zu lösen. Es ist nun einmal so, dass ein Hbb-TV fähiges Gerät, dass bewusst von seinem Erwerber mit dem WLAN verbunden wurde, zur Anbindung an das Internet die IP-Adresse übermitteln muss. So funktioniert das Internet nun einmal. Es bleibt also abzuwarten, ob sich diese Auffassung der Aufsichtsbehörden durchsetzen  und wie sich die tatsächliche Praxis weiterentwickeln wird. Für weitere Anfragen zu diesem Thema wenden Sie sich gerne an uns.

 

ULD veröffentlicht Positionspapier zu den Folgen der Safe-Harbor Entscheidung des EuGH

Das ULD hat in einem ersten Positionspapier die wesentlichen Folgen des EuGH-Urteils für Unternehmen und öffentliche Stellen  zusammengefasst.

Ohne das Datenschutzniveau in den Vereinigten Staaten von Amerika konkret selbst zu bewerten, habe der EuGH mit diesem Grundsatzurteil hohe Maßstäbe für jedwede Datenübermittlung in Staaten außerhalb der Europäischen Union und Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum aufgestellt. In dem Urteil würde deutlich, dass die Safe-Harbor-Entscheidung aus dem Jahr 2000 diesen Maßstäben nicht gerecht werde: Weder habe die Europäische Kommission bei dieser Entscheidung das Datenschutzniveau in den USA ausreichend mit Blick auf die dortige Rechtslage geprüft, noch enthalte die Safe-Harbor-Entscheidung die erforderlichen Schutzmöglichkeiten für europäische Bürgerinnen und Bürger.

Das Urteil des EuGH habe daher über „Safe Harbor“ hinaus Folgen für andere rechtliche Instrumente, die bisher zur Rechtfertigung einer Datenübermittlung in die Vereinigten Staaten herangezogen wurden. Die vom EuGH aufgestellten Grundsätze bezüglich des notwendigen Schutzniveaus machten auch eine Neubewertung solcher Übermittlungen nötig, die auf einer Einwilligung beruhen oder auf Grundlage von Standardvertragsklauseln durchgeführt werden.

Mit Blick auf die hohen Anforderungen, die der EuGH in seinem Urteil aufgestellt habe, könne eine dauerhafte Lösung nur in einer wesentlichen Änderung im US-amerikanischen Recht liegen. Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten ihre Verfahren schnellstmöglich überprüfen und Alternativen für eine Verarbeitung personenbezogener Daten in den USA erwägen. Dies gilt nicht nur für solche Übermittlungen, die sich bisher auf die Safe-Harbor-Grundsätze gestützt haben, sondern für sämtliche Übermittlungen in die USA.

Das ULD hat daher in einem ersten Positionspapier die wesentlichen Folgen des EuGH-Urteils für Unternehmen und öffentliche Stellen in Schleswig-Holstein zusammengefasst. Das Positionspapier kann abgerufen werden unter:

https://www.datenschutzzentrum.de/artikel/967-.html

 

 

Einsatz von Facebook Custom Audiences – rechtswidrig?

Unternehmen, die Facebook Custom Audiences einsetzen, riskieren nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht die Eröffnung eines Bußgeldverfahrens.

Das Bayerische Landesamt hat in seinem kürzlich veröffentlichen Tätigkeitsbericht 2013/2014 die Ansicht vertreten, dass der Einsatz von „Facebook Custom Audiences“ rechtswidrig sei. Bei „Facebook Custom Audiences“  werden personenbezogene Datensätze, die als Identifier eine E-Mail-Adresse oder eine Telefonnummer besitzen, von Unternehmen anonymisiert (verhasht) und an Facebook übertragen. Facebook vergleicht diese Hashwerte der übermittelten Daten mit eigenen Hashwerten, die im Rahmen der Facebook-Nutzung erhoben wurden. Hierdurch kann Facebook eigene Facebook-Nutzer mit denen der Kunden abgleichen und diese identifizieren.

Beim Einsatz dieser Technologie wird für die Verschlüsselung das bekannte MD5-Verfahren verwendet. Nach Auffassung reicht dieses Verfahren für die Verschlüsselungszwecke nicht aus. Nach Ansicht des Bayerischen Landesamtes könne tatsächlich eine sog. „Brute-Force-Attacke“ dadurch deutlich beschleunigt werden, wenn ursprüngliche Klartexteigenschaften der MD5-gehashten Werte berücksichtigt werden. Wörtlich heißt es in dem Tätigkeitsbericht:

„E-Mail-Adressen bestehen oftmals aus Vornamen, Nachnamen, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zugrunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70 – 80 %  aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können“.

Facebook könne deshalb nach Ansicht des Bayerischen Landesamtes ohne wesentlichen Aufwand einen Hashwert bei der überwiegenden Zahl der Fälle zurückrechnen, wodurch auch nicht-Facebook-Nutzer betroffen sein können. Es komme deshalb trotz der vermeintlichen Anonymisierung zu einer Verarbeitung von personenbezogenen Daten die somit eine Einwilligung der betroffenen Personen bedürfe, deren Daten im Rahmen der „Custom Audiences“ an Facebook übermittelt werden. Da diese im Allgemeinen nicht vorliegen dürfte, sei von der Nutzung von „Facebook Custom Audiences“ abzuraten. Tatsächlich könne der Einsatz der „Custom Audiences“ ohne Einwilligung der Nutzer sogar eine Ordnungswidrigkeit darstellen, die mit Bußgeldern sanktioniert werden kann.