Das TCF 2.2 geht an den Start – das sollten Sie jetzt wissen:

Um den Akteuren im Online-Ökosystem dabei zu helfen, die Anforderungen der EU-Datenschutzrichtlinie sowie der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, hat der europäische Verband der Onlinebranche IAB eine überarbeitete Fassung des als „Transparency & Consent Framework“ bezeichneten Branchenstandards verabschiedet, das so genannte TCF 2.2. Eine Arbeitsgruppe aus Vetretern der beteiligten Unternehmen hat intensiv an einer überarbeiten Standardisierung der Pflicht-Informationen und Auswahlmöglichkeiten gearbeitet, die den Nutzern vor der Verarbeitung ihrer Daten zur Verfügung gestellt werden sollten, sowie an der Art und Weise, wie darauf aufbauenden Entscheidungen der Nutzer umgesetzt werden.

Ziel der Änderung ist die Anpassung des Branchenstandards an die Anforderungen der Rechtsprechung und der europäischen Datenschutzbehörden. Das IAB möchte es deshalb den betroffenen Marktteilnehmern ermöglichen, über das Transparency & Consent Framework 2.2 diesen Vorgaben gerecht zu werden. Das TCF 2.2 tritt bereits am 16. Mai 2023 in Kraft – und die Umsetzungsfristen für betroffene Unternehmen sind extrem kurz.

Die wichtigste Neuerungen des TCF 2.2 sind:

  • Abschaffung der Rechtsgrundlage des berechtigten Interesses für die Personalisierung von Online-Werbung und -Inhalten: Unternehmen können nun nur noch auf der Grundlage einer wirksamen Einwilligung der Nutzer pseudonyme Daten verarbeiten, um individuelle Werbung und Inhalte auszuspielen.
  • erweiterte Informationen für Nutzer in Bezug auf die Verarbeitungszwecke: Die in der Einwilligungsabfrage enthaltenen Angaben zu den Zwecken, für die die erhobenen Daten genutzt werden können, wurden überarbeitet. Die Informationen sollen jetzt verständlicher sein und wurden dazu auch um konkrete Beispiele ergänzt.
  • erweiterte Informationen für Nutzer in Bezug auf die Datenempfänger: Zu den Empfängern der Daten der Nutzer werden zusätzliche Informationen bereitgestellt, nämlich:
    • konkret vom jeweiligen Datenempfänger erhobene Datenkategorien
    • Speicherfristen für die erhobenen Daten beim jeweiligen Datenempfänger
    • falls einschlägig (und noch zulässig): die berechtigten Interessen des Datenempfängers für die Datenverarbeitung
  • Transparenz über die Anzahl der Datenempfänger: In der Einwilligungsabfrage muss zukünftig die Gesamtzahl der Datenempfänger bereits auf der ersten Ebene offen gelegt werden.
  • neue Anforderungen für den Widerruf der Einwilligung durch die Nutzer: Über eine spezielle Schaltfläche muss es möglich sein, die Einwilligungsabfrage erneut aufzurufen und die Einwilligung zu widerrufen.

Die meisten Anbieter von Websites und Apps werden sich zur Umstellung auf das TCF 2.2 an den Anbieter ihrer Einwilligungsabfrage (auch als „Cookie-Banner“ oder Consent Management Platform (CMP) bezeichnet) wenden. Auf Datenempfänger kommen dagegen größere technische Umstellungen zu.

Falls Sie Fragen zur Umsetzung des TCF 2.2 haben, melden Sie sich gern direkt bei uns.

Facebook Custom Audiences – doch datenschutzkonform ?

Die Bayerischen Datenschutzbehörden überprüfen derzeit den Einsatz von Facebook-Custom-Audiences. Zu diesem Zweck versendet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) derzeit Fragebögen zu Facebook-Custom-Audiences und dessen Verwendung. Dieser Fragebogen erfasst beide derzeit häufig eingesetzten Varianten von Facebook-Custom-Audiences, nämlich der Einsatz von Facebook-Custom-Audiences über die eigenen Kundenlisten (CRM) und der Einsatz von Facebook-Custom-Audiences über die eigene Website (Custom Audiences from your Website).

In seinem Schreiben vertritt das BayLDA die Auffassung, dass der Einsatz von Facebook-Custom-Audiences über die Kundenlisten nur auf der Grundlage einer Einwilligung des Webseitennutzers zulässig ist.

Dagegen ist der Einsatz von Facebook-Custom-Audiences from your Website unter Beachtung der Voraussetzungen des § 15 Abs. 3 TMG zulässig ! Das bedeutet, dass der Verwender in seiner eigenen Datenschutzerklärung über den Einsatz von Facebook-Custom-Audiences in seiner Datenschutzerklärung hinweisen muss und darüber hinaus ein Opt-Out-Verfahren zur Verfügung stellt, mit dem der Nutzer der Nutzung seiner Daten im Rahmen dieses Prozesses widersprechen kann.

Damit schafft das BayLDA immerhin für Facebook-Custom-Audiences from your Website endlich eine datenschutzrechtliche Klarstellung, die sehr erfreulich ist. Wie der Einsatz von Facebook-Custom-Audiences über die eigenen Kundenlisten endgültig durch das BayLDA entschieden wird, bleibt noch abzuwarten.

 

 

Bewertungsplattformen: Beschwerden müssen an Nutzer weitergeleitet werden

Bundesgerichtshof weitet Verantwortlichkeit der Betreiber aus

Nach dem Erscheinen der Pressemitteilung des Bundesgerichtshofs (Az. VI ZR 34/15) in der Sache „Jameda II“ im März 2016 wurde zunächst großes Aufheben um die Bedeutung dieser Entscheidung für Bewertungsportale im Internet gemacht. Mittlerweile sind die schriftlichen Entscheidungsgründe des Urteils veröffentlicht. Sie haben jedoch bislang erstaunlich wenig Widerhall in der Fachpresse gefunden.

Dabei ist die Entscheidung bereits die sechste in einer Reihe von Urteilen zu Bewertungsportalen und deren Haftung für fremde Inhalte („user generated content“), die 2009 mit der „Spickmich“-Entscheidung begonnen hatte.

In dem zugrunde liegenden Fall hatte ein Zahnarzt gegen eine negative Bewertung in einem Bewertungsportal für Ärzte geklagt und behauptet, dass die bewertete Behandlung überhaupt nicht stattgefunden hatte. Das Bewertungsportal hatte den User aufgefordert, die Bewertung „in mindestens zwei Sätzen“ zu begründen und den Behandlungszeitraum zu benennen. Darüber hinaus war der Betreiber weder bereit, die die Beanstandung des Zahnarztes an den User noch die Stellungnahme des Users an den Zahnarzt weiterzuleiten. Dieses Vorgehen war aus Sicht des Bundesgerichtshofs nicht ausreichend.

Betreiber von Bewertungsplattformen im Internet sollten die Entscheidung beachten. Dazu wollen wir eine kurze Einschätzung der aktuellen Situation abgeben.

Was gilt es jetzt zu beachten?

  • Grundsätzlich erkennt der Bundesgerichtshof die Zulässigkeit des Geschäftsmodells und auch die gesellschaftliche Bedeutung von Bewertungsplattformen an.
  • Eine Überprüfung jedes einzelnen Kommentars und jeder Bewertung ist nach wie vor nicht erforderlich.
  • Auch die Möglichkeit, vollkommen anonyme Bewertungen abzugeben, ist weiterhin zulässig.
  • Jedoch muss sich der Betreiber einer Bewertungsplattform im Fall einer Beschwerde, die zum Beispiel über die im Impressum angegebene Kontaktadresse eingeht, ernsthaft und innerhalb einer angemessenen Frist mit ihr auseinandersetzen und diese prüfen.
  • Ist der Kommentar oder die Bewertung schlicht rechtswidrig, so trifft den Betreiber auch ohne weitere Nachforschungen eine Pflicht zur Löschung, der er unverzüglich nachkommen muss.
  • Tut er dies nicht, macht er sich unter anderem schadensersatzpflichtig, was zuletzt sogar der Europäische Gerichtshof für Menschenrechte bestätigte (Az. 64569/09). Im Übrigen besteht ab Kenntnis eines rechtswidrigen Inhalts auch eine Haftung auf Unterlassung, wenn keine Löschung erfolgt.
  • Im Streitfall, und das ist der Kern der neuen Entscheidung des Bundesgerichtshofs, muss der Betreiber zumutbare Maßnahmen ergreifen, um die Zulässigkeit der angegriffenen Bewertung zu überprüfen, auch wenn es sich um eine bloße Meinungsäußerung handelt.
  • Dazu muss er die Beschwerde an den User weiterleiten und von ihm gegebenenfalls weitere Belege für die Zulässigkeit der Bewertung anfordern.
  • Im Zweifel muss der Betreiber die Bewertung entweder löschen oder Belege für die Bewertungsgrundlage angeben können. Unter Umständen müssen diese, gegebenenfalls vom User auf Nachfrage eingereichten Belege sogar (in anonymisierter Form) an das betroffene Unternehmen oder die betroffene Person weitergeleitet werden.

Unser Fazit

Die Rechtsprechung hält an der Haftungsprivilegierung von Plattformbetreibern auch im Hinblick auf Bewertungsportale fest, stellt jedoch hohe Ansprüche an die Prüfung von Beschwerden der bewerteten Unternehmen und Personen im Einzelfall.

Betreiber von Bewertungsportalen sollten daher Maßnahmen ergreifen, um einen Missbrauch der Plattform zu verhindern, indem sie zum Beispiel ihre Nutzer bitten, stets die Grundlage für ihre Bewertung anzugeben und indem sie eine entsprechende Regelung in ihre Nutzungsbedingungen aufnehmen. Hilfreich kann es auch sein, Kontaktdaten wie eine E-Mail-Adresse zum Beispiel über ein Nutzerkonto zu speichern. Dabei muss jedoch selbstverständlich der Datenschutz gewahrt bleiben. In jedem Fall sollten Plattformbetreiber ein funktionierendes Beschwerdemanagement einrichten, um die von der Rechtsprechung geforderten Prüfungen durchführen zu können.

Es bleibt abzuwarten, wie die Gerichte in der Zukunft mit solchen Fällen umgehen. Problematisch sind insbesondere zwei Konstellationen: Erstens ist es denkbar, dass  Betreiber von Bewertungsplattformen zum Schutz ihrer Nutzer die vom Bundesgerichtshof geforderten, im Rahmen der Überprüfung eingeholten Informationen nicht weitergeben dürfen. Zweitens ist unklar, wie zu verfahren ist, wenn Bewertungen vollkommen anonym, das heißt ohne die Angabe von Kontaktdaten wie zum Beispiel einer E-Mail-Adresse abgegeben werden.

Der Bundesgerichtshof hat dazu in seiner Entscheidung betont, dass die grundsätzliche Zulässigkeit von Bewertungsportalen im Internet hier nicht durch überzogene Anforderungen untergraben werden darf. Wahrscheinlich kommt es wie so oft auf den Einzelfall an, nämlich wie stark die Rechte des Bewerteten beeinträchtigt sind.

Falls Sie Fragen dazu haben, wie sie in Bezug auf Ihre Plattform die nötigen Vorkehrungen treffen können, wenden Sie sich gerne an uns.

Die Datenschutzgrundverordnung tritt heute in Kraft

Heute, am 25. Mai 2016, tritt die Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft.

Die Verordnung war am 14. April 2016 vom Europäischen Parlament beschlossen und am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht worden. Die Verordnung sieht eine Übergangszeit von zwei Jahren vor und gilt damit ab dem 25. Mai 2018 in der gesamten Europäischen Union direkt.

Die EU-Datenschutz-Grundverordnung ist mit 99 Artikeln und 173 sog. Erwägungsgründen deutlich umfangreicher als z. B. das deutsche Bundesdatenschutzgesetz. Die aktuelle Fassung ist hier abrufbar: link

 

 

 

IP-Adressen und der EugH. Der Tag der Entscheidung ist der 12.05.2016.

Der 12.5.2016 dürfte einer der wichtigsten Tage des Jahres für die Onlinebranche werden. Denn an diesem Tage werden vor dem europäischen Gerichtshof die sogenannten Schlussanträge im IP-Adressen Fall gestellt und damit auch veröffentlicht.

Der Politiker Patrick Breyer, Piratenpartei, klagte gegen die BRD. Er wollte dem Bund verbieten lassen, IP-Adressen von Besuchern auf Webseiten des Bundes über die Dauer der Nutzung hinaus speichern zu dürfen. Diese Speicherung der Daten würden gegen das BMG verstoßen. Der BGH legte daraufhin diesen Fall dem europäischen Gerichtshof vor. Er wollte zwei Fragen geklärt wissen:

a) Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr — Datenschutz-Richtlinie — dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt ?

b) Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann ?

Im Kern geht es also um die Frage, ob eine IP-Adresse ein personenbezogenes Datum ist oder nicht. Die Bedeutung des Rechtsstreites geht aber weit darüber hinaus: gelten dieselben Überlegungen auch für andere Online Identifier, wie zum Beispiel Cooki Id´s, User Id´s, Digitale Fingerprints, etc. ?

Alle Geschäftsmodelle der Onlinebranche stehen im Rahmen dieses Verfahrens auf dem Prüfstand. Es bleibt also abzuwarten wie der EuGH entscheiden wird in dieser so wichtigen Fragestellung.