Facebook Custom Audiences – doch datenschutzkonform ?

Die Bayerischen Datenschutzbehörden überprüfen derzeit den Einsatz von Facebook-Custom-Audiences. Zu diesem Zweck versendet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) derzeit Fragebögen zu Facebook-Custom-Audiences und dessen Verwendung. Dieser Fragebogen erfasst beide derzeit häufig eingesetzten Varianten von Facebook-Custom-Audiences, nämlich der Einsatz von Facebook-Custom-Audiences über die eigenen Kundenlisten (CRM) und der Einsatz von Facebook-Custom-Audiences über die eigene Website (Custom Audiences from your Website).

In seinem Schreiben vertritt das BayLDA die Auffassung, dass der Einsatz von Facebook-Custom-Audiences über die Kundenlisten nur auf der Grundlage einer Einwilligung des Webseitennutzers zulässig ist.

Dagegen ist der Einsatz von Facebook-Custom-Audiences from your Website unter Beachtung der Voraussetzungen des § 15 Abs. 3 TMG zulässig ! Das bedeutet, dass der Verwender in seiner eigenen Datenschutzerklärung über den Einsatz von Facebook-Custom-Audiences in seiner Datenschutzerklärung hinweisen muss und darüber hinaus ein Opt-Out-Verfahren zur Verfügung stellt, mit dem der Nutzer der Nutzung seiner Daten im Rahmen dieses Prozesses widersprechen kann.

Damit schafft das BayLDA immerhin für Facebook-Custom-Audiences from your Website endlich eine datenschutzrechtliche Klarstellung, die sehr erfreulich ist. Wie der Einsatz von Facebook-Custom-Audiences über die eigenen Kundenlisten endgültig durch das BayLDA entschieden wird, bleibt noch abzuwarten.

 

 

Die deutsche Übersetzung der ePrivacy-Verordnung ist veröffentlicht – das Ende des werbefinanzierten Internets?

 

Seit kurzem ist die deutsche Fassung der ePrivacy-Verordnung veröffentlicht. Der aktuelle Entwurf stellt, wie bereits an anderer Stelle erwähnt, eine erhebliche Bedrohung für die Unternehmen der Onlinemarketingbranche dar. Wörtlich hat auch der BVDW in seinem Factsheet hervorgehoben:

„Sollte der Entwurf wie beabsichtigt Realität werden, bedeutet es nichts anderes als das Ende des werbefinanzierten Internets. Gem. Art. 8 Abs. 1 der Verordnung sollen Webseitenbetreiber nur noch dann Cookies einsetzen können, wenn sie eine explizite Erlaubnis des Nutzers erhalten haben.“

 Die für die Onlinebranche wichtigsten Regeln befinden sich in den Art. 8 und 9 des Verordnungsentwurfes:

„Artikel 8

Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen

Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen.

Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer sie erfolgt aus folgenden Gründen:

  1. sie ist für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder
  2. der Endnutzer hat seine Einwilligung gegeben oder
  3. sie ist für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig oder
  4. sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt.

Die Erhebung von Informationen, die von Endeinrichtungen ausgesendet werden, um sich mit anderen Geräten oder mit Netzanlagen verbinden zu können, ist untersagt, außer

  1. sie erfolgt ausschließlich zum Zwecke der Herstellung einer Verbindung und für die dazu erforderliche Dauer oder
  2. es wird in hervorgehobener Weise ein deutlicher Hinweis angezeigt, der zumindest Auskunft gibt über die Modalitäten der Erhebung, ihren Zweck, die dafür verantwortliche Person und die anderen nach Artikel 13 der Verordnung (EU) 2016/679 verlangten Informationen, soweit personenbezogene Daten erfasst werden, sowie darüber, was der Endnutzer der Endeinrichtung tun kann, um die Erhebung zu beenden oder auf ein Minimum zu beschränken.

Voraussetzung für die Erhebung solcher Informationen ist die Anwendung geeigneter technischer und organisatorischer Maßnahmen, die ein dem Risiko angemessenes Schutzniveau nach Artikel 32 der Verordnung (EU) 2016/679 gewährleisten.

Die nach Absatz 2 Buchstabe b zu gebenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht  wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die Erhebung zu.

Der Kommission wird die Befugnis übertragen, nach Artikel 27 delegierte  Rechtsakte zur Bestimmung der Informationen, die durch standardisierte Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

Artikel 9

Einwilligung

(1) Für die Einwilligung gelten die Begriffsbestimmung und die Voraussetzungen, die in Artikel 4 Nummer 11 und Artikel 7 der Verordnung (EU) 2016/679 festgelegt sind.

(2) Unbeschadet des Absatzes 1 kann die Einwilligung für die Zwecke des Artikels 8 Absatz 1 Buchstabe b – soweit dies technisch möglich und machbar ist – in den passenden technischen Einstellungen einer Software, die den Zugang zum Internet ermöglicht, gegeben werden.

(3) Endnutzern, die ihre Einwilligung zur Verarbeitung elektronischer Kommunikationsdaten nach Artikel 6 Absatz 2 Buchstabe c und Artikel 6 Absatz 3 Buchstaben a und b gegeben haben, wird nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 die Möglichkeit eingeräumt, ihre Einwilligung jederzeit zu widerrufen; sie werden in regelmäßigen Abständen von sechs Monaten an diese Möglichkeit erinnert, solange die Verarbeitung andauert.“

Diese beiden Artikel sind im Zusammenhang mit den so genannten Erwägungsgründen zu lesen, die nicht selbst Teil des Gesetzestextes sind. Sie spiegeln jedoch die Gedanken und Erwägungen der EU-Kommission wieder und helfen bei der Auslegung des Gesetzeswortlautes.

Die wichtigsten Erwägungsgründe 21–24 lauten:

„(21) Ausnahmen von der Verpflichtung, die Einwilligung in die Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen oder den Zugriff auf in Endeinrichtungen gespeicherte Informationen einzuholen, sollten auf Situationen beschränkt sein, in denen kein oder nur ein geringfügiger Eingriff in die Privatsphäre stattfindet. Beispielsweise sollte keine Einwilligung eingeholt werden für ein technisches Speichern oder Zugreifen, das zu dem rechtmäßigen Zweck, die vom Endnutzer ausdrücklich gewünschte Nutzung eines bestimmten Dienstes zu ermöglichen, unbedingt notwendig und verhältnismäßig ist. Dazu gehört auch das Speichern von Cookies für die Dauer einer für den Besuch einer Website einmal aufgebauten Sitzung, um die Eingaben des Endnutzers beim Ausfüllen von Online Formularen, die sich über mehrere Seiten erstrecken, mitverfolgen zu können. Cookies können auch ein legitimes und nützliches Hilfsmittel sein, um beispielsweise den Webdatenverkehr zu einer Website zu messen. Konfigurationsprüfungen, die Anbieter von Diensten der Informationsgesellschaft vornehmen, um ihren Dienst entsprechend den Einstellungen des Endnutzers bereitstellen zu können, wie auch das bloße Feststellen der Tatsache, dass das Gerät des Endnutzers die vom Endnutzer angeforderten Inhalte nicht empfangen kann, sollten nicht als Zugriff auf ein Gerät oder als Nutzung der Verarbeitungsfunktionen des Geräts betrachtet werden.

 (22) Die Methoden zur Bereitstellung von Informationen und die Einholung der Einwilligung des Endnutzers sollten so benutzerfreundlich wie möglich sein. Wegen der allgegenwärtigen Verwendung von Verfolgungs-Cookies und anderer Verfolgungstechniken werden die Endnutzer immer häufiger aufgefordert, ihre Einwilligung in die Speicherung solcher Verfolgungs-Cookies in ihren Endeinrichtungen zu geben. Infolge dessen werden die Endnutzer mit Einwilligungsanfragen überhäuft. Mit Hilfe technischer Mittel für die Erteilung der Einwilligung, z. B. durch transparente und benutzerfreundliche Einstellungen, könnte dieses Problem behoben werden. Deshalb sollte diese Verordnung die Möglichkeit vorsehen, dass die Einwilligung durch die entsprechenden Einstellungen in einem Browser oder einer anderen Anwendung erteilt werden kann. Die Auswahl, die Endnutzer bei der Festlegung ihrer allgemeinen Einstellungen zur Privatsphäre in einem Browser oder einer anderen Anwendung getroffen haben, sollte für Dritte verbindlich und ihnen gegenüber auch durchsetzbar sein. Webbrowser sind eine Art von Softwareanwendung, die es ermöglicht, Informationen aus dem Internet abzurufen und darzustellen. Andere Arten von Anwendungen wie solche, die Anrufe und die Nachrichtenübermittlung ermöglichen oder Navigationshilfe bieten, sind dazu ebenfalls in der Lage. Ein Großteil der Vorgänge, die zwischen dem Endnutzer und der Website ablaufen, werden von Webbrowsern abgewickelt. Aus dieser Sicht kommt ihnen eine Sonderstellung zu, wenn es darum geht, den Endnutzern die Kontrolle über den Informationsfluss zu und von ihrer Endeinrichtung zu erleichtern. So können Webbrowser insbesondere als Torwächter dienen und den Endnutzern helfen, ein Speichern von Informationen in ihren Endeinrichtungen (wie Smartphones, Tablets oder Computer) bzw. den Zugriff darauf zu verhindern.

 (23) Die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen wurden in Artikel 25 der Verordnung DE 21 DE (EU) 2016/679 festgeschrieben. Gegenwärtig haben die meisten weitverbreiteten Browser für Cookies die Standardeinstellung „Alle Cookies annehmen“. Deshalb sollten Anbieter von Software, die das Abrufen und Darstellen von Informationen aus dem Internet erlaubt, dazu verpflichtet sein, die Software so zu konfigurieren, dass sie die Möglichkeit bietet zu verhindern, dass Dritte Informationen in der Endeinrichtung speichern; diese Einstellung wird häufig als „Cookies von Drittanbietern zurückweisen“ bezeichnet. Den Endnutzern sollte eine Reihe von Einstellungsmöglichkeiten zur Privatsphäre angeboten werden, die vom höheren Schutz (z. B. „Cookies niemals annehmen“) über einen mittleren Schutz (z. B. „Cookies von Drittanbietern zurückweisen“ oder „Nur Cookies von Erstanbietern annehmen“) bis zum niedrigeren Schutz (z. B. „Cookies immer annehmen“) reicht. Solche Einstellungen zur Privatsphäre sollten in leicht sichtbarer und verständlicher Weise dargestellt werden.

 (24) Damit Webbrowser die in der Verordnung (EU) 2016/679 vorgeschriebene Einwilligung der Endnutzer, z. B. in die Speicherung von Verfolgungs-Cookies von Drittanbietern, einholen können, sollten sie unter anderem eine eindeutige bestätigende Handlung von der Endeinrichtung des Endnutzers verlangen, mit der dieser seine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich erklärte Zustimmung zur Speicherung solcher Cookies in seiner Endeinrichtung und zum Zugriff darauf bekundet. Eine solche Handlung kann als bestätigend verstanden werden, wenn Endnutzer zur Einwilligung beispielsweise die Option „Cookies von Drittanbietern annehmen“ aktiv auswählen müssen und ihnen die dazu notwendigen Informationen gegeben werden. Hierzu müssen die Anbieter von Software, die den Zugang zum Internet ermöglicht, verpflichtet werden, die Endnutzer zum Zeitpunkt der Installation darauf hinzuweisen, dass die Einstellungen zur Privatsphäre unter den verschiedenen Möglichkeiten ausgewählt werden können, und sie aufzufordern, eine Wahl zu treffen. Die gegebenen Informationen sollten die Endnutzer nicht davon abschrecken, höhere Einstellungen zur Privatsphäre zu wählen, und sie sollten alle wichtigen Informationen über die mit der Annahme von Cookies von Drittanbietern verbundenen Risiken enthalten, wozu auch das Anlegen langfristiger Aufzeichnungen über die Browserverläufe des Betroffenen und die Verwendung solcher Aufzeichnungen zur Übermittlung gezielter Werbung gehören. Es sollte gefördert werden, dass Webbrowser den Endnutzern einfache Möglichkeiten bieten, die Einstellungen zur Privatsphäre während der Benutzung jederzeit zu ändern, und dem Nutzer erlauben, Ausnahmen für bestimmte Websites zu machen oder in Listen festzulegen oder anzugeben, von welchen Websites Cookies (auch von Drittanbietern) immer oder niemals angenommen werden sollen.“

Für weitere Informationen lesen Sie unseren bereits erschienenen Beitrag. Es bleibt abzuwarten, wie die finale Fassung der Verordnung wirklich lauten wird.

Onlinewerbung für Kinder – wo sind die Grenzen?

Viele fragen sich derzeit, was sich im Bereich der Onlinewerbung für Kinder durch die neue Datenschutzgrundverordnung (DSGVO) ändern wird. Hierzu ist es wichtig kurz zu verstehen, wie die aktuelle Situation heute in Deutschland ist. Sie ist geprägt durch Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und das Telemediengesetz (TMG). Diese Vorschriften besagen kurzgefasst, dass jede Verarbeitung von personenbezogenen Daten der vorherigen Zustimmung des Betroffenen und damit bei Kindern ggf. des Erziehungsberechtigten bedarf.

Faktisch wirkt sich dieser Grundsatz jedoch im Onlinebereich nicht aus. Denn nur die Verarbeitung von personenbezogenen Daten bedarf der Einwilligung, nicht aber die Verarbeitung von anonymen Daten. Anonyme Daten liegen dann vor, wenn die dahinterstehende natürliche Person nicht mehr ohne größeren Aufwand re-identifiziert werden kann.

Nach Auffassung der Onlinebranche ist das bei den meisten Online-Identifiern, die von der Branche eingesetzt werden, also z. B. Cookie-IDs, Advertiser-IDs, IDFA, nicht der Fall. Denn man sei nur anhand der Informationen in einem Cookie oder über die IDFA nicht in der Lage, die dahinterstehende Person wirklich zu re-anonymisieren. Deshalb betrachtet die Onlinebranche solche Daten als anonyme Daten, mit der Folge, dass die klassischen Werbemaßnahmen im Onlinebereich, also z. B. Online-Behavioral-Advertising, Re-Targeting, etc. nicht der Zustimmung der betroffenen Personen bedürfen, da es nur um die Verarbeitung von anonymen Daten gehe.

Die Frage, ob daher die betroffene Person ein Kind ist und wie alt dieses Kind ist, spielt deshalb in der Praxis kaum eine Rolle. Denn selbst wenn das hinter einem Online-Identifier stehende Kind nur 5 Jahre alt wäre, wäre es doch anonym, so dass gem. § 3 BDSG die erforderliche Einwilligung nicht notwendig ist. Das gilt erst Recht für solche Maßnahmen im Onlinemarketing, bei denen überhaupt keine Online-Identifier eingesetzt werden, also das klassische Umfeld-Targeting z. B. Werden also über Online-Kampagnen nur die Umfelder von speziellen Angeboten für Kinder gebucht, kommt es von vornherein nicht zur Verarbeitung von personenbezogenen Daten, so dass die oben dargestellte Diskussion um anonyme und personenbezogene Daten ohne Bedeutung ist.

In der zukünftigen DSGVO heißt es, dass im Art. 8 nunmehr wie folgt:

Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.

Dieser Artikel, den es in ähnlicher Form schon heute im deutschen BGB gibt, besagt also, dass Onlinemarketingmaßnahmen, bei denen es zur Verarbeitung von personenbezogenen Daten eines Kindes kommt – also z. B. beim Einsatz von Cookie-IDs, IDFAs, etc. – die Zustimmung des Kindes dann rechtmäßig ist, wenn das Kind das 16. Lebensjahr bereits vollendet hat. Hat das Kind dagegen das 16. Lebensjahr noch nicht vollendet, so ist die weitere Nutzung dieser Daten nur rechtmäßig, sofern die Einwilligung durch den jeweiligen Erziehungsberechtigten erteilt wurde. Die Mitgliedsstaaten können durch Rechtsvorschriften diese Altersgrenze von 16 auf max. 13 Jahre absenken. Ob der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch macht, wird derzeit diskutiert.

Für die Onlinebranche heißt das allerdings, dass sich durch die DSGVO in Deutschland nicht viel ändert. Während in vielen anderen europäischen Ländern eine solche Regelung nicht bekannt war, galt diese Regel in Deutschland sinngemäß schon immer. Neu wird in der DSGVO nur sein, dass die DSGVO Online-Identifier zukünftig nicht mehr als anonyme Daten betrachtet, sondern wahrscheinlich als personenbezogene Daten. Das ist aber ein Problem, dass nicht nur die Werbung für Kinder betrifft, sondern die gesamte Onlinemarketingbranche.

Unternehmen, die allerdings nur Umfeld-Targeting machen, ohne also mit Cookie-IDs u. ä. Online-Identifiern zu arbeiten, können sich beruhigt zurücklehnen. Für sie ändert sich nichts, auch nichts durch die neue DSGVO. Diese Formen der Onlinewerbung bleiben weiterhin zulässig, weil es hierbei nicht zu einer Verarbeitung von personenbezogenen Daten kommt.

Welche Auswirkungen hat die neue EU-Datenschutzgrundverordnung (DSGVO) für Unternehmen der Online- und Mobilebranche?

Der Text der EU-Datenschutzgrundverordnung (EU-DSGVO)steht fest. Die inzwischen verabschiedete Fassung hat weitreichende Auswirkungen für die Onlinebranche.
Der Begriff des „personenbezogenen Datums“ wird in der zukünftigen EU-DSGVO deutlich weiter gefasst, als dies bisher der Fall war. Zukünftig werden Online-Identifier, wie z. B. Cookie-IDs, IP-Adressen und ähnliche Kennziffern als personenbezogene Daten einzustufen sein. Gleichzeitig erlaubt die neue EU-DSGVO die Verarbeitung von personenbezogenen Daten für die Erfüllung „legitimer Interessen“, zu denen auch die Interessen der Werbeindustrie gehören können. Der Anwendungsbereich ist dennoch schwer zu übersehen. Weitreichende Auskunfts- und Transparenzpflichten erschweren die Erfüllung aller gesetzlichen Vorgaben noch mehr.

Wir unterstützen daher die Unternehmen der Onlinebranche bei den wichtigsten Fragestellungen:

  1. Wir unterstützen unsere Mandanten bei der Analyse, welche Auswirkungen die Neuregelungen der EU-DSGVO auf die jeweiligen Geschäftsmodelle besitzen.
  2. Wir beraten Mandanten bei der Lösung der so ermittelten Problemstellungen.
  3. Wir halten Sie bei der Diskussion über die konkrete Umsetzung der DSGVO in Deutschland  auf dem Laufenden.
  4. Wir erstellen alle erforderlichen Dokumente für Sie, von der Datenschutzerklärung bis zum Auftragsdatenverarbeitungsvertrag.
  5. Sie benötigen ein Datenschutzgütesiegel für Ihre Kunden? Wir sind Kooperationspartner der ePrivacy GmbH, dem führenden Anbieter für Datenschutzgütesiegel in Deutschland.

Wir sind hoch spezialisiert auf die Onlinebranche. Unsere Kanzlei berät seit über 10 Jahren führende Unternehmen (Advertiser, Publisher, Agenturen, Technologieanbieter) bei der Klärung aller relevanten datenschutzrechtlichen Fragestellungen. Wir sind Mitglied im BVDW und verfügen über akkreditierte Gutachter beim ULD.

Nehmen Sie gerne mit uns Kontakt auf. Ihr Ansprechpartner:
Dr. Frank Eickmeier

Die Datenschutzgrundverordnung tritt heute in Kraft

Heute, am 25. Mai 2016, tritt die Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft.

Die Verordnung war am 14. April 2016 vom Europäischen Parlament beschlossen und am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht worden. Die Verordnung sieht eine Übergangszeit von zwei Jahren vor und gilt damit ab dem 25. Mai 2018 in der gesamten Europäischen Union direkt.

Die EU-Datenschutz-Grundverordnung ist mit 99 Artikeln und 173 sog. Erwägungsgründen deutlich umfangreicher als z. B. das deutsche Bundesdatenschutzgesetz. Die aktuelle Fassung ist hier abrufbar: link