EU-US Data Privacy Framework: EU-Kommission veröffentlicht Angemessenheitsbeschluss für Datentransfers in die USA

Die Europäische Kommission hat heute den lange erwarteten Angemessenheitsbeschluss für die neue EU-US-Datenschutzvereinbarung („EU-US Data Privacy Framework“) veröffentlicht. Der Beschluss stellt fest, dass die Vereinigten Staaten nunmehr ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten also „gefahrlos“ aus der EU an US-Unternehmen, die an dem neuen Programm teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.

Welche Maßnahmen sieht die neue Vereinbarung vor?

Die jetzt geltende Vereinbarung zwischen der EU und den USA führt neue verbindliche Vorgaben ein, um die vom Europäischen Gerichtshof im berühmten „Schrems II“-Urteil geäußerten Bedenken auszuräumen, einschließlich einer Beschränkung der Zugriffrechte von US-Geheimdiensten auf EU-Daten auf das „notwendige und verhältnismäßige“ Maß und sogar der Einrichtung eines unabhängigen Datenschutzüberprüfungs-„Gerichts“ (DPRC), zu dem EU-Bürger Zugang haben. Das neue Programm sieht erhebliche Verbesserungen gegenüber dem alten Mechanismus vor, der unter dem so genannten „Privacy Shield“-Programm galt. Stellt das DPRC beispielsweise fest, dass Daten unter Verstoß gegen die neuen Vorgaben erhoben wurden, kann es die Löschung der Daten anordnen.

Der neue EU-US-Datenschutzrahmen soll so einen sicheren Austausch für Daten von EU-Bürgern gewährleisten und Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Hintergrund der Entscheidung der EU-Kommission war eine Vereinbarung mit der US-Regierung, die darauf aufbauend wesentliche neue Verwaltungsvorschriften zum Schutz personenbezogener Daten von EU-Bürgern erlassen.

EU-Bürger können bestimmte Rechtsbehelfe in Anspruch nehmen, wenn ihre Daten von US-Unternehmen rechtswidrig verarbeitet werden. Darüber hinaus sehen die neuen Regelungen auf US-Seite eine Reihe von Garantien gegen den ungehemmten Zugriff von US-Behörden auf Daten vor, die auf der Grundlage des Programms übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten soll auf das Maß beschränkt werden, das zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.

Wie geht es jetzt weiter?

US-Unternehmen können dem Programm nun beitreten, indem sie sich gegenüber der US-Regierung verpflichten, eine Reihe bestimmter Datenschutzregeln einzuhalten, darunter zum Beispiel die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und eine Kontinuität des entsprechenden Schutzes zu gewährleisten, wenn personenbezogene Daten wiederum an Dritte weitergegeben werden. Es ist davon auszugehen, dass die großen Anbieter wie Google und Facebook zu den ersten Unternehmen gehören, die in das Register der US-Regierung aufgenommen werden und dass über die nächsten Monate nach und nach alle relevanten Dienstleister folgen werden.

Europäische Unternehmen müssen dann nur prüfen, ob ihre Anbieter bereits dem neuen Programm unterfallen und einen entsprechenden Hinweis in ihre Datenschutzerklärung aufnehmen. Mehr ist dann tatsächlich nicht zu tun.

Wird die neue Regelung Bestand haben?

Das Funktionieren der neuen Vereinbarung soll in regelmäßigen Abständen von der Europäischen Kommission zusammen mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um zu überprüfen, ob alle relevanten Elemente vollständig in den US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Es ist jedoch davon auszugehen, dass europäische Datenschutz-Aktivisten gegen die Entscheidung der EU-Kommission gerichtlich vorgehen werden – allen voran der Österreicher Max Schrems, der bereits zweimal einen Angemessenheitsbeschluss für die USA zu Fall gebracht hat. Das neue Data Privacy Framework ist aus Sicht seiner Organisation im Wesentlichen nur eine Kopie des gescheiterten Privacy-Shields, das wichtige der zuvor kritisierten Punkte vermissen lässt. Das letzte Wort hat dann wiederum der Europäische Gerichtshof. Echte Sicherheit besteht also erst nach einem entsprechenden Urteil, also in etwa zwei bis drei Jahren.

EuGH: Sind IP Adressen immer personenbezogene Daten? Und was ist mit der User ID?

In einem der für die Onlinebranche wichtigsten Urteile des europäischen Gerichtshofs seit Jahren hat der EuGH zu der Frage Stellung genommen, ob es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt oder nicht (Urteil vom 19. Oktober 2016, Az. C-582/14). Hintergrund war ein Vorlagebeschluss des Bundesgerichtshofs vom 28. Oktober 2014. Dem BGH ging es insbesondere um eine Frage: Ist eine IP-Adresse, die ein Anbieter von Online-Diensten im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen ein personenbezogenes Datum, selbst wenn nur ein Dritter (hier: ein Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?

Diese Frage ist für die Onlinebranche natürlich von herausragender Bedeutung. Wäre eine IP-Adresse ein personenbezogenes Datum, dann benötigte jeder, der eine solche IP-Adresse verarbeitet und zum Beispiel speichert, eine gesetzliche Rechtfertigung oder die Einwilligung der betroffenen Person. Wäre eine IP-Adresse dagegen ein anonymes Datum, würden die Datenschutzgesetze nicht zur Anwendung gelangen. Die Verarbeitung einer IP-Adresse wäre dann ohne Zustimmung des Betroffenen zulässig.

Der EuGH gelangte zu dem Ergebnis, dass eine dynamische IP-Adresse für den Anbieter einer Webseite ein personenbezogenes Datum darstelle, wenn er „über rechtliche Mittel“ verfüge, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfüge, bestimmen zu lassen. Allerdings könnten die Betreiber von Websites ein „berechtigtes Interesse“ haben, solche Daten zu speichern. Eine nationale Vorschrift wie zum Beispiel § 15 TMG (Telemediengesetz), die eine solche Speicherung verbiete, würde daher gegen europäisches Recht verstoßen.

Zwar sei eine dynamische IP-Adresse unstreitig keine Information, die sich auf eine bestimmte natürliche Person beziehen, da sich aus ihr unmittelbar weder die Identität der natürlichen Person ergäbe, der der Computer gehört, von dem aus eine Webseite aufgerufen wird, noch die Identität einer anderen Person, die diesen Computer benutzen könnte. Die IP-Adresse stelle jedoch unter gewissen Voraussetzungen Informationen über eine bestimmbare natürliche Person dar. Dies sei dann der Fall, wenn eine dynamische IP-Adresse mit Zusatzinformationen verknüpft sei, über die der Internetzugangsanbieter verfüge und welche „vernünftigerweise“ zur Bestimmung der betreffenden Person eingesetzt werden können. Deshalb sei eine dynamische IP-Adresse dann ein personenbezogenes Datum, wenn der Anbieter von Onlinediensten „über Mittel verfüge, die vernünftigerweise eingesetzt werden können“, um mithilfe Dritter, und zwar der zuständigen Behörde und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adresse bestimmen zu lassen. Dies sei bei dem Anbieter einer Website der Fall, denn dieser verfüge über rechtliche Mittel, die es ihm erlauben, die betreffende Person anhand der zu Informationen, über die der Internetzugangsanbieter dieser Person verfüge, bestimmen zu lassen, zum Beispiel im Rahmen eines Strafverfahrens.

Der EuGH machte aber auch deutlich, dass dort, wo diese rechtlichen Mittel nicht bestünden, davon auszugehen sei, dass entsprechende Daten als anonym zu betrachten wären.

Dieser Nebensatz hat für die Onlinebranche möglicherweise eine äußerst wichtige Bedeutung. Denn damit eröffnet der EuGH den Spielraum, Online-Identifier wie Cookie-IDs als anonymes Datum zu betrachten. Denn in diesen Fällen bestehen gerade keine rechtlichen Mittel, die es jemanden erlauben würden, die betreffende Person anhand der Informationen, über die ein anderer verfüge, bestimmen zu lassen. Der EuGH machte deutlich, dass ihm die nur die theoretische Möglichkeit einer De-Anonymisierung nicht ausreiche. Im Klartext wendete sich der EuGH damit von der auch in Deutschland vertretenen sogenannten „absoluten Theorie“ ab. In Teilen der Literatur wird deshalb bereits die Schlussfolgerung gezogen, der EuGH gestattete die Verarbeitung von anonymen Onlinekennummern, zum Beispiel im Rahmen von Big Data, zur Verarbeitung von Gesundheitsdaten oder – weitaus wichtiger – im Rahmen von Onlinewerbemaßnahmen (z.B. beim Re-Targeting, OBA etc.). Ob der EuGH wirklich so weit gehen wollte, bleibt abzuwarten. Aber eines steht jedenfalls fest: Es ist seit der Entscheidung des EuGH mehr als zweifelhaft, ob die von den deutschen Aufsichtsbehörden vertretene absolute Theorie noch aufrecht erhalten werden kann. Und ebenso zweifelhaft ist es, ob die Ausführungen des EuGH zu IP-Adressen auf Online-Identifier wie Cookie-IDs ohne weiteres übertragen werden können.

Möchten Sie noch mehr zu diesem Thema wissen, insbesondere zu der Frage, wie sich das Urteil auf Ihr Geschäftsmodell auswirkt, dann rufen Sie uns an.

Dr. Frank Eickmeier, Tel. 040 414 0000, Eickmeier@unverzagt.law

Welche Auswirkungen hat die neue EU-Datenschutzgrundverordnung (DSGVO) für Unternehmen der Online- und Mobilebranche?

Der Text der EU-Datenschutzgrundverordnung (EU-DSGVO)steht fest. Die inzwischen verabschiedete Fassung hat weitreichende Auswirkungen für die Onlinebranche.
Der Begriff des „personenbezogenen Datums“ wird in der zukünftigen EU-DSGVO deutlich weiter gefasst, als dies bisher der Fall war. Zukünftig werden Online-Identifier, wie z. B. Cookie-IDs, IP-Adressen und ähnliche Kennziffern als personenbezogene Daten einzustufen sein. Gleichzeitig erlaubt die neue EU-DSGVO die Verarbeitung von personenbezogenen Daten für die Erfüllung „legitimer Interessen“, zu denen auch die Interessen der Werbeindustrie gehören können. Der Anwendungsbereich ist dennoch schwer zu übersehen. Weitreichende Auskunfts- und Transparenzpflichten erschweren die Erfüllung aller gesetzlichen Vorgaben noch mehr.

Wir unterstützen daher die Unternehmen der Onlinebranche bei den wichtigsten Fragestellungen:

  1. Wir unterstützen unsere Mandanten bei der Analyse, welche Auswirkungen die Neuregelungen der EU-DSGVO auf die jeweiligen Geschäftsmodelle besitzen.
  2. Wir beraten Mandanten bei der Lösung der so ermittelten Problemstellungen.
  3. Wir halten Sie bei der Diskussion über die konkrete Umsetzung der DSGVO in Deutschland  auf dem Laufenden.
  4. Wir erstellen alle erforderlichen Dokumente für Sie, von der Datenschutzerklärung bis zum Auftragsdatenverarbeitungsvertrag.
  5. Sie benötigen ein Datenschutzgütesiegel für Ihre Kunden? Wir sind Kooperationspartner der ePrivacy GmbH, dem führenden Anbieter für Datenschutzgütesiegel in Deutschland.

Wir sind hoch spezialisiert auf die Onlinebranche. Unsere Kanzlei berät seit über 10 Jahren führende Unternehmen (Advertiser, Publisher, Agenturen, Technologieanbieter) bei der Klärung aller relevanten datenschutzrechtlichen Fragestellungen. Wir sind Mitglied im BVDW und verfügen über akkreditierte Gutachter beim ULD.

Nehmen Sie gerne mit uns Kontakt auf. Ihr Ansprechpartner:
Dr. Frank Eickmeier

IP-Adressen und der EugH. Der Tag der Entscheidung ist der 12.05.2016.

Der 12.5.2016 dürfte einer der wichtigsten Tage des Jahres für die Onlinebranche werden. Denn an diesem Tage werden vor dem europäischen Gerichtshof die sogenannten Schlussanträge im IP-Adressen Fall gestellt und damit auch veröffentlicht.

Der Politiker Patrick Breyer, Piratenpartei, klagte gegen die BRD. Er wollte dem Bund verbieten lassen, IP-Adressen von Besuchern auf Webseiten des Bundes über die Dauer der Nutzung hinaus speichern zu dürfen. Diese Speicherung der Daten würden gegen das BMG verstoßen. Der BGH legte daraufhin diesen Fall dem europäischen Gerichtshof vor. Er wollte zwei Fragen geklärt wissen:

a) Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr — Datenschutz-Richtlinie — dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt ?

b) Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann ?

Im Kern geht es also um die Frage, ob eine IP-Adresse ein personenbezogenes Datum ist oder nicht. Die Bedeutung des Rechtsstreites geht aber weit darüber hinaus: gelten dieselben Überlegungen auch für andere Online Identifier, wie zum Beispiel Cooki Id´s, User Id´s, Digitale Fingerprints, etc. ?

Alle Geschäftsmodelle der Onlinebranche stehen im Rahmen dieses Verfahrens auf dem Prüfstand. Es bleibt also abzuwarten wie der EuGH entscheiden wird in dieser so wichtigen Fragestellung.

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) – Ein Blick auf die Neuregelungen aus der Sicht der Onlinebranche

Nach jahrelangen Verhandlungen haben sich die EU-Kommission, das EU-Parlament und der EU-Rat im abschließenden sog. Trilog bekanntlich am 15.12.2015 auf einen Kompromisstext geeinigt. Damit steht fest, dass die EU-Datenschutzverordnung als für alle Mitgliedsstaaten verbindliche Regelung vermutlich spätestens im ersten Quartal 2018 in Kraft treten wird.

Die datenschutzrechtlichen Grundprinzipien bleiben im Kern bestehen.

Aus der deutschen Sicht ändert sich durch die neue Verordnung nicht viel an den datenschutzrechtlichen Grundprinzipien. Es bleibt bei den Grundsätzen der „Datenvermeidung und Datensparsamkeit“, der „Zweckbindung“, des „Verbotes mit Erlaubnisvorbehalts“ und der „Transparenz“ (vgl. Art. 5 „Principals relating to personal data processing“).

Auswirkungen für die Onlinebranche

Die praktischen Auswirkungen für die Onlinebranche sind zum Teil erheblich. Denn der Anwendungsbereich des neuen Datenschutzrechtes wird sich zukünftig erheblich ausweiten. Das betrifft insbesondere den Umfang des Anwendungsbereiches der „personenbezogenen Daten“. Bisher fiel unter den Begriff der „personenbezogenen Daten“ ein Datum, dass eine natürliche Person identifizieren konnte oder zumindest identifizierbar machte, wie beispielsweise Name, Vorname, Telefonnummer, etc. Da jedoch Cookie-IDs, User-ID´s, IP-Adressen, Mac-Adressen, etc. aus der Sicht der Onlinebranche natürliche Personen jedenfalls nicht ohne weiteres identifizierbar machten, wurde vielfach der Standpunkt vertreten, dass diese Daten als anonym einzustufen seien. Die Verarbeitung von anonymen Daten unterliegt aber nicht dem Anwendungsbereich der Datenschutzgesetze. Folglich war das die datenschutzrechtliche Begründung, weshalb moderne Online- und Trackingtechnologien, wie beispielsweise das Cookie-Synching, das Cross-Device-Targeting, das OBA und viele andere Targetingtechnologien für zulässig erachtet wurden.

Dieser Betrachtungsweise ist durch die neue Datenschutzverordnung nunmehr ein Riegel vorgeschoben, denn die neue EU-DSGVO stellt in Art. 4 Abs. 1 nunmehr ausdrücklich klar:

„..’personal data‘ means any information relating to an identified or
identifiable natural person ‚data subject‘; an identifiable person is one who
can be identified, directly or indirectly, in particular by reference to an
identifier such as a name, an identification number, location data, online
identifier or to one or more factors specific to the physical, physiological,
genetic, mental, economic, cultural or social identity of that person“

Näheres ergibt sich aus den für die Onlinebranche sog. „Erwägungsgrund“ 24, der weitere Beispiele auch benennt:

“…online identifiers provided by their devices, applications,
tools and protocols, such as Internet Protocol addresses, cookie identifiers
or other identifiers such as Radio Frequency Identification tags…“

Im Klartext dürften also zukünftig „Online-Identifier“, wie Cookie-IDs, IP-Adressen, etc. unzweifelhaft als personenbezogene Daten zu betrachten sein. Das stellt also eine ganz wesentliche Änderung gegenüber dem bisherigen Recht dar. In praktischer Hinsicht bedeutet das, dass die Verarbeitung solcher Online-Identifier zukünftig an und für sich der Einwilligung bedarf. Der Betroffene muss eine Einwilligung für genau definierte Zwecke abgeben. Allerdings ist in Art. 4 Nummer 8 EU-DSGVO erfreulicherweise klargestellt, dass diese Einwilligung auch durch schlüssige Handlungen, etwa durch das Weiternutzen von Onlinediensten, erklärt werden kann. Das wird deutlich durch die sprachliche Abkehr von der ausdrücklichen („explicit“) Einwilligung hin zur unmissverständlichen („unambigous“)  Einwilligung des Nutzers.

In vielen Fällen der Onlineindustrie wird eine solche Einwilligung vermutlich aber gar nicht erforderlich sein und das liegt an der neu geschaffenen „Online-Marketing-Klausel“ des Art. 6 Abs.1 f EU-DSGVO.

Ermächtigung für Onlinewerbezwecke

Denn die Rettung naht in Form dieses Art. 6 Abs. 1 f der EU-DSGVO. Denn in Art. 6 EU-DSGVO sind unterschiedliche Tatbestände benannt, die eine einwilligungslose Verarbeitung personenbezogener Daten gestatten. Die wichtigste Vorschrift für die Onlinebranche ist dabei die Regelung des Art. 6 Abs. 1 f.

Diese lautet:

“Processing of personal data shall be lawful only if and to the extent that at

least one of the following applies:

….

  1. f) processing is necessary for the purposes of the legitimate interests pursued

by the controller or by a third party, except where such interests are

overridden by the interests or fundamental rights and freedoms of the data

subject which require protection of personal data, in particular where the data subject is a child. ….”

In dieser Klausel wird  nicht nur eine gesetzliche Erlaubnis für die klassischen Direktmarketingmethoden zu sehen sein, sondern auch und erst recht für die Durchführung nutzungsbasierter Online-Werbung. Personenbezogene Daten können nach dieser Regelung bei einem „legitimen Interesse“ des Datenverarbeiters genutzt werden, solange diese legitimen Interessen nicht offensichtlich hinter den Interessen des Betroffenen zurückzustehen haben. Dass es sich bei den Werbeinteressen der Onlinebranche um „legitime Interessen“ im Sinne der EU-DSGVO handelt, ergibt sich aus dem Erwägungsgrund 38 zu dieser Vorschrift. Dort heißt es nämlich:

“The legitimate interests of a controller, including of a controller to which the data may be disclosed, or of a third party may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding…”

Am Ende heißt der für die Onlinewerbebranche so wichtige Satz: „…“

“The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.”

Damit steht also fest, dass „Werbeinteressen“ als „legitime Interessen“ im Sinne von Art. 6 Abs. 1 f EU-DSGVO gelten. Jedes wie auch immer geartete berechtigte Interesse des Werbetreibenden reicht also grundsätzlich aus, um die Datenverarbeitung zu legitimieren. Eine Regelung, die sehr ähnlich ist zu einer Regelung im Bundesdatenschutzgesetz, nämlich § 28 Abs. 1 BDSG. Die Anforderungen an ein berechtigtes Interesse sind dabei nicht allzu streng. So soll es beispielsweise für die Weitergabe von Daten an Dritte ausreichen, dass diese Dritten ihrerseits ein berechtigtes Interesse geltend machen können. Das ist natürlich insbesondere für den Adresshandel von erheblicher Bedeutung. Bei der Auslegung des Begriffs der „ berechtigten Interessen“ nähert man sich in bemerkenswerter Weise den US-amerikanischen Vorstellungen des Datenschutzes an. Denn zukünftig werden die „redlichen Erwartungen der Betroffenen“ offenbar zum zentralen Ausgangspunkt der Abwägung. Denn Daten, deren Verarbeitung die User („Betroffene“) redlicherweise erwarten dürfen, dürfen zukünftig auf der Basis von Art. 6 weitreichend ohne eine Einwilligung verarbeitet werden. Das ergibt sich unter anderem auch aus dem Erwägungsgrund 38, in dem es heißt:

“The legitimate interests of a controller, including of a controller to which the data may be disclosed, or of a third party may provide a legal basis for processing, provided that theinterests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on the relationship with the controller.”

Kurzum: auch zukünftig werden die meisten Geschäftsmodelle der Onlinebranche ohne eine Einwilligung auskommen, solange sie sich innerhalb des Anwendungsbereiches dieser „redlichen Erwartungen“ ihrer User bewegen. Wie weit der Umfang dieser „redlichen Erwartungen“ tatsächlich geht, bleibt in der Zukunft abzuwarten. Möglicherweise macht es auch Sinn diese „redlichen Erwartungen“ in der eigenen Datenschutzerklärung anzusprechen und damit ihren Anwendungsbereich auszudehnen.

Opt-Out ist zukünftig zwingend erforderlich.

Art. 19 EU-DSGVO sieht vor, dass zukünftig bei der Verarbeitung von Nutzungsdaten zwingend ein Opt-Out möglich sein muss.

Das ist für die deutsche Onlinebranche nichts neues, der Anwendungsbereich dieser Regelung geht aber über den Anwendungsbereich des in Deutschland bereits bekannten § 15 Abs. 3 TMG hinaus. Positiv im Sinne der Onlinebranche ist der Umstand, dass die Regelungen von Art. 19 Abs. 1 und Abs. 2 EU-DSGVO eine Widerspruchsregelung (Opt-Out) ausdrücklich auch auf die Fälle der Profilbildung gem. Art. 6 Abs. 1 e und f EU-DSGVO vorsehen. Dadurch wird nämlich deutlich, dass der EU-Gesetzgeber diese Profilbildung für die Onlineindustrie ausdrücklich gesehen hat und regeln wollte.

Die Informationen über das Widerspruchsrecht müssen spätestens beim ersten Kontakt mit der datenverarbeitenden Stelle (z. B. dem Publisher) gegeben werden. Das kann z. B. in der Datenschutzerklärung geschehen oder über das zentral gesteuerte Präferenzmanagement-Tool unter www.meine-cookies.org. Diese Plattform basiert auf der vom BVDW maßgeblich getragenen Selbstregulierung der Werbewirtschaft beim Online-Behavioral-Targeting (OBA) über den Deutschen Datenschutzrat Online Werbung (DDOW).

Fazit:

Die aus der Sicht der Onlinebranche wichtigsten Regelungen lassen nach einer ersten, vorläufigen Analyse folgenden Schluss zu:

  • Die wesentlichen Geschäftsmodelle der Onlinebranche dürften auch zukünftig nicht ernsthaft gefährdet sein.
  • Zwar ist der Begriff der personenbezogenen Daten erweitert worden, so dass es zukünftig nicht mehr möglich sein wird, den Standpunkt zu vertreten, Cookie-IDs, IP-Adressen und andere Online Identifier seien anonym.
  • In praktischer Hinsicht dürfte diese Änderung des Datenschutzrechtes aber keine größeren Auswirkungen haben. Das liegt in erster Linie an dem neu gefassten Art. 6, insbesondere an Abs. 1 f, der Online Marketing Klausel der EU-DSGVO. Die Verarbeitung der personenbezogenen Daten zum Zwecke der Onlinewerbung wird daher zukünftig voraussichtlich auf diese „legitimen Interessen“ gestützt werden, von denen in § 6 Abs. 1 f EU-DSGVO die Rede ist.

Die EU-DSGVO enthält noch eine Vielzahl von weiteren Regelungen, die für die Onlinebranche praktische Auswirkungen haben.

Benötigen Sie daher Hilfe bei der Analyse der zukünftigen Anforderungen der EU-DSGVO und ihrer Auswirkungen auf Ihr Unternehmen oder das Geschäftsmodell Ihres Unternehmens, dann wenden Sie sich gerne an uns: Eickmeier@Unverzagt.law oder Telefon 040 41400034.