Onlinewerbung für Kinder – wo sind die Grenzen?

Viele fragen sich derzeit, was sich im Bereich der Onlinewerbung für Kinder durch die neue Datenschutzgrundverordnung (DSGVO) ändern wird. Hierzu ist es wichtig kurz zu verstehen, wie die aktuelle Situation heute in Deutschland ist. Sie ist geprägt durch Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und das Telemediengesetz (TMG). Diese Vorschriften besagen kurzgefasst, dass jede Verarbeitung von personenbezogenen Daten der vorherigen Zustimmung des Betroffenen und damit bei Kindern ggf. des Erziehungsberechtigten bedarf.

Faktisch wirkt sich dieser Grundsatz jedoch im Onlinebereich nicht aus. Denn nur die Verarbeitung von personenbezogenen Daten bedarf der Einwilligung, nicht aber die Verarbeitung von anonymen Daten. Anonyme Daten liegen dann vor, wenn die dahinterstehende natürliche Person nicht mehr ohne größeren Aufwand re-identifiziert werden kann.

Nach Auffassung der Onlinebranche ist das bei den meisten Online-Identifiern, die von der Branche eingesetzt werden, also z. B. Cookie-IDs, Advertiser-IDs, IDFA, nicht der Fall. Denn man sei nur anhand der Informationen in einem Cookie oder über die IDFA nicht in der Lage, die dahinterstehende Person wirklich zu re-anonymisieren. Deshalb betrachtet die Onlinebranche solche Daten als anonyme Daten, mit der Folge, dass die klassischen Werbemaßnahmen im Onlinebereich, also z. B. Online-Behavioral-Advertising, Re-Targeting, etc. nicht der Zustimmung der betroffenen Personen bedürfen, da es nur um die Verarbeitung von anonymen Daten gehe.

Die Frage, ob daher die betroffene Person ein Kind ist und wie alt dieses Kind ist, spielt deshalb in der Praxis kaum eine Rolle. Denn selbst wenn das hinter einem Online-Identifier stehende Kind nur 5 Jahre alt wäre, wäre es doch anonym, so dass gem. § 3 BDSG die erforderliche Einwilligung nicht notwendig ist. Das gilt erst Recht für solche Maßnahmen im Onlinemarketing, bei denen überhaupt keine Online-Identifier eingesetzt werden, also das klassische Umfeld-Targeting z. B. Werden also über Online-Kampagnen nur die Umfelder von speziellen Angeboten für Kinder gebucht, kommt es von vornherein nicht zur Verarbeitung von personenbezogenen Daten, so dass die oben dargestellte Diskussion um anonyme und personenbezogene Daten ohne Bedeutung ist.

In der zukünftigen DSGVO heißt es, dass im Art. 8 nunmehr wie folgt:

Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.

Dieser Artikel, den es in ähnlicher Form schon heute im deutschen BGB gibt, besagt also, dass Onlinemarketingmaßnahmen, bei denen es zur Verarbeitung von personenbezogenen Daten eines Kindes kommt – also z. B. beim Einsatz von Cookie-IDs, IDFAs, etc. – die Zustimmung des Kindes dann rechtmäßig ist, wenn das Kind das 16. Lebensjahr bereits vollendet hat. Hat das Kind dagegen das 16. Lebensjahr noch nicht vollendet, so ist die weitere Nutzung dieser Daten nur rechtmäßig, sofern die Einwilligung durch den jeweiligen Erziehungsberechtigten erteilt wurde. Die Mitgliedsstaaten können durch Rechtsvorschriften diese Altersgrenze von 16 auf max. 13 Jahre absenken. Ob der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch macht, wird derzeit diskutiert.

Für die Onlinebranche heißt das allerdings, dass sich durch die DSGVO in Deutschland nicht viel ändert. Während in vielen anderen europäischen Ländern eine solche Regelung nicht bekannt war, galt diese Regel in Deutschland sinngemäß schon immer. Neu wird in der DSGVO nur sein, dass die DSGVO Online-Identifier zukünftig nicht mehr als anonyme Daten betrachtet, sondern wahrscheinlich als personenbezogene Daten. Das ist aber ein Problem, dass nicht nur die Werbung für Kinder betrifft, sondern die gesamte Onlinemarketingbranche.

Unternehmen, die allerdings nur Umfeld-Targeting machen, ohne also mit Cookie-IDs u. ä. Online-Identifiern zu arbeiten, können sich beruhigt zurücklehnen. Für sie ändert sich nichts, auch nichts durch die neue DSGVO. Diese Formen der Onlinewerbung bleiben weiterhin zulässig, weil es hierbei nicht zu einer Verarbeitung von personenbezogenen Daten kommt.

IP-Adressen und der EugH. Der Tag der Entscheidung ist der 12.05.2016.

Der 12.5.2016 dürfte einer der wichtigsten Tage des Jahres für die Onlinebranche werden. Denn an diesem Tage werden vor dem europäischen Gerichtshof die sogenannten Schlussanträge im IP-Adressen Fall gestellt und damit auch veröffentlicht.

Der Politiker Patrick Breyer, Piratenpartei, klagte gegen die BRD. Er wollte dem Bund verbieten lassen, IP-Adressen von Besuchern auf Webseiten des Bundes über die Dauer der Nutzung hinaus speichern zu dürfen. Diese Speicherung der Daten würden gegen das BMG verstoßen. Der BGH legte daraufhin diesen Fall dem europäischen Gerichtshof vor. Er wollte zwei Fragen geklärt wissen:

a) Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr — Datenschutz-Richtlinie — dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt ?

b) Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann ?

Im Kern geht es also um die Frage, ob eine IP-Adresse ein personenbezogenes Datum ist oder nicht. Die Bedeutung des Rechtsstreites geht aber weit darüber hinaus: gelten dieselben Überlegungen auch für andere Online Identifier, wie zum Beispiel Cooki Id´s, User Id´s, Digitale Fingerprints, etc. ?

Alle Geschäftsmodelle der Onlinebranche stehen im Rahmen dieses Verfahrens auf dem Prüfstand. Es bleibt also abzuwarten wie der EuGH entscheiden wird in dieser so wichtigen Fragestellung.

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) – Ein Blick auf die Neuregelungen aus der Sicht der Onlinebranche

Nach jahrelangen Verhandlungen haben sich die EU-Kommission, das EU-Parlament und der EU-Rat im abschließenden sog. Trilog bekanntlich am 15.12.2015 auf einen Kompromisstext geeinigt. Damit steht fest, dass die EU-Datenschutzverordnung als für alle Mitgliedsstaaten verbindliche Regelung vermutlich spätestens im ersten Quartal 2018 in Kraft treten wird.

Die datenschutzrechtlichen Grundprinzipien bleiben im Kern bestehen.

Aus der deutschen Sicht ändert sich durch die neue Verordnung nicht viel an den datenschutzrechtlichen Grundprinzipien. Es bleibt bei den Grundsätzen der „Datenvermeidung und Datensparsamkeit“, der „Zweckbindung“, des „Verbotes mit Erlaubnisvorbehalts“ und der „Transparenz“ (vgl. Art. 5 „Principals relating to personal data processing“).

Auswirkungen für die Onlinebranche

Die praktischen Auswirkungen für die Onlinebranche sind zum Teil erheblich. Denn der Anwendungsbereich des neuen Datenschutzrechtes wird sich zukünftig erheblich ausweiten. Das betrifft insbesondere den Umfang des Anwendungsbereiches der „personenbezogenen Daten“. Bisher fiel unter den Begriff der „personenbezogenen Daten“ ein Datum, dass eine natürliche Person identifizieren konnte oder zumindest identifizierbar machte, wie beispielsweise Name, Vorname, Telefonnummer, etc. Da jedoch Cookie-IDs, User-ID´s, IP-Adressen, Mac-Adressen, etc. aus der Sicht der Onlinebranche natürliche Personen jedenfalls nicht ohne weiteres identifizierbar machten, wurde vielfach der Standpunkt vertreten, dass diese Daten als anonym einzustufen seien. Die Verarbeitung von anonymen Daten unterliegt aber nicht dem Anwendungsbereich der Datenschutzgesetze. Folglich war das die datenschutzrechtliche Begründung, weshalb moderne Online- und Trackingtechnologien, wie beispielsweise das Cookie-Synching, das Cross-Device-Targeting, das OBA und viele andere Targetingtechnologien für zulässig erachtet wurden.

Dieser Betrachtungsweise ist durch die neue Datenschutzverordnung nunmehr ein Riegel vorgeschoben, denn die neue EU-DSGVO stellt in Art. 4 Abs. 1 nunmehr ausdrücklich klar:

„..’personal data‘ means any information relating to an identified or
identifiable natural person ‚data subject‘; an identifiable person is one who
can be identified, directly or indirectly, in particular by reference to an
identifier such as a name, an identification number, location data, online
identifier or to one or more factors specific to the physical, physiological,
genetic, mental, economic, cultural or social identity of that person“

Näheres ergibt sich aus den für die Onlinebranche sog. „Erwägungsgrund“ 24, der weitere Beispiele auch benennt:

“…online identifiers provided by their devices, applications,
tools and protocols, such as Internet Protocol addresses, cookie identifiers
or other identifiers such as Radio Frequency Identification tags…“

Im Klartext dürften also zukünftig „Online-Identifier“, wie Cookie-IDs, IP-Adressen, etc. unzweifelhaft als personenbezogene Daten zu betrachten sein. Das stellt also eine ganz wesentliche Änderung gegenüber dem bisherigen Recht dar. In praktischer Hinsicht bedeutet das, dass die Verarbeitung solcher Online-Identifier zukünftig an und für sich der Einwilligung bedarf. Der Betroffene muss eine Einwilligung für genau definierte Zwecke abgeben. Allerdings ist in Art. 4 Nummer 8 EU-DSGVO erfreulicherweise klargestellt, dass diese Einwilligung auch durch schlüssige Handlungen, etwa durch das Weiternutzen von Onlinediensten, erklärt werden kann. Das wird deutlich durch die sprachliche Abkehr von der ausdrücklichen („explicit“) Einwilligung hin zur unmissverständlichen („unambigous“)  Einwilligung des Nutzers.

In vielen Fällen der Onlineindustrie wird eine solche Einwilligung vermutlich aber gar nicht erforderlich sein und das liegt an der neu geschaffenen „Online-Marketing-Klausel“ des Art. 6 Abs.1 f EU-DSGVO.

Ermächtigung für Onlinewerbezwecke

Denn die Rettung naht in Form dieses Art. 6 Abs. 1 f der EU-DSGVO. Denn in Art. 6 EU-DSGVO sind unterschiedliche Tatbestände benannt, die eine einwilligungslose Verarbeitung personenbezogener Daten gestatten. Die wichtigste Vorschrift für die Onlinebranche ist dabei die Regelung des Art. 6 Abs. 1 f.

Diese lautet:

“Processing of personal data shall be lawful only if and to the extent that at

least one of the following applies:

….

  1. f) processing is necessary for the purposes of the legitimate interests pursued

by the controller or by a third party, except where such interests are

overridden by the interests or fundamental rights and freedoms of the data

subject which require protection of personal data, in particular where the data subject is a child. ….”

In dieser Klausel wird  nicht nur eine gesetzliche Erlaubnis für die klassischen Direktmarketingmethoden zu sehen sein, sondern auch und erst recht für die Durchführung nutzungsbasierter Online-Werbung. Personenbezogene Daten können nach dieser Regelung bei einem „legitimen Interesse“ des Datenverarbeiters genutzt werden, solange diese legitimen Interessen nicht offensichtlich hinter den Interessen des Betroffenen zurückzustehen haben. Dass es sich bei den Werbeinteressen der Onlinebranche um „legitime Interessen“ im Sinne der EU-DSGVO handelt, ergibt sich aus dem Erwägungsgrund 38 zu dieser Vorschrift. Dort heißt es nämlich:

“The legitimate interests of a controller, including of a controller to which the data may be disclosed, or of a third party may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding…”

Am Ende heißt der für die Onlinewerbebranche so wichtige Satz: „…“

“The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.”

Damit steht also fest, dass „Werbeinteressen“ als „legitime Interessen“ im Sinne von Art. 6 Abs. 1 f EU-DSGVO gelten. Jedes wie auch immer geartete berechtigte Interesse des Werbetreibenden reicht also grundsätzlich aus, um die Datenverarbeitung zu legitimieren. Eine Regelung, die sehr ähnlich ist zu einer Regelung im Bundesdatenschutzgesetz, nämlich § 28 Abs. 1 BDSG. Die Anforderungen an ein berechtigtes Interesse sind dabei nicht allzu streng. So soll es beispielsweise für die Weitergabe von Daten an Dritte ausreichen, dass diese Dritten ihrerseits ein berechtigtes Interesse geltend machen können. Das ist natürlich insbesondere für den Adresshandel von erheblicher Bedeutung. Bei der Auslegung des Begriffs der „ berechtigten Interessen“ nähert man sich in bemerkenswerter Weise den US-amerikanischen Vorstellungen des Datenschutzes an. Denn zukünftig werden die „redlichen Erwartungen der Betroffenen“ offenbar zum zentralen Ausgangspunkt der Abwägung. Denn Daten, deren Verarbeitung die User („Betroffene“) redlicherweise erwarten dürfen, dürfen zukünftig auf der Basis von Art. 6 weitreichend ohne eine Einwilligung verarbeitet werden. Das ergibt sich unter anderem auch aus dem Erwägungsgrund 38, in dem es heißt:

“The legitimate interests of a controller, including of a controller to which the data may be disclosed, or of a third party may provide a legal basis for processing, provided that theinterests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on the relationship with the controller.”

Kurzum: auch zukünftig werden die meisten Geschäftsmodelle der Onlinebranche ohne eine Einwilligung auskommen, solange sie sich innerhalb des Anwendungsbereiches dieser „redlichen Erwartungen“ ihrer User bewegen. Wie weit der Umfang dieser „redlichen Erwartungen“ tatsächlich geht, bleibt in der Zukunft abzuwarten. Möglicherweise macht es auch Sinn diese „redlichen Erwartungen“ in der eigenen Datenschutzerklärung anzusprechen und damit ihren Anwendungsbereich auszudehnen.

Opt-Out ist zukünftig zwingend erforderlich.

Art. 19 EU-DSGVO sieht vor, dass zukünftig bei der Verarbeitung von Nutzungsdaten zwingend ein Opt-Out möglich sein muss.

Das ist für die deutsche Onlinebranche nichts neues, der Anwendungsbereich dieser Regelung geht aber über den Anwendungsbereich des in Deutschland bereits bekannten § 15 Abs. 3 TMG hinaus. Positiv im Sinne der Onlinebranche ist der Umstand, dass die Regelungen von Art. 19 Abs. 1 und Abs. 2 EU-DSGVO eine Widerspruchsregelung (Opt-Out) ausdrücklich auch auf die Fälle der Profilbildung gem. Art. 6 Abs. 1 e und f EU-DSGVO vorsehen. Dadurch wird nämlich deutlich, dass der EU-Gesetzgeber diese Profilbildung für die Onlineindustrie ausdrücklich gesehen hat und regeln wollte.

Die Informationen über das Widerspruchsrecht müssen spätestens beim ersten Kontakt mit der datenverarbeitenden Stelle (z. B. dem Publisher) gegeben werden. Das kann z. B. in der Datenschutzerklärung geschehen oder über das zentral gesteuerte Präferenzmanagement-Tool unter www.meine-cookies.org. Diese Plattform basiert auf der vom BVDW maßgeblich getragenen Selbstregulierung der Werbewirtschaft beim Online-Behavioral-Targeting (OBA) über den Deutschen Datenschutzrat Online Werbung (DDOW).

Fazit:

Die aus der Sicht der Onlinebranche wichtigsten Regelungen lassen nach einer ersten, vorläufigen Analyse folgenden Schluss zu:

  • Die wesentlichen Geschäftsmodelle der Onlinebranche dürften auch zukünftig nicht ernsthaft gefährdet sein.
  • Zwar ist der Begriff der personenbezogenen Daten erweitert worden, so dass es zukünftig nicht mehr möglich sein wird, den Standpunkt zu vertreten, Cookie-IDs, IP-Adressen und andere Online Identifier seien anonym.
  • In praktischer Hinsicht dürfte diese Änderung des Datenschutzrechtes aber keine größeren Auswirkungen haben. Das liegt in erster Linie an dem neu gefassten Art. 6, insbesondere an Abs. 1 f, der Online Marketing Klausel der EU-DSGVO. Die Verarbeitung der personenbezogenen Daten zum Zwecke der Onlinewerbung wird daher zukünftig voraussichtlich auf diese „legitimen Interessen“ gestützt werden, von denen in § 6 Abs. 1 f EU-DSGVO die Rede ist.

Die EU-DSGVO enthält noch eine Vielzahl von weiteren Regelungen, die für die Onlinebranche praktische Auswirkungen haben.

Benötigen Sie daher Hilfe bei der Analyse der zukünftigen Anforderungen der EU-DSGVO und ihrer Auswirkungen auf Ihr Unternehmen oder das Geschäftsmodell Ihres Unternehmens, dann wenden Sie sich gerne an uns: Eickmeier@Unverzagt.law oder Telefon 040 41400034.

Neues zum Smart TV: Was hat „Adressable-TV“ mit Datenschutz zu tun?

Unter Adressable-TV versteht man die Verknüpfung des klassischen linearen Fernsehens mit digitaler Werbung. Weil diese Verknüpfung aber über Hbb-TV Geräte, also auf internetfähigen Geräten, empfangen werden kann, wird es zukünftig möglich, solche Werbeformate in traditionellen linearen Fernsehprogrammen über AdServer-Technologien auszuliefern und individuell auszuwerten. Deutschlandweit sind inzwischen rd. 12 Mio. internetfähige TV-Geräte ans Netz angeschlossen und können damit auch angesteuert werden. Targeting im klassischen TV wird damit endlich – möchte man meinen – möglich. Dass die aus Adressable-TV gewonnenen Daten zum Teil über Vorteile gegenüber klassischen demographischen Daten verfügen, wie sie beispielsweise die Arbeitsgemeinschaft Fernsehforschung (AGF) anbietet, liegt auf der Hand. Denn die über Hbb-TV gemessenen technischen Reichweiten sind für die klassische Werbewirtschaft oftmals noch interessanter, weil hierdurch der tatsächliche User erfasst wird, der im Moment der Erfassung zusieht. Dagegen liegen die AGF-Daten in der Regel erst am letzten Tag vor. Bei dem Adressable-TV findet also Targeting quasi in Realtime statt.

Wo aber liegt das datenschutzrechtliche Problem beim Adressable-TV? Auf den ersten Blick könnte man meinen, letztlich handelt es sich beim Adressable-TV doch um nichts anderes, als ein weiteres Endgerät, dass nunmehr an das Internet angeschlossen ist und folglich gelten hier dieselben Regeln wie im Internet. Im Internet ist es aber bekanntlich gem. § 15 Abs. 3 TMG möglich, beispielsweise zum Zwecke der Werbung und Marktforschung pseudonyme Nutzerprofile zu erstellen, sofern auf diesen Umstand hingewiesen wird und der Nutzer die Möglichkeit eines Opt-Outs hat.

Die Datenschutzbehörden weigern sich allerdings, diese Regelungen auch beim Adressable-TV/Hbb-TV zur Anwendung zu bringen. Tatsächlich droht gerade der „Untergang“ des Adressable-TVs durch eine „Orientierungshilfe“ der Landesdatenschutzbehörden. Diese „Orientierungshilfe“ zu den Datenschutzanforderungen an Smart-TV-Dienste, erstellt vom sog. „Düsseldorfer Kreis“ unter Federführung des bayerischen Landesamtes für Datenschutz, wurde in der Sitzung des Düsseldorfern Kreises vom 15./16. September 2015 beschlossen. Die Orientierungshilfe richtet sich an die Anbieter von Smart-TV-Diensten und –Produkten. Dazu zählen nach Ansicht des Düsseldorfer Kreises insbesondere Gerätehersteller, Portalbetreiber, App-Anbieter, Anbieter von Empfehlungsdiensten und Anbieter von Hbb-TV Angeboten. Wer sie noch nicht hat, kann sie gerne bei uns anfordern, eine E-Mail genügt.

In dieser Orientierungshilfe bewerten die Aufsichtsbehörden insbesondere die bei den Anbieter von Hbb-TV-Angeboten und ihren Vermarktern geübte Praxis, über eine mit dem Rundfunksignal versandte URL bereits bei der Auswahl eines Senders unmittelbar und ohne weitere Tätigkeiten des Nutzers eine Internetverbindung zu dem Server des Hbb-TV-Anbieter auszulösen. Denn dabei verwendet der Anbieter zumindest die IP-Adresse des Nutzers als (vermeintlich) personenbezogenes Datum, ohne dass für diesen datenverarbeitenden Schritt eine Rechtsgrundlage erkennbar sein. Folgerichtig halten die Aufsichtsbehörden diese Praxis für datenschutzrechtswidrig. Vielmehr weisen die Aufsichtsbehörden darauf hin, dass der Aufruf der Web-Dienste im Rahmen von Hbb-TV und die damit einhergehende wechselseitige Kommunikation erst dann stattfinden dürfe, wenn dies durch den Nutzenden selbst initiiert würde. Dies könne z. B. durch die aktive Entscheidung erfolgen, den „Red-Button“ bei Hbb-TV zu bestätigen und damit den Abruf eines Dienstes bewusst zu veranlassen. Dagegen bewerten die Aufsichtsbehörden das alleinige Einschalten eines bestimmten Programmes nicht als „bewusste Inanspruchnahme“ von Telemedien. Und eben so wenig könne das bloße Verbinden des Gerätes mit dem Internet nicht als Einwilligung verstanden werden.

D.h. im Klartext: So wie derzeit Hbb-TV genutzt wird, insbesondere zum Zwecke des Adressable-TVs und des Targetings, soll es zukünftig nicht mehr zulässig sein. Die Übertragung der IP-Adresse dürfe vielmehr erst dann erfolgen, wenn der Nutzer aktiv den „Red-Button“ geklickt habe. Die Bildung von Nutzungsprofilen nach § 15 Abs. 3 des TMG könne deshalb frühestens nach einer solchen Interaktion des Nutzenden erfolgen. Profile dürfen also erst nach Anklicken des Red-Buttons erstellt werden, aber nicht vorher. Überhaupt dürfe die IP-Adresse vor dem Klicken des Red-Buttons nicht übertragen werden.

Mit dieser Einschätzung der Aufsichtsbehörden läuft das Hbb-TV Gefahr, in Deutschland eingestellt zu werden, bevor es überhaupt richtig losgegangen ist. Denn es wird praktisch nicht möglich sein, dieses Problem technisch zu lösen. Es ist nun einmal so, dass ein Hbb-TV fähiges Gerät, dass bewusst von seinem Erwerber mit dem WLAN verbunden wurde, zur Anbindung an das Internet die IP-Adresse übermitteln muss. So funktioniert das Internet nun einmal. Es bleibt also abzuwarten, ob sich diese Auffassung der Aufsichtsbehörden durchsetzen  und wie sich die tatsächliche Praxis weiterentwickeln wird. Für weitere Anfragen zu diesem Thema wenden Sie sich gerne an uns.

 

ULD veröffentlicht Positionspapier zu den Folgen der Safe-Harbor Entscheidung des EuGH

Das ULD hat in einem ersten Positionspapier die wesentlichen Folgen des EuGH-Urteils für Unternehmen und öffentliche Stellen  zusammengefasst.

Ohne das Datenschutzniveau in den Vereinigten Staaten von Amerika konkret selbst zu bewerten, habe der EuGH mit diesem Grundsatzurteil hohe Maßstäbe für jedwede Datenübermittlung in Staaten außerhalb der Europäischen Union und Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum aufgestellt. In dem Urteil würde deutlich, dass die Safe-Harbor-Entscheidung aus dem Jahr 2000 diesen Maßstäben nicht gerecht werde: Weder habe die Europäische Kommission bei dieser Entscheidung das Datenschutzniveau in den USA ausreichend mit Blick auf die dortige Rechtslage geprüft, noch enthalte die Safe-Harbor-Entscheidung die erforderlichen Schutzmöglichkeiten für europäische Bürgerinnen und Bürger.

Das Urteil des EuGH habe daher über „Safe Harbor“ hinaus Folgen für andere rechtliche Instrumente, die bisher zur Rechtfertigung einer Datenübermittlung in die Vereinigten Staaten herangezogen wurden. Die vom EuGH aufgestellten Grundsätze bezüglich des notwendigen Schutzniveaus machten auch eine Neubewertung solcher Übermittlungen nötig, die auf einer Einwilligung beruhen oder auf Grundlage von Standardvertragsklauseln durchgeführt werden.

Mit Blick auf die hohen Anforderungen, die der EuGH in seinem Urteil aufgestellt habe, könne eine dauerhafte Lösung nur in einer wesentlichen Änderung im US-amerikanischen Recht liegen. Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten ihre Verfahren schnellstmöglich überprüfen und Alternativen für eine Verarbeitung personenbezogener Daten in den USA erwägen. Dies gilt nicht nur für solche Übermittlungen, die sich bisher auf die Safe-Harbor-Grundsätze gestützt haben, sondern für sämtliche Übermittlungen in die USA.

Das ULD hat daher in einem ersten Positionspapier die wesentlichen Folgen des EuGH-Urteils für Unternehmen und öffentliche Stellen in Schleswig-Holstein zusammengefasst. Das Positionspapier kann abgerufen werden unter:

https://www.datenschutzzentrum.de/artikel/967-.html