online-marketing – in zukunft ohne cookies? · ©"2014"isico"datenschutzgmbh...
TRANSCRIPT
© 2014 ISiCO Datenschutz GmbH All rights reserved © 2014 ISiCO Datenschutz GmbH All rights reserved
Online-Marketing – In Zukunft ohne Cookies?
1
Zur Umsetzung der E-Privacy-Richtlinie in Europa
Kathrin Schürmann
DuD 2014 Datenschutz und Datensicherheit
16. Jahresfachkonferenz 23. und 24. Juni 2014 in Berlin
© 2014 ISiCO Datenschutz GmbH All rights reserved
Interpretation von Art. 5 (3) E-Privacy-Richtlinie n.F.
! Unter welchen Voraussetzungen kann eine informierte Einwilligung angenommen werden?
! Wann ist die Speicherung von Cookies und anderen Informationen unbedingt erforderlich?
© 2014 ISiCO Datenschutz GmbH All rights reserved
Umsetzung des Einwilligungserfordernisses
Einwilligung
ausdrücklich implizit
Widerspruch (“Opt-‐out”)
© 2014 ISiCO Datenschutz GmbH All rights reserved
Umsetzung der RL in den Mitgliedstaaten
FI
SE
PL
FR
ES
IT
PT
EE
CZ
BG
IE GB
LT
LV
RO HU AT
GR
SI
MT CY
Einwilligung
Widerspruch
! 25.05.2011: Ende Umsetzungsfrist
! bis 01/2013: alle Mitgliedstaaten haben der Kommission vollständige Umsetzung gemeldet
! aktuell: Kommission überprüft die gemeldeten Umsetzungsmaßnahmen vor dem Hintergrund der DS-VO und einer möglichen Überarbeitung von Art. 5 (3) E-Privacy-RL
© 2014 ISiCO Datenschutz GmbH All rights reserved
Opt-Out-Umsetzungen
Tschechien ! Änderungen in Kraft seit 01.01.2012
Speichern von/Zugriff auf Informationen ist zulässig, wenn zuvor ! nachweislich über Umfang und Zweck informiert und
! auf das Widerspruchsrecht hingewiesen wurde.
Bulgarien ! Änderungen in Kraft seit 29.12.2011
Speichern von/Zugriff auf Informationen ist zulässig, wenn
! über Umfang und Zweck informiert und
! er auf sein Widerspruchsrecht hingewiesen worden ist.
© 2014 ISiCO Datenschutz GmbH All rights reserved
Sind Widerspruchslösungen richtlinienkonform?
(+), wenn Nichtausübung des Widerspruchsrechts eine wirksame (implizite) Einwilligung ist
! (-) bei sensiblen personenbezogenen Daten, da ausdrückliche Einwilligung erforderlich ist (Art. 8 Abs. 2 lit. a DS-RL)
! zweifelhaft bei „normalen“ personenbezogenen Daten, da hier nur Einwilligung „ohne jeden Zweifel“ erforderlich ist (Art. 7 lit. a DS-RL)
! (+) bei nicht-personenbezogenen Daten
© 2014 ISiCO Datenschutz GmbH All rights reserved
„... unless (a) the subscriber or user has given his or her consent to that use, and (b) the subscriber or user has been provided with clear and comprehensive information [...]
which – (i) is both prominently displayed and easily accessible, and (ii) includes, without limitation, the purposes of the processing of the information.
(4) For the purposes of paragraph (3), the methods of providing information and giving consent should be as user friendly as possible. It shall not be sufficient to solely provide the required information to the subscriber or user within a statement of terms and conditions or a privacy policy. Where it is technically possible and effective [...] the user’s consent [...] may be given by the use of appropriate browser settings or other technological application by means of which the user can be considered to have given his or her consent.“
Irland
! umgesetzt in den „European Communities (Electronic Communications Networks and Services)(Privacy and Electronic Communications) Regulations 2011“
! Änderungen in Kraft seit 01.07.2011
© 2014 ISiCO Datenschutz GmbH All rights reserved
Irland
! Gesetzgeber bemühte sich um möglichst wirtschaftsfreundliche Umsetzung ! „as user friendly as possible“ à Erleichterung für Websitebetreiber
! Datenschutzbehörde ! bemüht sich sehr um Zusammenarbeit mit IT-Verbänden
! drängt Websitebetreiber vor allem auf Erfüllung der Informationspflichten
! hat bereits 2011 erklärt, dass für Google Analytics „keine ausdrückliche gesonderte Einwilligung“ erforderlich ist
! aktuelle Browser ungeeignet, um wirksame Einwilligung zu geben
© 2014 ISiCO Datenschutz GmbH All rights reserved
Frankreich
! umgesetzt im Datenschutzgesetz (Art. 32 Abs. 2) ! Änderungen in Kraft seit 27. August 2012 ! wortlautgetreue Umsetzung + Möglichkeit zu Einwilligung durch
Geräteeinstellungen ! Aufsichtsbehörde CNIL:
! aktuelle Browser ungeeignet, um wirksame Einwilligung abzugeben
! hält sich möglichst an Stellungnahmen der Artikel-29-Datenschutzgruppe
! hält es für unwahrscheinlich, dass Bußgelder (bis zu 300.000 €) verhängt werden
! hat Verständnis dafür, dass Websitebetreiber Zeit brauchen, um sich an die neuen Vorschriften anzupassen
! wird nur auf konkrete Beschwerden hin tätig (erst Audit, dann Schreiben mit Empfehlungen und Gewährung einer Umsetzungsfrist)
© 2014 ISiCO Datenschutz GmbH All rights reserved
Frankreich
CNIL am 26. April 2012: Analyse-Cookies sind “ohne Erhalt der vorherigen Einwilligung” zulässig, wenn nur sehr geringes Datenschutzrisiko besteht, d.h.: • klare, einfach zugängliche Informationen • User hat Auskunftsrecht • einfache Opt-out-Möglichkeit • begrenzt auf eine Website • Zweck: Erstellung anonymer Statistiken • Lebensdauer max. 6 Monate
Implizite Einwilligung oder “absolut erforderlich”?
© 2014 ISiCO Datenschutz GmbH All rights reserved
Vereinigtes Königreich
! umgesetzt in den Privacy and Electronic Communications Regulations 2011 (PECR)
! Änderungen in Kraft seit 26. Mai 2011, jedoch 1-jährige Schonfrist
! wortlautgetreue Übernahme des Richtlinientexts + Einwilligung durch Browsereinstellungen
! Aufsichtsbehörde ICO: ! aktuelle Webbrowser ungeeignet, um wirksame Einwilligung zu geben
! zunächst wurde ausdrückliche Einwilligung gefordert
! ICO betont, dass Anforderungen an Einwilligung vom Einzelfall, insb. „intrusiveness“ des Cookies, aber auch angesprochenes Publikum etc. abhängt
© 2014 ISiCO Datenschutz GmbH All rights reserved
Vereinigtes Königreich
ICO am 31. Januar 2013
© 2014 ISiCO Datenschutz GmbH All rights reserved
Entwicklung der Bekanntheit von Cookies in Deutschland
Personen in Millionen
25,91 27,84
30,86 32,85
35,05
37,32
6,78 7,59 7,01 6,94 7,64 6,90
0
5
10
15
20
25
30
35
40
2007 2008 2009 2010 2011 2012
Personen, die schon von Cookies gehört haben Personen, die noch nicht von Cookies gehört haben
Quelle: IfD Allensbach
© 2014 ISiCO Datenschutz GmbH All rights reserved
Tendenzen
! „gute“ und „böse“ Cookies - Kriterium „absolut erforderlich“ nicht zweckmäßig
! Vorbild UK?
! Überarbeitung von Art. 5 (3) der E-Privacy-RL ist wahrscheinlich
! es ist noch unklar, wie sich E-Privacy-RL zur DS-VO verhalten wird
! „Einwilligung“ wird auf jeden Fall in künftigen Richtlinien und Verordnungen deutlich präziser definiert werden
© 2014 ISiCO Datenschutz GmbH All rights reserved
Aktuelle Entwicklungen: Art. 29-Gruppe
Art. 29-Gruppe: WP 208 vom 02.Oktober 2013 In ihrer Stellungnahme zur Einwilligung räumt die Datenschutzgruppe ein, dass der Begriff der Einwilligung in verschiedenen Mitgliedstaaten gegebenenfalls unterschiedlich ausgelegt wird. Die Stellungnahme zur Einwilligung präzisiert die Erfordernisse, die für eine gültige Einwilligung erfüllt sein müssen, sowie deren wesentliche Elemente: 1. Spezifische Informationen. Die Einwilligung ist nur dann gültig, wenn sie für den konkreten Fall gegeben wurde und auf angemessener Information beruht. Das heißt mit anderen Worten, dass eine pauschale Einwilligung ohne Angabe des genauen Zwecks der Verarbeitung nicht zulässig ist. 2. Zeitablauf. Grundsätzlich ist die Einwilligung vor Beginn der Verarbeitung einzuholen. 3. Aktive Entscheidung. Die Einwilligung muss eindeutig sein. Folglich darf das Verfahren zur Einholung und zur Erteilung der Einwilligung keinen Zweifel an der Absicht der betroffenen Person lassen. Grundsätzlich bestehen keine Einschränkungen hinsichtlich der Form einer Einwilligung. Damit die Einwilligung gültig ist, muss sie jedoch durch eine aktive Willensbekundung des Nutzers erteilt werden. (....) 4. Ohne Zwang. Eine Einwilligung kann nur dann gültig sein, wenn die betroffene Person eine echte Wahlmöglichkeit hat und keine Gefahr einer Täuschung, Einschüchterung, Nötigung oder beträchtlicher negativer Folgen besteht, wenn sie die Einwilligung nicht erteilt.
© 2014 ISiCO Datenschutz GmbH All rights reserved
Aktuelle Entwicklungen: Spanien
AMEBA Abogados Document translated by Carlos Almería Abad
0
GUIDANCE FOR THE USE
OF COOKIES
© 2014 ISiCO Datenschutz GmbH All rights reserved
Spanien: Guidance for the use of cookies
(….) • Information through layers In the format of information through layers that we indicated before, the first layer must not only contain the essential information but also include a request for the consent to install the cookies. If the user does not expressly give its consent to accept the installation of the cookies, but it keeps using the website or application it could understood that the consent has been given, given that the user has been clearly informed and the information is provided through the methods that are mentioned in this guide, offering permanently the mentioned information about the cookies and giving the possibility to uninstall them. To this end, and as an example, it will be assumed that the consent has been given when the user keeps navigating on the website after having been informed on the use of cookies: (i) The user has used the scroll bar, given that the information on cookies is visible without using it;
(ii) The user has clicked on any link in the page.
The information presented in this first layer can be displayed through a format that is visible to the user such as a layer, a scroll bar or similar devices, taking into account that the location at the top of page would better to capture the attention of the users. In reduced display terminals, the size and content of the first layer will may be adjusted to the dimensions of the display.
iii. Methods to obtain the consent
© 2014 ISiCO Datenschutz GmbH All rights reserved
Cookie-Banner – ist das die Lösung?
Cookie-Consent-Kit der EU :
© 2014 ISiCO Datenschutz GmbH All rights reserved
Vielen Dank für Ihre Aufmerksamkeit.
ISiCO Datenschutz GmbH Neue Grünstraße 17 / 18 10179 Berlin Germany Tel: +49 (0)30 501 757 64 Fax: +49 (0)30 501 757 65 [email protected] isico-datenschutz.de
Kathrin Schürmann, Rechtsanwältin
19