zielgruppenspezifische Online-Werbung unter DSGVO und eprivacy-vo 6. Münchner Datenschutz-Tag München 7. Juni 2018

Transkript

1 zielgruppenspezifische Online-Werbung unter DSGVO und eprivacy-vo München 7. Juni 2018

2 2 Verordnungen 1 politisches Ziel EU Digitaler Binnenmarkt X BDSG DSGVO X TMG eprivacy-vo 1

3 DSGVO und eprivacy-vo Abgrenzung Wetter Paris Reise Paris 4711 Wiedererkennung des Nutzerendgeräts (Cookies, Geräte-IDs, etc.) Bildung eines Nutzungsprofils zielgruppenspezifische Werbung eprivacy-vo DSGVO, falls Personenbezug DSGVO DSGVO 2

4 DSGVO und eprivacy-vo Tracker-Landschaft www #0815 www #4711 www 3

5 Wo stehen wir wo gehen wir hin? 4

6 Datenschutz-Grundverordnung DSGVO 5

7 pseudonyme Profilbildung nach TMG 15(3) TMG 15(3): Der Diensteanbieter darf für Zwecke der Werbung Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht (Opt-out). 6

8 DSK-Positionspapier v DSK-Position, Ziff. 9 Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden. EuGH, Rs. Breyer Eine mitgliedstaatliche Norm und damit auch eine aufsichtsbehördliche Auslegung, die kategorisch und ganz allgemein die Verarbeitung von Nutzungsdaten ausschließt bzw. einem Einwilligungsvorbehalt unterstellt, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen, ist europarechtswidrig. 7

9 Einwilligung - Formalisierungsstufen registrierungsbasierte Einwilligung: Einwilligungs-Pop-up Cookie-basierte Einwilligung: Banner + Opt-in-Schieberegler Opt-out: Banner + Opt-out-Schieberegler 8

10 eprivacy-verordnung ep-vo 9

11 eprivacy-vo 2 Regelungsebenen Wiedererkennung des Nutzerendgeräts (Cookies, Geräte-IDs, etc.) technische Ebene technisches Können okay rechtliche Ebene rechtliches Dürfen 10

12 technische Ebene Torwächterrolle der Browser Artikel 10 ep-vo (KommE): Browser müssen bei der Installation vom Nutzer abfragen, ob er Geräte-Wiedererkennung durch Cookies, Geräte-IDs, etc. zulässt. fehlende Granularität selektives Whitelisting /browser/download keine Cookies zulassen nur Erstanbieter-Cookies auch Drittanbieter-Cookies Alternative: Bottom-up Dialog von der Webseite an den Browser - technische Schnittstelle für den Import der seitenspezifischen Nutzereinstellungen in den Browser. 11

13 rechtliche Ebene Einwilligung; kein berechtigtes Interesse /webseite.html Artikel 8 Absatz 1 ep-vo (KommE): Geräte-Wiedererkennung durch Cookies, Geräte-IDs, etc. für zielgruppenspezifische Werbung nur mit Einwilligung des Nutzers nach DSGVO. Registrierungserfordernis Angemessene Anstrengungen zur Altersverifikation Cookie-Banner + Link zu Opt-out-Liste /registrierung.html Registrierung Alternativen:: wie in Artikel 8 Absatz 2: Transparenz und Optout-Funktion Einwilligung Tracker #1 Tracker #2 12

14 rechtliche Ebene Browser als zentrale Einwilligungsstelle Artikel 9 Absatz 2 ep-vo (KommE): Einholung der Einwilligung durch Browser. Konzentrierungswirkung Alternative:: Impact Assessment zur Browser-Einwilligung. 13

15 DSGVO und eprivacy-vo Tracker-Landschaft www #0815 www www Stefan Hanloser www #4711 Stefan Hanloser #1234 www www 14

16 aktuell: datenschutzrechtliche Verantwortlichkeit EuGH Facebook Fanpages 15

17 EuGH: Rechtssache Wirtschaftsakademie S-H #1: Ermöglichung der Verarbeitung #2: Einwirkung auf die Verarbeitung #3: Steuerung oder Förderung der eigenen Tätigkeiten gemeinsame Verantwortlichkeit gesamthafte Verpflichtung 16

18 Vielen Dank für Ihre Aufmerksamkeit