Bundesverband des Deutschen Versandhandels e.v. 1. Datenschutztag des bvh in Kooperation mit HÄRTING Rechtsanwälte Berlin 20. März 2013 Internetpräsenzen datenschutzkonform gestalten Cookies, Tracking und Co. Sebastian Schulz, bvh - Public Affairs Datenschutz Rechtspolitik
Agenda 1. Datenschutzerklärung 2. Mitarbeiteraußendarstellung / Fotonutzung 3. Cookies und Co. OBA/Targeting Tracking www.bvh.info Seite 2
Agenda 1. Datenschutzerklärung 2. Mitarbeiteraußendarstellung / Fotonutzung 3. Cookies und Co. OBA/Targeting Tracking www.bvh.info Seite 3
Datenschutzerklärung Allgemeines 1/2 Ausgangspunkt: grundsätzlich fakultative proaktive Auskunft eines Websitebetreibers zur Verarbeitung von personenbezogenen Daten Ausnahme: Anbieter von Telemedien isv 1 Abs. 1 TMG (Pflicht!) Datenschutzerklärungen ersetzen nicht Einwilligungserklärungen des Betroffenen das Vorliegen eines gesetzlichen Erlaubnistatbestandes Impressumspflicht ( 5, 6 TMG) Nutzungsbedingungen für Telemedien ( 13 Abs. 4, 5 TMG) Praxistipp: Einwilligungserklärungen gehören nicht in Datenschutzerklärungen! www.bvh.info Seite 4
Datenschutzerklärung Allgemeines 2/2 zu Beginn des Nutzungsvorgangs So viel wie nötig! So wenig wie möglich? Umfangreiche DS-Erklärungen gliedern einfache Sprache Inhalt muss jederzeit abrufbar sein PopUp-Fenster, das Scrollen erfordert, OK (Vgl. OLG Brandenburg, Urt. v. 11.1.2006, 7 U 52/07) Praxistipp: Arbeiten Sie sorgfältig. Unklarheiten gehen zu Lasten des Verwenders! www.bvh.info Seite 5
Datenschutzerklärung Inhalt 1/3 13 Abs. 1 Telemediengesetz (TMG) Art/Kategorien (auch: Cookies) Nutzungszweck Empfänger (Marketing, Logistik, ) Verarbeitung in Drittstaaten besondere Sorgfalt bei sensiblen Daten 4 Abs. 3 Bundesdatenschutzgesetz (BDSG) Art Zweck, v.a. 28, 29 BDSG Gilt für: Bestands- und Nutzungsdaten Gilt für: Inhaltsdaten Praxistipp: Das Anpreisen von Selbstverständlichkeiten kann wettbewerbswidrig sein! www.bvh.info Seite 6
Datenschutzerklärung Inhalt 2/3 15 Abs. 3 TMG Fakultativ: Hinweis auf Widerspruchsmöglichkeit, wenn Websitebetreiber Nutzungsprofile unter Pseudonymen erstellt 13 Abs. 7 TMG i.v.m. 34 BDSG Hinweis aus bestehendes Auskunftsrecht des Users 13 Abs. 4 Nr. 2 TMG Hinweis auf Datenlöschung nach Beendigung des Nutzungsvorgangs 4f BDSG Hinweis auf bestellten betrieblichen Datenschutzbeauftragten + Kontakt Praxistipp: Weitergehende Information sorgen für Vertrauen beim User! www.bvh.info Seite 7
Datenschutzerklärung Inhalt 3/3 Praxis: Einbindung von externen Diensten am Bsp. von social plugins Websitebetreiber als Daten erhebende Stelle? Oder nur Auftragsdatenverarbeitung? Genügt eine Verlinkung auf die DS-Erklärung des externen Dienstes? Problem: Datenerhebung bereits beim Anklicken der Website Einwilligung erforderlich? Lösung: Zwei-Klick-Methode des Heise Verlages http://www.heise.de/extras/socialshareprivacy/ + Mit dem nächsten Klick willige ich ein, dass www.bvh.info Seite 8
Datenschutzerklärung und AGB-Recht 1/3 Datenschutzerklärung des Unternehmens X durch Verbraucherorganisation durch Wettbewerber wg. Verletzung von AGB; 1 UKlaG wg. Verletzung einer den Verbraucher schützenden Norm; 2 Abs. 1 UKlaG Aktivlegitimation aus 8 Abs. 1 UWG www.bvh.info Seite 9
Datenschutzerklärung und AGB-Recht 2/3 Ist eine fehlerhafte Datenschutzerklärung an AGB-Recht zu messen? Hinweistext als Teil der AGB Aktivlegitimation der Verbraucherschutzorganisation (+) BGH, Urt. v. 16.07.2008, VIII ZR 348/06-Payback Der Kläger erhebt keinen Unterlassungsanspruch wegen verbraucherschutzwidriger Praktiken aus 2 UKlaG, sondern einen Unterlassungsanspruch wegen Verwendung unwirksamer Bestimmungen in AGB gemäß 1 UKlaG. Getrennter reiner Hinweistext Aktivlegitimation der Verbraucherschutzorganisation umstritten zwar extrem weite Auslegung des AGB-Begriffs allerdings neuerlich spürbare Zurückhaltung des BGH BGH, Urt. V. 14.04.2011, I ZR 50/09 Es [ ] ist fraglich, ob die Teilnahmebedingungen an dem kostenlosen Gewinnspiel der AGB-Kontrolle unterliegen (vgl. KG, NJW 2011, 466). Und: Es liegt kein Rechtsgeschäft vor, auf das sich die AGB als Vertragsbedingung beziehen könnte. www.bvh.info Seite 10
Datenschutzerklärung und AGB-Recht 3/3 Weitere Fragen auf Stufe 2 Sind Datenschutzvorschriften zugleich den Verbraucher schützende Normen? Sind Datenschutzvorschriften zugleich Marktverhaltensregeln? Rechtsprechung uneinheitlich Einzelfallbetrachtung notwendig! Praxistipp: Trennen Sie Datenschutzerklärungen und AGB voneinander! www.bvh.info Seite 11
Agenda 1. Datenschutzerklärung 2. Mitarbeiteraußendarstellung / Fotonutzung 3. Cookies und Co. OBA/Targeting Tracking www.bvh.info Seite 12
MA-Außendarstellung Vor- und Nachteile Vorteile der Mitarbeiterpräsentation persönliches Gegenübertreten (in der Verwaltung: Bürgerfreundlichkeit) Benennung persönlicher Ansprechpartner für Serviceangebote Werbung, Imagepflege und Nachteile mit Kenntnis des Namens können u.u. Anschrift und Telefonnummer ermittelt werden keine Beschränkung der Zugänglichkeit + Recherchierbarkeit im Internet Verwendung der Informationen in anderen Zusammenhängen (Bsp.: Bewerbung) Gefahr der Verknüpfung mit weiteren Informationen www.bvh.info Seite 13
MA-Außendarstellung Rechtliche Bewertung 1/2 1. Datenschutzrecht personenbezogene Daten ohne Fotos Arbeitnehmer Funktionsträger Nichtfunktionsträger Basiskommunikationsdaten Vollständiger Name Funktion und Tätigkeitsbereich Dienstanschrift Telefon-, Faxnummer Dienstliche E-Mail zulässig; 32 Abs.1 BDSG zusätzliche Personendaten Lebenslauf Private Kontaktdaten Staatsangehörigkeit Gewerkschaftszugehörigkeit nur mit Einwilligung des AN nur mit Einwilligung des AN Beachte: Nach h.m. kein obligatorisches Mitbestimmungsrecht der Mitarbeitervertretung www.bvh.info Seite 14
MA-Außendarstellung Rechtliche Bewertung 2/2 2. Kunsturheberrecht - Fotos 22 KunstUrhG (geht Regelungen des BDSG vor!) Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, dass er sich abbilden ließ, eine Entlohnung erhielt. [ ] Gilt nur für Veröffentlichungen! Firmeninterne Netzwerke nicht erfasst (aber: BDSG) Frage: Gilt Einwilligung im Zweifel auch für umfangreiche Werbemaßnahmen? - wohl (-) Sonderfall: Öffentliche Veranstaltungen (Feiern, Sportveranstaltungen, ) zulässig ohne Einwilligung des AN; vgl. 23 Abs. 1 Ziff. 3 KunstUrhG bei Individualisierbarkeit wieder 22 KunstUrhG www.bvh.info Seite 15
und nach Ausscheiden des Mitarbeiters? 1/2 1. bei deutlichem Persönlichkeitsbezug Anspruch auf Löschung (LAG Frankfurt/M., Urt. v. 24.1.2012, 19 SaGa 1480/11) Das Persönlichkeitsrecht des Arbeitnehmers ist verletzt, wenn ein Arbeitgeber persönliche Daten und Fotos des ausgeschiedenen Arbeitnehmers weiter auf seiner Homepage präsentiert. Beachte: gilt auch für persönliche Daten im Zusammenhang mit Blogbeiträgen 2. bei fehlendem direktem Persönlichkeitsbezug Anspruch auf Löschung (LAG Köln, Urt. v. 10.7.2009, 7 Ta 126/09; vgl. auch LAG Kiel, Urt. v. 23.6.2010, 3 Sa 72/10) [ ] Foto als telefonierende Angestellte dient nur Illustrations- bzw. Dekorationszwecken und wäre von seinem Aussagegehalt her durch das Foto jeder beliebigen anderen - auch unternehmensfremden - Person in gleicher Pose austauschbar. [ ] Er muss den Aufwand einer Neugestaltung seiner Homepage ohne das Foto des ausgeschiedenen Arbeitnehmers vielmehr nur dann auf sich nehmen, wenn der Arbeitnehmer sich an ihn wendet und dies ausdrücklich von ihm verlangt. www.bvh.info Seite 16
und nach Ausscheiden des Mitarbeiters? 2/2 3. bei teilweise retuschiertem Bild und Abtretung aller Rechte durch den Inhaber Anspruch auf Löschung (LG Köln, Urt. v. 8.6.2011, 28 O 859/10) Dass der Beklagte die Fotos bezahlt und die Klägerin ihm alle Rechte über dies Fotos abgetreten hat, ändert daran nichts. Denn selbst wenn letzteres zutreffen würde, folgte hieraus nicht die Berechtigung, die Fotos in Zusammenhängen zu verwenden, welche unwahre Tatsachenbehauptungen über die Klägerin begründen. [ ] Diese unwahre Tatsachenbehauptung ist persönlichkeitsverletzend, da sie die Klägerin stigmatisiert und geeignet ist, sie privat und beruflich auszugrenzen. Eine Rechtfertigung liegt nicht vor. Insbesondere ist die Veröffentlichung der Fotos nicht mehr von einer Zustimmung der Klägerin gedeckt. [ ] Nicht die Verwendung des Bildes an sich, sondern die damit implizierte Behauptung, die Betroffene sei immer noch als Call-Girl tätig, verletzt diese in ihren Persönlichkeitsrechten. Praxistipp: Schließen Sie eine schriftliche Regelung mit dem Arbeitnehmer! Treffen Sie Sonderregelungen für die Nutzung nach Ausscheiden des AN! www.bvh.info Seite 17
Agenda 1. Datenschutzerklärung 2. Mitarbeiteraußendarstellung / Fotonutzung 3. Cookies und Co. OBA/Targeting Tracking www.bvh.info Seite 18
Cookies Ausgangspunkt: Rechtsrahmen EU 2009: Reform der e-privacy-richtlinie 2002/58/EG Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. [ ] RL-alt: auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern vgl. auch Art. 29-Gruppe Opinion 04/2012 www.bvh.info Seite 19
Cookies Rechtsrahmen EU Umsetzung in Mitgliedstaaten (Bsp.) OptIn Frankreich Niederlande Dänemark Spanien OptOut Tschechien Bulgarien ICO: Slowakei Luxemburg www.bvh.info Seite 20
Cookies Rechtsrahmen EU Umsetzung in DEU bislang kein Umsetzungsgesetz Düsseldorfer Kreis, Beschluss vom 24./25.11.2010 Opt-In für jede Form von Cookies nötig erfolglose Gesetzentwürfe: 17/8454; 17/6765; BR 156/11 unmittelbare Anwendung der Richtlinie in DEU? www.bvh.info Seite 21
Cookies Rechtsrahmen DEU Erhebung + Verarbeitung von personenbezogenen Daten ( 12 Abs. 2 TMG) z.b. - IP-Adressen sind personenbezogenes Datum! (h.m.) - Browserfingerprint nur mit Einwilligung Opt-In Erstellung von Nutzungsprofilen zu Werbezwecken nur unter Verwendung von Pseudonymen zulässig ( 15 Abs. 3 TMG) Widerspruchsrecht Opt-Out Mit EU-Recht vereinbar? Nutzungsprofile nur nach Einwilligung mit dem Träger des Pseudonyms zusammengeführt werden Opt-In ( 15 Abs. 3 TMG) www.bvh.info Seite 22
Cookies Folgen für Targeting keine personenbezogenen Daten in den Cookie-Container anonyme Informationen, pseudonymisierte Daten OptOut-Verfahren mit Hinweis auf Widerspruchsmöglichkeit Informationen für den User in DSE des OBA-Anbieters und des Publishers Wir führen (Re-)targeting auf Basis von Pseudonymen durch. Welche Informationen werden erhoben und gespeichert? Nicht: Einzelheiten des Analyseprozesses Audits / Zertifizierungen des OBA-Anbieters DDOW Deutscher Datenschutzrat Onlinewerbung freiwillige Selbstkontrolle der Online-Werbewirtschaft mit Beschwerdestelle Icon direkt am Werbefeld mit weiteren Infos www.bvh.info Seite 23
Webanalyse Nutzen und Mehrwert 1/2 Ausgangspunkt: HTTP-Protokoll ist zustandslos mehrere Anfragen - auch desselben Auftraggebers werden als voneinander unabhängige Transaktionen behandelt Cookie-Header liefert zusätzliche Informationen (Metadaten) kontinuierliche Erfolgskontrolle, Reichweitenmessung Analyse des Nutzungsverhaltens, Bewertung, Mustergewinnung KPI (Besucheranzahl, Dauer des Besuchs, aufgerufene Artikel, Mausbewegung, Scrollverhalten, ) Ableitung von Handlungsempfehlungen zur Websiteoptimierung Optimierung von Onlinemarketing-Maßnahmen www.bvh.info Seite 24
Webanalyse Nutzen und Mehrwert 2/2 www.bvh.info Seite 25
Webanalyse Rechtsrahmen Recht des Anbieters, das Nutzerverhalten auszuwerten Recht des Users auf Anonymität Erhebung und Nutzung von personenbezogenen Daten Einwilligung Opt-In; IP-Adressen sind personenbezogenes Datum! (h.m.) Lösung: Pseudonymisierung der IP-Adresse (Kürzung) 15 Abs. 3 Telemediengesetz (TMG) kein Widerspruch des Users Hinweis auf Widerspruchsrecht in Datenschutzerklärung Pseudonyme dürfen nur nach Einwilligung mit Träger zusammengeführt werden bei Einschaltung Dritter: 11 BDSG (ADV) www.bvh.info Seite 26
Google Analytics Verbreitung D-A-CH Quelle: http://www.idealobserver.com/tools/web-analyse/wer-nutzt-welches-tool/web-analytics-systeme-der-top-domains www.bvh.info Seite 27
Google Analytics Datenschutzkonformer Einsatz 1/3 Kontrollmaßnahmen einzelner LfDI: Mai 2012: Bayrisches LDA untersucht >13.000 Websites Ergebnis: datenschutzkonformer Einsatz von Google Analytics bei nur 3% der untersuchten Seiten www.bvh.info Seite 28
Google Analytics Datenschutzkonformer Einsatz 2/3 1. Hinweis in Datenschutzerklärung auf Einsatz von GA und die Möglichkeit der Deaktivierung Vgl. auch Nutzungsbestimmungen von Google zu GA, Punkt 8.1 2. Verlinkung in Datenschutzerklärung auf Download des GA-Browser-Add-On https://tools.google.com/dlpage/gaoptout?hl=de 3. Abschluss eines Vertrags zur Auftragsdatenverarbeitung gem. 11 BDSG http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.com/de//analytics/terms/de.pdf 4. Veranlassung der Löschung des letzten Oktett der IP-Adresse client-seitige Implementierung, auf jeder einzelnen Seite der Website nötig 5. Löschung der Altdaten www.bvh.info Seite 29
Google Analytics Datenschutzkonformer Einsatz 3/3 <script type= text/javascript > var _gaq= _gaq []; _gaq.push(['_setaccount', 'UA-XXXXXXX-YY']); _gaq.push(['_gat._anonymizeip']); _gaq.push(['_trackpageview']); (function() {var ga= document.createelement( script ); ga.type= text/javascript ; ga.async= true; ga.src= ( https: == document.location.protocol? https://ssl : http://www ) +.google-analytics.com/ga.js ; var s = document.getelementsbytagname( script )[0]; s.parentnode.insertbefore(ga, s);})(); </script> <script type= text/javascript > var gajshost = (( https: == document.location.protocol)? https://ssl. : http://www. ); document.write(unescape( %3Cscript src= + gajshost + google-analytics.com/ga.js type= text/javascript %3E%3C/script%3E )); </script> <script type= text/javascript > try {var pagetracker = _gat._gettracker( UA-xxxxxx-x ); _gat._anonymizeip(); pagetracker._trackpageview(); } catch(err) {} </script> Quelle: http://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/ www.bvh.info Seite 30
Exkurs: Facebook Sponsored Stories Zulässig? Nutzer liked eine Fanseite gefällt mir -Meldung erscheint im Newsfeed der Freunde Gesponserte Meldung wird generiert und auf der rechten Bildschirmseite angezeigt Hervorheben von Likes von Nutzern (Empfehlungsmarketing) Erhöhung der Newsfeedreichweite Aber: Opt-Out-Klausel in FB-Nutzungsbedingungen, vgl. Ziff. 10.1 ausreichend? www.bvh.info Seite 31
Haben Sie (weitere) Fragen? www.bvh.info Seite 32
Bundesverband des Deutschen Versandhandels e.v. Vielen Dank für Ihre Aufmerksamkeit! Sebastian Schulz Rechtsanwalt gepr. Datenschutzbeauftragter GDDcert. gepr. Datenschutzauditor SGS TÜV e.v. Public Affairs Datenschutz Rechtspolitik Kontakt: Sebastian.Schulz@bvh.info +49 (0) 30 2061385-14