Transcript
NEUE RECHTLICHE ANFORDERUNGEN BEIM EINSATZ VON COOKIES
RA Daniel Schätzle | Webinar, 18. September 2015 ein Rechtsberatungsangebot des Bundesverband E-Commerce und Versandhandel (bevh) e.V.
Worum geht es?
Worum geht es?
UMGANG MIT COOKIES BISHER
Worum geht es?
2014: EINE UNERKANNT UMGESETZTE RICHTLINIE Anfrage durch Telemedicus Bundesregierung: die sog. Cookie-RL sei in Deutschland umgesetzt Eine formelle Umsetzung erfolgte nie, da es dieser nicht bedurfte Bestehende Regelungen ausreichend Bestätigung durch EU-Kommission Schlussfolgerung: Informationspflichten bzgl. Cookies Einwilligung bzgl. Einsatz von Cookies Umsetzung in der Praxis bleibt danach jedoch unklar
Worum geht es?
2015: GOOGLE GIBT ES VOR
Worum geht es?
REAKTIONEN
Worum geht es?
REAKTIONEN
8
Cookies
Cookies
TEXTDATEIEN Cookies sind Dateien mit reinen Textinformationen Cookies können Informationen beliebigen Inhalts enthalten Cookies werden automatisch bei dem Besuch einer Webseite über den Browser lokal auf dem Endgerät (z.B. Laptop, Tablet, Smartphone) gespeichert Cookies einer Webseite senden die enthaltenen Informationen mit jeder Serveranfrage an den Webserver der zugehörigen Domain Cookies ermöglichen es, dass Informationen später an den Webserver gesendet werden können, auch wenn der Nutzer sich nicht mehr auf der Seite befindet bzw. zwischenzeitlich andere Seiten besucht hat Cookies erlauben es, einen Nutzer bzw. ein Endgerät später wiederzuerkennen Ohne Cookies würde mit dem Abschluss einer Server-Anfrage, also dem Aufruf einer Seite, vorhergehende Interaktionen vergessen sein.
Cookies
ANWENDUNGEN Usability Cookies erlauben den Betrieb eines virtuelle Warenkorbes Cookies ermöglichen den einmaligen Login Cookies ermöglichen eine nutzerspezifische Konfiguration (z.B. Seitenaufruf in der bevorzugten Sprache) Werbung im Netz Cookies können für Tracking-/Targeting eingesetzt werden Cookies sind/waren der Schlüssel für Webanalyse und Remarketing Webanalyse Webanalyse-Tools setzen nach wie vor auf Cookies Opt-Out-Cookie Keine Datenerfassung durch bestimmte Anbieter
Cookies
FIRST- UND THIRD-PARTY-COOKIES Unterscheidung danach, wer einen Cookie einsetzt First-Party-Cookie Cookie wird über die Domain der besuchten Seite gesetzt Cookie kommt über die URL, die im Browser angezeigt wird Third-Party-Cookie Cookie wird über eine andere Domain gesetzt Bspw. zur Einblendung personalisierter Werbung Bspw. beim Affiliate-Marketing Nicht Cookies zur Aktivierung von Google Analytics
Cookies
NOTWENDIGE COOKIES Unterscheidung danach, ob ein Cookie technisch erforderlich ist, oder nicht Grundsätzliche nicht erforderlich sind Third-Party-Cookies Tracking-/Targeting-Cookies Cookies zur Webanalyse Technisch notwendig können Cookies sein, die der Usability dienen Gilt sicher für die meisten Sessione-Cookies Fraglich jedoch bei Cookies zur nutzerspezifischen Konfiguration
Restriktive Bewertung
Cookies
BROWSER-EINSTELLUNGEN Die Verwaltung von Cookies erfolgt über den Browser: Keine Cookies akzeptieren Nur First-Party-Cookies Nur Third-Party-Cookies von besuchten Drittanbietern Jedes Mal nachfragen Alle Cookies löschen, wenn der Browser geschlossen wird Cookies haben eine Lebensdauer Verwendung von Browser-AddOns als individuelle Kompromisslösung (z.B. Ghostery)
Cookie-RL
Cookie-RL
ARTIKEL 5 ABSATZ 3 „Die
Mitgliedstaaten
stellen
sicher,
dass
die
Speicherung
von
Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Cookie-RL
UMFANG DER INFORMATIONSPFLICHT Generelle Information, dass Cookies eingesetzt werden, ggf. ergänzt mit einer allgemeinen Zweckbeschreibung (Usability, optimiertes Webangebot etc.) oder Beschreibung von Arten eingesetzter Cookies und deren jeweiliger Zwecke oder Aufzählung aller eingesetzten Cookies einschließlich einer jeweiligen Beschreibung
Cookie-RL
EINWILLIGUNG Nur, wenn der Nutzer seine Einwilligung gegeben hat (auf Grundlage der Informationen) Einwilligung als Opt-in oder Opt-out? Unterschiedliche Umsetzung in den einzelnen Mitgliedstaaten Erwägungsgrund 66: „Recht auf Ablehnung“ (Opt-out) „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung […] über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden“ (Browser-Konfiguration oder AddOns) Opt-out scheint sich in der Praxis durchzusetzen
Cookie-RL
AUSNAHME Einsatz von Cookies ohne Einwilligung bei Erforderlichkeit um einen Dienst der Informationsgesellschaft (z.B. elektronischer Geschäftsverkehr) zur Verfügung zu stellen der ausdrücklich gewünscht wurde Anzunehmen beim virtuellen Warenkorb Kundenkonten/Login-Bereich Unklar bleibt jedoch, ob es dennoch einer Information bedarf Dagegen spricht der Wortlaut des Erwägungsgrundes 66 Dafür spricht eher der Wortlaut von Artikel 5 Absatz 3, der auf die Datenschutzrichtlinie verweist
Telemediengesetz
Telemediengesetz
GRUNDSATZ Datenschutzrecht Bundesdatenschutzgesetz (BDSG) Telemediengesetz (TMG) – „Internetgesetz“ Personenbezug, § 3 Absatz 1 BDSG Anwendungsvoraussetzung für Datenschutzrecht Cookies mit Informationen, die „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ enthalten“ Jedenfalls erfüllt, wenn Cookies den Namen einer Person enthalten Informationen enthalten, die eine Identifizierung ermöglichen
Telemediengesetz
UNTERRICHTUNGSPFLICHT Gemäß § 13 Absatz 1 TMG ist der Nutzer über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten
Datenschutzerklärung Cookies, § 13 Absatz 1 Satz 2 TMG Bei automatisierten Verfahren, die eine spätere Identifizierung des Nutzers ermöglichen und eine Erhebung und Verwendung personenbezogener Daten vorbereitet Andernfalls hiernach keine Unterrichtungspflicht Kontrollfrage: Ist es vorstellbar, dass anhand der gespeicherten Informationen Rückschlüsse auf eine Person gezogen werden können? Wenn Ja, dann Info zu eingesetzten Cookies, inkl. Beschreibung der Informationen Zwecke
Telemediengesetz
VERBOTSPRINZIP § 4 Absatz 1 BDSG/ § 12 Absatz 1 TMG Erhebung und Verwendung von personenbezogenen Daten nur bei entweder Gesetzlicher Erlaubnis Einwilligung des Betroffenen Gesetzliche Erlaubnis bei Erforderlichkeit zur Geschäftsabwicklung, § 28 Absatz 1 Nr. 1 BDSG Name, Anschrift Zahlungsdaten zur Inanspruchnahme, § 15 Absatz 1 Satz 1 TMG Virtueller Warenkorb Abgerufene Dienste Einwilligung, § 13 Absatz 2 TMG, u.a. bewusst und eindeutig Hinweis auf jederzeitige Widerspruchsmöglichkeit
Telemediengesetz
COOKIES OHNE PERSONENBEZUG Cookies haben nicht per se Personenbezug Cookie-RL stellt nicht auf Personenbezug ab Cookies enthalten oftmals nur eine Kennung, der auf einem Server gespeicherte Informationen zugeordnet werden Nutzungsprofile unter Verwendung eines Pseudonyms, § 15 Abs. 3 TMG, ohne Einwilligung zulässig Kein Widerspruch (Opt-Out) Hinweis auf Widerspruchsrecht im Rahmen der Unterrichtungspflicht nach § 13 Absatz 1 TMG Keine umfassende Unterrichtung über Cookies Nur auf Widerspruchsrecht Keine Verknüpfung von Profilen mit Daten über den Träger (Keine Re-Identifizierung)
Widerspruch
Telemediengesetz
ZWISCHENFAZIT Cookie-RL ist nicht in dt. Recht umgesetzt Ansicht der Bundesregierung ist nur eine Meinungsäußerung durch das BMWI, der sich die EU-Kommission informell angeschlossen hat Keine rechtliche Bindungswirkung Cookies mit Personenbezug Vergleichbare Rechtslage zur Cookie-RL Umfassendere Unterrichtungspflichten, deren erforderlicher Umfang jedoch unklar bleibt Ggf. Einwilligung, wobei selbst unter der Cookie-RL ein Opt-Out denkbar ist Cookies ohne Personenbezug Profilbildung unter Verwendung von Pseudonymen kann ohne Einwilligung zulässig sein Umfang der Unterrichtungspflicht beschränkt sich auf Widerspruchsmöglichkeit Opt-Out
Google-RL
Google-RL
GOOGLE WILL DEN COOKIE-HINWEIS Richtlinie zur Einwilligung der Nutzer in der EU verständliche und umfassende Information zur Speicherung von und zum Zugriff auf Cookies Zustimmung durch den Nutzer Anwendung nur für bestimmte Produkte AdSense DoubleClick for Publishers Doubleclick Ad Exchange Ausweitung auf andere Produkte wahrscheinlich Umsetzung bis 30. September 2015 Hilfestellung über cookiechoices.org
Google-RL
HILFESTELLUNG DURCH GOOGLE Google gibt eine Auswahl an Tools, um die Zustimmung zur Verwendung von Cookies einzuholen Google gibt Vorschläge für die Formulierung eines Cookie-Hinweises Google gibt Hinweise zu „Details ansehen“ Hilfestellungen unter cookiechoices.org sind unverbindlich und alternative Umsetzungen sind nicht ausgeschlossen Google-RL soll aber vertraglich verbindlich sein Cookie-Hinweis Zustimmungserfordernis
Google-RL
FOLGEN BEI NICHTBEACHTUNG Wann liegt überhaupt eine Verletzung der Google-RL vor? Aus der Google-RL selbst ergibt sich nur die Verpflichtung zur Information und Einholung einer Zustimmung Konkreter wird es in der Hilfestellung Dort wird auch auf die europäischen Vorgaben verwiesen Diese sind aber gerade unklar Selbst bei Annahme einer Vertragsverletzung durch Google Google ist sich der unklaren gesetzlichen Rechtslage bewusst Google wird kaum mit harten Sanktionen kommen Ggf. Hinweis, dass eine Verletzung vorliegt Möglichkeit Maßnahmen zu ergreifen Aber § 15 Absatz 3 TMG stets beachten
Maßnahmen
Maßnahmen
FAZIT Informationspflichten und Zustimmungserfordernisse bestehen nach der Cookie-RL Jedenfalls für Cookies mit personenbezogenen Daten existieren entsprechende gesetzliche Regelungen im TMG Google orientiert sich an der Cookie-RL Cookie-Hinweis Opt-out Art und Umfang der Informationspflichten bleibt unklar Ein Opt-out (in welcher Form auch immer) wird sich gegenüber einem Opt-in durchsetzen, soweit der Gesetzgeber keine anderweitige Klarheit schafft In jedem Fall ist § 15 Absatz 3 TMG zu beachten
Maßnahmen
SICHER Einbindung einer vorgeschalteten Eingangsseite eines PopUps (PopUp-Blocker!) eines Page Overlays um die Zustimmung zum Einsatz von Cookies abzufragen (Opt-in) Einbindung mit Cookie-Hinweis Weitere umfassende Details über die eingesetzten Cookies, deren Zweck und Speicherdauer Auswirkungen Conversion Website-Angebot ohne Cookie-Einsatz?
Maßnahmen
RISIKOBASIERTE ANSATZ Mehr oder wenig knappe Information in der Datenschutzerklärung Hinweis auf Browser-Einstellungen Bei Tracking-/Targeting-Tools ggf. auf Widerspruchsmöglichkeiten hinweisen
Maßnahmen
EMPFEHLUNG Angemessener Hinweis in der Datenschutzerklärung zum Einsatz von Cookies Überblick über die allgemeinen Zwecke zur nutzerfreundlichen Gestaltung zur Optimierung des Angebots zur Marktforschung zur Einblendung von Werbung Hinweis auf Cookies von Drittanbietern Hinweis auf Widerspruchsmöglichkeiten Cookie-Hinweis in Form eins Banners, beim nächsten Relaunch
Fragen und Antworten
Nächstes Webinar am 2. Oktober 2015: Die Bedeutung von Domains und Social Media IDs für den Online-Vertrieb und die rechtlichen Anforderungen eines guten Domain-Managements Von Fabian Reinholz
Daniel Schätzle Rechtsanwalt
[email protected] facebook.com/haerting twitter.com/DSchaetzle
HÄRTING Rechtsanwälte | www.haerting.de Chausseestraße 13, 10115 Berlin | Tel. +49 30 28 30 57 40 | Fax. +49 30 28 30 57 44
