Online-Marketing – In Zukunft ohne Cookies? · ©"2014"ISiCO"DatenschutzGmbH All"rights"reserved Opt-Out-Umsetzungen Tschechien ! Änderungen in Kraft seit 01.01.2012 Speichern

© 2014 ISiCO Datenschutz GmbH All rights reserved © 2014 ISiCO Datenschutz GmbH All rights reserved

Online-Marketing – In Zukunft ohne Cookies?

1

Zur Umsetzung der E-Privacy-Richtlinie in Europa

Kathrin Schürmann

DuD 2014 Datenschutz und Datensicherheit

16. Jahresfachkonferenz 23. und 24. Juni 2014 in Berlin

© 2014 ISiCO Datenschutz GmbH All rights reserved

Interpretation von Art. 5 (3) E-Privacy-Richtlinie n.F.

! Unter welchen Voraussetzungen kann eine informierte Einwilligung angenommen werden?

! Wann ist die Speicherung von Cookies und anderen Informationen unbedingt erforderlich?


Umsetzung des Einwilligungserfordernisses

Einwilligung

ausdrücklich implizit

Widerspruch (“Opt-‐out”)


Umsetzung der RL in den Mitgliedstaaten

FI

SE

PL

FR

ES

IT

PT

EE

CZ

BG

IE GB

LT

LV

RO HU AT

GR

SI

MT CY

Einwilligung

Widerspruch

! 25.05.2011: Ende Umsetzungsfrist

! bis 01/2013: alle Mitgliedstaaten haben der Kommission vollständige Umsetzung gemeldet

! aktuell: Kommission überprüft die gemeldeten Umsetzungsmaßnahmen vor dem Hintergrund der DS-VO und einer möglichen Überarbeitung von Art. 5 (3) E-Privacy-RL


Opt-Out-Umsetzungen

Tschechien ! Änderungen in Kraft seit 01.01.2012

Speichern von/Zugriff auf Informationen ist zulässig, wenn zuvor ! nachweislich über Umfang und Zweck informiert und

! auf das Widerspruchsrecht hingewiesen wurde.

Bulgarien ! Änderungen in Kraft seit 29.12.2011

Speichern von/Zugriff auf Informationen ist zulässig, wenn

! über Umfang und Zweck informiert und

! er auf sein Widerspruchsrecht hingewiesen worden ist.


Sind Widerspruchslösungen richtlinienkonform?

(+), wenn Nichtausübung des Widerspruchsrechts eine wirksame (implizite) Einwilligung ist

!  (-) bei sensiblen personenbezogenen Daten, da ausdrückliche Einwilligung erforderlich ist (Art. 8 Abs. 2 lit. a DS-RL)

!  zweifelhaft bei „normalen“ personenbezogenen Daten, da hier nur Einwilligung „ohne jeden Zweifel“ erforderlich ist (Art. 7 lit. a DS-RL)

!  (+) bei nicht-personenbezogenen Daten


„... unless (a)  the subscriber or user has given his or her consent to that use, and (b)  the subscriber or user has been provided with clear and comprehensive information [...]

which – (i)   is both prominently displayed and easily accessible, and (ii)  includes, without limitation, the purposes of the processing of the information.

(4) For the purposes of paragraph (3), the methods of providing information and giving consent should be as user friendly as possible. It shall not be sufficient to solely provide the required information to the subscriber or user within a statement of terms and conditions or a privacy policy. Where it is technically possible and effective [...] the user’s consent [...] may be given by the use of appropriate browser settings or other technological application by means of which the user can be considered to have given his or her consent.“

Irland

!  umgesetzt in den „European Communities (Electronic Communications Networks and Services)(Privacy and Electronic Communications) Regulations 2011“

!  Änderungen in Kraft seit 01.07.2011


Irland

! Gesetzgeber bemühte sich um möglichst wirtschaftsfreundliche Umsetzung !  „as user friendly as possible“ à Erleichterung für Websitebetreiber

! Datenschutzbehörde !  bemüht sich sehr um Zusammenarbeit mit IT-Verbänden

!  drängt Websitebetreiber vor allem auf Erfüllung der Informationspflichten

!  hat bereits 2011 erklärt, dass für Google Analytics „keine ausdrückliche gesonderte Einwilligung“ erforderlich ist

!  aktuelle Browser ungeeignet, um wirksame Einwilligung zu geben


Frankreich

! umgesetzt im Datenschutzgesetz (Art. 32 Abs. 2) ! Änderungen in Kraft seit 27. August 2012 ! wortlautgetreue Umsetzung + Möglichkeit zu Einwilligung durch

Geräteeinstellungen ! Aufsichtsbehörde CNIL:

!  aktuelle Browser ungeeignet, um wirksame Einwilligung abzugeben

!  hält sich möglichst an Stellungnahmen der Artikel-29-Datenschutzgruppe

!  hält es für unwahrscheinlich, dass Bußgelder (bis zu 300.000 €) verhängt werden

!  hat Verständnis dafür, dass Websitebetreiber Zeit brauchen, um sich an die neuen Vorschriften anzupassen

!  wird nur auf konkrete Beschwerden hin tätig (erst Audit, dann Schreiben mit Empfehlungen und Gewährung einer Umsetzungsfrist)


Frankreich

CNIL am 26. April 2012: Analyse-Cookies sind “ohne Erhalt der vorherigen Einwilligung” zulässig, wenn nur sehr geringes Datenschutzrisiko besteht, d.h.: •  klare, einfach zugängliche Informationen •  User hat Auskunftsrecht •  einfache Opt-out-Möglichkeit •  begrenzt auf eine Website •  Zweck: Erstellung anonymer Statistiken •  Lebensdauer max. 6 Monate

Implizite Einwilligung oder “absolut erforderlich”?


Vereinigtes Königreich

! umgesetzt in den Privacy and Electronic Communications Regulations 2011 (PECR)

! Änderungen in Kraft seit 26. Mai 2011, jedoch 1-jährige Schonfrist

! wortlautgetreue Übernahme des Richtlinientexts + Einwilligung durch Browsereinstellungen

! Aufsichtsbehörde ICO: !  aktuelle Webbrowser ungeeignet, um wirksame Einwilligung zu geben

!  zunächst wurde ausdrückliche Einwilligung gefordert

!  ICO betont, dass Anforderungen an Einwilligung vom Einzelfall, insb. „intrusiveness“ des Cookies, aber auch angesprochenes Publikum etc. abhängt


Vereinigtes Königreich

ICO am 31. Januar 2013


Entwicklung der Bekanntheit von Cookies in Deutschland

Personen in Millionen

25,91 27,84

30,86 32,85

35,05

37,32

6,78 7,59 7,01 6,94 7,64 6,90

0

5

10

15

20

25

30

35

40

2007 2008 2009 2010 2011 2012

Personen, die schon von Cookies gehört haben Personen, die noch nicht von Cookies gehört haben

Quelle: IfD Allensbach


Tendenzen

! „gute“ und „böse“ Cookies - Kriterium „absolut erforderlich“ nicht zweckmäßig

! Vorbild UK?

! Überarbeitung von Art. 5 (3) der E-Privacy-RL ist wahrscheinlich

! es ist noch unklar, wie sich E-Privacy-RL zur DS-VO verhalten wird

! „Einwilligung“ wird auf jeden Fall in künftigen Richtlinien und Verordnungen deutlich präziser definiert werden


Aktuelle Entwicklungen: Art. 29-Gruppe

Art. 29-Gruppe: WP 208 vom 02.Oktober 2013 In ihrer Stellungnahme zur Einwilligung räumt die Datenschutzgruppe ein, dass der Begriff der Einwilligung in verschiedenen Mitgliedstaaten gegebenenfalls unterschiedlich ausgelegt wird. Die Stellungnahme zur Einwilligung präzisiert die Erfordernisse, die für eine gültige Einwilligung erfüllt sein müssen, sowie deren wesentliche Elemente: 1. Spezifische Informationen. Die Einwilligung ist nur dann gültig, wenn sie für den konkreten Fall gegeben wurde und auf angemessener Information beruht. Das heißt mit anderen Worten, dass eine pauschale Einwilligung ohne Angabe des genauen Zwecks der Verarbeitung nicht zulässig ist. 2. Zeitablauf. Grundsätzlich ist die Einwilligung vor Beginn der Verarbeitung einzuholen. 3. Aktive Entscheidung. Die Einwilligung muss eindeutig sein. Folglich darf das Verfahren zur Einholung und zur Erteilung der Einwilligung keinen Zweifel an der Absicht der betroffenen Person lassen. Grundsätzlich bestehen keine Einschränkungen hinsichtlich der Form einer Einwilligung. Damit die Einwilligung gültig ist, muss sie jedoch durch eine aktive Willensbekundung des Nutzers erteilt werden. (....) 4. Ohne Zwang. Eine Einwilligung kann nur dann gültig sein, wenn die betroffene Person eine echte Wahlmöglichkeit hat und keine Gefahr einer Täuschung, Einschüchterung, Nötigung oder beträchtlicher negativer Folgen besteht, wenn sie die Einwilligung nicht erteilt.


Aktuelle Entwicklungen: Spanien

AMEBA Abogados Document translated by Carlos Almería Abad

0

GUIDANCE FOR THE USE

OF COOKIES


Spanien: Guidance for the use of cookies

(….) •  Information through layers In the format of information through layers that we indicated before, the first layer must not only contain the essential information but also include a request for the consent to install the cookies. If the user does not expressly give its consent to accept the installation of the cookies, but it keeps using the website or application it could understood that the consent has been given, given that the user has been clearly informed and the information is provided through the methods that are mentioned in this guide, offering permanently the mentioned information about the cookies and giving the possibility to uninstall them. To this end, and as an example, it will be assumed that the consent has been given when the user keeps navigating on the website after having been informed on the use of cookies: (i) The user has used the scroll bar, given that the information on cookies is visible without using it;

(ii) The user has clicked on any link in the page.

The information presented in this first layer can be displayed through a format that is visible to the user such as a layer, a scroll bar or similar devices, taking into account that the location at the top of page would better to capture the attention of the users. In reduced display terminals, the size and content of the first layer will may be adjusted to the dimensions of the display.

iii. Methods to obtain the consent


Cookie-Banner – ist das die Lösung?

Cookie-Consent-Kit der EU :


Vielen Dank für Ihre Aufmerksamkeit.

ISiCO Datenschutz GmbH Neue Grünstraße 17 / 18 10179 Berlin Germany Tel: +49 (0)30 501 757 64 Fax: +49 (0)30 501 757 65 [email protected] isico-datenschutz.de

Kathrin Schürmann, Rechtsanwältin

19

Documents

Online-Marketing – In Zukunft ohne Cookies? · ©"2014"ISiCO"DatenschutzGmbH All"rights"reserved Opt-Out-Umsetzungen Tschechien ! Änderungen in Kraft seit 01.01.2012 Speichern