neue rechtliche anforderungen beim einsatz von cookies

NEUE RECHTLICHE ANFORDERUNGEN BEIM EINSATZ VON COOKIES
RA Daniel Schätzle | Webinar, 18. September 2015
ein Rechtsberatungsangebot des Bundesverband
E-Commerce und Versandhandel (bevh) e.V.
Worum geht es?
Worum geht es?
UMGANG MIT COOKIES BISHER
Worum geht es?
2014: EINE UNERKANNT UMGESETZTE RICHTLINIE
Anfrage durch Telemedicus
Bundesregierung: die sog. Cookie-RL sei in Deutschland umgesetzt
Eine formelle Umsetzung erfolgte nie, da es dieser nicht bedurfte
Bestehende Regelungen ausreichend
Bestätigung durch EU-Kommission
Schlussfolgerung:
Informationspflichten bzgl. Cookies
Einwilligung bzgl. Einsatz von Cookies
Umsetzung in der Praxis bleibt danach jedoch unklar
Worum geht es?
2015: GOOGLE GIBT ES VOR
Worum geht es?
REAKTIONEN
Worum geht es?
REAKTIONEN
8
Cookies
Cookies
TEXTDATEIEN
Cookies sind Dateien mit reinen Textinformationen
Cookies können Informationen beliebigen Inhalts enthalten
Cookies werden automatisch bei dem Besuch einer Webseite über den
Browser lokal auf dem Endgerät (z.B. Laptop, Tablet, Smartphone)
gespeichert
Cookies einer Webseite senden die enthaltenen Informationen mit
jeder Serveranfrage an den Webserver der zugehörigen Domain
Cookies ermöglichen es, dass Informationen später an den Webserver
gesendet werden können, auch wenn der Nutzer sich nicht mehr auf
der Seite befindet bzw. zwischenzeitlich andere Seiten besucht hat
Cookies erlauben es, einen Nutzer bzw. ein Endgerät später
wiederzuerkennen
Ohne Cookies würde mit dem Abschluss einer Server-Anfrage, also
dem Aufruf einer Seite, vorhergehende Interaktionen vergessen sein.
Cookies
ANWENDUNGEN
Usability
Cookies erlauben den Betrieb eines virtuelle Warenkorbes
Cookies ermöglichen den einmaligen Login
Cookies ermöglichen eine nutzerspezifische Konfiguration (z.B.
Seitenaufruf in der bevorzugten Sprache)
Werbung im Netz
Cookies können für Tracking-/Targeting eingesetzt werden
Cookies sind/waren der Schlüssel für Webanalyse und
Remarketing
Webanalyse
Webanalyse-Tools setzen nach wie vor auf Cookies
Opt-Out-Cookie
Keine Datenerfassung durch bestimmte Anbieter
Cookies
FIRST- UND THIRD-PARTY-COOKIES
Unterscheidung danach, wer einen Cookie einsetzt
First-Party-Cookie
Cookie wird über die Domain der besuchten Seite gesetzt
Cookie kommt über die URL, die im Browser angezeigt wird
Third-Party-Cookie
Cookie wird über eine andere Domain gesetzt
Bspw. zur Einblendung personalisierter Werbung
Bspw. beim Affiliate-Marketing
Nicht Cookies zur Aktivierung von Google Analytics
Cookies
NOTWENDIGE COOKIES
Unterscheidung danach, ob ein Cookie technisch erforderlich ist, oder
nicht
Grundsätzliche nicht erforderlich sind
Third-Party-Cookies
Tracking-/Targeting-Cookies
Cookies zur Webanalyse
Technisch notwendig können Cookies sein, die der Usability dienen
Gilt sicher für die meisten Sessione-Cookies
Fraglich jedoch bei Cookies zur nutzerspezifischen Konfiguration
Restriktive
Bewertung
Cookies
BROWSER-EINSTELLUNGEN
Die Verwaltung von Cookies erfolgt über den Browser:
Keine Cookies akzeptieren
Nur First-Party-Cookies
Nur Third-Party-Cookies von besuchten Drittanbietern
Jedes Mal nachfragen
Alle Cookies löschen, wenn der Browser geschlossen wird
Cookies haben eine Lebensdauer
Verwendung von Browser-AddOns als individuelle Kompromisslösung
(z.B. Ghostery)
Cookie-RL
Cookie-RL
ARTIKEL 5 ABSATZ 3
„Die
Mitgliedstaaten
stellen
sicher,
dass
die
Speicherung
von
Informationen oder der Zugriff auf Informationen, die bereits im
Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur
gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage
von klaren und umfassenden Informationen, die er gemäß der Richtlinie
95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung
gegeben hat. Dies steht einer technischen Speicherung oder dem
Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der
Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist
oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines
Dienstes der Informationsgesellschaft, der vom Teilnehmer oder
Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung
stellen kann.“
Cookie-RL
UMFANG DER INFORMATIONSPFLICHT
Generelle Information, dass Cookies eingesetzt werden, ggf. ergänzt
mit einer allgemeinen Zweckbeschreibung (Usability, optimiertes
Webangebot etc.)
oder
Beschreibung von Arten eingesetzter Cookies und deren jeweiliger
Zwecke
oder
Aufzählung aller eingesetzten Cookies einschließlich einer jeweiligen
Beschreibung
Cookie-RL
EINWILLIGUNG
Nur, wenn der Nutzer seine Einwilligung gegeben hat (auf Grundlage
der Informationen)
Einwilligung als Opt-in oder Opt-out?
Unterschiedliche Umsetzung in den einzelnen Mitgliedstaaten
Erwägungsgrund 66:
„Recht auf Ablehnung“ (Opt-out)
„Wenn es technisch durchführbar und wirksam ist, kann die
Einwilligung […] über die Handhabung der entsprechenden
Einstellungen eines Browsers oder einer anderen Anwendung
ausgedrückt werden“
(Browser-Konfiguration oder AddOns)
Opt-out scheint sich in der Praxis durchzusetzen
Cookie-RL
AUSNAHME
Einsatz von Cookies ohne Einwilligung bei Erforderlichkeit
um einen Dienst der Informationsgesellschaft (z.B. elektronischer
Geschäftsverkehr) zur Verfügung zu stellen
der ausdrücklich gewünscht wurde
Anzunehmen
beim virtuellen Warenkorb
Kundenkonten/Login-Bereich
Unklar bleibt jedoch, ob es dennoch einer Information bedarf
Dagegen spricht der Wortlaut des Erwägungsgrundes 66
Dafür spricht eher der Wortlaut von Artikel 5 Absatz 3, der auf
die Datenschutzrichtlinie verweist
Telemediengesetz
Telemediengesetz
GRUNDSATZ
Datenschutzrecht
Bundesdatenschutzgesetz (BDSG)
Telemediengesetz (TMG) – „Internetgesetz“
Personenbezug, § 3 Absatz 1 BDSG
Anwendungsvoraussetzung für Datenschutzrecht
Cookies mit Informationen, die
„Einzelangaben über persönliche oder sachliche Verhältnisse
einer bestimmten oder bestimmbaren natürlichen Person“
enthalten“
Jedenfalls erfüllt, wenn Cookies
den Namen einer Person enthalten
Informationen enthalten, die eine Identifizierung ermöglichen
Telemediengesetz
UNTERRICHTUNGSPFLICHT
Gemäß § 13 Absatz 1 TMG ist der Nutzer über Art, Umfang und Zwecke der
Erhebung und Verwendung personenbezogener Daten zu unterrichten
Datenschutzerklärung
Cookies, § 13 Absatz 1 Satz 2 TMG
Bei automatisierten Verfahren, die eine spätere Identifizierung des
Nutzers ermöglichen und eine Erhebung und Verwendung
personenbezogener Daten vorbereitet
Andernfalls hiernach keine Unterrichtungspflicht
Kontrollfrage:
Ist es vorstellbar, dass anhand der gespeicherten
Informationen Rückschlüsse auf eine Person gezogen werden
können?
Wenn Ja, dann Info zu
eingesetzten Cookies, inkl. Beschreibung der Informationen
Zwecke
Telemediengesetz
VERBOTSPRINZIP
§ 4 Absatz 1 BDSG/ § 12 Absatz 1 TMG
Erhebung und Verwendung von personenbezogenen Daten nur bei entweder
Gesetzlicher Erlaubnis
Einwilligung des Betroffenen
Gesetzliche Erlaubnis bei Erforderlichkeit
zur Geschäftsabwicklung, § 28 Absatz 1 Nr. 1 BDSG
Name, Anschrift
Zahlungsdaten
zur Inanspruchnahme, § 15 Absatz 1 Satz 1 TMG
Virtueller Warenkorb
Abgerufene Dienste
Einwilligung, § 13 Absatz 2 TMG, u.a.
bewusst und eindeutig
Hinweis auf jederzeitige Widerspruchsmöglichkeit
Telemediengesetz
COOKIES OHNE PERSONENBEZUG
Cookies haben nicht per se Personenbezug
Cookie-RL stellt nicht auf Personenbezug ab
Cookies enthalten oftmals nur eine Kennung, der auf einem Server
gespeicherte Informationen zugeordnet werden
Nutzungsprofile unter Verwendung eines Pseudonyms, § 15 Abs. 3
TMG, ohne Einwilligung zulässig
Kein Widerspruch (Opt-Out)
Hinweis auf Widerspruchsrecht im Rahmen der
Unterrichtungspflicht nach § 13 Absatz 1 TMG
Keine umfassende Unterrichtung über Cookies
Nur auf Widerspruchsrecht
Keine Verknüpfung von Profilen mit Daten über den Träger
(Keine Re-Identifizierung)
Widerspruch
Telemediengesetz
ZWISCHENFAZIT
Cookie-RL ist nicht in dt. Recht umgesetzt
Ansicht der Bundesregierung ist nur eine Meinungsäußerung durch das BMWI,
der sich die EU-Kommission informell angeschlossen hat
Keine rechtliche Bindungswirkung
Cookies mit Personenbezug
Vergleichbare Rechtslage zur Cookie-RL
Umfassendere Unterrichtungspflichten, deren erforderlicher Umfang
jedoch unklar bleibt
Ggf. Einwilligung, wobei selbst unter der Cookie-RL ein Opt-Out denkbar
ist
Cookies ohne Personenbezug
Profilbildung unter Verwendung von Pseudonymen kann ohne
Einwilligung zulässig sein
Umfang der Unterrichtungspflicht beschränkt sich auf
Widerspruchsmöglichkeit
Opt-Out
Google-RL
Google-RL
GOOGLE WILL DEN COOKIE-HINWEIS
Richtlinie zur Einwilligung der Nutzer in der EU
verständliche und umfassende Information zur Speicherung von
und zum Zugriff auf Cookies
Zustimmung durch den Nutzer
Anwendung nur für bestimmte Produkte
AdSense
DoubleClick for Publishers
Doubleclick Ad Exchange
Ausweitung auf andere Produkte wahrscheinlich
Umsetzung bis 30. September 2015
Hilfestellung über cookiechoices.org
Google-RL
HILFESTELLUNG DURCH GOOGLE
Google gibt eine Auswahl an Tools, um die Zustimmung zur
Verwendung von Cookies einzuholen
Google gibt Vorschläge für die Formulierung eines Cookie-Hinweises
Google gibt Hinweise zu „Details ansehen“
Hilfestellungen unter cookiechoices.org sind unverbindlich und
alternative Umsetzungen sind nicht ausgeschlossen
Google-RL soll aber vertraglich verbindlich sein
Cookie-Hinweis
Zustimmungserfordernis
Google-RL
FOLGEN BEI NICHTBEACHTUNG
Wann liegt überhaupt eine Verletzung der Google-RL vor?
Aus der Google-RL selbst ergibt sich nur die Verpflichtung zur
Information und Einholung einer Zustimmung
Konkreter wird es in der Hilfestellung
Dort wird auch auf die europäischen Vorgaben verwiesen
Diese sind aber gerade unklar
Selbst bei Annahme einer Vertragsverletzung durch Google
Google ist sich der unklaren gesetzlichen Rechtslage bewusst
Google wird kaum mit harten Sanktionen kommen
Ggf. Hinweis, dass eine Verletzung vorliegt
Möglichkeit Maßnahmen zu ergreifen
Aber § 15 Absatz 3 TMG stets beachten
Maßnahmen
Maßnahmen
FAZIT
Informationspflichten und Zustimmungserfordernisse bestehen nach
der Cookie-RL
Jedenfalls für Cookies mit personenbezogenen Daten existieren
entsprechende gesetzliche Regelungen im TMG
Google orientiert sich an der Cookie-RL
Cookie-Hinweis
Opt-out
Art und Umfang der Informationspflichten bleibt unklar
Ein Opt-out (in welcher Form auch immer) wird sich gegenüber einem
Opt-in durchsetzen, soweit der Gesetzgeber keine anderweitige
Klarheit schafft
In jedem Fall ist § 15 Absatz 3 TMG zu beachten
Maßnahmen
SICHER
Einbindung
einer vorgeschalteten Eingangsseite
eines PopUps (PopUp-Blocker!)
eines Page Overlays
um die Zustimmung zum Einsatz von Cookies abzufragen (Opt-in)
Einbindung mit Cookie-Hinweis
Weitere umfassende Details über die eingesetzten Cookies, deren
Zweck und Speicherdauer
Auswirkungen
Conversion
Website-Angebot ohne Cookie-Einsatz?
Maßnahmen
RISIKOBASIERTE ANSATZ
Mehr oder wenig knappe Information in der Datenschutzerklärung
Hinweis auf Browser-Einstellungen
Bei Tracking-/Targeting-Tools ggf. auf Widerspruchsmöglichkeiten
hinweisen
Maßnahmen
EMPFEHLUNG
Angemessener Hinweis in der Datenschutzerklärung zum Einsatz von
Cookies
Überblick über die allgemeinen Zwecke
zur nutzerfreundlichen Gestaltung
zur Optimierung des Angebots
zur Marktforschung
zur Einblendung von Werbung
Hinweis auf Cookies von Drittanbietern
Hinweis auf Widerspruchsmöglichkeiten
Cookie-Hinweis in Form eins Banners, beim nächsten Relaunch
Fragen und Antworten
Nächstes Webinar am 2. Oktober 2015:
Die Bedeutung von Domains und Social
Media IDs für den Online-Vertrieb und die
rechtlichen Anforderungen eines guten
Domain-Managements
Von Fabian Reinholz
Daniel Schätzle
Rechtsanwalt
[email protected]
facebook.com/haerting
twitter.com/DSchaetzle
HÄRTING Rechtsanwälte | www.haerting.de
Chausseestraße 13, 10115 Berlin | Tel. +49 30 28 30 57 40 | Fax. +49 30 28 30 57 44

Download Report