PRIVACY Opt-in, Opt-out – oder lieber gar keine eigene Regelung? Die europäischen Länder handhaben die EU-Vorgabe in Sachen Cookies sehr unterschiedlich. Die Argumente der Regulierungsbefürworter und Kritiker bewegen sich zwischen gläsernem Konsumenten und sinnvoller Reduktion von Werbemüll. Wie ist der Stand der Dinge in Deutschland, Österreich und Schweiz? Und: Brauchen wir noch Cookies?

1. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Cookie Monster & Online Stalking
Data Privacy

2. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Cookies
Lou Montulli entwickelte Cookies 1994
Cookies erlauben es dem Web, sich zu „erinnern“
http://live.wsj.com/video/how-advertisers-use-internet-cookies-to-track-you/92E525EB-9E4A-4399-817D-8C4E6EF68F93.html#!92E525EB-9E4A-4399-
817D-8C4E6EF68F93 1:40

3. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
(http) Cookies – Cui Bono?
Session Cookies
Persistent Cookies
Authentifizierungs Cookies
Third Party Cookies
Session Management
Personalisierung/Präferenzenmanagement
Tracking

4. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Placement of trackers
Evidon Global Tracker Report 24 th of Feb 2013

5. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Trackers by Category
Ad Scripts
Advertising scripts deliver ads and track users for
future ad delivery.
Analytics Scripts
Analytics scripts provide data to website owners
about their audience.
Behavioral Trackers
Behavioral trackers segment users for ad and
content targeting.
Page Widgets
Page widgets collect data while providing some
function to the user.
Evidon Global Tracker Report 24 th of Feb 2013

6. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria

7. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Aktuelle rechtlichte Regelung auf EU Ebene
Datenschutz Richtlinie 95/46/EC
Nur 1% der europäischen
Haushalte waren 1995 online

8. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Legal Framework für Data Privacy in Europa
RICHTLINIE 95/46/EG (Datenschutz Richtlinie)
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
und zum freien Datenverkehr
Definiert Mindeststandards für Datenschutz
RICHTLINIE 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation)
setzt verbindliche Mindestvorgaben für den Datenschutz in der Telekommunikation
Ergänzt die Datenschutzrichtlinie für den Telko Sektor
RICHTLINIE 2009/136/EG (ePrivacy Richtlinie)
ergänzt die RL 2002/58/EC (unter anderem)
Enthält den sogenannten Cookiepragraphen

9. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Cookie Paragraph
Art. 2 der ePrivacy RL: ändert Artikel 5 Absatz 3 der RL 2002/58/EG
(Datenschutzrichtlinie für die elektronische Kommunikation)
Jedes Cookie braucht Zustimmung
3) „Die Mitgliedstaaten stellen sicher, dass die Speicherung
von Informationen oder der Zugriff auf Informationen, die
bereits im Endgerät eines Teilnehmers oder Nutzers
gespeichert sind, nur gestattet ist, wenn der betreffende
Teilnehmer oder Nutzer auf der Grundlage von klaren und
umfassenden Informationen, die er gemäß der Richtlinie
95/46/EG u. a. über die Zwecke der Verarbeitung erhält,
seine Einwilligung gegeben hat. Dies steht einer
technischen Speicherung oder dem Zugang nicht
entgegen, wenn der alleinige Zweck die Durchführung der
Übertragung einer Nachricht über ein elektronisches
Kommunikationsnetz ist oder wenn dies unbedingt
erforderlich ist, damit der Anbieter eines Dienstes der
Informationsgesellschaft, der vom Teilnehmer oder Nutzer
ausdrücklich gewünscht wurde, diesen Dienst zur
Verfügung stellen kann.“

10. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Cookie Paragraph
Absatz 66 der Präambel lässt Intrepretationsspielraum
Muss die Zustimmung explizit
sein?
(66) „Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung
eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von
legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die
Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass
den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine
Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die
Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so
benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der
Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die
technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer
oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar
und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den
entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden
Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung
dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen
Behörden wirksamer gestaltet werden.“
Beispiele für worst case szenario
http://www.davidnaylor.co.uk/eu-cookies-directive-interactive-guide-to-25th-may-and-what-it-means-for-you.html
http://www.cookiedemosite.eu/

11. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Informierte Zustimmung
Um Browsereinstellungen als implizite Zustimmung interpretieren zu können, muss
informiert werden
Implizite Zustimmung muss
informierte Zustimmung sein

12. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Audience Targeting

13. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Publisher
Adserver
Werbeauslieferung
Publisher übergreifendes Targeting
Nutzersurft auf einer
Website
Publisher Ad Server
bekommt den Aufruf
der Website, eine
Werbung auszuliefern
Publisher Ad Server erstellt einen „Ad
Frame“ und sendet diesen an den Ad Server
der Agentur
Targeting-System
identifiziert Nutzer. Ad
Server liefert das
passende Bild.
Nutzer sieht Werbung
auf der Seite
TRAGETING
SYSTEM

14. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Fehlende Daten werden komplettiert
Mathematische Algorythmen erstellen Profile in Echtzeit

15. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Informierte Zustimmung
Um Browsereinstellungen als implizite Zustimmung interpretieren zu können, muss
informiert werden
Implizite Zustimmung muss
informierte Zustimmung sein

16. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
IAB OBA Selfregulation Framework
OBA = Online Behavioral Advertising

17. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
OBA Selfregulation Framework
Die europäische digitale Wirtschaft
optiert für Selbstregulierungsmaß-
nahmen bei third party online
behavioral advertising
Icons
informieren über tracking
Bieten opt-out Möglichkeit
Your Online Choices

18. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Do Not Track!
DNT is ein Standard, an dem das W3C (World Wide Web Consortium) arbeitet
DNT ≠ Privacy Mode
Der http header übermittelt das Signal, dass der User/die Userin nicht getrackt werden will
Es obliegt dem Sitebetreiber, den Wunsch zu respektieren

19. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
EU Datenschutzverordnung
Verordnung ≠ Richtlinie

20. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Einige Punkte aus der Verordnung
Extensive Definition von personenbezogenen Daten-> jede Identifikationsnummer (bzw.
eindeutige Kennzeichnung)
Zustimmung muss spezifisch, informativ und explizit sein
Zustimmung ist nicht gültig, wenn Ungleichgewicht zwischen der betroffenen Person und
dem Verantwortlichen besteht
Profiling ist (fast ausschließlich) nur mit expliziter Zustimmung erlaubt
Data protection by desing and by default
Das Recht vergessen zu werden (the right to be forgotten)
Datenpannen müssen in einem kurzen (24-72 h) Zeitraum gemeldet werden
Das Recht auf Widerspruch
Schutz von Kindern
Datenschutzbeauftragte
Hohe Strafen (2% Jahresumsatz)

21. Innovation – Insights – Interaction
Lilian Meyer-Janzek IAB Austria
Data Privacy
Diskussion