1. Nach der DSGVO ist vor der ePrivacy-VO
WebJustiz.de
www.praetor.im
2. 2
Unser Thema im Überblick:
1) ”Strategie für einen digitalen Binnenmarkt”
(DBM-Strategie der EU-Kommission)
2) Datenschutz-Grundverordnung
3) Exkurs: Einwilligung
4) ePrivacy-VO – Gesetzgebungsverfahren
5) ePrivacy-VO – Kommissionsentwurf
6) ePrivacy-VO – Standpunkt EU- Parlament
Nach der DSGVO ist vor der ePrivacy-VO
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
3. 3
①
”Strategie für einen digitalen
Binnenmarkt”
…hohe Ambitionen,
aber die Umsetzung…
“Strategie für einen digitalen Binnenmarkt”
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
4. 4
➢
Strategie der EU-Kommission aus dem Mai 2015
➢
Ziele der DBM-Strategie:
➢
Besserer Online-Zugang für Verbraucher und Unternehmen zu Waren und Dienstleistungen in ganz Europa
➢
Regeln für den grenzüberschreitenden elektronischen Handel, denen Verbraucher und Unternehmen vertrauen können
➢
Verhinderung von ungerechtfertigtem Geoblocking
➢
Besserer Zugang zu digitalen Inhalten
➢
Reduzierung des Mehrwertsteuer-bedingten Verwaltungsaufwands und Abbau der Hindernisse bei Auslandsgeschäften
➢
Schaffung der “richtigen” (rechtlichen) Bedingungen für florierende digitale Netze und Dienste
➢
Bedarfsgerechte Telekommunikationsvorschriften
➢
“Mediengesetzgebung für das 21. Jahrhundert”
➢
Bedarfsgerechtes Regulierungsumfeld für Online-Plattformen und Mittler
➢
Bekämpfung illegaler Inhalte im Internet
➢
Stärkung des Vertrauens und der Sicherheit bei digitalen Diensten und beim Umgang mit personenbezogenen Daten
➢
Bestmögliche Ausschöpfung des Wachstumspotenzials der digitalen Wirtschaft
➢
Aufbau einer Datenwirtschaft (“Big-Data-Sektor”)
➢
Steigerung der Wettbewerbsfähigkeit durch Interoperabilität und Normung
➢
Inklusive digitale Gesellschaft
➢
Elektronische Behördendienste (“e-Goverment”)
➢
Schaffung des digitalen Binnenmarktes
(“Bestmögliche Ausschöpfung des Wachstumspotenzials der europäischen digitalen Wirtschaft”)
➢
Schaffung eines günstigen Investitionsklimas im digitalen Binnenmarkt
➢
Effektive Steuerung des digitalen Binnenmarktes
“Strategie für einen digitalen Binnenmarkt”
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
5. 5
➢
Ersatz der bisherigen Richtlinien durch neue EU-Verordnungen.
➢
Bisher: Richtlinen → geben einen Rahmen vor, der von den EU-Mitgliedstaaten umgesetzt werden muss
➢
Geplant: Verordnungen → gelten in den allen EU-Mitgliedstaaten unmittelbar
→ EU-Mitgliedstaaten sind nur im Rahmen von Öffnungsklauseln frei.
➢
Datenschutz-Grundverordnung
➢
Ersatz für die EU-Datenschutzrichtlinie 95/46/EG; erlassen 2016, anwendbar seit 25. Mai 2018
➢
“Delegierte Verordnung” (Durchführungs-VO) steht noch aus.
➢
ePrivacy-Verordnung
➢
Ersatz für die e-Datenschutz-Richtlinie 2002/58/EG (ePrivacy-Richtlinie, Cookie-Richtlinie)
➢
Spezielle Regelungen
➢
für den Bereich der Justiz und der Polizei und Sicherheitsbehörden
➢
für die Organe, Einrichtungen und sonstige Stellen der EU
Datenschutz im Rahmen der DBM-Strategie
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
6. 6
Gesetzliche Grundlagen - bisher
Nach der DSGVO ist vor der ePrivacy-VO
EU Deutschland
Verfassung Grundrechte
●
auf informationelle Selbstbestimmung
●
auf Gewährleistung der Vertraulichkeit
und Integrität informationstechnischer
Systeme
Bisherige
Regelungen
EU-Datenschutzrichtlinie
95/46/EG
e-Datenschutz-Richtlinie
2002/58/EG
...
Bundesdatenschutzgesetz
Telemediengesetz
...
EU-Recht gibt nur einen
Handlungsrahmen vor, der
von den einzelnen
Mitgliedsstaaten umgesetzt
werden muss.
Maßgebend ist die jeweilige nationale
Bestimmung
→ BDSG, TMG
WebJustiz.de
7. 7
Gesetzliche Grundlagen – ab 25. Mai 2018
Nach der DSGVO ist vor der ePrivacy-VO
EU Deutschland
Verfassung ●
Art. 8 Abs. 1
GrundrechteCharta
●
Art. 16 Abs. 1 AEUV
Neue
Regelungen
●
Datenschutz-
Grundverordnung
●
EPrivacy-VO
(kommt noch)
●
Delegierte DS-VO
(kommt evtl. noch)
Datenschutz-Anpassungs- und -
Umsetzungsgesetz EU (DSAnUG-EU)
→ Neufassung des BDSG
Die EU-Verordnungen
gelten unmittelbar in der
gesamten EU
Punktuelle Öffnungsklauseln für die
nationalen Gesetzgeber
WebJustiz.de
9. 9
Verordnung 2016/679 des Europäischen Parlaments und
des Rates zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten, zum freien
Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
➢
Verkündet: 4. Mai 2016
➢
Inkrafttreten: 24. Mai 2016
➢
Anzuwenden ab: 25. Mai 2018
➢
Geltungsbereich: Gesamte EU
EU-Datenschutz–Grundverordnung
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
10. 10
➢
Schutz des Einzelnen
➢
Schutz der Grundrechte und Grundfreiheiten natürlicher Personen
➢
insb. Schutz personenbezogener Daten
➢
unabhängig von seinem Aufenthaltsort.
➢
Förderung der Wirtschaft
➢
Gewährleistung des freien Verkehrs personenbezogener Daten
zwischen den Mitgliedsstaaten
➢
Gewährleistung des Binnenmarktes
➢
Harmonisierung der bisherigen einzelstaatlichen Vorschriften
EU-DSGVO - Ziele
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
11. 11
➢
Alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person beziehen;
➢
Identifizierbar = natürliche Person angesehen, die
➢
direkt oder indirekt identifiziert werden kann,
➢
insbesondere mittels Zuordnung zu einer Kennung wie
➢
Namen,
➢
Kennnummer,
➢
Standortdaten, Online-Kennung oder
➢
einem oder mehreren besonderen Merkmalen, die Ausdruck
der physischen, physiologischen, genetischen, psychischen,
wirtschaftlichen, kulturellen oder sozialen Identität
dieser natürlichen Person sind.
Begrifflichkeiten – Personenbezogene Daten
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
12. 12
➢
jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang
oder
➢
jede solche Vorgangsreihe
➢
im Zusammenhang mit personenbezogenen Daten
➢
Beispiele:
➢
Erheben ode Erfassen,
➢
Organisation oder Ordnen,
➢
Speicherung, Anpassung oder Veränderung,
➢
Auslesen, Abfragen, oder Verwendung,
➢
Offenlegung durch Übermittlung, Verbreitung oder
andere Form der Bereitstellung,
➢
Abgleich oder Verknüpfung,
➢
Einschränkung, Löschen oder Vernichtung.
Begrifflichkeiten – Verarbeitung
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
13. 13
➢
Automatisierte Verarbeitung personenbezogener Daten,
➢
Verwendung dieser personenbezogenen Daten um
➢
bestimmte Aspekte einer natürlichen Person
➢
zu bewerten,
➢
insbesondere um Aspekte vorherzusagen
➢
bezüglich Arbeitsleistung,
➢
wirtschaftliche Lage,
➢
Gesundheit,
➢
persönliche Vorlieben,
➢
Interessen,
➢
Zuverlässigkeit oderVerhalten,
➢
Aufenthaltsort oder Ortswechsel
Begrifflichkeiten – Profiling
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
14. 14
➢
Verarbeitung personenbezogener Daten in einer Weise, dass
die personenbezogenen Daten ohne Hinzuziehung
zusätzlicher Informationen nicht mehr einer spezifischen
betroffenen Person zugeordnet werden können, sofern
➢
diese zusätzlichen Informationen gesondert aufbewahrt werden und
➢
technischen und organisatorischen Maßnahmen unterliegen, die
gewährleisten, dass die personenbezogenen Daten nicht einer
identifizierten oder identifizierbaren natürlichen Person zugewiesen
werden;
Begrifflichkeiten – Pseudonymisierung
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
15. 15
➢
Die natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die
➢
allein oder gemeinsam mit anderen
➢
über die Zwecke und Mittel der Verarbeitung von personenbezogenen
Daten entscheidet;
➢
Besondere Kriterien sind möglich, wenn Zwecke und Mittel
der Verarbeitung gesetzlich vorgegeben sind.
Begrifflichkeiten – Verantwortlicher
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
16. 16
➢
eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die
➢
personenbezogene Daten
➢
im Auftrag des Verantwortlichen verarbeitet
Begrifflichkeiten – Auftragsverarbeiter
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
17. 17
➢
eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle,
➢
der personenbezogene Daten offengelegt werden,
➢
unabhängig davon, ob es sich um einen Dritten handelt oder
nicht.
➢
Kein Empfänger sind Behörden,
➢
die im Rahmen eines bestimmten Untersuchungsauftrags
➢
nach dem Unionsrecht oder nationalem Recht
➢
möglicherweise personenbezogene Daten erhalten.
Begrifflichkeiten – Empfänger
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
18. 18
➢
Jede natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle,
➢
außer
➢
der betroffenen Person,
➢
dem Verantwortlichen,
➢
dem Auftragsverarbeiter und
➢
den Personen, die unter der unmittelbaren Verantwortung des
Verantwortlichen oder des Auftragsverarbeiters befugt
sind, die personenbezogenen Daten zu verarbeiten.
Begrifflichkeiten – Dritter
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
19. 19
➢
Verletzung der Sicherheit, die,
➢
ob unbeabsichtigt oder unrechtmäßig,
➢
zur Vernichtung, zum Verlust, zur Veränderung,
➢
zur unbefugten Offenlegung von bzw.
➢
zum unbefugten Zugang zu personenbezogenen Daten führt, die
➢
übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Begrifflichkeiten – Verletzung des Schutzes
personenbezogener Daten
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
20. 20
➢
Gesamte EU
➢
Marktortprinzip:
➢
EU-DSGV gilt auch für Unternehmen
➢
mit Sitz außerhalb der EU
➢
die sich an EU-Bürger wenden
➢
Öffnungsklauseln für nationale Gesetzgeber
➢
Art. 48 → Aufsichtsbehörden
➢
Art. 85 → u.a. Presse-, Meinungs-, Informationsfreiheit
➢
Art. 90 → Auskunftpflichten gegenüber Aufsichtsbehörden
➢
…
EU-DSGVO – Örtlicher Geltungsbereich
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
21. 21
➢
Die EU-DSGVO gilt für die
➢
ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten
➢
für die nichtautomatisierte Verarbeitung personenbezogener Daten, die
➢
in einem Dateisystem gespeichert sind oder
➢
gespeichert werden sollen.
➢
Ausnahmen:
➢
privater Schriftverkehr
➢
privates Anschriftenverzeichnis
➢
private Nutzung sozialer Netze
➢
private Online-Tätigkeit
EU-DSGVO – Sachlicher Anwendungsbereich
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
22. 22
➢
Ergänzung zur EU-DSGVO
➢
Bei Widersprüchen hat EU-DSGVO Vorrang
➢
“Fun-Fact”: Enthält zwar nur noch Ergänzungsregelungen, ist aber deutlich umfangreicher als das bisherige,
alles regelnde BDSG
➢
Enthält ergänzende Regelungen zu
➢
sensitiven Daten
➢
Beschäftigtendatenschutz
➢
Datenverarbeitung bei Verbraucherkrediten
➢
Scoring- und Bonitätsauskünften
➢
Informationspflichten
➢
Löschpflichten
➢
Profiling
➢
Bestellpflichten für betriebliche Datenschutzbeauftragte
DSAnUG-EU – Das “neue” BDSG
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
24. 24
➢
Grundsatz: Verbot mit Erlaubnisvorbehalt
⇒ Datenverarbeitung ist nur erlaubt bei
1) ausdrücklicher gesetzlicher Erlaubnis
●
Vertragserfüllung,
●
Erfüllung gesetzlicher Pflichten, (z.B. Aufbewahrungspflichten)
●
Schutz lebenswichtiger Interessen von Menschen (z.B. in der Medizin)
2) berechtigten Interessen (nur mit Möglichkeit eines Opt-Out)
●
IT-Sicherheit
●
Compliance
●
Beschäftigtenkontrolle
●
Marketing und Direktwerbung
●
…
3) Einwilligung
EU-DSGVO – Ist die Datenverarbeitung erlaubt?
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
25. 25
➢
Ist eine Einwilligung erforderlich? ⇒ Entfällt bei Vorliegen eines anderen Erlaubnisgrunde
➢
Ist die betroffene Person einwilligungsfähig? ⇒ Ab 16 Jahre.
➢
Wurde die Einwilligung freiwillig abgegeben?
⇒ Problematisch bei sozialen Zwängen oder Nachteilen bei Verweigerung der Einwilligung;
➢
Kein Verstoß gegen das Koppelungsverbot?
⇒ Erbringung der vertraglichen Leistung darf nicht von einer Einwilligung abhängig gemacht werden,
⇒ obwohl die Einwilligung für die Leistungserbringung nicht erforderlich ist.
➢
Sind die notwendigen Belehrung erfolgt?
⇒ über Zweck, Art und Umfang der DV, über Weitergabe und Löschung und über Widerrufsrecht
➢
Ist die Einwilligungserklärung unmissverständlich?
⇒ Schlüssige Erkklärung (Opt-In → Opt-Out ist nicht ausreichend!)
➢
Ist die Einwilligung nachweisbar?
⇒ Schriftform oder elektronisch protokolliert.
Einwilligung – Wirksamkeitsvoraussetzungen
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
26. 26
➢
Minderjährige (Art. 8 EU-DSGVO)
➢
Sensible Daten (Art. 9 EU-DSGVO)
u.a.⇒ Ethnie, Sexualität, Gesundheit, politische Ansichten
➢
Automatisierte Entscheidungen (Art. 22 EU-DSGVO)
➢
Zweckänderung (Art. 6 Abs. 5 EU-DSGVO)
⇒ Datenverwendung zu Marketing-Zwecken, “Big Data”
➢
Beschäftigtendatenschutz (Art. 26 BDSG n.F.)
➢
Videoüberwachung im öffentlichen Raum (§ 4 BDSG n.F.)
➢
eMail-Marketing (Art. 7 Abs. 3 UWG)
⇒ Bestandskunde oder ausdrückliche Einwilligung
Einwilligung – Problemfälle
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
28. 28
Der Gang des EU-Gesetzgebungsverfahrens
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
Quelle: Europäisches Parlament,
http://www.europarl.europa.eu/germany/de/die-eu-und-ihre-
stimme/ordentliches-gesetzgebungsverfahren
29. 29
➢
Was bisher geschah:
➢
April – August 2016: Öffentliche Konsultation der EU-Kommission
➢
Januar 2017: Entwurf der EU-Kommission zur ePrivacy-VO
➢
Juli 2017: Standpunkt des EU-Parlaments (mit Änderungen ggü. Komm.-Entwurf)
➢
Was noch aussteht:
➢
Gemeinsamer Standpunkt des EU-Rates
➢
ursprünglich geplant für Oktober 2017, realistisch wohl eher Jahresende 2018
➢
Vermittlungsverfahren (“Trilog” Parlament/Rat/Kommission)
➢
ursprünglich geplant für November/Dezember 2017
➢
Inkrafttreten der ePrivacy-VO
➢
ursprünglich geplant für den 25. Mai 2018, realistisch wohl eher Jahresende 2019…
➢
bisher geplante Übergangszeit: 1 Jahr (BMWi geht eher von 2 Jahren aus)
Stand des Gesetzgebungsverfahren
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
30. 30
⑤
ePrivacy-Verordnung
- Entwurf der EU-Kommission -
…auf der Linie der EU-DSGVO…
ePrivacy-VO - Kommissionsentwurf
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
31. 31
➢
ePrivacy-VO regelt
➢
die Rechte auf Achtung des Privatlebens und der
Kommunikation und
➢
den Schutz natürlicher Personen
➢
bei der Verarbeitung personenbezogener Daten.
➢
ePrivacy-VO knüpft an DSGVO an
➢
spezifische Präzisierung und Ergänzung der DSGVO
➢
bei Bereitstellung und Nutzung elektronischer
Kommunikationsdienste
➢
durch Festlegung besonderer Vorschriften für o.g. Zwecke
➢
soll(te) gemeinsam mit DSGVO in Kraft treten
Kommissionsentwurf – Verhältnis zur DSGVO
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
32. 32
➢
Sachlicher Geltungsbereich:
➢
die Verarbeitung elektronischer Kommunikationsdaten,
➢
die in Verbindung mit der Bereitstellung und Nutzung elektronischer
Kommunikationsdienste erfolgt, und
➢
für Informationen in Bezug auf die Endeinrichtungen der Endnutzer.
➢
Ausnahmen u.a. für:
➢
für nicht öffentlich zugängliche Kommunikationsdienste
➢
im Bereich der Richtlinie 2000/31/EG über den elektronischen Geschäftsverkehr
➢
für Tätigkeiten von Justiz und Polizei
➢
für Organe, Einrichtungen und sonstige Stellen der EU
Sachlicher Geltungsbereich
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
33. 33
➢
Räumlicher Geltungsbereich:
➢
Bereitstellung elektronischer Kommunikationsdienste
für Endnutzer in der EU,
➢
unabhängig davon, ob vom Endnutzer eine Bezahlung verlangt wird;
➢
Nutzung solcher Dienste
➢
Schutz von Informationen in Bezug auf die Endeinrichtungen
der Endnutzer in der EU
➢
Anbieter aus Drittstaaten
➢
müssen einen Vertreter in der EU benennen,
➢
den u.a. auch alle Auskunftspflichten treffen.
Räumlicher Geltungsbereich
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
34. 34
➢
Elektronische Kommunikationsdaten
➢
Elektronische Kommunikationsinhalte
➢
Inhalte, die mittels elektronischer Kommunikationsdienste übermittelt werden
➢
z. B. Textnachrichten, Sprache,Videos, Bilder und Ton;
➢
Elektronische Kommunikationsmetadaten
➢
Daten, die
➢
in einem elektronischen Kommunikationsnetz verarbeitet werden
➢
zu Zwecken der Übermittlung, der Verbreitung oder des Austauschs elektronischer
Kommunikationsinhalte
➢
dazu zählen:
➢
zur Verfolgung und Identifizierung des Ausgangs- und Zielpunkts einer Kommunikation verwendete
Daten,
➢
bei der Bereitstellung elektronischer Kommunikationsdienste erzeugte Daten
➢
über den Standort des Geräts sowie
➢
Datum, Uhrzeit, Dauer und Art der Kommunikation.
ePrivacy – Begriffsbestimmungen I
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
35. 35
➢
Öffentlich zugängliches Verzeichnis
➢
Verzeichnis der Endnutzer elektronischer Kommunikationsdienste
➢
in gedruckter oder elektronischer Form,
➢
das veröffentlicht oder (einem Teil) der Öffentlichkeit zugänglich gemacht wird,
➢
auch mithilfe eines Verzeichnisauskunftsdienstes;
➢
E-Mail (elektronische Post)
➢
Jede über ein elektronisches Kommunikationsnetz verschickte elektronische
Nachricht,
➢
die Informationen in Text-, Sprach-, Video-, Ton- oder Bildform enthält und
➢
die im Netz oder in zugehörigen Rechneranlagen oder in Endeinrichtungen
ihres Empfängers gespeichert werden kann;
ePrivacy – Begriffsbestimmungen II
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
36. 36
➢
Direktwerbung
➢
jede Art der Werbung
➢
in schriftlicher oder mündlicher Form,
➢
die an einen oder mehrere bestimmte oder bestimmbare Endnutzer elektronischer
Kommunikationsdienste gerichtet wird,
➢
auch mittels automatischer Anruf- und Kommunikationssysteme
➢
mit oder ohne menschliche(r) Beteiligung,
➢
mittels E-Mail, SMS-Nachrichten usw.
➢
Persönliche Direktwerbeanrufe
➢
direkt persönlich und ohne Verwendung automatischer Anruf- und
Kommunikationssysteme ausgeführte Anrufe
ePrivacy – Begriffsbestimmungen III
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
37. 37
➢
Automatische Anruf- und Kommunikationssysteme
➢
Systeme, die automatisch Anrufe
➢
zu einem oder mehreren Empfängern
➢
entsprechend den für das System gemachten Einstellungen aufbauen
➢
und Ton übertragen können,
➢
der keine live gesprochene Rede darstellt.
➢
Einschließlich Anrufe
➢
unter Verwendung automatischer Anruf- und Kommunikationssysteme,
➢
die die angerufene Person mit einer einzelnen Person verbinden.
ePrivacy – Begriffsbestimmungen IV
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
38. 38
➢
Elektronische Kommunikationsdaten sind vertraulich.
➢
Eingriffe in elektronische Kommunikationsdaten wie
➢
Mithören, Abhören,
➢
Speichern,
➢
Beobachten, Scannen oder
➢
andere Arten des Abfangens oder Überwachens oder
Verarbeitens elektronischer Kommunikationsdaten
➢
durch andere Personen als die Endnutzer
➢
sind untersagt,
➢
sofern sie nicht ausdrücklich erlaubt sind.
Vertraulichkeit elektronischer
Kommunikationsdaten I
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
39. 39
➢
Verarbeitung durch Betreiber elektronischer
Kommunikationsnetze und -dienste erlaubt,
➢
wenn dies nötig ist zur
➢
Durchführung der Übermittlung der Kommunikation,
➢
zur Aufrechterhaltung oder Wiederherstellung der
Sicherheit der elektron. Kommunikationsnetze
und -dienste oder
➢
zur Erkennung von technischen Defekten und Fehlern
bei der Übermittlung der elektronischen
Kommunikation;
➢
jeweils für die dazu erforderliche Dauer.
Vertraulichkeit elektronischer
Kommunikationsdaten II
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
41. 41
➢
§ 15 Abs. 3 TMG
➢
Erstellung auf pseudonymer Basis
➢
Information in der Datenschutzerklärung
➢
Möglichkeit des Opt-Out
➢
Anpassung unter der DSGVO:
➢
Tracking nur mit Einwilligung des Betroffenen möglich.
➢
Aber: diese Ansicht ist äußerst umstritten!
➢
Wohl zumindest zutreffend für seitenübergreifendes Tracking,
ansonsten wohl Rechtfertigung als berechtigtes Interesse (mit Opt Out).
Cookie-Tracking - bisheriger Rechtsstand
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
42. 42
➢
Änderung in der ePrivacy-VO: (Art. 8 Abs. 1 b)
➢
Grundsätzliches Verbot mit Einwilligungsvorbehalt für Nutzungsprofile
→ Nur nach vorheriger ausdrücklicher Einwilligung
➢
Keine Unterscheidung zwischen personenbezogenen und pseudonymen Tracking!
➢
Ausnahme:
➢
Erhebung dient ausschließlich der Ermöglichung und Übertragung der Kommunikation
➢
Datenerhebung zur Inanspruchnahme eines Dienstes erforderlich
➢
Nutzer verlangt ausdrücklich dessen Nutzung
➢
Beispiele:
➢
Warenkörbe im Online-Shopping,
➢
besucherspezifische Konfigurationen.
Cookie - Tracking - unter der ePrivacy-VO
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
43. 43
➢
Bisher: § 7 UWG
➢
Ansprache des Verbrauchers nur unter strengen Voraussetzungen (Einwilligung etc.)
➢
Nach ePrivacy-VO (Art. 16): Weitestgehend vergleichbare Regelung
➢
E-Mail-Werbung:
➢
nur nach vorheriger ausdrücklicher Einwilligung des Verbrauchers oder
➢
bei Bestandskunden:
➢
e-Mail-Adresse erhalten im Zusammenhang mit Verkauf/Dienstleistung
➢
Verwendung für eigene ähnliche Produkte/Dienstleistungen
➢
einfache Widerspruchsmöglichkeit des Kunden
➢
sowohl bei Datenerhebung wie auch bei jedem Versand
➢
Telefon-Werbung:
➢
Nur nach vorheriger Einwilligung in eine Ansprache zu Werbezwecken
➢
Öffnungsklausel für die Mitgliedsstaaten:
→ Mitgliedsstaaten können eine Widerspruchslösung einführen.
E-Mail- und Telefon-Marketing
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
45. 45
➢
Für das Online-Marketing wichtige Änderungsvorschläge:
➢
Festschreibung der Spezialität der ePrivacy-VO
→ Keine Verarbeitung der erhobenen Daten auf anderer
Grundlage
➢
“Tracking-Techniken” statt “Cookies”
➢
Verbot von “Tracking Walls”
→ entspricht Kopplungsverbot der DSGVO
ePrivacy-VO – Standpunkt des EU-Parlaments I
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
46. 46
➢
Verbot von Cookie-Banner
➢
Ausnahme: helfen dem Besucher,
➢
die Kontrolle über seine Daten / Privatsphäre zu behalten oder
➢
über seine Rechte informiert zu werden.
➢
Ausnahmen vom Verbot von Cookies:
➢
nur für streng technische Notwendigkeiten
➢
nicht für nur “notwendige” Platzierungen
→ problematisch zur Reichweitenmessung
➢
➢
➢
ePrivacy-VO – Standpunkt des EU-Parlaments II
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
47. 47
➢
Anforderungen an Webmessungen:
➢
strenge Zweckbindung
➢
Durchführung durch Anbieter oder Beauftragten
➢
keine Datenteilung mit Dritten
ePrivacy-VO – Standpunkt des EU-Parlaments III
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de
48. 48
➢
Verbindliche Entscheidungen über die Speicherung von Informationen
über die Browser-Einstellungen:
➢
“Do not track” als Standard-Einstellung
➢
Zurückweisung aller nicht unbedingt zur Leistungserbringung
erforderlichen Tracker und Cookies
➢
Zurückweisung aller branchenübergreifenden Verfolgungen
➢
Browser-Optionen hinsichtlich
➢
der Verwendung von Flash, JavaScript oder anderer Software
➢
dem Sammeln von Geo-Location-Daten
➢
der Verwendung von Webcam oder Microfon
ePrivacy-VO – Standpunkt des EU-Parlaments IV
Nach der DSGVO ist vor der ePrivacy-VO WebJustiz.de