Artikel-29-Gruppe zu Anforderungen an die informierte Zustimmung von Werbecookies

1. September 2011

Zur Vorbereitung eines Treffens zwischen dem Internet Advertising Bureau (IAB) und der European Advertising Standards Alliance (EASA), welche die Interessen der Onlinewerbewirtschaft wahrnehmen, und der Artikel-29-Datenschutzgruppe hat deren Vorsitzender Jacob Kohnstamm in einem Brief Stellung zur Frage genommen, welche Anforderungen an eine Zustimmung zur Speicherung von Cookies zu stellen sind. Diese Frage stellt sich infolge der ePrivacy Richtlinie der EU, welche den Anbietern von Internetdiensten vor der Nutzung von Cookies bestimmte Informationspflichten auferlegt und Ihnen abverlangt eine Einwilligung der Nutzer einzuholen. Auf Grund dieser Verpflichtung wird die Richtlinie auch als Cookie Richtlinie bezeichnet. Zum Inhalt der ePrivacy Richtlinie und deren Umsetzung in nationales Recht finden Sie bereits einige Artikel in unserem Blog.

Der Brief Kohnstamms stellt eine Antwort auf den Vorschlag der Werbewirtschaft dar, der im Kern in einem nichterfolgten Opt-Out eine Einwilligung der Nutzer sieht.

Kohnstamm stellt dabei klar, dass in dem Unterbleiben eines Opt-Outs keineswegs eine freiwillig gegebene und informierte Zustimmung zu sehen sei. Er begründet dies damit, dass durchschnittliche Nutzer kaum Kenntnisse über die Methoden der verhaltensbasierten Onlinewerbung hätten und demzufolge auch nicht wüssten, wie man diesen widerspricht. Eine Zustimmung basierend auf einem unterbliebenen Opt-Out bezeichnet er daher als illusorisch. Damit folgt Kohnstamm mit seiner Argumentation dem rechtlichen Grundsatz, dass ein Schweigen keine Willenserklärung darstellt.

Weiterhin führt Kohnstamm aus, dass auf einer Website, die mehrere Werbenetzwerke einsetzt, für jedes Werbenetzwerk eine einzelne informierte Zustimmung zu verlangen sei. Den Nutzern dürfe es nicht zum Nachteil gereichen, wenn eine Websitebetreiber auf mehrere Werbepartner setze.  Ist jedoch dasselbe Werbenetzwerk auch auf einer anderen Website aktiv ist, solle es keiner erneuten Zustimmung bedürfen. Die informierte Zustimmung ist laut Aussage Kohnstamms daher auf das das jeweilige Werbenetzwerk und nicht auf die einzelne Website bezogen. Dies habe auch zur Folge, dass sich die Flut der Zustimmungs-Pop-Ups automatisch im Verlauf der Internetnutzung reduziere. Nichtsdestotrotz schließt die Artikel-29-Gruppe nicht grundsätzlich aus, dass die Industrie eine einheitliche zentralisierte Möglichkeit zur Annahme (oder Ablehnung) von Werbecookies über eine Website schaffe, solange eine feingestaffelte Abstufung möglich bleibe. Kohnstamm forderte die Industrieverantwortlichen explizit auf, zusammen eine gangbare Lösung zu entwickeln.

Auch eine einheitliche browserbasierte Lösung, welche auf Basis von Erwägungsgrund 66 der Richtlinie angedacht wird, lehnt die Artikel-29-Gruppe nicht schlichtweg ab. Unabdingbar sei jedoch, dass der Browser als Voreinstellung alle Cookies ablehne, um den Nutzern überhaupt eine Zustimmungsmöglichkeit zu eröffnen. Auch hier führt Kohnstamm aus, dass es dem durchschnittlichen Nutzer an Kenntnis bezüglich der Einstellungsmöglichkeiten des Browsers in Bezug auf Onlinewerbung fehle. Damit eine Zustimmung über den Browser den Erfordernissen der Richtlinie entspreche, müsste dieser auch die Möglichkeit bieten, die relevanten Informationen über den Zweck des Cookies und die weitere Verarbeitung [der Daten] anzuzeigen. Die Artikel-29-Grupppe erkennt zwar ausdrücklich die Fortschritte der Browserhersteller im letzten Jahr an, hält aber nochmals fest, dass die Voreinstellung Cookies generell anzunehmen, nicht im Einklang mit der von der Richtlinie geforderten informierten Zustimmung stehe.

Schlußendlich erläutert Kohnstamm, welche Anforderungen an eine informierte Zustimmung zu stellen seien. So müssten sämtliche Informationen derart bereitgestellt werden, dass sie auch dem durchschnittlichen Nutzer einleuchteten. Voraussetzung für das Setzen eines Tracking-Cookies sei es, dem Nutzer zu erklären, dass basierend auf seiner Aktivität beim Besuch von Websites ein Profil angelegt werde, um ihm Werbung anzuzeigen. Dies müsse in klarer und unmissverständlicher Art und Weise erfolgen. Aktuell ließe sich das noch nicht, wie von IAB/EASA vorgeschlagen, über ein einheitliches Icon bewerkstelligen, da die Nutzer diesem Icon nicht den entsprechenden Aussagegehalt beimessen könnten. Weiterhin müssten die geforderten Informationen leicht zugänglich sein. Dies könne insbesondere nicht angenommen werden, wenn drei Klicks bis zum Ziel notwendig seien. (se)

BfDI: Zwischenbilanz zur Informationspflicht bei “Datenpannen”

Zwei Jahre nach dem Inkrafttreten von § 42a Bundesdatenschutzgesetz (BDSG), der nicht öffentlichen Stellen eine Informationspflicht bei besonderen “Datenpannen” vorschreibt, zieht der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Peter Schaar eine erste Bilanz und zeigt sich mit der Regelung zufrieden. Die Publizitätspflicht motiviere die verantwortliche Stellen, mehr für den Datenschutz und die Datensicherheit zu tun und versetze den Betroffenen zugleich in die Lage, negative Konsequenzen rechtzeitig abzuwenden und Sicherheitsmaßnahmen zu ergreifen. Erforderlich sei allerdings eine gesetzgeberische Nachbesserung in Form der Erstreckung der Informationspflicht auch auf öffentliche Stellen. Es sei nicht nachvollziehbar, weswegen staatliche Stellen von der allgemeinen Informationspflicht bei Datenpannen ausgenommen wurden.

Den Datenschutzaufsichtsbehörden des Bundes und der Länder sollen in den ersten 18 Monaten nach Inkrafttreten von § 42 a BDSG  fast 90 Datenschutzverstöße gemeldet worden sein. Überwiegend habe es sich dabei um Fälle des Diebstahles bzw. Verlustes mobiler Datenträger (z.B. Notebooks, USB-Sticks) oder um Fehlversendungen von E-Mails und Briefen gehandelt. Ferner sollen Fälle des Ausspähens von Bankinformationen (“Skimming”) sowie Datenverluste infolge von Hackingangriffen zur Kenntnis gegeben worden sein. Die Anzahl der bundesweit gemeldeten Fälle belegt, dass die Informationspflicht von den verantwortlichen Stellen ernst genommen werde, so Schaar. Dennoch gehe er von einer hohen Dunkelziffer nicht gemeldeter Verstöße aus. Häufig sei auch die Kommunikation der verantwortlichen Stellen gegenüber der Öffentlichkeit und den Datenschutzbehörden stark verbesserungsbedürftig. (sa)

Französische Umsetzung der ePrivacy Richtlinie

31. August 2011

Mittlerweile hat Frankreich die Vorgaben der ePrivacy Richtlinie in nationales Recht umgesetzt.

Der Regelung zufolge ist eine generelle Einwilligung zum Setzen von Cookies durch den Browser oder ein anderes Programm möglich. Entgegen der Einschätzung der Artikel-29-Gruppe soll dies auch bereits vor Anzeige des Cookies und den damit verbundenen Informationen möglich sein.

Telekommunikationsanbieter sind verpflichtet, die französische Datenaufsichtsbehörde (CNIL) bei Verstößen gegen die Datensicherheit unverzüglich zu unterrichten. Die Betroffenen sind ebenfalls zu unterrichten, wenn die Gefahr besteht, dass personenbezogene Daten betroffen sind. Von der Unterrichtung des Betroffenen kann jedoch abgesehen werden, wenn die CNIL es als gesichert ansieht, dass angemessene Maßnahmen zur Unbrauchbarmachung der kompromittierten Daten getroffen wurden. Weiterhin sind die Anbieter gehalten, ein Verzeichnis über Verstöße gegen die Datensicherheit zu erstellen, welches jederzeit von der CNIL angefordert werden kann. Verstöße gegen die Vorschriften in Bezug auf die Datensicherheit können mit einer bis zu fünfjährigen Haftstrafe und/oder einer Geldstrafe bis zu 300.000 € geahndet werden. Für Unternehmen kann die Geldstrafe verfünffacht werden. (se)

Demonstration für Datenschutz

Der Arbeitskreis Vorratsdatenspeicherung hat zusammen mit einem Bündnis aus Datenschutzorganisationen und -verbänden zu der Teilnahme an der Demonstration”Freiheit statt Angst – Stoppt den Überwachungswahn” aufgerufen. Am 10. September 2011 wollen Datenschützer für Bürgerrechte, Datenschutz und ein freies Internet in Berlin demonstrieren. Gefordert werden sollen unter anderem der Abbau von Überwachungsmechanismen – z.B. bei der Protokollierung der Telekommunikation und am Arbeitsplatz – sowie die Gewährleistung eines freien Meinungs- und Informationsaustausches über das Internet ohne Sperrlisten, Filterinfrastrukturen oder Vorkontrollen. Die Auftaktveranstaltung findet um 13.00h auf dem Pariser Platz am Brandenburger Tor statt. Von dort aus ziehen die Demonstranten auf einer gegenüber den Vorjahren gekürzten Route zur Karl-Liebknecht-Straße am Alexanderplatz, wo gegen 14.00h die Abschlusskundgebung erfolgt. (sa)

Kategorien: Allgemein
Schlagwörter:

Bing Maps Streetside: Nur wenig Vorabwidersprüche

30. August 2011

Gegen den Internetdienst Bing Maps Streetside gingen nach Angaben des Nachrichtenmagazin Spiegel bislang lediglich 40.000 Vorabwidersprüche ein. Wenngleich die Vorabwiderspruchsfrist noch bis Ende September 2011 läuft, erscheint es unwahrscheinlich, dass die Anzahl von 244.287 Widersprüchen, die gegen den Konkurrenzdienst Google Streetview eingelegt wurden, nur annähernd erreicht werden wird. Der Ansturm an Vorabwidersprüchen, mit dem das zuständige bayerische Landesamt für Datenschutzaufsicht gerechnet hat, ist damit ausgeblieben. (sa)

Facebook: Weitere Kritik auf Bundes- und Landesebene

29. August 2011

Nachdem alle Websitebetreiber in Schleswig-Holstein seitens des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) aufgefordert wurden, ihre Fanpages bei Facebook und Social-Media-Plugins wie den “Gefällt-mir”-Button von ihren Websites zu entfernen, teilen – Medienberichten zufolge – nun auch Datenschützer auf Bundes- sowie Landesebene die durch das ULD geäußerte Kritik. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit soll den Vorstoß des ULD ausdrücklich begrüßt haben. Des weiteren sollen auch die Aufsichtsbehörden in Rheinland-Pfalz, Mecklenburg-Vorpommern und Niedersachsen die Datenerhebung via Plugins als rechtswidrig ansehen. Die Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen, Brandenburg, Baden-Württemberg und Hamburg wiederum sollen Handlungsbedarf erkannt haben und über ein konkretes, ggf. auch gemeinschaftliches Vorgehen noch beraten wollen. (sa)

Facebook: Neues Konzept für Datenschutzeinstellungen

26. August 2011

Facebook hat angekündigt, in den nächsten Tagen ein neues Konzept für Datenschutzeinstellungen online zu stellen. Nutzer sollen in Zukunft für verschiedene Inhalte ihres Profils aus mehreren Freigabemöglichkeiten wählen können, also die Möglichkeit haben, Angaben im Nutzerprofil, in den Statusmeldungen und in den Fototags selektiv für verschiedene Gruppen freizugeben und nachträglich zu ändern. Des weiteren werden Nutzer in Zukunft ihr eigenes Profil aus Sicht der einzelnen Gruppen betrachten können, was eine bessere Kontrolle durch den Nutzer gewährleisten soll. In Bezug auf die Geofunktion ist eine Integration in die Standard-Anwendung geplant. Die Funktion des Taggens von Fotos wird insoweit modifiziert, als der auf dem Foto Identifizierte den Vorgang vorab freigeben muss. Gleiches gilt für Beiträge anderer Mitglieder, in denen man Erwähnung findet.

Der Hamburgische Beauftragte für den Datenschutz und Informationsfreiheit Caspar hält diese Änderungen in vielen Teilen für rein “kosmetisch”. Positiv aus Datenschutzsicht sei zwar, dass Facebook-Beiträge künftig nachträglich unsichtbar gemacht werden könnten. Darüber hinaus hält er seine bereits geäußerte Kritik aufrecht. “In den Punkten, um die es wirklich geht – zum Beispiel, wie lösche ich bereits abgespeicherte biometrische Merkmale meines Gesichts –, da bleibt alles beim Alten.“ (sa)

Bundesregierung: Besserer Verbraucherschutz vor Kostenfallen im Internet

25. August 2011

Das Bundeskabinett hat einen Entwurf für ein “Gesetz zur Änderung des Bürgerlichen Gesetzbuches zum besseren Schutz von Verbraucherinnen und Verbrauchern vor Kostenfallen im elektronischen Geschäftsverkehr” beschlossen, um Kosten- und Abofallen im Internet, die sich trotz umfangreicher Schutzmechanismen zu einem stetig wachsenden Problem entwickelt haben, effektiv zu bekämpfen. Damit es unseriösen Unternehmen erschwert wird, durch unklare und irreführende Gestaltung ihrer Internetseiten bewusst die Kostenpflichtigkeit angebotener Waren oder Dienstleistungen zu verschleiern, sollen alle Unternehmen künftig verpflichtet sein, bei kostenpflichtigen Online-Angeboten auf den Preis, die Lieferkosten, Mindestlaufzeiten von Verträgen sowie wesentliche Merkmale der Ware oder Dienstleistung unmittelbar vor der Bestellung klar und verständlich hinzuweisen. Ein wirksamer Vertrag soll nur dann zustande kommen, wenn der Verbraucher mittels eines Klicks ausdrücklich bestätigt, dass er die Hinweise zur Kenntnis genommen hat (“Button-Lösung”). Erst nach dieser Bestätigung durch den Verbraucher darf der Bestellvorgang eingeleitet werden.

Bereits im Juni haben sich Vertreter des EU-Parlamentes, der Rates und der Kommission ebenfalls auf die Aufnahme einer “Button-Lösung” in die geplante europäische Verbraucherschutzrichtlinie geeinigt, die im Herbst dieses Jahres beschlossen werden soll, allerdings eine Umsetzungsfrist von zwei Jahren für die Mitgliedsstaaten vorsieht. (sa)

Regulierungsfreier Verbraucherdatenschutz in den USA diskutiert

US-amerikanischen Regierungskreisen zufolge streben die Vereinigten Staaten bezüglich des Verbraucherdatenschutzes im Internet einen regulierungsfreien Ansatz an. Danny Weitzner, der für die National Telecommunications and Information Administration (NTIA) tätig ist, führte aus, dass Unternehmen, die sich durch einen verantwortungsvollen Umgang mit dem Datenschutz auszeichneten, nicht noch zusätzliche Steine in den Weg gelegt werden sollten. Weiterhin vertritt Weitzner die Auffassung, dass man bessere Datenschutzgesetze, klarere Regeln, sowie rechtlich verankerte Prinzipien auch ohne die Kosten und Nachteile traditioneller Regulierungsstrukturen erreichen könnte.

Erwartungsgemäß begrüßten Branchenvertreter, wie Victor Nichols von Experian North America, den Vorschlag, auf eine strikte Regulierung zu verzichten. Nichols betonte, dass nur eine Selbstregulierung flexibel genug sei, um ausreichend schnell auf den Markt zu reagieren und den Verbrauchern gleichzeitig Transparenz und Wahlmöglichkeiten zu bieten.

Im März 2011 hatte Weitzners Vorgesetzter Lawrence Strickling dem Kongress vorgeschlagen, dass durch Verbraucherdatenschutzgrundrechte ( “consumer privacy bill of rights”) eine breitere Basis für Datenschutz geschaffen werden könnte. Die Ausführungen Stricklings blieben jedoch recht unspezifisch. Unter anderem forderte er, dass der Zweck der Datenerhebung durch die Unternehmen offengelegt wird. Ob dies auch eine Zweckbindung im Sinne des § 12 Abs. 2 TMG impliziert, lässt sich den Aussagen Stricklings nicht entnehmen. Auch seine weitreichende Formulierung, dass die Unternehmen die einmal gesammelten Daten sicher verwahren müssten, lässt noch keine Rückschlüsse auf einen möglichen Regelungsgehalt der zukünftigen Vorschriften zu.

Bereits im Dezember 2010 hatte das US-Handelsministerium, welchem auch die NTIA unterfällt, einige Anregungen gemacht, wie man die Bundesgesetze bezüglich der Datenerhebung durch Unternehmen, aktualisieren könnte. Konkrete Umsetzungsvorschläge folgten bisher jedoch nicht. Ein sogenanntes white paper, welches klarstellt, wie die Regierung die Frage handhaben möchte, wird für den Herbst 2011 erwartet.

Die USA haben bisher kein dem europäischen Datenschutzrecht vergleichbares Regelwerk. Jedoch haben US-Bundesbehörden wie die Federal Communications Commission und die Federal Trade Commission bereits jetzt einige Möglichkeiten bei Datenschutzverstöße einzuschreiten. Auch auf Grundlage einzelstaatlicher Regelungen ist die Ahndung von Datenschutzverstößen bereits möglich. (se)

“Datenschutz-Auskunftsportal”

22. August 2011

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat gemeinsam mit dem IT-Unternehmen Consist Software Solutions GmbH und dem Institut für Verbraucherpolitik ConPolicy das Forschungsprojekt “Datenschutz-Auskunftsportal” ins Leben gerufen. Das Projekt soll dazu dienen, den Aufwand zur Wahrnehmung von Auskunftsrechten für Verbraucher deutlich zu reduzieren. Verbraucher sollen vor allem dadurch unterstützt werden, dass deren Anfragen formuliert und an die unterschiedlichen am Portal teilnehmenden Unternehmen direkt elektronisch adressiert werden. Außerdem sollen über eine Internetplattform allgemeine Informationen zum Auskunftsrecht angeboten werden. Unternehmen wiederum soll die Abwicklung von Auskunftsanfragen erleichtert werden, indem Tools zur prozessgestützten Bearbeitung von Auskunftsersuchen zur Verfügung gestellt werden.

In der nun laufenden 15-monatigen Projektphase wird ein Labormuster entwickelt, dessen Schwerpunkt auf dem Internetportal und der Interaktion mit den Verbrauchern liegt. Nach Beendigung der Projektphase ist geplant, auf Basis der gewonnenen Ergebnisse ein Internetportal zu realisieren, das Verbrauchern und Unternehmen als Schnittstelle für Anfragen zum Datenschutz dient. Die Förderung des Vorhabens erfolgt aus Mitteln des Bundesministeriums für Ernährung, Landwirtschaft und Verbraucherschutz über die Bundesanstalt für Landwirtschaft und Ernährung im Rahmen des Programms zur Innovationsförderung. (sa)

 

Kategorien: Allgemein
Schlagwörter:
1 268 269 270 271 272 279