COOKIES, SCHREMS & CO - Sebastian Schulz | HÄRTING Rechtsanwälte GDD ERFA-Kreis Bayern
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
COOKIES, SCHREMS & CO.
GDD ERFA-Kreis Bayern
Sitzung am 18.9.2020
Sebastian Schulz | HÄRTING Rechtsanwälte
Cookies & Co. Kurzes Update Gesetzgebung
GDD ERFA-KREIS BAYERN 3
- E-Privacy-Verordnung
• Aktuelles Dossier: Konsultationspapier der Präsidentschaft (DEU) vom 5.7.2020
• DEU will das Verfahren zu Ende bringen
• grundsätzliche Fragen, u.a. Verhältnis EPVO / DSGVO, weiterhin nicht geklärt
• Legitimate Interest als Rechtsgrundlage soll offenbar nicht weiter verfolgt werden
- Referentenentwurf für ein TTDSG
• Grundsatz der vorherigen Einwilligung nach Maßgabe von Art. 5 Abs. 3 S. 1 EP-RL
• Ausnahmen bei Erforderlichkeit für techn. Bereitstellung des Dienstes oder vertragliche
Vereinbarung (Diensteerbringung) oder gesetzl. Pflicht
• Gesetzbegründung: § 15 Abs. 3 TMG ist nicht als Umsetzung ver EP-RL zu verstehen
Cookies & Co. BGH, Urt. v. 28.5.20 – I ZR 7/16
GDD ERFA-KREIS BAYERN 5
Kernaussagen (gestrafft)
Aussage 1: § 15 Abs. 3 S. 1 TMG gilt (bezogen auf den Zweck der Werbung) fort und muss im Lichte
der EPRL ausgelegt werden
§ 15 (3) TMG: Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung
der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der
Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen.
Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
à § 15 Abs. 3 S. 1 TMG setzt Art. 5 Abs. 3 EPRL um; Art. 5 Abs. 3 der Richtlinie 2002/58/EG betrifft nicht die Verarbeitung
personenbezogener Daten und damit nicht den Regelungsgegenstand der DSGVO, sondern die Speicherung von oder den
Zugriff auf Informationen, die im Endgerät des Nutzers gespeichert sind.
à Opt-Out ist wie „fehlendes“ Opt-In zu lesen
Aussage 2: Eine Einwilligungserklärung (hier: in die telefonische Ansprache), die den Verbraucher
mit einer nicht mehr überschaubaren Liste von Partnerunternehmen (hier: 57)
konfrontiert, ist unwirksam.
Cookies & Co. Neue Folgen für die Praxis
GDD ERFA-KREIS BAYERN 7
Banner und Consent Management Tools: 12 Fragen
1. In welchen Fällen braucht es eines Banners bei Pageview 1?
• Nicht bei: technisch erforderlichen Cookies und Cookies, die später geladen werden
• Nicht bei lokal gehosteten Tools?
2. Was bedeutet „voreingestellt“?
• Jedenfalls keine aktiven Skripte bei Pageview 1 (Ausnahme: technisch erforderlich)
• Vorbelegte Checkboxen okay? Auf dem 2nd Level?
3. Was bedeutet „Auswahlmöglichkeit“?
• Ja / Nein / Mehr bei Pageview 1
• Genügt auch ein Schaltfläche „Alle auswählen“?
GDD ERFA-KREIS BAYERN 8
Banner und Consent Management Tools: 12 Fragen
4. Zulässiger Grad der Clusterung?
• Notwendig / Statistik / Performance / Marketing / ...
• Auf dem 2nd Level spezifische Auswahlmöglichkeiten erforderlich?
5. Grenzen der Gestaltung der Buttons/CTA?
• Nudging, Farbgebung, etc.
6. Sind Kopplungen / Cookie Walls zulässig?
• Friss oder stirb?
7. Weitersurfen als aktive Handlung?
• ErwG 32 S. 5 DSGVO; auch: aepd; a.A.: DSK, wohl auch EDPB
GDD ERFA-KREIS BAYERN 9
Banner und Consent Management Tools: 12 Fragen
8. Umfang der Informationspflichten?
• Layered Privacy Notice okay!
• Datenschutzinformation und Impressum bei Pageview 1 erreichbar?
9. Wie erfolgt die praktische Umsetzung von Widerrufen?
• Opt-Out-Cookie als technisch erforderliches Cookie? Mit welcher Laufzeit?
10. Widerspruchsrecht gegen technisch erforderliche Cookies?
11. Wie erfülle ich meine Nachweispflicht nach Art. 5 Abs. 2 DSGVO?
• Prozess dokumentieren und an Art. 11 DSGVO denken!GDD ERFA-KREIS BAYERN 10
Banner und Consent Management Tools: 12 Fragen
12. Was ist zu tun wenn bei Verarbeitungen
über Cookies auch Datentransfers an
Empfänger in Drittstaaten stattfinden?Cookies & Schrems II EuGH, Urt. v. 16.7.20 – C-311/18
GDD ERFA-KREIS BAYERN 12
Kernaussagen des Gerichts (gestra1)
1. Wenn bei Datenexporten aus der EU Behörden eines Dri8staates Zugriff auf den Datenimporteur
haben, findet DSGVO Anwendung.
2. Die zu gewährenden GaranIen im Dri8staat müssen dem Schutzniveau der DSGVO entsprechen.
3. Verantwortlich für die Gewährleistung der GaranIen ist der Datenexporteur (Verantwortlicher bzw.
AuPragsverarbeiter).
4. Privacy Shield ist tot.
5. Bei den übrigen GaranIen kommt es auf die Safeguards an.
6. DPA dürfen/müssen prüfen und ggf. Datentransfer untersagen.GDD ERFA-KREIS BAYERN 13
Kernaussagen des Gerichts (hinterfragt)
1. Wenn bei Datenexporten aus der EU Behörden eines Dri8staates Zugriff auf den Datenimporteur
haben, findet DSGVO Anwendung.
2. Die zu gewährenden GaranIen im Dri8staat müssen dem Schutzniveau der DSGVO entsprechen.
Innerhalb der EU bestehen ebenfalls Zugriffsmöglichkeiten durch Behörden/Geheimdienste...
3. Verantwortlich für die Gewährleistung der GaranIen ist der Datenexporteur (Verantwortlicher bzw.
AuPragsverarbeiter). Genügt eine Formulierung im AV, dass Nr. 2 durch den AV zu gewährleisten ist?
4. Privacy Shield ist tot.
5. Bei den übrigen GaranIen kommt es auf die Safeguards an.
6. DPA dürfen/müssen prüfen und ggf. Datentransfer untersagen.GDD ERFA-KREIS BAYERN 14
GDD ERFA-KREIS BAYERN 15
GDD ERFA-KREIS BAYERN 16
Var. 1
BCRsGDD ERFA-KREIS BAYERN 17
While the Swiss-U.S. Privacy Shield currently remains valid, in light of the recent
Court of Justice of the European Union ruling on data transfers, invalidating the
EU-U.S. Privacy Shield, Google will be moving to reliance on Standard
Contractual Clauses for relevant data transfers, which, as per the ruling, can
continue to be a valid legal mechanism to transfer data under the GDPR. We will
share more information about these updates (including timelines) as soon as
Var. 2
possible. Standard Contractual Clauses are already offered as a transfer SCCs
mechanism by Google Cloud.
We are making these updates solely to address GDPR compliance. The updates
do not give Google additional rights over data. If the Google Ads Data Processing
Terms or Google Ads Controller-Controller Data Protection Terms are already
part of your contract (or if you have separately accepted the Google
Measurement Controller-Controller Data Protection Terms where available), the
updates will apply from August 12, 2020.GDD ERFA-KREIS BAYERN 18
Var. 3
Art. 26GDD ERFA-KREIS BAYERN 19
Var. 4
Art. 49
(1) aGDD ERFA-KREIS BAYERN 20
Var. 4
Art. 49
(1) aGDD ERFA-KREIS BAYERN 21
Fazit für die Praxis und Ausblick
1. Jeder Anbieter jedes Tool muss isoliert betrachtet werden. (Vertragspartner?,
Funktionsumfang?, Welche Garantien werden angeboten?, ...)
2. Tools, die allein auf Privacy Shield setzen, sind hoffentlich schon aussortiert.
3. Datenschutzerklärungen und andere Rechtstexte bereinigen und erforderlichenfalls
neue Verträge schließen.
4. Einwilligungslösungen bereits auf dem First Level des Cookie Banners einbauen. Über
Mehr-Ebenen-Information möglichst konkret auf die Risiken hinweisen.
5. Entlastung bei Datentransfers durch Joint Controller bzw. AV?
6. KOM hat Verhandlungen ab November 2020 avisiert.Vielen Dank! Sebastian Schulz
Rechtsanwalt
schulz@haerting.de
HÄRTING Rechtsanwälte | www.haerting.de
Chausseestraße 13, 10115 Berlin | Tel. +49 30 28 30 57 40 | Fax. +49 30 28 30 57 44Sie können auch lesen
