20130712 - privacy - rechtsanwaltskanzlei - isabell lichtenstrasser
DESCRIPTION
PRIVACY Opt-in, Opt-out – oder lieber gar keine eigene Regelung? Die europäischen Länder handhaben die EU-Vorgabe in Sachen Cookies sehr unterschiedlich. Die Argumente der Regulierungsbefürworter und Kritiker bewegen sich zwischen gläsernem Konsumenten und sinnvoller Reduktion von Werbemüll. Wie ist der Stand der Dinge in Deutschland, Österreich und Schweiz? Und: Brauchen wir noch Cookies?TRANSCRIPT
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Cookie Monster & Online Stalking
Data Privacy
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Cookies
Lou Montulli entwickelte Cookies 1994
Cookies erlauben es dem Web, sich zu „erinnern“
http://live.wsj.com/video/how-advertisers-use-internet-cookies-to-track-you/92E525EB-9E4A-4399-817D-8C4E6EF68F93.html#!92E525EB-9E4A-4399-817D-8C4E6EF68F93 1:40
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
(http) Cookies – Cui Bono?
Session Cookies
Persistent Cookies
Authentifizierungs Cookies
Third Party Cookies
Session Management
Personalisierung/Präferenzenmanagement
Tracking
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Placement of trackers
Evidon Global Tracker Report 24 th of Feb 2013
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Trackers by Category
Ad Scripts
Advertising scripts deliver ads and track users for future ad delivery.
Analytics Scripts
Analytics scripts provide data to website owners about their audience.
Behavioral Trackers
Behavioral trackers segment users for ad and content targeting.
Page Widgets
Page widgets collect data while providing some function to the user.
Evidon Global Tracker Report 24 th of Feb 2013
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Aktuelle rechtlichte Regelung auf EU EbeneDatenschutz Richtlinie 95/46/EC
Nur 1% der europäischen Haushalte waren 1995 online
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Legal Framework für Data Privacy in Europa
RICHTLINIE 95/46/EG (Datenschutz Richtlinie)zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
Definiert Mindeststandards für Datenschutz
RICHTLINIE 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation)setzt verbindliche Mindestvorgaben für den Datenschutz in der Telekommunikation
Ergänzt die Datenschutzrichtlinie für den Telko Sektor
RICHTLINIE 2009/136/EG (ePrivacy Richtlinie) ergänzt die RL 2002/58/EC (unter anderem)
Enthält den sogenannten Cookiepragraphen
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Cookie ParagraphArt. 2 der ePrivacy RL: ändert Artikel 5 Absatz 3 der RL 2002/58/EG (Datenschutzrichtlinie für die elektronische Kommunikation)
Jedes Cookie braucht Zustimmung
3) „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Cookie ParagraphAbsatz 66 der Präambel lässt Intrepretationsspielraum
Muss die Zustimmung explizitsein?
(66) „Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.“
Beispiele für worst case szenariohttp://www.davidnaylor.co.uk/eu-cookies-directive-interactive-guide-to-25th-may-and-what-it-means-for-you.html http://www.cookiedemosite.eu/
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Informierte ZustimmungUm Browsereinstellungen als implizite Zustimmung interpretieren zu können, muss informiert werden
Implizite Zustimmung muss informierte Zustimmung sein
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Audience Targeting
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Publisher Ad server
WerbeauslieferungPublisher übergreifendes Targeting
Nutzersurft auf einer Website
Publisher Ad Server bekommt den Aufruf
der Website, eine Werbung auszuliefern
Publisher Ad Server erstellt einen „Ad Frame“ und sendet diesen an den Ad Server
der Agentur
Targeting-System identifiziert Nutzer. Ad
Server liefert das passende Bild.
Nutzer sieht Werbung auf der Seite
TRAGETIN
G
SYSTEM
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Fehlende Daten werden komplettiertMathematische Algorythmen erstellen Profile in Echtzeit
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Informierte ZustimmungUm Browsereinstellungen als implizite Zustimmung interpretieren zu können, muss informiert werden
Implizite Zustimmung muss informierte Zustimmung sein
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
IAB OBA Selfregulation Framework
OBA = Online Behavioral Advertising
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
OBA Selfregulation Framework
Die europäische digitale Wirtschaftoptiert für Selbstregulierungsmaß-nahmen bei third party onlinebehavioral advertising
Icons informieren über tracking
Bieten opt-out Möglichkeit
Your Online Choices
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Do Not Track!DNT is ein Standard, an dem das W3C (World Wide Web Consortium) arbeitet
DNT ≠ Privacy Mode
Der http header übermittelt das Signal, dass der User/die Userin nicht getrackt werden willEs obliegt dem Sitebetreiber, den Wunsch zu respektieren
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
EU Datenschutzverordnung
Verordnung ≠ Richtlinie
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Einige Punkte aus der Verordnung
Extensive Definition von personenbezogenen Daten-> jede Identifikationsnummer (bzw. eindeutige Kennzeichnung)
Zustimmung muss spezifisch, informativ und explizit sein
Zustimmung ist nicht gültig, wenn Ungleichgewicht zwischen der betroffenen Person und dem Verantwortlichen besteht
Profiling ist (fast ausschließlich) nur mit expliziter Zustimmung erlaubt
Data protection by desing and by default
Das Recht vergessen zu werden (the right to be forgotten)
Datenpannen müssen in einem kurzen (24-72 h) Zeitraum gemeldet werden
Das Recht auf Widerspruch
Schutz von Kindern
Datenschutzbeauftragte
Hohe Strafen (2% Jahresumsatz)
Innovation – Insights – Interaction Lilian Meyer-Janzek IAB Austria
Data Privacy
Diskussion