Frankfurter Experten-Forum zum Thema „e-privacy“ am 6. Juli 2011
Die Veranstaltung wurde von der Werner Maier Wertsteigerungs-GmbH und der Burda Direkt Services GmbH mit Unterstützung des DDV Deutscher Dialogmarketing Verband e.V. durchgeführt. Ein ausgesuchtes Experten-Team unterstützte die Diskussionsrunde mit wichtigen Hintergrundinformationen zu den Bereichen Gesetzgebung (Rechtsanwalt Dr. Marco Wicklein, Kleiner Rechtsanwälte), eCommerce (Rouven Riexinger, Burda Direkt Services GmbH) und Adressmanagement (Werner Maier, Wertsteigerungs-GmbH).
Anlaß des Experten-Forums war die Umsetzung der EU Richtlinie e-privacy in nationales Recht. Bisher ist die endgültige Gesetzeslage noch nicht festgeschrieben, doch Gesetzesänderungen und Neuerungen stehen an. Wie dann mit retargeting, email-Marketing und Telefonmarketing umzugehen ist, wissen viele Unternehmen noch nicht.
Das Interesse an diesem Thema ist groß und zahlreiche Teilnehmer aus unterschiedlichen Branchen der deutschen Wirtschaft haben ihre Anregungen und Fragen rund um e-privacy und dem sozialen Netzwerk im Forum platzieren können. Aufgrund der großen Resonanz wurde das Experten-Forum zu einem interessanten und hochwertigen Wissens- und Informationsaustausch.
Was beinhaltet die e-privacy Richtlinie? (Auszug von Rechtsanwalt Dr. Marco Wicklein)
1. Neuregelung
· Seit 2002 gibt es die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener
Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation
(e-privacy)
· Diese wurde durch Richtlinie 2009/136/EG vom 25.11.2009 grundlegend überarbeitet
· Anwendungsbereich der Datenschutzregelungen bezieht sich auf öffentlich zugängliche elektronische Kommunikationsdienste
· Neue Cookie-Regelung in Art. 5 Abs. 3 der neuen Richtlinie 2002/58/EG:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."
2. Stand der Umsetzung in deutsches Recht
· Deutschland hat sich im Rahmen der TKG-Novelle (Telekommunikationsgesetz) zunächst gegen Umsetzung der geänderten Richtlinie ausgesprochen und wollte Diskussion auf europäischer Ebene abwarten.
· Momentan gilt für Cookies §15 Abs. 3 TMG (opt-out):
Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden."
· Jetzt (17.06.2011)
Gesetzesentwurf zur Änderung des Telemediengesetzes (Drs 156/11), darin neuer
§ 13 Abs. 8 TMG mit Umsetzung der Opt-in-Lösung für Cookies!
Die Bundesregierung will die neuen Leitlinien zur Handhabung von Cookies und weiterer "Schnüffel-Software" nicht so bald umsetzen. Der Kabinettsentwurf zur Novellierung des Telekommunikationsgesetzes hält zwar besorgt fest, dass mit Browserdateien personenbezogene Informationen verknüpft und Profile erstellt werden können. Die EU-Richtlinie werfe aber noch einige praktische Fragen auf, die derzeit auf europäischer Ebene beraten würden, heißt es weiter. Erst danach könnten die Regeln umgesetzt werden. (Zitat aus heise Zeitschriftenverlag online)
Weiterleitung von Daten – Verknüpfung von Daten, opt-in-/doppel opt-in – Serverstandort – was ist erlaubt? – was muß sein?
Viele Informationen und unterschiedliche Erfahrungen konnten die Teilnehmer des Forums zu diesen Bereichen einbringen:
Die Problematik im Umgang mit adserver stieß im Rahmen des Forums auf reges Interesse. „Wie fragt man das opt-in ab?“, „ist eine Abfrage über pop-up’s eine sinnvolle Lösung?“ und „wie nutzt man die Browsereinstellung zweckmäßig?“. Hier herrscht generell viel Unklarheit bei den Betreibern, da derzeit noch auf keine klare Gesetzgebung zugegriffen werden kann.
Ein Vorreiter auf diesem Gebiet ist sicherlich die ACXIOM Deutschland GmbH, die zur anstehenden Gesetzesänderung bereits sehr tiefgreifende Recherchen und Schritte unternommen hat. ACXIOM orientiert sich bisher stark an den Richtlinien in den USA und nutzt u.a. das Portal www.youronlinechoices.com. Auf diesem Portal haben Mitglieder die Möglichkeit ihr Einverständnis zur Werbeansprache öffentlich zu signalisieren.
Der Hintergrund ist ähnlich, wie bei der in Deutschland existierenden „Robinsonliste“.
Schwierig ist die Abfrage der Zustimmung für retargeting. „Wie kommt man an die umfangreiche Zustimmung, die man benötigt?“
Die Nutzung der Browsereinstellung zur Zulassung von Cookies ist fraglich und reicht zur Einwilligungserklärung nicht aus.
Die Burda Direkt Services GmbH diskutiert hierzu drei Ansätze:
1. Hinweis auf der Startseite (unvorteilhafter Einstieg für den Kunden)
2. Pop-up auf den weiteren Seiten (beste Lösung zur Einverständniserklärung)
3. Allgemeine Geschäftsbedingungen (reicht lt. Rechtsanwalt datenschutzrechtlich nicht
aus)
Interessant war die Aussage, dass Daten, die öffentlich zugänglich sind auch verknüpft werden dürfen. Hierzu zählen auch private Daten, wie z.B. Geburtsdaten, die verwendet werden dürfen. Bei Weiterleitung von Daten müssen die Datenschutzrichtlinien beachtet und die Bezugsquellen angegeben werden!
Ein doppel opt-in (Bestätigung der Einwilligungserklärung per email) ist Standard – single opt-in (Bestätigung ohne Einwilligungserklärung per email) reicht nicht aus, da die Beweisbarkeit nicht gegeben ist.
Anders ist es bei Warenlieferungen und Rechnungsabwicklungen online, hier wird im Bestellvorgang die Adresse genannt und damit die Beweisbarkeit gegeben.
Eine Laufzeit von generierten Daten besteht nicht - eine Einwilligung aller personenbezogenen Daten muß eingeholt werden – auch für cookies! Auf eine erfolgte Abfrage zur Nutzung von Daten muß eine Einwilligung zukünftiger Nutzungen folgen.
Zur Frage des Standortes des Servers ist zu sagen, dass zwar maßgebend die Richtlinien des Landes gelten in dem der Server steht, andernseits aber auch die Richtlinien des Landes der erhobenen Daten Gültigkeit haben.
Abschließende Erkenntnis des Experten-Forum ist, dass es für Unternehmen vielseitiger Informationen bedarf, sich zukünfitg richtlinienkonform zu verhalten. Die Wertsteigerungs-GmbH kann zum Thema viele Informationen liefern und wird den Teilnehmern des Forums eine Publikation zum Datenschutzgesetz des DDV zukommen lassen, die im September 2011 erscheinen wird.
Anlaß des Experten-Forums war die Umsetzung der EU Richtlinie e-privacy in nationales Recht. Bisher ist die endgültige Gesetzeslage noch nicht festgeschrieben, doch Gesetzesänderungen und Neuerungen stehen an. Wie dann mit retargeting, email-Marketing und Telefonmarketing umzugehen ist, wissen viele Unternehmen noch nicht.
Das Interesse an diesem Thema ist groß und zahlreiche Teilnehmer aus unterschiedlichen Branchen der deutschen Wirtschaft haben ihre Anregungen und Fragen rund um e-privacy und dem sozialen Netzwerk im Forum platzieren können. Aufgrund der großen Resonanz wurde das Experten-Forum zu einem interessanten und hochwertigen Wissens- und Informationsaustausch.
Was beinhaltet die e-privacy Richtlinie? (Auszug von Rechtsanwalt Dr. Marco Wicklein)
1. Neuregelung
· Seit 2002 gibt es die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener
Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation
(e-privacy)
· Diese wurde durch Richtlinie 2009/136/EG vom 25.11.2009 grundlegend überarbeitet
· Anwendungsbereich der Datenschutzregelungen bezieht sich auf öffentlich zugängliche elektronische Kommunikationsdienste
· Neue Cookie-Regelung in Art. 5 Abs. 3 der neuen Richtlinie 2002/58/EG:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."
2. Stand der Umsetzung in deutsches Recht
· Deutschland hat sich im Rahmen der TKG-Novelle (Telekommunikationsgesetz) zunächst gegen Umsetzung der geänderten Richtlinie ausgesprochen und wollte Diskussion auf europäischer Ebene abwarten.
· Momentan gilt für Cookies §15 Abs. 3 TMG (opt-out):
Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden."
· Jetzt (17.06.2011)
Gesetzesentwurf zur Änderung des Telemediengesetzes (Drs 156/11), darin neuer
§ 13 Abs. 8 TMG mit Umsetzung der Opt-in-Lösung für Cookies!
Die Bundesregierung will die neuen Leitlinien zur Handhabung von Cookies und weiterer "Schnüffel-Software" nicht so bald umsetzen. Der Kabinettsentwurf zur Novellierung des Telekommunikationsgesetzes hält zwar besorgt fest, dass mit Browserdateien personenbezogene Informationen verknüpft und Profile erstellt werden können. Die EU-Richtlinie werfe aber noch einige praktische Fragen auf, die derzeit auf europäischer Ebene beraten würden, heißt es weiter. Erst danach könnten die Regeln umgesetzt werden. (Zitat aus heise Zeitschriftenverlag online)
Weiterleitung von Daten – Verknüpfung von Daten, opt-in-/doppel opt-in – Serverstandort – was ist erlaubt? – was muß sein?
Viele Informationen und unterschiedliche Erfahrungen konnten die Teilnehmer des Forums zu diesen Bereichen einbringen:
Die Problematik im Umgang mit adserver stieß im Rahmen des Forums auf reges Interesse. „Wie fragt man das opt-in ab?“, „ist eine Abfrage über pop-up’s eine sinnvolle Lösung?“ und „wie nutzt man die Browsereinstellung zweckmäßig?“. Hier herrscht generell viel Unklarheit bei den Betreibern, da derzeit noch auf keine klare Gesetzgebung zugegriffen werden kann.
Ein Vorreiter auf diesem Gebiet ist sicherlich die ACXIOM Deutschland GmbH, die zur anstehenden Gesetzesänderung bereits sehr tiefgreifende Recherchen und Schritte unternommen hat. ACXIOM orientiert sich bisher stark an den Richtlinien in den USA und nutzt u.a. das Portal www.youronlinechoices.com. Auf diesem Portal haben Mitglieder die Möglichkeit ihr Einverständnis zur Werbeansprache öffentlich zu signalisieren.
Der Hintergrund ist ähnlich, wie bei der in Deutschland existierenden „Robinsonliste“.
Schwierig ist die Abfrage der Zustimmung für retargeting. „Wie kommt man an die umfangreiche Zustimmung, die man benötigt?“
Die Nutzung der Browsereinstellung zur Zulassung von Cookies ist fraglich und reicht zur Einwilligungserklärung nicht aus.
Die Burda Direkt Services GmbH diskutiert hierzu drei Ansätze:
1. Hinweis auf der Startseite (unvorteilhafter Einstieg für den Kunden)
2. Pop-up auf den weiteren Seiten (beste Lösung zur Einverständniserklärung)
3. Allgemeine Geschäftsbedingungen (reicht lt. Rechtsanwalt datenschutzrechtlich nicht
aus)
Interessant war die Aussage, dass Daten, die öffentlich zugänglich sind auch verknüpft werden dürfen. Hierzu zählen auch private Daten, wie z.B. Geburtsdaten, die verwendet werden dürfen. Bei Weiterleitung von Daten müssen die Datenschutzrichtlinien beachtet und die Bezugsquellen angegeben werden!
Ein doppel opt-in (Bestätigung der Einwilligungserklärung per email) ist Standard – single opt-in (Bestätigung ohne Einwilligungserklärung per email) reicht nicht aus, da die Beweisbarkeit nicht gegeben ist.
Anders ist es bei Warenlieferungen und Rechnungsabwicklungen online, hier wird im Bestellvorgang die Adresse genannt und damit die Beweisbarkeit gegeben.
Eine Laufzeit von generierten Daten besteht nicht - eine Einwilligung aller personenbezogenen Daten muß eingeholt werden – auch für cookies! Auf eine erfolgte Abfrage zur Nutzung von Daten muß eine Einwilligung zukünftiger Nutzungen folgen.
Zur Frage des Standortes des Servers ist zu sagen, dass zwar maßgebend die Richtlinien des Landes gelten in dem der Server steht, andernseits aber auch die Richtlinien des Landes der erhobenen Daten Gültigkeit haben.
Abschließende Erkenntnis des Experten-Forum ist, dass es für Unternehmen vielseitiger Informationen bedarf, sich zukünfitg richtlinienkonform zu verhalten. Die Wertsteigerungs-GmbH kann zum Thema viele Informationen liefern und wird den Teilnehmern des Forums eine Publikation zum Datenschutzgesetz des DDV zukommen lassen, die im September 2011 erscheinen wird.