ePrivacy-Verordnung
6. DFN Konferenz "Datenschutz„28. und 29. November 2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Dr. Moritz Karg
Referent bei der Dienststelle des Hamburgischen Beauftragten für Datenschutz und
Informationsfreiheit
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
METAINFORMATIONEN ZUM ENTWURF DER EPRIVACY-VO
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Stand der ePrivacyVO-E
Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation)
(COM(2017)0010 – C8-0009/2017 – 2017/0003(COD))• Überblick des Gesetzgebungsverlaufs unter
http://eur-lex.europa.eu/procedure/DE/2017_3
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Stand des Entwurfs der ePrivacyVO
Januar 2017
Entwurf der Kommission Januar 2017 (COM)
Juni 2017 Stellungnahme Art-29-Datenschutzgruppe Juli 2017
1. Stellungnahme EP – LIBE-Ausschuss September 2017
1. Stellungnahme Präsidium des EU-Rates (CON)19. Oktober 2017
Report EP-LIBE-Ausschuss (31 Ja / 24 Nein/ 1 Enth)
26. Oktober 2017Annahme des Entwurfs durch EP
Todo: Entwurf Europäischer Rat & Trilog
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Arbeitsauftrag DSGVO
DSGVO ErwG 173
[…]Um das Verhältnis zwischen der vorliegenden Verordnung und der Richtlinie 2002/58/EG klarzustellen, sollte die Richtlinie entsprechend geändert werden. Sobald diese Verordnung angenommen ist, sollte die Richtlinie 2002/58/EG einer Überprüfung unterzogen werden, um insbesondere die Kohärenz mit dieser Verordnung zu gewährleisten.
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
ZIELE UND ZWECK DER EPRIVACY-VO
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Rechtspolitische Motivation
Schutz des Grundrechts aus Artikel 7 GrCH
Schutz des Grundrechts aus Artikel 7 GrCH
• Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Kommunikation
• Privatsphäre in der Kommunikation ist ein wesentlicher Aspekt
• Schutz der Kommunikation vor Kenntnisnahme durch Dritte
• Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Kommunikation
• Privatsphäre in der Kommunikation ist ein wesentlicher Aspekt
• Schutz der Kommunikation vor Kenntnisnahme durch Dritte
Entwurf des EP COM(2017)0010 – C8-0009/2017 –
2017/0003(COD) ErwG 2
Entwurf des EP COM(2017)0010 – C8-0009/2017 –
2017/0003(COD) ErwG 2
• „Der Schutz der Vertraulichkeit der Kommunikation ist eine Grundvoraussetzung für die Wahrung anderer damit verbundener Grundrechte und -freiheiten, etwa den Schutz der Gedanken-, Gewissens- und Religionsfreiheit, der Versammlungsfreiheit sowie des Rechts auf freie Meinungsäußerung und Informationsfreiheit.“
• „Der Schutz der Vertraulichkeit der Kommunikation ist eine Grundvoraussetzung für die Wahrung anderer damit verbundener Grundrechte und -freiheiten, etwa den Schutz der Gedanken-, Gewissens- und Religionsfreiheit, der Versammlungsfreiheit sowie des Rechts auf freie Meinungsäußerung und Informationsfreiheit.“
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Rechtspolitische Motivation
Paradigma der individuellen und gesellschaftlichen Notwendigkeit der
Nutzung digitaler Dienste und Kommunikationsmittel
Paradigma der individuellen und gesellschaftlichen Notwendigkeit der
Nutzung digitaler Dienste und Kommunikationsmittel
E-Privacy Richtlinie ergänzt datenschutzrechtlichen Vorgaben der
DSGVO bezogen auf Vertraulichkeit der digitalen Kommunikation
• Bewahrung der „digitalen Privatheit“ der Kommunikation – Art. 7 GrCH
• Schutz der Individualkommunikation• Schutz vor Ausforschung der Privatsphäre über genutzte
Infrastrukturen und informationstechnischen Systeme
E-Privacy Richtlinie ergänzt datenschutzrechtlichen Vorgaben der
DSGVO bezogen auf Vertraulichkeit der digitalen Kommunikation
• Bewahrung der „digitalen Privatheit“ der Kommunikation – Art. 7 GrCH
• Schutz der Individualkommunikation• Schutz vor Ausforschung der Privatsphäre über genutzte
Infrastrukturen und informationstechnischen Systeme
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Rechtspolitische Motivation
DFN-CERT ePrivacy-VO 29.11.2017
Mr President, briefly, because a lot of myths – or you could also say a lot of lies – have been spread around by some industrial lobbyists.
I would like to add some very short points on what we are deciding today.
The ePrivacy Regulation aims to put users back in control of their communication data and to make sure that confidentiality of communication in a digital environment becomes a reality for everyone. At the same time, the ePrivacy Regulation does not ban all forms of advertising. It only addresses the issues of surveillance-driven advertising and wants consumers given [sic!] a choice about whether they want to be tracked or not for commercial purposes.[…]
(Plenardebatte Donnerstag, 26. Oktober 2017 – Straßburg)
MdEP Birgit Sippel(Fraktion der Progressiven Allianz der Sozialisten und Demokraten)
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
GRUNDLAGEN & ANWENDUNGSBEREICH
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Überblick über ePrivacyVO-E
VO löst ePrivacy-RL 2002/58/EG und darauf basierende Gesetze (maßgebl. TKG) im sachlichen Anwendungsbereich ab
gleicher räumlicher Anwendungsbereich wie DSGVO (Marktortprinzip)
gleiches Sanktionssystem mit Verweis in DSGVO(Art. 21 und 22 ePrivacyVO-E)
identische Bußgeldhöhen (Art. 23 ePrivacyVO-E)
grds. gleiche Behörden zuständig & Anwendung des Kohärenzverfahrens der DSGVO (Art. 18 ff ePrivacyVO-E)
weniger Öffnungsklauseln
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Verhältnis zur DSGVO
• Kommission: „lex specialis zur DS-GVO“• Kommission: „lex specialis zur DS-GVO“
Herstellung der Kohärenz zu anderen europäischen VorschriftenHerstellung der Kohärenz zu anderen europäischen Vorschriften
• EP-Entwurf ErwG 5: Vielmehr sollen durch diese Verordnung zusätzliche und ergänzende Sicherheitsvorkehrungen getroffen werden, da die Vertraulichkeit der Kommunikation über das bisherige Maß hinaus geschützt werden muss.
• EP-Entwurf ErwG 5: Vielmehr sollen durch diese Verordnung zusätzliche und ergänzende Sicherheitsvorkehrungen getroffen werden, da die Vertraulichkeit der Kommunikation über das bisherige Maß hinaus geschützt werden muss.
Ergänzung und Präzisierung der Vorgaben der DSGVOErgänzung und Präzisierung der Vorgaben der DSGVO
DSGVO findet Anwendung wenn E-Privacy-Verordnung keine Regelung vorsieht oder erkennbar lückenhaft istDSGVO findet Anwendung wenn E-Privacy-Verordnung keine Regelung vorsieht oder erkennbar lückenhaft ist
• Bsp. Art. 9 ePrivacyVO-E zur Einwilligung • Bsp. Art. 9 ePrivacyVO-E zur Einwilligung
DSGVO findet Anwendung, wenn durch E-Privacy-Verordnung explizit geregeltDSGVO findet Anwendung, wenn durch E-Privacy-Verordnung explizit geregelt
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Materieller Anwendungsbereich ePrivacyVO-E
KommissionKommission
• Verarbeitung elektronischer Kommunikationsdaten in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste
• Verarbeitung von Informationen in Bezug auf die Endeinrichtungen der Endnutzer
• Verarbeitung elektronischer Kommunikationsdaten in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste
• Verarbeitung von Informationen in Bezug auf die Endeinrichtungen der Endnutzer
EU-ParlamentEU-Parlament
• Verarbeitung elektronischer Kommunikationsdaten in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste
• Verarbeitung von Informationen, die sich auf die Endeinrichtungen der Endnutzer beziehen oder von diesen verarbeitet werden
• Inverkehrbringen von Software, die elektronische Kommunikation ermöglicht (inkl. Browser etc.)
• Bereitstellung öffentlich zugänglicher Verzeichnisse
• Übermittlung von elektronischer Direktwerbung
• Verarbeitung elektronischer Kommunikationsdaten in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste
• Verarbeitung von Informationen, die sich auf die Endeinrichtungen der Endnutzer beziehen oder von diesen verarbeitet werden
• Inverkehrbringen von Software, die elektronische Kommunikation ermöglicht (inkl. Browser etc.)
• Bereitstellung öffentlich zugänglicher Verzeichnisse
• Übermittlung von elektronischer Direktwerbung
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Materieller Anwendungsbereich ePrivacyVO-E
• Kommission: Verweis auf Kodex für elektronische Kommunikation / EP: eigene Definition• unerheblich ist Entgeltlichkeit
• Zugangsdienste / Interpersonelle Kommunikationsdienste• OTT-Dienste
• Dienst zur Übertragung von Signalen• auch Maschine-zu-Maschine• Teile eines Rundfunkdienstes
• EP: keine Anwendung auf Inhalte von Rundfunkdiensten, wenn Nutzer nicht individualisiert wird
• Kommission: Verweis auf Kodex für elektronische Kommunikation / EP: eigene Definition• unerheblich ist Entgeltlichkeit
• Zugangsdienste / Interpersonelle Kommunikationsdienste• OTT-Dienste
• Dienst zur Übertragung von Signalen• auch Maschine-zu-Maschine• Teile eines Rundfunkdienstes
• EP: keine Anwendung auf Inhalte von Rundfunkdiensten, wenn Nutzer nicht individualisiert wird
Elektronische Kommunikationsdienste Art. 4 ePrivacyVOElektronische Kommunikationsdienste Art. 4 ePrivacyVO
• elektronische Kommunikationsinhalte und elektronische Kommunikationsmetadaten• erstmals gesetzliche Definition von Inhalts- und Meta(Nutzungs-)daten
• elektronische Kommunikationsinhalte und elektronische Kommunikationsmetadaten• erstmals gesetzliche Definition von Inhalts- und Meta(Nutzungs-)daten
Elektronische KommunikationsdatenElektronische Kommunikationsdaten
• ErwG 8: „Software die elektronische Kommunikation ermöglicht, einschließlich Abruf und Darstellung von Informationen aus dem Internet“• Browser etc.
• ErwG 8: „Software die elektronische Kommunikation ermöglicht, einschließlich Abruf und Darstellung von Informationen aus dem Internet“• Browser etc.
SoftwareSoftware
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
MATERIELLE VORGABEN IN BEZUG AUF KOMMUNIKATIONSDATEN
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Materielle Vorgaben ePrivacyVO-E
DFN-CERT ePrivacy-VO 29.11.2017
Ko
mm
iss
ion • Elektronische
Kommunikationsdaten sind vertraulich. Eingriffe in elektronische Kommunikationsdaten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens oder Überwachens oder Verarbeitens elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer sind untersagt, sofern sie nicht durch diese Verordnung erlaubt werden.
• Elektronische Kommunikationsdaten sind vertraulich. Eingriffe in elektronische Kommunikationsdaten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens oder Überwachens oder Verarbeitens elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer sind untersagt, sofern sie nicht durch diese Verordnung erlaubt werden.
Eu
rop
äis
ches
P
arl
am
ent • Elektronische Kommunikation ist
vertraulich. Eingriffe in elektronische Kommunikation wie Mithören, Abhören, Speichern, Beobachten, Durchleuchten oder andere Arten des Abfangens oder Überwachens oder jegliche Verarbeitung elektronischer Kommunikation durch andere Personen als die Endnutzer sind untersagt.
• Elektronische Kommunikation ist vertraulich. Eingriffe in elektronische Kommunikation wie Mithören, Abhören, Speichern, Beobachten, Durchleuchten oder andere Arten des Abfangens oder Überwachens oder jegliche Verarbeitung elektronischer Kommunikation durch andere Personen als die Endnutzer sind untersagt.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Materielle Vorgaben ePrivacyVO-E
Primat der Vertraulichkeit der KommunikationPrimat der Vertraulichkeit der Kommunikation
Verarbeitung von Kommunikationsdaten
Verarbeitung von Kommunikationsdaten
Kommunikationsdaten allgemeinKommunikationsdaten allgemein
KommunikationsmetadatenKommunikationsmetadaten KommunikationsinhalteKommunikationsinhalte
Verarbeitung von Informationen auf Endgeräten
Verarbeitung von Informationen auf Endgeräten
Schutz der Informationen auf den
Endeinrichtungen
Schutz der Informationen auf den
Endeinrichtungen
Schutz bei Verbindungsherstellung
Schutz bei Verbindungsherstellung
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Überblick materielle Vorgaben
• Erbringung des Dienstes• KOM: Verarbeitung ist für Durchführung der Übermittlung der
Kommunikation nötig• EP: Verarbeitung ist für Durchführung der Übermittlung der
Kommunikation technisch nötig• Technische Sicherheit• KOM: Sicherheit elektronischer Kommunikationsnetze und –
dienste• EP: Gewährleistung der Verfügbarkeit, Integrität,
Vertraulichkeit und Sicherheit des jeweiligen elektronischen Kommunikationsnetzes oder –dienstes
• Erbringung des Dienstes• KOM: Verarbeitung ist für Durchführung der Übermittlung der
Kommunikation nötig• EP: Verarbeitung ist für Durchführung der Übermittlung der
Kommunikation technisch nötig• Technische Sicherheit• KOM: Sicherheit elektronischer Kommunikationsnetze und –
dienste• EP: Gewährleistung der Verfügbarkeit, Integrität,
Vertraulichkeit und Sicherheit des jeweiligen elektronischen Kommunikationsnetzes oder –dienstes
Verarbeitung elektronischer Kommunikationsdaten Art. 6 Abs. 1 ePrivacyVO-E
Verarbeitung elektronischer Kommunikationsdaten Art. 6 Abs. 1 ePrivacyVO-E
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Überblick materielle Vorgaben
• Gewährleistung der Dienstqualitätsanforderungen• Betrugserkennung und -prävention• Netzzusammenschaltungsabrechnung• Qualifizierte Einwilligung – strenger
Erforderlichkeitsmaßstab• KOM: sofern die betreffenden Zwecke durch eine Verarbeitung
anonymisierter Informationen nicht erreicht werden können• EP: sofern die die jeweiligen Zwecke ohne die Verarbeitung
dieser Metadaten nicht erreicht werden können• zudem EP: Datenschutzfolgeabschätzung & vorherige
Konsultation gemäß Art. 36 & 36 DSGVO
• Gewährleistung der Dienstqualitätsanforderungen• Betrugserkennung und -prävention• Netzzusammenschaltungsabrechnung• Qualifizierte Einwilligung – strenger
Erforderlichkeitsmaßstab• KOM: sofern die betreffenden Zwecke durch eine Verarbeitung
anonymisierter Informationen nicht erreicht werden können• EP: sofern die die jeweiligen Zwecke ohne die Verarbeitung
dieser Metadaten nicht erreicht werden können• zudem EP: Datenschutzfolgeabschätzung & vorherige
Konsultation gemäß Art. 36 & 36 DSGVO
KommunikationsmetadatenArt. 6 Abs. 2 ePrivacyVO-EKommunikationsmetadatenArt. 6 Abs. 2 ePrivacyVO-E
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
• Einwilligung des betreffenden/jeweiligen Nutzers• Erforderlichkeit für Erfüllung des Zwecks• alternative, nichtpersonenbezogene Erfüllung
des Zweck ist ausgeschlossen
• Einwilligung des betreffenden/jeweiligen Nutzers• Erforderlichkeit für Erfüllung des Zwecks• alternative, nichtpersonenbezogene Erfüllung
des Zweck ist ausgeschlossen
Kommunikationsinhalte Art. 6 Abs. 3 lit. a) ePrivacyVO-EKommunikationsinhalte Art. 6 Abs. 3 lit. a) ePrivacyVO-E
Überblick materielle Vorgaben
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Überblick materielle Vorgaben
• Verarbeitung von Inhaltsdaten der interpersonelle Kommunikation
• Einwilligung aller jeweiligen Nutzer• ein oder mehrere bestimmte/n Zwecke• strenge Erforderlichkeitsprüfung bzgl.
anonymisierter Verarbeitung der Inhaltsdaten zur Zweckerreichung
• Pflicht zur Konsultation der Aufsichtsbehörde• Datenschutzfolgeabschätzung & vorherige
Konsultation gemäß Art. 36 & 36 DSGVO
• Verarbeitung von Inhaltsdaten der interpersonelle Kommunikation
• Einwilligung aller jeweiligen Nutzer• ein oder mehrere bestimmte/n Zwecke• strenge Erforderlichkeitsprüfung bzgl.
anonymisierter Verarbeitung der Inhaltsdaten zur Zweckerreichung
• Pflicht zur Konsultation der Aufsichtsbehörde• Datenschutzfolgeabschätzung & vorherige
Konsultation gemäß Art. 36 & 36 DSGVO
Kommunikationsinhalte Art. 6 Abs. 3 lit. b) ePrivacyVO-EKommunikationsinhalte Art. 6 Abs. 3 lit. b) ePrivacyVO-E
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Überblick materielle Vorgaben
• „einseitige Inhaltsdaten“ • EP: Such- oder Verschlagwortungsfunktion, virtuelle
Assistenten, Text-Sprach-Module und Übersetzungsdienste
• alleinigen Zweck der persönlichen Nutzung• Ausschließlich für erforderlichen Nutzungszeitraum• keine Einwilligung aller Nutzer/Betroffene erforderlich• Beeinträchtigung der Grundrechte und Interessen
eines anderen Nutzers oder mehrerer anderer Nutzer muss ausgeschlossen sein
• „einseitige Inhaltsdaten“ • EP: Such- oder Verschlagwortungsfunktion, virtuelle
Assistenten, Text-Sprach-Module und Übersetzungsdienste
• alleinigen Zweck der persönlichen Nutzung• Ausschließlich für erforderlichen Nutzungszeitraum• keine Einwilligung aller Nutzer/Betroffene erforderlich• Beeinträchtigung der Grundrechte und Interessen
eines anderen Nutzers oder mehrerer anderer Nutzer muss ausgeschlossen sein
EP: Kommunikationsinhalte Art. 6 Abs. 3a ePrivacyVO-EEP: Kommunikationsinhalte Art. 6 Abs. 3a ePrivacyVO-E
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
MATERIELLE VORGABEN ZUM SCHUTZ DER INFORMATIONEN AUF ENDEINRICHTUNGEN
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Überblick materielle Vorgaben
DFN-CERT ePrivacy-VO 29.11.2017
„Jede vom jeweiligen Nutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt[…]“
„Jede vom jeweiligen Nutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt[…]“
Grundprinzip der VertraulichkeitArt. 8 Abs. 1 ePrivacyVO-E
Grundprinzip der VertraulichkeitArt. 8 Abs. 1 ePrivacyVO-E
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Überblick materielle Vorgaben Art. 8 Abs. 1 ePrivacyVO-E
Ausnahmen Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz
EP: unbedingte Notwendigkeit
Einwilligung des Endnutzers EP: ausdrückliche Einwilligung
Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft
EP: ausdrückliche Anforderung des Dienstes durch Nutzer
Zwingende technische Notwendigkeit
EP: Wahrung der Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Endeinrichtungen
Keine Änderungen der Funktionsfähigkeit & Privatsphäreeinstellungen
Vorherige Information & Interventionsmöglichkeit des Nutzers
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Überblick materielle Vorgaben Art. 8 Abs. 1 ePrivacyVO-E
Anforderungen der Kommission an Webanalytics
Anforderungen der Kommission an Webanalytics
Nötig für Messung des WebpublikumsNötig für Messung des Webpublikums
vom Endnutzer gewünschter Dienst
der Informationsgesellschaft
vom Endnutzer gewünschter Dienst
der Informationsgesellschaft
Betreiber des Dienstes führt Messung durchBetreiber des Dienstes führt Messung durch
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Überblick materielle Vorgaben Art. 8 Abs. 1 ePrivacyVO-E
• Technische Notwendigkeit• Messung vom Betreiber
• oder in seinem Namen• oder von einer unabhängigen Webanalyseagentur, die im öffentlichen
Interesse – auch für wissenschaftliche Zwecke – tätig ist• Pflicht zur Aggregierung der Daten• Widerspruchsrecht gegen Messung• Verbot der Zugänglichmachung der personenbezogene Daten
gegenüber Dritten• keine Beeinträchtigung der Grundrechte des Nutzers durch Messung• Verarbeitung der Daten von Publikumsmessung auf Diensten der
Informationsgesellschaft nur durch Betreiber• Trennungsgebot mit Daten anderer Publikumsmessungen• Information und zusätzliche Risikoeindämmungsmaßnahmen
• Technische Notwendigkeit• Messung vom Betreiber
• oder in seinem Namen• oder von einer unabhängigen Webanalyseagentur, die im öffentlichen
Interesse – auch für wissenschaftliche Zwecke – tätig ist• Pflicht zur Aggregierung der Daten• Widerspruchsrecht gegen Messung• Verbot der Zugänglichmachung der personenbezogene Daten
gegenüber Dritten• keine Beeinträchtigung der Grundrechte des Nutzers durch Messung• Verarbeitung der Daten von Publikumsmessung auf Diensten der
Informationsgesellschaft nur durch Betreiber• Trennungsgebot mit Daten anderer Publikumsmessungen• Information und zusätzliche Risikoeindämmungsmaßnahmen
Anforderungen des Europäischen Parlaments an Webanalytics 1/3Anforderungen des Europäischen Parlaments an Webanalytics 1/3
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Überblick materielle Vorgaben Art. 8 Abs. 1 ePrivacyVO-E
• Webanalyse im Arbeitsverhältnis - Arbeitnehmerdatenschutz• Zwingende technische Erforderlichkeit für Erfüllung einer
Aufgabe im Arbeitsverhältnissen• Arbeitgeber stellt Endeinrichtung bereit• Nutzer ist der Arbeitnehmer• Messung dient nicht Überwachung des Arbeitnehmers
• Webanalyse im Arbeitsverhältnis - Arbeitnehmerdatenschutz• Zwingende technische Erforderlichkeit für Erfüllung einer
Aufgabe im Arbeitsverhältnissen• Arbeitgeber stellt Endeinrichtung bereit• Nutzer ist der Arbeitnehmer• Messung dient nicht Überwachung des Arbeitnehmers
Anforderungen des Europäischen Parlaments an Webanalytics 2/3
Anforderungen des Europäischen Parlaments an Webanalytics 2/3
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Überblick materielle Vorgaben Art. 8 Abs. 1a ePrivacyVO-E
• Allgemeine Anforderungen• Cookiewallverbot• Zugang zu Dienst oder Funktionselement der
Informationsgesellschaft darf nicht abhängig gemacht werden von Einwilligung• in die Verarbeitung personenbezogener Daten oder• in die zur Bereitstellung des Dienstes oder des
Funktionselements nicht erforderliche Nutzung von Verarbeitungs- oder Speicherkapazitäten seiner Endeinrichtung
• Allgemeine Anforderungen• Cookiewallverbot• Zugang zu Dienst oder Funktionselement der
Informationsgesellschaft darf nicht abhängig gemacht werden von Einwilligung• in die Verarbeitung personenbezogener Daten oder• in die zur Bereitstellung des Dienstes oder des
Funktionselements nicht erforderliche Nutzung von Verarbeitungs- oder Speicherkapazitäten seiner Endeinrichtung
Anforderungen des Europäischen Parlaments an Webanalytics 3/3Anforderungen des Europäischen Parlaments an Webanalytics 3/3
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
WAS WÄRE WENN…TRACKING OHNE EPRIVACY-VO
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Thesen zum anzuwendenden Recht
Art. 95 DSGVO – Fortgeltung der ePrivacy-Richtlinie 2002/58/EGArt. 95 DSGVO – Fortgeltung der ePrivacy-Richtlinie 2002/58/EG
ePrivacy-Richtlinie wird durch TKG und nicht durch TMG umgesetztePrivacy-Richtlinie wird durch TKG und nicht durch TMG umgesetzt
keine Anwendbarkeit §§ 11 – 15 TMG• insbesondere nicht § 15 Abs. 3 TMG
keine Anwendbarkeit §§ 11 – 15 TMG• insbesondere nicht § 15 Abs. 3 TMG
Anwendung der DSGVO auf „heutige“ TelemediendienstanbieterAnwendung der DSGVO auf „heutige“ Telemediendienstanbieter
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
These zur datenschutzrechtlichen Rechtmäßigkeit
Gewährleistung der Schutzziele des Art. 5 Abs. 1 a) DSGVO
Gewährleistung der Schutzziele des Art. 5 Abs. 1 a) DSGVO
RechtmäßigkeitRechtmäßigkeit Treu und GlaubenTreu und Glauben Transparenz Transparenz
Anzuwendendes Recht: DSGVOAnzuwendendes Recht: DSGVO
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
These zur datenschutzrechtlichen Rechtmäßigkeit
• Zu „enger“ Anwendungsbereich in Absatz 1• „rechtlicher Wirkung“ bzw. Beeinträchtigung in „ähnlicher“
Weise
• Zu „enger“ Anwendungsbereich in Absatz 1• „rechtlicher Wirkung“ bzw. Beeinträchtigung in „ähnlicher“
Weise
Art. 22 DSGVO – Einzelfallentscheidung
und Profiling
Art. 22 DSGVO – Einzelfallentscheidung
und Profiling
• berechtigtes Interesse vs. schutzwürdige Interessen der Betroffenen
• Position Art-29-Datenschutzgruppe• nur first-party-tracking zulässig• Keine umfassenden Nutzungsprofile ohne entsprechende
Einwilligung
• berechtigtes Interesse vs. schutzwürdige Interessen der Betroffenen
• Position Art-29-Datenschutzgruppe• nur first-party-tracking zulässig• Keine umfassenden Nutzungsprofile ohne entsprechende
Einwilligung
Art. 6 Abs. 1 f) DSGVO –
Art. 6 Abs. 1 f) DSGVO –
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
2- Stufenprüfung
Bedingungen für Nutzertracking auf Grundlage berechtigten Interesses Art. 6 Abs. 1 f) DSGVO
2-Stufen-Prüfung1. Interesse muss „legitim“ = rechtmäßig sein
• Beachtung von datenschutzrechtl. Verarbeitungsverboten – z.B. Art. 9 Abs. 1 DSGVO
• ggfs. Beachtung bereichsspezifischer Verarbeitungsverbote – z.B. GenTG
2. Abwägungsentscheidung
• im Prinzip Verhältnismäßigkeitsprüfung
• Beachtung der freien Ausübung der Grundrechte insbes. mit Relevanz zur freiheitlich-demokratischen Grundordnung (gesellschaftliche Dimension der Grundrechte)
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Art-29-Datenschutzgruppe
Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG (WP 217) S. 33
„Für die Verarbeitung Verantwortliche können ein berechtigtes Interesse daran haben, die Vorlieben ihrer Kunden zu erfahren, um dadurch ihre Angebote besser auf die jeweilige Person abzustimmen und schließlich Waren und Dienstleistungen anbieten zu können, die den Bedürfnissen und Wünschen der Kunden besser gerecht werden. Vor diesem Hintergrund kann Artikel 7 Buchstabe f [DSRL] für bestimmte Arten von Vermarktungstätigkeiten, online wie offline, eine Rechtsgrundlage liefern, auf die man sich berufen könnte, vorausgesetzt, bestimmte Schutzmaßnahmen wurden getroffen“
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Art-29-Datenschutzgruppe
Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die
Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG (WP 217) S. 33
„Das bedeutet jedoch nicht, dass die für die Verarbeitung Verantwortlichen sich auf Artikel 7
Buchstabe f berufen können, wenn sie unangemessenerweise die Online- oder
Offlineaktivitäten ihrer Kunden überwachen, ungeheure Mengen von Daten über diese aus
verschiedenen Quellen, die ursprünglich vor einem anderen Hintergrund und für andere
Zwecke erhoben wurden, zusammenfassen, komplexe Profile zu den persönlichen
Besonderheiten und Vorlieben der Kunden erstellen und – beispielsweise unter Hinzuziehung
von Datenvermittlern – mit diesen auch Handel treiben, ohne dass diese Kunden davon in
Kenntnis gesetzt werden und ein funktionierender Widerspruchsmechanismus existieren
würde, von Einwilligung in Kenntnis der Sachlage ganz zu schweigen. Derartige
Profilingtätigkeiten stellen mit hoher Wahrscheinlichkeit einen massiven Eingriff in die
Privatsphäre des Kunden dar, und wenn dem so ist, überwiegen die Interessen und Rechte
der betroffenen Personen das Interesse des für die Verarbeitung Verantwortlichen.“
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
TOM zur Wahrung der Nutzerinteressen
• Widerspruchsrecht• Verwendung von Pseudonymen• Trennungsgebot - Einwilligungsvorbehalt
• zeitl. Beschränkung der Profilbildung• keine Verarbeitung besonderer personenbezogener Daten
• Widerspruchsrecht• Verwendung von Pseudonymen• Trennungsgebot - Einwilligungsvorbehalt
• zeitl. Beschränkung der Profilbildung• keine Verarbeitung besonderer personenbezogener Daten
Rechtmäßigkeit / Treu und GlaubenRechtmäßigkeit / Treu und Glauben
• Information vor Profilbildung über• Auswirkung auf Rechte der Nutzer• Zweck, Art, Umfang und Dauer der Verarbeitung• Beachtung der Transparenzvorgaben der DSGVO
• Information vor Profilbildung über• Auswirkung auf Rechte der Nutzer• Zweck, Art, Umfang und Dauer der Verarbeitung• Beachtung der Transparenzvorgaben der DSGVO
TransparenzTransparenz
DFN-CERT ePrivacy-VO 29.11.2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Kontakt
Vielen Dank für Ihre AufmerksamkeitDr. Moritz KargDienstelle des Hamburgische Beauftragte für den Datenschutz und die InformationsfreiheitKlosterwall 6 (Block C)20095 HamburgTelefon: +49 40/42854 – 4051E-Fax: +49 40 4 279 11 – 851E-Mail: [email protected]
DFN-CERT ePrivacy-VO 29.11.2017