E-Commerce & Datenschutz...E-Commerce & Datenschutz Cookies, Newsletter und weiter aktuelle Themen Meyerlustenberger Lachenal Rechtsanwälte EU DSGVO – InkrafttretenMeyerlustenberger

E-Commerce & Datenschutz Cookies, Newsletter und weiter aktuelle Themen

Webinar vom 10. August 2017

Lukas Bühlmann, LL.M.

www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte

E-Commerce & Datenschutz

Cookies, Newsletter und weiter aktuelle Themen

Übersicht

2

Datenschutzrevision in der Schweiz – wo stehen wir?

EU-DSGVO – jetzt handeln!

Wichtige Änderungen / Auswirkungen

Auswirkungen auf Datenschutzinformationen

Änderungen bei der Einwilligung

E-Privacy Verordnung EU

Wichtige Entwicklungen in der Rechtssprechung

Was bedeutet das konkret für:

E-Mail-Marketing

Gewinnspiele

Analytics Tools

Affiliate Marketing

Datenschutzreform in der

Schweiz – wo stehen wir?




Datenschutzreform in der Schweiz – wo stehen wir?

4

DSG-Revision nicht im luftleeren Raum

Modernisierung der Datenschutzkonvention SEV 108 des Europarates (E-K108)

EU-Datenschutzgrundverordnung

21. Dezember 2016: Vorentwurf zur Totalrevision des Schweizer

Datenschutzgesetzes (DSG) in die Vernehmlassung

Ende Vernehmlassung: 4. April 2017

Heftige Kritik am Vorentwurf

Weiteres Vorgehen

August 2017 : 2. Entwurf & Botschaft geplant (EJPD)

August 2018: geplantes Inkrafttreten Schengen-Teil

Ca. Mitte 2019: geplantes Inkrafttreten privater Teil

EU DSGVO & Schweizer E-Commerce – Jetzt handeln!




EU DSGVO – Inkrafttreten

am 25. Mai 2018




EU DSGVO ist für Schweizer Unternehmen relevant!

7

Art. 3 DSGVO: Anwendung auch auf Nicht-EU-Unternehmen

Bearbeitung durch Niederlassung eines Verantwortlichen oder eines

Auftragsverarbeiters in der Union, unabhängig davon, ob die Verarbeitung in der Union

stattfindet

Bearbeitung von Daten betroffener Personen, die sich in der Union befinden, durch

einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter,

wenn die Datenverarbeitung im Zusammenhang damit steht

Angebot von Waren und Dienstleistungen an betroffene Personen in der Union

Beobachtung des Verhaltens betroffener Personen, soweit ihr Verhalten in der Union

erfolgt (Tracking Tools)




Wann sind CH E-Commerce Unternehmen betroffen?

Beispiele….

8

EU-Niederlassung eines CH-Unternehmen oder Teilnahme an Datenbearbeitungen

von EU-Unternehmen (z.B. in Konzernverhältnissen)

CH-Onlineshop richtet seine Angebote an Kunden aus EU-Ländern (z.B.

Deutschland)

Webseite eines CH-Unternehmens mit Tracking-Tools, sofern sich Webseite auch

auf Nutzer aus EU-Ländern ausrichtet

Auftragsdatenbearbeitung durch EU-Unternehmen für CH-Unternehmen (z.B. Cloud-

Anbieter) oder Bearbeitung von Personendaten durch CH-Unternehmen im Auftrag

eines EU-Unternehmens (z.B. einer EU-Niederlassung)

Wichtige Neuerungen…




Informationspflichten

10

Informationspflicht bei allen Datenbearbeitungen –mehr Informationen

notwendig

Kategorie der beschafften Daten

Zweck der Datenbearbeitung

Kategorien von Datenempfängern

Rechte der betroffenen Person

Kontaktdaten der für die Datenbearbeitung verantwortlichen Person

Verbindliche Detailregelung oder Regeln der Guten Praxis?

Ausnahmen: Person bereits informiert, Gesetz, Information unverhältnismässig

Auch bei Beschaffung aus Drittquellen

Sorgfaltpflichten

Katalog der Sorgfaltspflichten

Technische und organisatorische Massnahmen

Privacy by Design (Datensparsamkeit, dezentrale Speicherung von Daten)

Privacy by Default (datenschutzfreundlichste Option als Standard)

Dokumentationspflicht – aber: kein Recht auf Einblick

Datenschutzfolgeabschätzung (bei Datenbearbeitungen mit erhöhtem Risiko)

Meldepflicht bei Datenschutzverletzungen (an Aufsichtsbehörde, ausnahmsweise auch an

betroffene Person)

Ernennung eines Datenschutzverantwortlichen (bei grösseren Unternehmen)




Einwilligung & Kontrollrechte

12

Strenge Anforderungen an Einwilligung

Rechte der betroffenen Person – Katalog

Ergänzung Auskunftsrecht: Aufbewahrungsdauer und logischer Aufbau von automatisierten

Datenbearbeitungen (z.B. Profiling) – letzteres umstritten und unklar

Berichtigungsrecht – Information an Dritte bei Weitergabe der Daten!

Recht auf Löschung

Recht auf Sperrung einer widerrechtlichen Datenbearbeitung

Bestreitungsvermerk

Recht auf Widerspruch gegen Datenbearbeitungen ohne Rechtfertigungsgrund

Recht, keiner auf einer rein automatisierten Bearbeitung von Daten basierenden

Entscheidung unterworfen zu sein, welche die Person in massgeblicher Weise betrifft

(z.B. Bonitätsprüfung, wohl aber nicht Profiling für Werbeaktivitäten)

Recht auf Dataportabilität

Auswirkung auf Datenschutzinformationen




Auswirkungen

14

Erhebliche Auswirkungen der Reformen auf Form und Inhalt der

Datenschutzerklärungen für Online-Shops

Verstärkte Informationspflichten erhöhen Anforderungen an Transparenz

Präzise, transparente und verständliche Informationen

Klare und einfache Sprache

Spezifische Anforderungen an Einwilligungserklärungen in

Datenschutzerklärung

Gut sicht- und lesbar sowie getrennt von anderen Informationen




Wichtige Themen in Datenschutzerklärungen

15

Server-Logfiles

Webanalyse-Tools

Re-Targeting mittels Cookies

Social PlugIns

Kontaktdaten

Bearbeitung für Marketingzwecke

Hinweis auf Kreditwürdigkeitsprüfungen / Bonitätsprüfungen

Informationen betreffend Datenbeschaffungen aus Drittquellen

Datenbearbeitungen durch Dritte (Auftragsdatenbearbeitung)

Transfer von Daten in Ausland

Einwilligung




Anforderungen an Einwilligungen (Datenschutz)

17

Wichtig: In EU Prinzip des Verbots mit Erlaubnistatbestand – jede Datenbearbeitung benötigt Rechtfertigung! – Einwilligung und berechtigtes Interesse

Informiertheit (Art. 7 Abs. 2 DSGVO)

Widerruflichkeit (Art. 7 Abs. 3 DSGVO)

Freiwilligkeit (Art. 7 Abs. 4 DSGVO)

Konsequenzen in Praxis:

Einwilligung durch ausdrückliche, aktive Handlung – Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit keine Einwilligung!

Bei Dokumenten, welche nebst Einwilligungserklärungen andere Informationen enthalten: Einwilligungserklärungen gut sicht- und lesbar sowie getrennt von anderen Themen – besonders wichtig bei Datenschutzerklärungen!

Koppelungsverbot (Art. 7 Abs. 4 DSGVO): Unzulässigkeit der Einwilligung in Datenbearbeitung als Vorbedingung für Abschluss eines Rechtsgeschäft, falls betreffende Datenbearbeitung für Durchführung des Vertrages nicht notwendig – Bei Einwilligungen im Rahmen von Gewinnspielen relevant!

E-Privacy Verordnung EU –

beinahe unbeachtet, zu Unrecht!




E-Privacy Verordnung soll EU Cookie-Richtlinie ersetzen

19

Hintergrund: Problem der uneinheitlichen Regeln rund um Cookie-

Einwilligungen aufgrund der sog. Cookie-Richtlinie in der EU

Geltende Cookie-Richtlinie: Cookies erlaubt bei vorgängiger Information

über Verwendung von Cookies (inkl. Zweck) und informierter Einwilligung

des Nutzers.

Unklar: Form der Einwilligung (ausdrücklich oder stillschweigend)

E-Privacy Verordnung soll Problem durch unmittelbar anwendbare Regeln

einheitlich lösen

E-Privacy Verordnung als Ergänzung zur EU DSGVO – Inkrafttreten auf dem

25. Mai 2018





20

Entwurf E-Privacy Verordnung:

Grundsatz der vorgängigen Information und Zustimmung unverändert.

«Zentralisierung der Einwilligung»: d.h. Nutzer muss künftig vor der Installation eines Browsers über die Privatsphären-Einstellungen informiert werden und Einstellungen selbst vornehmen, d.h. zustimmen.

Einstellungsoptionen durch Browser-Anbieter.

Zustimmungsregeln bei installierter Software ab erstem Software-Update, spätestens ab dem 25. August 2018.

Keine Vorgaben über Voreinstellungen in der E-Privacy Verordnung, jedoch EU DSGVO Prinzip «Privacy by Default».

Website-Betreiber sollen trotz Voreinstellungen im Browser nach wie vor die Möglichkeit einer individuellen Einwilligung über Pop-Up haben.

Vorgaben gelten unabhängig eines Personenbezuges, führt zur Bevorteilung von Login-basierten Nutzungsmodellen (z.B. Facebook).

Sanktionen analog zur EU DSGVO, d.h. Geldbussen bis max. 20 Mio. EUR oder 4% des gesamten weltweiten Jahresumsatzes





21

Relevanz für Schweizer E-Commerce-Unternehmen?

Ja, unmittelbar!

Räumlicher Anwendungsbereich analog zur EU DSGVO

Verordnung gilt, wenn bspw. Cookies auf Endgeräten von Nutzern in der EU

gesetzt oder bearbeitet werden.

Cookies im geltenden Schweizer Recht:

Art. 45c FMG: Benutzer müssen über die Bearbeitung, ihren Zweck und die

Ablehnungsmöglichkeiten informiert werden.

Keine Formforschrift im Gesetz, Information in der Datenschutzerklärung sicher

ausreichend.

Schweizer Recht verlangt also keine Einwilligung zur Speicherung von

Cookies, Nutzer muss Cookies aber verhindern können (sog. Opt-Out-

Verfahren).

Wichtige Entwicklungen / Rechtsprechung




Abmahnung Datenschutzerklärung

23

LG Köln vom 26. November 2015

Fehlen einer Datenschutzerklärung auf Webseite ist Wettbewerbsverstoss

Konkurrenten können Fehlen der Datenschutzerklärung abmahnen

Andere Gerichte verneinten Wettbewerbsverstoss bei Datenschutzverletzungen

Konsequenzen

CH-Onlinehändler mit Ausrichtung auf deutsche Kunden aufgepasst!

Abmahnungen wegen Datenschutzverletzungen möglich




Einwilligung in Weitergabe von Daten

24

OLG Frankfurt vom 28. Juli 2016

Einwilligungserklärung in Telefon- und E-Mail-Werbung im Rahmen eines Gewinnspieles unwirksam

Grund: Einwilligung für Weitergabe an eine Vielzahl von werbenden Unternehmen zu unbestimmt!

Link auf Liste mit 50 werbenden Unternehmen, aber: Geschäftsbereiche der Unternehmen zu wenig

spezifisch

Rechtslage Schweiz

Anforderungen an Einwilligung zur Weitergabe von Daten an Dritte liberaler

Aber: Nutzer muss eine Vorstellung über den Kreis der Datenempfänger erhalten!

Geschäftsbereiche der werbenden Unternehmen auch nach schweizerischem Recht relevant –

Kategorisierung genügt!




Einbezug von Google Analytics

25

LG Hamburg vom 9. August 2016

LG Hamburg untersagt einem Online-Händler weitere Nutzung von Google Analytics

Grund: Keine Information über die Nutzung von Google Analytics und keine Anonymisierung der IP-Adressen

Vorgaben deutsche Datenschutzbehörden (2011)

Auftragsdatenverarbeitung: schriftlicher Vertrag mit Google

Widerspruchsmöglichkeit: Information in Datenschutzerklärung

IP-Anonymisierung

Löschung bestehender Analytics-Account, falls Anforderungen bisher nicht erfüllt!

Rechtslage Schweiz

Transparente Information in Datenschutzerklärung und Hinweis auf Widerspruchsmöglichkeit

Auftragsdatenbearbeitung, aber nicht zwingend Vertrag notwendig

Datenschutzgesetz nach IP-Anonymisierung noch anwendbar?




Datentransfer in USA

26

Rechtslage Schweiz

EDÖB erklärte Safe Harbor-Abkommen für unwirksam

Art. 6 DSG: USA Land ohne angemessenes Datenschutzniveau – vertragliche Garantien oder Zustimmung der betroffenen Personen

Verwendung der Standardvertragsklauseln

EDÖB zusätzliche Anforderungen: Informationspflicht betreffend Risiken bei Transfer in die USA

Aber: Seit April 2017 Zertifizierung von US-Unternehmen unter dem U.S.-Swiss Privacy Shield Framework möglich. Privacy Shield ersetzt Safe Harbor-Abkommen. Von EDÖB anerkannt. Umstritten ist, ob weiterhin eine Informationspflicht besteht (EDÖB ja, herrschende Lehre eher nein)

Rechtslage EU

Privacy Shield Principles

Zertifizierung ab 1. August 2016 möglich




Was bedeutet das nun

konkret für ...




28

Email-Marketing:

Schweiz:

Aktuell keine Anpassungen notwendig

Aber: für gewisse Unternehmen EU-

DSGVO relevant (nachfolgend)

Transparente Information bei Weitergabe

für Marketingzwecke an Dritte

EU:

Aktive und separate Einwilligung

Transparente und ausführliche Information

bei Weitergabe an Dritte (Bezeichnung der

Drittunternehmen)




29

Gewinnspiele:

Schweiz:

Gemäss Vorentwurf keine Änderungen bei

der Einwilligung

kein Koppelungsverbot betreffend

Verwendung der Daten für Werbezwecke

EU

Koppelungsverbot

Umstritten, ob Teilnahme am Gewinnspiel

von Einwilligung zur Bearbeitung der

Teilnehmerdaten für Werbezwecke zulässig

Bayerische Datenschutzaufsichtsbehörde:

Einwilligung in Datennutzung für

Werbezwecke als Gegenleistung für

Gewinnspielteilnahme – für die

Durchführung des Vertrages erforderlich




30

Analytics Tools: Transparente Information in

Datenschutzerklärung über alle genutzten Tools

IP-Adressen werden von zahlreichen Datenschutzbehörden und einzelnen nationalen Gerichten als Personendaten qualifiziert

Falls Tool-Anbieter im Ausland – Regelungen zum Datentransfer ins Ausland beachten

Anbieter des Analysetools ist Auftragsdatenbearbeiter – schriftlicher Auftragsdatenbearbeitungsvertrag

Hinweis auf Opt-Out / Ablehnung des Trackings

Falls vom Tool-Anbieter zur Verfügung gestellt: IP-Anonymisierung




31

Affiliate Marketing:

Transparente und ausführliche

Information in Datenschutzerklärung

über Affiliate Marketing und Anbieter

des Marketings

Hinweis auf Ablehnungsmöglichkeit

(Cookie-Deaktivierung)

Vertragliche Regelung zwischen

Webseitenanbieter und

Marketingunternehmen (Kontrolle über

Sub-Unternehmer und Einbindung von

Cookies und Tags von

Drittunternehmen)

Take Home

EU DSGVO ist für die

meisten CH-E-Commerce

Unternehmen direkt relevant

Handlungsbedarf muss jetzt

erkannt und angepackt

werden

Herausforderungen sind zwar

zahlreich, aber nicht unlösbar

Datenschutz-Compliance

wird in Zukunft noch zentraler


Education

College of Europe Bruges, Belgium, LL.M.

(2002)

Admitted to the Bar in Switzerland (2001)

University of Lausanne, lic.iur. (1998)

University of East Anglia, Norwich, UK (1997)

Memberships

IBA

ITechLaw

DGRI

EFA

FG E-Commerce GS1 Switzerland

NetcomSuisse

Langueges

German, English, French

Practice Areas

Digital, Data Privacy & E-Commerce

Technology, Media and Telecommunication

Trademarks, Design & Advertising

Competition, Antritrust and Trade Law

Public Law, Regulatory

International Desks: Europe Desk

Lukas Bühlmann, Attorney at Law, LL.M.

Partner

33

4. August 2017

Besten Dank

Wir danken für Ihre Zeit und Ihr Interesse an

Meyerlustenberger Lachenal

Documents

E-Commerce & Datenschutz...E-Commerce & Datenschutz Cookies, Newsletter und weiter aktuelle Themen Meyerlustenberger Lachenal Rechtsanwälte EU DSGVO – InkrafttretenMeyerlustenberger