Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
E-Commerce & Datenschutz Cookies, Newsletter und weiter aktuelle Themen
Webinar vom 10. August 2017
Lukas Bühlmann, LL.M.
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
Übersicht
2
Datenschutzrevision in der Schweiz – wo stehen wir?
EU-DSGVO – jetzt handeln!
Wichtige Änderungen / Auswirkungen
Auswirkungen auf Datenschutzinformationen
Änderungen bei der Einwilligung
E-Privacy Verordnung EU
Wichtige Entwicklungen in der Rechtssprechung
Was bedeutet das konkret für:
E-Mail-Marketing
Gewinnspiele
Analytics Tools
Affiliate Marketing
Datenschutzreform in der
Schweiz – wo stehen wir?
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
Datenschutzreform in der Schweiz – wo stehen wir?
4
DSG-Revision nicht im luftleeren Raum
Modernisierung der Datenschutzkonvention SEV 108 des Europarates (E-K108)
EU-Datenschutzgrundverordnung
21. Dezember 2016: Vorentwurf zur Totalrevision des Schweizer
Datenschutzgesetzes (DSG) in die Vernehmlassung
Ende Vernehmlassung: 4. April 2017
Heftige Kritik am Vorentwurf
Weiteres Vorgehen
August 2017 : 2. Entwurf & Botschaft geplant (EJPD)
August 2018: geplantes Inkrafttreten Schengen-Teil
Ca. Mitte 2019: geplantes Inkrafttreten privater Teil
EU DSGVO & Schweizer E-Commerce – Jetzt handeln!
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
EU DSGVO – Inkrafttreten
am 25. Mai 2018
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
EU DSGVO ist für Schweizer Unternehmen relevant!
7
Art. 3 DSGVO: Anwendung auch auf Nicht-EU-Unternehmen
Bearbeitung durch Niederlassung eines Verantwortlichen oder eines
Auftragsverarbeiters in der Union, unabhängig davon, ob die Verarbeitung in der Union
stattfindet
Bearbeitung von Daten betroffener Personen, die sich in der Union befinden, durch
einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter,
wenn die Datenverarbeitung im Zusammenhang damit steht
Angebot von Waren und Dienstleistungen an betroffene Personen in der Union
Beobachtung des Verhaltens betroffener Personen, soweit ihr Verhalten in der Union
erfolgt (Tracking Tools)
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
Wann sind CH E-Commerce Unternehmen betroffen?
Beispiele….
8
EU-Niederlassung eines CH-Unternehmen oder Teilnahme an Datenbearbeitungen
von EU-Unternehmen (z.B. in Konzernverhältnissen)
CH-Onlineshop richtet seine Angebote an Kunden aus EU-Ländern (z.B.
Deutschland)
Webseite eines CH-Unternehmens mit Tracking-Tools, sofern sich Webseite auch
auf Nutzer aus EU-Ländern ausrichtet
Auftragsdatenbearbeitung durch EU-Unternehmen für CH-Unternehmen (z.B. Cloud-
Anbieter) oder Bearbeitung von Personendaten durch CH-Unternehmen im Auftrag
eines EU-Unternehmens (z.B. einer EU-Niederlassung)
Wichtige Neuerungen…
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
Informationspflichten
10
Informationspflicht bei allen Datenbearbeitungen –mehr Informationen
notwendig
Kategorie der beschafften Daten
Zweck der Datenbearbeitung
Kategorien von Datenempfängern
Rechte der betroffenen Person
Kontaktdaten der für die Datenbearbeitung verantwortlichen Person
Verbindliche Detailregelung oder Regeln der Guten Praxis?
Ausnahmen: Person bereits informiert, Gesetz, Information unverhältnismässig
Auch bei Beschaffung aus Drittquellen
Sorgfaltpflichten
Katalog der Sorgfaltspflichten
Technische und organisatorische Massnahmen
Privacy by Design (Datensparsamkeit, dezentrale Speicherung von Daten)
Privacy by Default (datenschutzfreundlichste Option als Standard)
Dokumentationspflicht – aber: kein Recht auf Einblick
Datenschutzfolgeabschätzung (bei Datenbearbeitungen mit erhöhtem Risiko)
Meldepflicht bei Datenschutzverletzungen (an Aufsichtsbehörde, ausnahmsweise auch an
betroffene Person)
Ernennung eines Datenschutzverantwortlichen (bei grösseren Unternehmen)
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
Einwilligung & Kontrollrechte
12
Strenge Anforderungen an Einwilligung
Rechte der betroffenen Person – Katalog
Ergänzung Auskunftsrecht: Aufbewahrungsdauer und logischer Aufbau von automatisierten
Datenbearbeitungen (z.B. Profiling) – letzteres umstritten und unklar
Berichtigungsrecht – Information an Dritte bei Weitergabe der Daten!
Recht auf Löschung
Recht auf Sperrung einer widerrechtlichen Datenbearbeitung
Bestreitungsvermerk
Recht auf Widerspruch gegen Datenbearbeitungen ohne Rechtfertigungsgrund
Recht, keiner auf einer rein automatisierten Bearbeitung von Daten basierenden
Entscheidung unterworfen zu sein, welche die Person in massgeblicher Weise betrifft
(z.B. Bonitätsprüfung, wohl aber nicht Profiling für Werbeaktivitäten)
Recht auf Dataportabilität
Auswirkung auf Datenschutzinformationen
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
Auswirkungen
14
Erhebliche Auswirkungen der Reformen auf Form und Inhalt der
Datenschutzerklärungen für Online-Shops
Verstärkte Informationspflichten erhöhen Anforderungen an Transparenz
Präzise, transparente und verständliche Informationen
Klare und einfache Sprache
Spezifische Anforderungen an Einwilligungserklärungen in
Datenschutzerklärung
Gut sicht- und lesbar sowie getrennt von anderen Informationen
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
Wichtige Themen in Datenschutzerklärungen
15
Server-Logfiles
Webanalyse-Tools
Re-Targeting mittels Cookies
Social PlugIns
Kontaktdaten
Bearbeitung für Marketingzwecke
Hinweis auf Kreditwürdigkeitsprüfungen / Bonitätsprüfungen
Informationen betreffend Datenbeschaffungen aus Drittquellen
Datenbearbeitungen durch Dritte (Auftragsdatenbearbeitung)
Transfer von Daten in Ausland
Einwilligung
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
Anforderungen an Einwilligungen (Datenschutz)
17
Wichtig: In EU Prinzip des Verbots mit Erlaubnistatbestand – jede Datenbearbeitung benötigt Rechtfertigung! – Einwilligung und berechtigtes Interesse
Informiertheit (Art. 7 Abs. 2 DSGVO)
Widerruflichkeit (Art. 7 Abs. 3 DSGVO)
Freiwilligkeit (Art. 7 Abs. 4 DSGVO)
Konsequenzen in Praxis:
Einwilligung durch ausdrückliche, aktive Handlung – Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit keine Einwilligung!
Bei Dokumenten, welche nebst Einwilligungserklärungen andere Informationen enthalten: Einwilligungserklärungen gut sicht- und lesbar sowie getrennt von anderen Themen – besonders wichtig bei Datenschutzerklärungen!
Koppelungsverbot (Art. 7 Abs. 4 DSGVO): Unzulässigkeit der Einwilligung in Datenbearbeitung als Vorbedingung für Abschluss eines Rechtsgeschäft, falls betreffende Datenbearbeitung für Durchführung des Vertrages nicht notwendig – Bei Einwilligungen im Rahmen von Gewinnspielen relevant!
E-Privacy Verordnung EU –
beinahe unbeachtet, zu Unrecht!
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
E-Privacy Verordnung soll EU Cookie-Richtlinie ersetzen
19
Hintergrund: Problem der uneinheitlichen Regeln rund um Cookie-
Einwilligungen aufgrund der sog. Cookie-Richtlinie in der EU
Geltende Cookie-Richtlinie: Cookies erlaubt bei vorgängiger Information
über Verwendung von Cookies (inkl. Zweck) und informierter Einwilligung
des Nutzers.
Unklar: Form der Einwilligung (ausdrücklich oder stillschweigend)
E-Privacy Verordnung soll Problem durch unmittelbar anwendbare Regeln
einheitlich lösen
E-Privacy Verordnung als Ergänzung zur EU DSGVO – Inkrafttreten auf dem
25. Mai 2018
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
E-Privacy Verordnung soll EU Cookie-Richtlinie ersetzen
20
Entwurf E-Privacy Verordnung:
Grundsatz der vorgängigen Information und Zustimmung unverändert.
«Zentralisierung der Einwilligung»: d.h. Nutzer muss künftig vor der Installation eines Browsers über die Privatsphären-Einstellungen informiert werden und Einstellungen selbst vornehmen, d.h. zustimmen.
Einstellungsoptionen durch Browser-Anbieter.
Zustimmungsregeln bei installierter Software ab erstem Software-Update, spätestens ab dem 25. August 2018.
Keine Vorgaben über Voreinstellungen in der E-Privacy Verordnung, jedoch EU DSGVO Prinzip «Privacy by Default».
Website-Betreiber sollen trotz Voreinstellungen im Browser nach wie vor die Möglichkeit einer individuellen Einwilligung über Pop-Up haben.
Vorgaben gelten unabhängig eines Personenbezuges, führt zur Bevorteilung von Login-basierten Nutzungsmodellen (z.B. Facebook).
Sanktionen analog zur EU DSGVO, d.h. Geldbussen bis max. 20 Mio. EUR oder 4% des gesamten weltweiten Jahresumsatzes
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
E-Privacy Verordnung soll EU Cookie-Richtlinie ersetzen
21
Relevanz für Schweizer E-Commerce-Unternehmen?
Ja, unmittelbar!
Räumlicher Anwendungsbereich analog zur EU DSGVO
Verordnung gilt, wenn bspw. Cookies auf Endgeräten von Nutzern in der EU
gesetzt oder bearbeitet werden.
Cookies im geltenden Schweizer Recht:
Art. 45c FMG: Benutzer müssen über die Bearbeitung, ihren Zweck und die
Ablehnungsmöglichkeiten informiert werden.
Keine Formforschrift im Gesetz, Information in der Datenschutzerklärung sicher
ausreichend.
Schweizer Recht verlangt also keine Einwilligung zur Speicherung von
Cookies, Nutzer muss Cookies aber verhindern können (sog. Opt-Out-
Verfahren).
Wichtige Entwicklungen / Rechtsprechung
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
Abmahnung Datenschutzerklärung
23
LG Köln vom 26. November 2015
Fehlen einer Datenschutzerklärung auf Webseite ist Wettbewerbsverstoss
Konkurrenten können Fehlen der Datenschutzerklärung abmahnen
Andere Gerichte verneinten Wettbewerbsverstoss bei Datenschutzverletzungen
Konsequenzen
CH-Onlinehändler mit Ausrichtung auf deutsche Kunden aufgepasst!
Abmahnungen wegen Datenschutzverletzungen möglich
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
Einwilligung in Weitergabe von Daten
24
OLG Frankfurt vom 28. Juli 2016
Einwilligungserklärung in Telefon- und E-Mail-Werbung im Rahmen eines Gewinnspieles unwirksam
Grund: Einwilligung für Weitergabe an eine Vielzahl von werbenden Unternehmen zu unbestimmt!
Link auf Liste mit 50 werbenden Unternehmen, aber: Geschäftsbereiche der Unternehmen zu wenig
spezifisch
Rechtslage Schweiz
Anforderungen an Einwilligung zur Weitergabe von Daten an Dritte liberaler
Aber: Nutzer muss eine Vorstellung über den Kreis der Datenempfänger erhalten!
Geschäftsbereiche der werbenden Unternehmen auch nach schweizerischem Recht relevant –
Kategorisierung genügt!
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
Einbezug von Google Analytics
25
LG Hamburg vom 9. August 2016
LG Hamburg untersagt einem Online-Händler weitere Nutzung von Google Analytics
Grund: Keine Information über die Nutzung von Google Analytics und keine Anonymisierung der IP-Adressen
Vorgaben deutsche Datenschutzbehörden (2011)
Auftragsdatenverarbeitung: schriftlicher Vertrag mit Google
Widerspruchsmöglichkeit: Information in Datenschutzerklärung
IP-Anonymisierung
Löschung bestehender Analytics-Account, falls Anforderungen bisher nicht erfüllt!
Rechtslage Schweiz
Transparente Information in Datenschutzerklärung und Hinweis auf Widerspruchsmöglichkeit
Auftragsdatenbearbeitung, aber nicht zwingend Vertrag notwendig
Datenschutzgesetz nach IP-Anonymisierung noch anwendbar?
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
Datentransfer in USA
26
Rechtslage Schweiz
EDÖB erklärte Safe Harbor-Abkommen für unwirksam
Art. 6 DSG: USA Land ohne angemessenes Datenschutzniveau – vertragliche Garantien oder Zustimmung der betroffenen Personen
Verwendung der Standardvertragsklauseln
EDÖB zusätzliche Anforderungen: Informationspflicht betreffend Risiken bei Transfer in die USA
Aber: Seit April 2017 Zertifizierung von US-Unternehmen unter dem U.S.-Swiss Privacy Shield Framework möglich. Privacy Shield ersetzt Safe Harbor-Abkommen. Von EDÖB anerkannt. Umstritten ist, ob weiterhin eine Informationspflicht besteht (EDÖB ja, herrschende Lehre eher nein)
Rechtslage EU
Privacy Shield Principles
Zertifizierung ab 1. August 2016 möglich
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
Was bedeutet das nun
konkret für ...
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
28
Email-Marketing:
Schweiz:
Aktuell keine Anpassungen notwendig
Aber: für gewisse Unternehmen EU-
DSGVO relevant (nachfolgend)
Transparente Information bei Weitergabe
für Marketingzwecke an Dritte
EU:
Aktive und separate Einwilligung
Transparente und ausführliche Information
bei Weitergabe an Dritte (Bezeichnung der
Drittunternehmen)
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
29
Gewinnspiele:
Schweiz:
Gemäss Vorentwurf keine Änderungen bei
der Einwilligung
kein Koppelungsverbot betreffend
Verwendung der Daten für Werbezwecke
EU
Koppelungsverbot
Umstritten, ob Teilnahme am Gewinnspiel
von Einwilligung zur Bearbeitung der
Teilnehmerdaten für Werbezwecke zulässig
Bayerische Datenschutzaufsichtsbehörde:
Einwilligung in Datennutzung für
Werbezwecke als Gegenleistung für
Gewinnspielteilnahme – für die
Durchführung des Vertrages erforderlich
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
30
Analytics Tools: Transparente Information in
Datenschutzerklärung über alle genutzten Tools
IP-Adressen werden von zahlreichen Datenschutzbehörden und einzelnen nationalen Gerichten als Personendaten qualifiziert
Falls Tool-Anbieter im Ausland – Regelungen zum Datentransfer ins Ausland beachten
Anbieter des Analysetools ist Auftragsdatenbearbeiter – schriftlicher Auftragsdatenbearbeitungsvertrag
Hinweis auf Opt-Out / Ablehnung des Trackings
Falls vom Tool-Anbieter zur Verfügung gestellt: IP-Anonymisierung
E-Commerce & Datenschutz
Cookies, Newsletter und weiter aktuelle Themen
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
31
Affiliate Marketing:
Transparente und ausführliche
Information in Datenschutzerklärung
über Affiliate Marketing und Anbieter
des Marketings
Hinweis auf Ablehnungsmöglichkeit
(Cookie-Deaktivierung)
Vertragliche Regelung zwischen
Webseitenanbieter und
Marketingunternehmen (Kontrolle über
Sub-Unternehmer und Einbindung von
Cookies und Tags von
Drittunternehmen)
Take Home
EU DSGVO ist für die
meisten CH-E-Commerce
Unternehmen direkt relevant
Handlungsbedarf muss jetzt
erkannt und angepackt
werden
Herausforderungen sind zwar
zahlreich, aber nicht unlösbar
Datenschutz-Compliance
wird in Zukunft noch zentraler
www.mll-legal.com Meyerlustenberger Lachenal Rechtsanwälte
Education
College of Europe Bruges, Belgium, LL.M.
(2002)
Admitted to the Bar in Switzerland (2001)
University of Lausanne, lic.iur. (1998)
University of East Anglia, Norwich, UK (1997)
Memberships
IBA
ITechLaw
DGRI
EFA
FG E-Commerce GS1 Switzerland
NetcomSuisse
Langueges
German, English, French
Practice Areas
Digital, Data Privacy & E-Commerce
Technology, Media and Telecommunication
Trademarks, Design & Advertising
Competition, Antritrust and Trade Law
Public Law, Regulatory
International Desks: Europe Desk
Lukas Bühlmann, Attorney at Law, LL.M.
Partner
33
4. August 2017
Besten Dank
Wir danken für Ihre Zeit und Ihr Interesse an
Meyerlustenberger Lachenal