1. Gemeinsame datenschutzrechtliche Verantwortlichkeit für Social Plugins
2. Bay LDA zur Kopplung von Facebook Custom Audience
3. EuGH zum Medienprivileg bei YouTube Videos von „Amateurjournalisten“
4. Update Influencer Advertising
5. EuGH: Fernabsatzrechtliche Widerrufsbelehrung bei nur begrenztem räumlichen Platz
6. Anpassung des Urheberrechts an das digitale Zeitalter
7. Österreichische Datenschutzbehörde: Löschung durch Anonymisierung
8. OLG Frankfurt a.M.: Aufklärender Hinweis durch Mouse Over kann Irreführung ausschließen
1. Gemeinsame datenschutzrechtliche Verantwortlichkeit für Social Plugins
von Friederike Detmering, M.A.
In einer dem EuGH von dem Landgericht Düsseldorf vorgelegten Rechtssache (Az.: C-40/17) vertritt Generalanwalt Bobek in seinen Schlussanträgen vom 19. Dezember 2018 die Meinung, dass Websitebetreiber und Facebook für die Einbindung von Social Plugins gemeinsam datenschutzrechtlich verantwortlich (Art. 26 DSGVO) seien. Die Websitebetreiber und Facebook legten gemeinsam die Mittel und Zwecke der Datenverarbeitung während der Phase der Erhebung und Einleitung der Datenübermittlung an Facebook fest. Grund dafür sei, dass beide Akteure kommerzielle und wirtschaftliche Interessen verfolgten, unabhängig davon, dass diese nicht komplett deckungsgleich sind.
Fazit: Sollte sich der EuGH dem Generalanwalt anschließen, müssen Websitebetreiber eine Vereinbarung gem. Art. 26 DSGVO mit Facebook abschließen, die Einwilligung (sofern erforderlich) der Nutzer einholen und diese entsprechend datenschutzrechtlich informieren.
2. Bay LDA zur Kopplung von Facebook Custom Audience
Kristin Benedikt, Referatsleiterin bei der Bay LDA, hat sich in einem Interview vom 25. Februar 2019 zum Einsatz von Facebook Custom Audience geäußert. Sie hat noch einmal klargestellt, dass sowohl der Einsatz von Facebook Custom Audience („CA“) per Email-Liste als auch per Pixel eine Einwilligung erfordern. Die Einwilligung für CA per E-Mail-Liste könne zwar im Zusammenhang mit einer Bestellung in einem Onlineshop oder Anmeldung zu einem Newsletter eingeholt werden. Es müsse aber eine gesonderte Checkbox für die Einwilligung für CA per E-Mail-Liste geben.
Fazit: Erstmals äußert sich eine Behörde (mit einer streitbaren Auffassung) zur Kopplung der Einwilligung für CA per E-Mail an eine Newslettereinwiligung oder eine Bestellung in einem Onlineshop. Um auf der sicheren Seite zu sein, müssen Unternehmen eine gesonderte, nicht vorausausgefüllte Check Box implementieren.
3. EuGH zum Medienprivileg bei YouTube Videos von „Amateurjournalisten“
Der EuGH hat am 14. Februar 2019 entschieden (Az.: C-345/17), dass das Medienprivileg aus dem Datenschutzrecht (ehemals Art. 9 RiLi 95/46, heute EG 153 DSGVO) grundsätzlich auch für auf YouTube veröffentlichte Videos von Nicht-Berufsjournalisten anwendbar sein kann. Mithin müssen Amateurjournalisten keine vorherige Einwilligung von Betroffenen einholen oder diese datenschutzrechtlich informieren, sofern (i) keine Persönlichkeitsrechte von Dritten entgegenstehen und (ii) der Amateurjournalist das ausschließliche Ziel hatte, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten.
Fazit: Das Urteil lässt sich wohl auch auf anderen Medienformen, z.B. Blogbeiträge, übertragen. In jedem Fall ist weiterhin eine Abwägung zwischen Meinungsfreiheit (Medienprivileg) und Persönlichkeitsrechten vorzunehmen.
4. Update Influencer Advertising
von Dr. Philipp Süss, LL.M./Dr. Alexander Hardinghaus, LL.M.
Nachdem die Landesmedienanstalten im November 2018 ihren Leitfaden „Werbekennzeichnung bei Social Media-Angeboten“ (mehr hierzu auf unseren Blog) veröffentlicht hatten, führt ein neues Urteil des KG Berlin vom 8. Januar 2019 (Az.: 5 U 83/18) zu mehr Rechtssicherheit für Influencer. Nach Auffassung des Gerichts führe das bloße Setzen von Tags/Links zu den jeweiligen Unternehmen als solches nicht automatisch zu einer Kennzeichnungspflicht, sofern der Influencer hierfür keine Gegenleistung erhält. In diesem Fall ist im Einzelfall zu prüfen, ob es sich nicht um einen redaktionellen Beitrag oder eine Meinungsäußerung handelt.
Fazit: Influencer, die Unternehmen oder Produkte verlinken, ohne hierfür eine Gegenleistung zu erhalten, sollten einen inhaltlichen Bezug zwischen den verlinkten Unternehmen/Produkten und ihren Posts herstellen, wenn sie eine Werbekennzeichnungspflicht vermeiden wollen.
5. EuGH: Fernabsatzrechtliche Widerrufsbelehrung bei nur begrenztem räumlichen Platz
Unter gewissen Umständen haben Unternehmen erleichterte Möglichkeiten die Informationen im Rahmen eines Fernabsatzgeschäfts zur Verfügung zu stellen. Der EuGH hat mit Urteil vom 23. Januar 2019 (Az.: C 430/17) entschieden, dass im Einzelfall unter Berücksichtigung aller technischen Möglichkeiten an die Gestaltung der Werbung (z.B. Schriftbild, Größe der Werbung) geprüft werden muss, ob ein solcher Fall vorliegt oder ob der Werbetreibende eine andere Gestaltung wählen muss, um die Pflichtinformationen abbilden zu können. Sollte dieser Fall vorliegen, muss das gesetzlich vorgegebene Widerrufsformular nicht genutzt werden.
Fazit: Unternehmen sollte genau prüfen, ob durch zumutbare Gestaltung der Werbung alle Pflichtinformationen abgebildet werden können.
6. Anpassung des Urheberrechts an das digitale Zeitalter
Nach langen Verhandlungen ist der Trilog abgeschlossen. Ein finaler Text für die Richtlinie über das Urheberrecht im digitalen Binnenmarkt („Richtlinie“) wurde vereinbart. Die Richtlinie beinhaltet insbesondere Ausnahmen für das digitale Umfeld (z.B. Text- und Data-Mining oder Online-Unterricht), verbessert Lizenzierungsverfahren und führt ein neues Recht für Presseverlage für die digitale Nutzung ihrer Presseveröffentlichungen ein. Der finale Text der Richtlinie beinhaltet auch den umstrittenen Art. 13, der den Betrieb von Online-Plattformen für den Austausch von Inhalten regelt. Hiernach benötigen solche Plattformen grundsätzlich eine Lizenz für urheberrechtlich geschützte Werke, die von ihren Nutzern hochgeladen werden.
Fazit: Die Richtlinie soll voraussichtlich Ende März 2019 zur förmlichen Annahme vorgelegt werden.
7. Österreichische Datenschutzbehörde: Löschung durch Anonymisierung
von Ramona Kimmich
Die Österreichische Datenschutzbehörde hat entschieden (Bescheidspruch vom 5. Dezember 2018 – Az.: DSB-D123.270/0009-DSB/2018), dass ein datenschutzrechtlich Verantwortlicher seine Pflicht, aufgrund einer Löschanfrage nach Art. 17 DSGVO personenbezogene Daten zu löschen, erfüllt, wenn er die Daten anonymisiert. Die Begriffe „Vernichten“ und „Löschen“ seien nach der DSGVO nicht gleichzusetzen. Für eine Löschung genüge es, wenn der Verantwortliche die Daten mit Personenbezug nicht mehr verarbeiten kann – etwa, weil er sie anonymisiert und eine Rekonstruktion des Personenbezugs nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.
Fazit: Unternehmen können zur Erfüllung einer Löschpflicht auf die Anonymisierung personenbezogener Daten zurückgreifen, wenn sichergestellt ist, dass keine die Person identifizierenden Merkmale (z.B. Log-Dateien) gespeichert bleiben und eine De-Anonymisierung unmöglich ist oder unverhältnismäßig wäre.
8. OLG Frankfurt a.M.: Aufklärender Hinweis durch Mouse Over kann Irreführung ausschließen
von Arne Senger, LL.M.
Das OLG Frankfurt a.M. hat mit Urteil vom 8. November 2018 (Az.: 6 U 77/18) entschieden, dass ein aufklärender Hinweis mittels Mouse-Over-Effekts eine wettbewerbswidrige Irreführung ausschließen kann. Während das OLG Frankfurt a.M. noch im Jahre 2011 geurteilt hat, dass der Einsatz dieser Technik grundsätzlich nicht ausreiche, hat es nun angenommen, dass eine durch blickfangmäßig herausgestellte Angaben hervorgerufene Fehlvorstellung, durch einen klaren und unmissverständlichen Hinweis ausgeschlossen werden könne, sofern dieser selbst am Blickfang teilhat.
Fazit: Je nach Gestaltung des Mouse-Over-Effekts, kann ein enthaltener Hinweis ausreichend und eine solche Werbegestaltung zulässig sein.
Lesehinweise zum IT und Datenschutzrecht
Neue Gesetze
Lesehinweise
- Veröffentlichungen des Europäischen Datenschutzausschusses
- Überblick über die ersten DSGVO-Implementierungsmaßnahmen.
- Räumlicher Anwendungsbereich der DSGVO - mehr auf unserem Blog hier und hier.
- Verhaltensregelungen.
- Zertifizierungsstellen - mehr auf unserem Blog.
- Klinische Studien - mehr auf unserem Blog.
- Das Bay LDA hat 40 Unternehmen zum Einsatz von Tracking Tools geprüft. Mehr auf unserem Blog.
- Datenschutzkonferenz veröffentlicht Orientierungshilfe zu Whistleblowing Hotlines.
- Bußgeld in Höhe von 50 Mio. € durch französische Datenschutzbehörde (CNIL). Mehr auf unserem Blog.
- Neue Vorschriften für mehr Fairness bei Handelspraktiken von Online-Plattformen. Mehr in unserem Client Alert.
- Europäische Kommission: Entwurf für Ethik-Richtlinien für eine vertrauenswürdige Künstliche Intelligenz. Mehr auf unserem Blog.
- Europäische Kommission: Jährliche Prüfung des Privacy Shield. Mehr auf unserem Blog.
- Bundeskartellamt zum Sammeln von Nutzerdaten von Facebook. Mehr in unserem Client Alert.
- Brexit Update. Mehr auf unserem Blog.