Unsere Leidenschaft für Ihr Recht

.

Spezialist in IT-Recht, Internet-, AGB- und Vertragsrecht, sowie Datenschutzrecht, dabei insb. der DSGVO (GDPR).

Spezialist für Förderberatung und -antragsabwicklung www.foerdertopf.at

Als Insolvenzverwalter Abwicklung von Insolvenzen, Sanierungen, Restrukturierungen, Geschäftsauflösungen

Vertretung in gerichtlichen Zivilprozessen (Schadenersatz, Produkthaftung, Arzthaftung, Vertragsstreitigkeiten, Verkehrsunfälle etc), dabei insbesondere Spezialist für die

Vertretung ausländischer Unternehmen vor österreichischen Gerichten.

Hinweis: Sichern Sie sich entsprechende Fördergelder für Ihr Unternehmen via www.foerdertopf.at

Dr. Zeilinger und seine Mitarbeiter helfen Ihnen mit diversen Experten und Projektteams je nach Bedarf mit Ihrer Umsetzung der DSGVO; als Vernetzer und Wissensmanager organisieren wir Wissen und modulieren, leiten & kontrollieren Ihre dazugehörigen Prozesse.

Technisches Verständnis bietet Dr. Zeilinger seinen Kunden und Mandanten durch seine früheren, langjährigen Tätigkeiten als Elektroanlagentechniker, Webdesigner und Programmierer; seine über 20 Jahre reichenden Erfahrungen als selbständiger Unternehmer in verschiedenen Branchen und Ländern bieten eine gute Grundlage für erfolgreiches Prozessmanagement.

Als Software für das idR erforderliche Verarbeitungsverzeichnis empfiehlt Dr. Zeilinger zur Kosten-/Nutzenmaximierung www.intervalid.com, wobei er Mandanten auch gerne mit einer kurzen Einschulung und rechtlichen Betreuung begleitet.

Besuchen Sie auch Dr. Zeilinger’s YouTube-Kanal mit vielen kostenfreien Videos zur DSGVO sowie seine Facebook Page (offizielle Folgen/Like Buttons verwenden wir aus datenschutzrechtlichen Gründen nicht).

Als Lektüre zur DSGVO-Compliance empfiehlt Dr. Zeilinger die aktuelle 2. Auflage des Datenschutz-Audit von Dr. M. Pachinger / G. Beham, MSc / P. Kleebauer, MSc / T. Jost.

Wie ist ein Cookie-Banner zu gestalten?

Aus einem aktuellen Bericht der Cookie-Banner-Taskforce der EU ergeben sich folgende Anforderungen für die Erstellung von Cookie-Bannern:

  • Auf der ersten Ebene des Banners ist eine Ablehnungsoption anzubieten, anstatt in einer Unterebene zu verstecken.
  • Der Websitebesucher muss aktiv zustimmen, anstatt vorab angekreuzte Kästchen vorzufinden.
  • Das Verweigern der Zustimmung muss auch anders als bloß über winzige Links in einem anderen Text oder Links außerhalb des Cookie-Banners möglich sein.
  • Man hat die Zustimmung einzuholen anstatt die Geltendmachung eines berechtigten Interesses für die Nutzung nicht wesentlicher Cookies zu behaupten.
  • Der Verantwortliche hat eine dauerhafte Möglichkeit zum Widerruf der Einwilligung anzubieten.

Den gesamten Bericht finden Sie auf: https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf

Während des Surfens im Internet entdeckt man eine Vielzahl unterschiedlicher Cookie-Banner. Diese informieren über die auf der Seite eingesetzten Cookies und lassen eine Auswahl darüber zu, welche Cookies aktiviert werden sollen. Diese Auswahl soll eine wirksame Einwilligung zum Verarbeitungsvorgang personenbezogener Daten iSd DSGVO darstellen, die unter gewissen Umständen erforderlich sein kann, falls personenbezogene Daten verarbeitet werden. Es existieren unzählige verschiedene Meinungen darüber, wie diese Banner zu gestalten sind, um die Anforderungen einer wirksamen Einwilligung zur Datenverarbeitung zu erfüllen.

Um zu prüfen, ob ein Teil der in der Praxis genutzten Cookie-Banner die Anforderungen einer wirksamen Einwilligung iSd DSGVO als auch die Anforderungen der als ePrivacy-Richtline bekannten RL 2002/58/EG erfüllen, wurde die „Cookie Banner Taskforce“ des European Data Protection Bords damit beauftragt, diese Fragen zu prüfen. Diese Taskforce veröffentlichte einen Entwurf eines Berichts über die bisherige Arbeit.

In diesem Bericht wurde auf einige häufig angetroffene Praktiken eingegangen, die entdeckt wurden.

So wurde die Praktik kritisiert, wonach Cookie-Banner zumindest in der ersten Ebene über keine Schaltfläche verfügen würden, mit deren Hilfe man das Setzen von Cookies verhindern konnte. Ebenso wurde das Vorgehen beanstandet, wonach Checkboxen für die Auswahl von Cookies bereits vorausgewählt waren. Beide Praktiken führten dazu, dass Website-Besucher hierdurch keine positive, aktive, informierte und freie Handlung setzten, um in die Setzung von Cookies einzuwilligen. Somit lag keine wirksame Einwilligung vor und war damit die gesamte Datenverarbeitung rechtswidrig.

Ebenso wurde aus diesem Grund die Praktik beanstandet, wonach man nur über einen Link anstatt eines Buttons zu setzende Cookies abwählen konnte. Dies geschah entweder über einen direkten Link oder auf einer verlinkten Seite. Besonders hervorgehoben wurde hierbei, dass es sich um Links handelte, die im Text eines Cookie-Banners eingebunden und so designed waren, dass sie nicht die Aufmerksamkeit eines durchschnittlichen Nutzers auf sich zogen.

Differenzierter wurde die Praktik irreführender Button-Farben und Button-Kontraste beurteilt. Dies musste von Fall zu Fall beurteilt werden; es konnten hierfür keine generell verbindlichen Regeln formuliert werden. Lediglich ein Vorgehen wurde deutlich kritisiert: Dabei handelte es sich um Banner, über die man entweder in das Setzen von Cookies einwilligen konnte oder alternativ andere Buttons angeboten wurden. Die Farben der Buttons der Alternativen wiesen jedoch einen so geringen Kontrast zu den Farben ihrer Beschriftungen auf, dass sie unlesbar waren.

Der Bericht ging auch auf die Problematik ein, wonach Cookies als essenziell klassifiziert wurden, obwohl es sich um keine essenziellen Cookies handelte.

Abschließend wurde erwähnt, dass viele Websites keine Möglichkeit anbieten würden, eine einmal über den Cookie-Banner erteilte Einwilligung zu widerrufen. Selbst von jenen Websitebetreibern, die eine derartige Möglichkeit anbieten würden, wurde dies nicht derart umgesetzt, dass diese Widerrufsmöglichkeit einfach zugänglich war.

Zusammengefasst liegt in allen diesen Fällen keine wirksame Einwilligung und somit keine ausreichende Rechtsgrundlage für die Verarbeitung von Daten vor. Sofern personenbezogene Daten verarbeitet werden, ist dies daher rechtswidrig. Gerne beraten wir Sie individuell hierzu.

Am 28. Mai 2020 entschied der BGH zu Cookie-Bannern

Die bisherige deutsche Rechtslage führte zu „Cookie-Bannern“, bei denen Nutzer keine echte Wahlmöglichkeit hatten, sondern nur auf „Ok“ klicken konnten, um das nervige Banner aus dem Weg zu räumen.

1. Unbedingt erforderliche Cookies brauchen keine aktive Einwilligung

Zuerst das „Erfreuliche“: Wenn Cookies unbedingt erforderlich sind, sind Cookie-Banner, die nur weggeklickt werden können, rechtmäßig.

Unbedingt erforderlich können sein technisch notwendige und andere Cookies, die im Interesse des Nutzers sind, wie insb. Session-Cookies, die für einen Online-Warenkorb oder die Spracheinstellungen der Webseite verwendet werden bzw. die Seite ohne sie nicht betrieben werden kann. Es bleibt aber von den Datenschutzbehörden und Gerichten zu klären, wann Cookies unbedingt erforderlich sind und wann nicht.

2. Alle nicht unbedingt erforderlichen Cookies erfordern jetzt eine aktive Einwilligung

Andere Cookies werden aber genutzt, um pseudonymisierte Informationen über das Nutzerverhalten zu erlangen und personalisierte Werbeanzeigen zu platzieren, wie insb beim Tracking, zB Google Analytics.

Derartige Cookies sind rechtswidrig, wenn Cookie-Banner nur „weggeklickt“ werden können.

Solche Cookies für Werbe- bzw. Marketingzwecke benötigen jetzt eine aktive Einwilligung. Nutzer müssen die Möglichkeit haben, aktiv in nicht erforderliche Werbe- und Tracking Cookies im Sinne eines Opt-in einzuwilligen. Einwilligungskästchen müssen vom Nutzer aktiv angekreuzt werden; die bloße Bestätigung vorangekreuzter Felder genügt nicht.

Für die Anwendbarkeit der ePrivacy-Richtlinie ist es irrelevant, ob Cookies einen Personenbezug haben oder nicht. Darüber hinaus gilt bei Cookies, die einen Personenbezug haben, die DSGVO.

Zudem ließ der BGH für die Werbeeinwilligung eine Verlinkung auf eine Liste nicht genügen, denn diese Form der Gestaltung sei gerade zu darauf angelegt, den Nutzer dazu zu veranlassen, von einer Detailauswahl abzusehen und einfach alle Partnerunternehmen zu akzeptieren. In dieser Form jedoch sei dann die für die Einwilligung notwendige Informiertheit nicht gegeben.

4. Damit müssen sehr viele Seiten-Betreiber ihre Cookie-Banner ändern

Das Urteil wird große Auswirkungen auf die gesamte Werbewirtschaft im Internet haben, sowohl auf Webseiten-Betreiber als auch auf Anbieter von Tracking-Diensten. Kaum ein Nutzer wird freiwillig in das Sammeln von Daten zu seinem Surfverhalten zustimmen, wenn er die freie Wahl hat. Personalisierte Werbung im Netz zu platzieren, wird damit sehr viel schwieriger. Professionelle Rechtsberatung ist jedenfalls empfehlenswert.

Link zum Artikel auf WBS Law

Artikel 13 – Vorabzensur durch Upload-Filter?

01.03.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

Artikel 13

Ende März soll im EU-Parlament endgültig abgestimmt werden – über eine Reform der Urheberrechtsrichtlinie und damit auch über den derzeit heftig umstrittenen Artikel 13. In einer ersten Abstimmung Mitte Februar dieses Jahres sprachen sich nur fünf Mitgliedsstaaten der Europäischen Union gegen eine Neuerung aus.

Worum geht es? Besonders in Artikel 13 des geplanten neuen EU-Urheberrechts sehen Kritiker künftig Probleme. Denn: Wird gegen Urheberrecht verstoßen, sollen Plattformen wie Google, YouTube und Twitter in die Pflicht genommen werden – es wären also nicht mehr nur die Nutzer selbst haftbar, wie es bislang der Fall war. Bei einem nicht berechtigten Upload von Inhalten müssen Fotos, Videos und Bilder umgehend entfernt werden – außer es wurde vorab eine Lizenz mit dem Rechteinhaber über das urheberrechtliche Material erworben. Um dies zu gewährleisten, soll ein Upload-Filter eingerichtet werden. Dieser soll die Inhalte vorab automatisch mittels eines Filtermechanismus auf urheberrechtlich geschütztes Material prüfen, damit sie gegebenenfalls erst gar nicht online gestellt werden.

Bereits im Juli 2018 fand eine Abstimmung über den Artikel 13 statt – und wurde mehrheitlich abgelehnt. Danach gab es einen Kompromissvorschlag mit etwas entschärften Regelungen für kleinere Plattformen. Demnach sollen Seiten von diesem Artikel ausgenommen werden, die seit weniger als drei Jahren betrieben werden oder unter zehn Millionen Euro Umsatz pro Jahr erwirtschaften. Liegt eine der beiden Voraussetzungen vor, haften die Betreiber nicht von vornherein für Verstöße, sondern diese müssen Inhalte erst nach einer Reklamation prüfen und gegebenenfalls löschen. Verzeichnet eine Website weniger als fünf Millionen Besucher pro Monat, müssen die Anbieter zeigen, dass sie bestmögliche Bemühungen unternommen haben um Copyright-Verstöße zu vermeiden. Wie solche Bemühungen nachgewiesen werden sollen, ist bislang nicht bekannt.

Aber auch die großen Plattformen wie YouTube könnten vor einigen Herausforderungen stehen. Denn „wirksame Inhaltserkennungstechniken“, wie sie laut Artikel 13 gefordert werden, verursachen hohe Kosten und eine umfangreiche Weiterentwicklung der aktuellen Filtermechanismen.

Und auch die User sehen vor allem ein großes Problem: Die Upload-Filter könnten auch Inhalte mit satirischem Hintergrund blockieren, die an sich gar nicht gegen das Urheberrecht verstoßen. Viele Content-Ersteller und aktive Nutzer fürchten deshalb eine starke Einschränkung der Presse- und Meinungsfreiheit und protestieren gegen die Änderungen. Es wird sogar von einer Vorabzensur gesprochen. Netzaktivisten kritisieren auch die mögliche Fehleranfälligkeit einer maschinellen Lösung, da eine falsche Einschätzung sofort zu einer Sperre der Inhalte führen könnte.

Wie groß die Bedenken der Bevölkerung sind, zeigt wohl auch die Zahl der User, die sich in einer Onlinepetition gegen die neuen Regelungen ausgesprochen haben. Derzeit unterzeichneten dort knapp fünf Millionen Personen.

Trotz umfangreicher Kritik wurde der endgültige Text der Richtlinie beschlossen. In gut einem Monat wird sich zeigen, wie sich die 751 Mitglieder des Europäischen Parlaments in der Plenarsitzung in Straßburg entscheiden.

Facebook-Seiten trotz Zusatzvereinbarung noch rechtswidrig?

14.09.2018 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin    Andrea_Wuenscher
Facebook Unpublish

Aktuell sind noch viele Fragen zur Umsetzung der seit 25. Mai 2018 gültigen DSGVO ungeklärt geblieben. Hierbei vor allem bei betrieblicher Nutzung von Nachrichtendiensten wie WhatsApp oder dem Social Media Giganten Facebook. Zumindest für Facebook-Seiten („Fanpages“) sollte das Urteil des Gerichtshofs der Europäischen Union vom 5. Juni 2018 etwas Klarheit schaffen: Es besteht eine gemeinsame Verantwortlichkeit der Facebook-Seiten-Betreiber und Facebook selbst.

Durch diese gemeinsame Verantwortlichkeit wird von der Datenschutz-Grundverordnung eine Vereinbarung nach Art. 26 DSGVO gefordert, welche in transparenter Form zu gestalten ist. Das bedeutet, dass dort hervorgehen muss, wer welche Verpflichtungen erfüllt – insbesondere was die Wahrnehmung der Rechte der betroffenen Person betrifft, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt. Eine solche Vereinbarung war bislang seitens Facebook allerdings nicht zur Verfügung gestellt worden.

Aus diesem Grund stellte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) kürzlich mit einem Beschluss fest, dass alle aktiven Facebook-Seiten mit derzeitigem Stand rechtswidrig betrieben werden.

Zumindest darauf haben die Betreiber des sozialen Netzwerks prompt reagiert: Seitenbetreibern wird nun ein Zusatz zur bisherigen Vereinbarung mit dem Titel Seiten-Insights-Ergänzung bezüglich des Verantwortlichen zur Verfügung gestellt. Unter anderem wird dort die gemeinsame Verantwortlichkeit nochmals ausdrücklich klargestellt, auch wenn Facebook die primäre Verantwortung für die Verarbeitung der Insights-Daten übernimmt. Diesen Daten ist vorrangig das Nutzungsverhalten der Seitenbesucher zu entnehmen. Um die konforme Verarbeitung gemäß der DSGVO zu gewährleisten, stellt Facebook weiters fest, dass der Seitenbetreiber eine Rechtsgrundlage für diese Verarbeitung haben muss, einen Verantwortlichen dafür zu nennen hat und auch sonst alle weiteren rechtlichen Pflichten erfüllen muss.

Ob diese Ergänzung nun für die Facebook-Seiten DSGVO-konform ist, ist allerdings fraglich. Es bleibt abzuwarten, ob dieser Zusatz im Sinne des Beschlusses der DSK alle notwendigen Voraussetzungen erfüllt. Vor allem im Hinblick auf den dort angehängten Fragenkatalog könnte es noch einige Lücken in der Vereinbarung geben, welche eine Ergänzung des Addendums erfordern, um dem Datenschutz in korrekter Weise gerecht zu werden. Endgültige Sicherheit kann derzeit wohl nur eine Stellungnahme der Aufsichtsbehörden bringen.