Newsletterausgabe #18 vom 08. Februar 2021
Herzlich willkommen zur nächsten Ausgabe unseres Newsletters! Diesmal freuen wir uns über ein Editorial von Herrn Prof. Dr. Maximilian Becker.
Wie gewohnt finden Sie im Folgenden die Neuigkeiten der vergangenen zwei Wochen, einen Veranstaltungsrückblick sowie einen Ausblick auf anstehende Veranstaltungen. Zum Abschluss folgt wieder eine kleine Auswahl aktueller, potentiell examensrelevanter Rechtsprechung.
Wir wünschen eine gewinnbringende Lektüre. Falls Sie den Newsletter noch nicht abonniert haben, können Sie das hier nachholen.
— Das Web-Team der Juristischen Fakultät Hannover
WIR BENÖTIGEN IHRE ZUSTIMMUNG ZUR VERWENDUNG VON COOKIES UND ANDEREN TECHNOLOGIEN DURCH UNS UND UNSERE PARTNER
Liebe Studierende, liebe Mitglieder der Fakultät,
der Aufruf zahlreicher Websites wird seit einiger Zeit von Pop-Up-Fenstern versperrt, die um die Zustimmung bitten, dass der Websitebetreiber und seine „Partner“ Cookies und „andere Technologien“ verwenden dürfen. Zwecke des Ganzen sind „die bestmögliche Nutzererfahrung“, „Personalisierte Anzeigen und Inhalte“, „Anzeigen- und Inhaltsmessungen“ usw. Es handelt sich dabei um sog. Consent Management Platforms (CMPs). Den meisten Nutzer*innen bekannt ist, dass sie hier ihre Einwilligungen verwalten können und auch, dass die Sache mit personenbezogenen Daten zu tun hat. Aber in was genau willigt man ein, wer verarbeitet fortan welche Daten zu welchen Zwecken und – ist die Datenverarbeitung rechtens? Tatsächlich sind diese Plattformen nur die Spitze eines erheblichen Eisbergs.
Nachrichtenwebsites wie faz.net oder sueddeutsche.de betreiben ein kostspieliges Geschäftsmodell, das unter dem Druck zahlreicher kostenloser Konkurrenzangebote steht. Daher waren Zeitungsverlage auch wenig angetan, als die aus Runfunkbeiträgen finanzierte Tagesschau-App auf einmal textlastige Nachrichten anbot (BGH GRUR 2015, 1228 – Tagesschau-App) und erst recht nicht, als AdBlocker in Mode kamen (BGH GRUR 2018, 1251 – Werbeblocker II). Eine entscheidende Einnahmequelle von Nachrichtenseiten ist nämlich die Internetwerbung. Sie ist der Grund aus dem auf Nachrichtenseiten unter allen Websites mit Abstand die meisten Tracker mitlaufen.
Beispielsweise ließen sich nach dem Klick auf „Zustimmen“ und dem Abruf einiger Artikel bei faz.net mit dem Chrome-Browser 169 Serverbindungen (viele davon in die USA) zum heimischen Laptop messen. Sie dienen ganz überwiegend Werbezwecken.
Was „machen“ diese Partner / Tracker und wozu dienen die zahlreichen Verbindungen zu den Endgeräten? Hinter dem harmlosen Begriff Internetwerbung verbergen sich zwei zentrale Praktiken: Das Real Time Bidding (RTB) und das Targeted Advertising. - Zunächst zum Targeted Advertising: Es handelt sich um eine besonders gezielte Form der Werbung. Sie dient dazu, Streuverluste zu minimieren, indem Nutzer*innen im richtigen Moment die passende Werbung angezeigt wird. Zu diesem Zweck müssen die Anbieter möglichst viel über die einzelnen Nutzer*innen wissen, d.h. ihre Interessen, ihr Budget, ihre Lebenssituation etc. so gut wie möglich kennen. Es wird sogar vermutet, dass der eigentliche Geschäftszweck von YouTube (dessen Gewinne oder Verluste immer noch unbekannt sind) darin liegt, die Sehgewohnheiten der Nutzer*innen zu erforschen, um die über sie angelegten Profile detailreicher zu gestalten. Auf Basis solcher Nutzerprofile kann dann entschieden werden, für wen welche Werbung in welcher Situation passt. Auf diesen Praktiken beruht der von Shoshana Zuboff geprägte Begriff des „Surveillance Capitalism“.
- Nun zum RTB. Wem wann welche Werbung auf einer Website angezeigt wird, entscheidet sich erst einige Millisekunden bevor die Seite angezeigt wird. Im Hintergrund passiert – stark vereinfacht – Folgendes: Die Website meldet an eine Plattform (supply side platform, kurz SSP), dass ein(e) Nutzer*in, psyeudonymisiert durch eine UserID (z.B. „xy123“), gerade einen Artikel aufruft. Die Gegenseite, also die Unternehmen, die Werbung schalten möchten, erhält diese Meldung und bietet über eine andere Plattform (demand side platform, kurz DSP) auf die freien Werbeplätze. Eine Plattform in der Mitte (ein AdExchange) sammelt die diversen Gebote und veranstaltet eine Auktion. Die Erlöse gehen abzüglich einer Provision an die Websites.
Die beiden Komplexe haben ein gemeinsames Problem: Um zu wissen, welche Nutzer*innen gerade auf welcher Website sind und welche Werbung für sie passen könnte, bedarf es umfänglicher Informationen über sie. Daher dient ein Teil der genannten Serververbindungen der Verbindung des Endgeräts zu Servern von „Cookies“ und „Trackern“. Hierbei handelt es sich um Techniken zur Wiedererkennung von Endgeräten. So werden im Falle von Cookies mit Hilfe der Website im Endgerätespeicher kleine Dateien hinterlegt. Betreiber dieser Technologien sind teils die Websites selbst, hauptsächlich aber spezialisierte Unternehmen, die dann in einer Datenbank Informationen zum Verhalten der Endgeräte und damit ihrer Nutzer*innen sammeln. Das ist die Basis besagter Nutzerprofile. Sie werden den Marktseiten beim RTB von wieder anderen Plattformen – Data Management Platforms (DMP) oder Data Brokern – entgeltlich zur Verfügung gestellt. Dieses Ziel des exakten Targetings liegt quer zum Ziel des Datenschutzes.
Zurück zu den Consent Management Platforms. Der offizielle Zweck von CMPs ist die datenschutzkonforme Gestaltung von Websites. Indem Nutzer*innen „granular“, also detailliert in unterschiedliche Verarbeitungen einwilligen können, sollen die Vorgaben der DSGVO umgesetzt werden. CMPs stammen dabei nicht von den Websitebetreibern selbst, sondern bilden eine eigene Dienstleistungsbranche, die von wenigen Großanbietern dominiert wird. Daher ähneln sich CMP häufig oder haben dieselben Textbausteine.
Mit dem Datenschutzrecht allein ist es aber nicht getan. Websites benötigen noch eine weitere Einwilligung: Früher konnte man sein Tagebuch und private Aufzeichnung beschützen, indem man solche Unterlagen gut bewachte. Beim Inhalt des Smartphones geht das nicht mehr. Dritte können – etwa im Zuge eines Websitebesuchs – per Internet auf den Speicher von Smartphones etc. zugreifen, was von deren Nutzer*innen nicht immer bemerkt wird. Um die Herrschaft über das eigene Endgerät zu gewährleisten, verlangt die sog. ePrivacy-Gesetzgebung unabhängig vom Datenschutzrecht, dass Anbieter um Erlaubnis fragen, bevor sie den Speicher von Endgeräten nutzen, also dort etwas abspeichern oder auslesen (z.B. Cookies). Diese Einwilligung kann in einem Akt mit der datenschutzrechtlichen Einwilligung gegeben werden, sofern zuvor darüber informiert wurde. Der Erlass einer modernisierten ePrivacyVO ist seit Jahren ein Zankapfel der EU-Rechtspolitik, bei dem die Interessen der Presseverlage keine geringe Rolle spielen.
Wenn Nutzer*innen aber die Wahl haben, von zig weltweit verstreuten Werbeunternehmen entweder beobachtet zu werden oder nicht, verneinen sie tendenziell. Daher wird in CMPs getrickst. Dies fängt an beim Design. „Alle Akzeptieren“ ist meist groß gedruckt und grün markiert, Einstellmöglichkeiten sind schwerer aufzufinden und häufig kaum überschaubar: Eine Studie kommt zu dem Ergebnis, dass CMPs von „dark patterns“ durchzogen sind. Gemeint sind manipulativ gestaltete Interfacedesigns, die dazu dienen, Nutzer*innen zu einem erwünschten Verhalten zu bewegen. Ein weiterer Trick ist, dass CMPs meist ein zweites Menü unter dem Titel „Berechtigte Interessen“ aufweisen, die teils nur leicht abgeschwächte Varianten der unter „Einwilligung“ genannten Verarbeitungen enthalten. Während die Einwilligungserklärungen dem EuGH zufolge (ZD 2019, 556 – Planet49) stets aktiv eingeschaltet werden, also im Ausgangszustand deaktiviert sein müssen (Opt-in), sind die Schalter der berechtigten Interessen bereits voraktiviert. Dahinter steht das Verständnis, dass es zu den berechtigten Interessen von Websites gehört, sich in gewissem Maße durch Werbung zu finanzieren. – Die Berechtigung dieser Interessen ist aus verschiedenen Gründen umstritten. Eine wichtige Rolle spielt die heimliche Profilbildung unter breit angelegter Beobachtung des Surfverhaltens der Nutzer*innen.
Zugleich sind viele der über CMP eingeholten Einwilligungen unwirksam. Abgesehen von besagten dark patterns wird schon die notwendige Information über die Verarbeitungszwecke seitens der Partnerunternehmen selten DSGVO-konform angeboten, was auch damit zusammenhängt, dass sie (theoretisch) einige Lektürearbeit erfordert.
So finden sich bei der FAZ eingekürzte Datenschutzerklärungen von ca. 130 Partnerunternehmen, die jeweils wenige Zeilen bis zu zwei Druckseiten lang sind. Dazu gehören auch kryptische Informationen wie „Category: Auswahl einfacher Anzeigen, Cookie: AFFICHE_W, Domain: www.weborama.com, Dauer: 395 Tag(e)“. Einige der Werbepartner verweisen auf ihren Websites zudem auf weitere Partner mit denen Daten geteilt werden. Eine rheinische Regionalzeitung listete bis vor Kurzem sogar über 1200 Partnerunternehmen auf.
Darf man also zweifeln, ob hier angemessen informiert wird, stellt sich die Folgefrage: Wie sollen Zeitungen und andere Websites es angesichts komplexer Werbenetzwerke denn sonst machen? – Eine Antwort könnte lauten, dass die DSGVO gar nicht bezweckt, derart undurchsichtiger Personendatenwirtschaft einen Rechtsrahmen zu bieten. Großzügiger könnte überlegt werden, ob das Datenschutzrecht offen für Abwägungen im Austauschverhältnis ist: Wie viele Daten muss man fairerweise geben, um einen Online-Artikel zu lesen?
Diese harte Seite der DSGVO bekam unlängst die auf Kontakte zwischen „gay, bi, trans and queer people“ ausgerichtete App Grindr zu spüren. Ihre CMP verwies auf ein Werbeunternehmen, auf dessen Website sich herausstellte, dass es noch 160 weitere Werbepartner im Schlepptau hatte. Angesichts der Risiken, die für die Betroffenen bei der Weitergabe solch sensibler und in manchen Ländern für sie hochgefährlicher Daten in Verbindung mit GPS-Positionen bzw. Profilbildungen einhergehen, hat die norwegische Datenschutzbehörde der App allein (d.h. unabhängig von den später zu belangenden Werbepartnern) ein Bußgeld von 9,6 Mio. € in Aussicht gestellt. Datenschutzrechtlich auffällig daran ist der Vorwurf, dass Grindr keine hinreichende Verantwortung für seine Werbepartner übernehme. – Die EuGH-Rechtsprechung legt die datenschutzrechtliche Verantwortung bislang deutlich unternehmensfreundlicher aus. Sie hatte allerdings auch noch keinen Fall zu entscheiden, in dem derart heikle Daten in diesem Umfang weitergegeben wurden. Sollten auch Nachrichten-Websites eine stärkere Verantwortung für ihre Werbepartner auferlegt bekommen, sähe es düster für sie aus. Zwar beteuern Websites, dass ihre Datenverarbeitungen unbedenklich sind. Doch wer will schon im Ernstfall für ein weltweites Werbe- und Datenhandelsnetzwerk geradestehen?
In der Hoffnung, Ihnen einen kleinen Einblick in eine aktuelle Frage des IT- und Datenschutzrechts gegeben zu haben, bleibt mir, uns allen eine baldige Aufhellung der Pandemielage und die nötigen Voraussetzungen für etwas Präsenzbetrieb im Sommer zu wünschen. Bleiben Sie gesund!
Herzliche Grüße
Ihr
Max Becker
Neuigkeiten
Einladung zur ersten Hannover PreMoot Week mit internationale Referentinnen und Referenten
Vom 15. bis 19. Februar 2021 steht die internationale Schiedsgerichtsbarkeit und die anwaltliche Selbstverwaltung im Mittelpunkt des 15. Hannover PreMoot, der in diesem Jahr mit einem neuen Konzept stattfindet: Das Institut für Prozess- und Anwaltsrecht (IPA) lädt zusammen mit der Bundesrechtsanwaltskammer, dem Dachverband der Anwälte in Deutschland und der Deutschen Stiftung für Internationale Rechtliche Zusammenarbeit e.V. (IRZ) zur ersten virtuellen PreMoot Week ein. Weiterlesen...
Wintersemester 2020/21 wird nicht für den Freischuss angerechnet
Das Wintersemester 2020/21 aufgrund der Beeinträchtigungen durch die COVID-19-Pandemie nicht auf den sog. Freischuss angerechnet. Diese Entscheidung gab das Niedersächsische Justizministerium in einer Pressemitteilung vom 3. Februar 2021 bekannt. Weiterlesen...
Hausarbeiten im Wintersemester 2020/21: Sachverhalte bei ILIAS abrufbar
Die Sachverhalte für die Hausarbeiten im Wintersemester 2020/21 stehen ab sofort bei ILIAS zur Verfügung. Weitere Informationen sowie die Leitlinien zur Erstellung von Hausarbeiten finden Sie hier.
JurSERVICE: Derzeit keine Präsenzsprechstunden
Auch das JurSERVICE-Team befindet sich aufgrund der Corona Pandemie derzeit im Homeoffice. Zu den derzeitigen Kontaktmöglichkeiten sowie Angeboten von JurSERVICE gelangen Sie hier.
Bewerbung für ein Auslandssemester mit Erasmus+
Noch bis zum 15. März 2021 ist eine Bewerbung für einen Auslandsaufenthalt mit Erasmus+ für das Wintersemester 2021/22 möglich. Weiterlesen...
Weitere Neuigkeiten
Weitere Neuigkeiten an der Juristischen Fakultät Hannover finden Sie hier.
Rückblick
Rückblick auf die Ringvorlesung „Automatisierte Systeme“ des RifaS
Die Ringvorlesung „Automatisierte Systeme“ startete am 12. Januar mit einem Vortrag von PD Dr. Andreas Dieckmann mit dem Thema „Digitale Finanzmärkte, analoges Recht? – Zur digitalen Transformation des Kapitalmarktrechts“ in das Jahr 2021. Weiterlesen...
Anstehende Veranstaltungen
Einen Überblick über alle anstehenden Veranstaltungen finden Sie hier.
Aktuelle Rechtsprechung
Zur Vorbereitung auf das Examen bietet die Juristische Fakultät mit JurOnlineRep eine Datenbank zur Übersicht über die aktuellste Rechtsprechung mit Examensrelevanz.
Ein paar der jüngsten Entscheidungen finden Sie im folgenden:
Kontakt
Bei Fragen und Anregungen rund um den Newsletter sowie den Web-Auftritt der Fakultät wenden Sie sich gerne an die Web-Redaktion unter folgender Mail Adresse: web-team@jura.uni-hannover.de
Für tägliche Updates folgen Sie uns auf Instagram, Facebook und Twitter.
|