Peter Hense 🇺🇦🇮🇱 Profile picture
#NAFO | Litigator | data, tech, AI | host @regint_show | Passionate about politics, history, animal protection | Loves Rome & The Simpsons | Threema: YTN9VR2P

Jan 2, 2023, 37 tweets

1/ Druckfrisch: LG München I (33 O 14776/19) zu #Tracking, § 25 #TTDSG, #IAB #TCF, #RealTimeBidding, #DarkPatterns - focus_de (n.rkr.).

vzbv.de/sites/default/…

vzbv.de/urteile/einsat…

Glückwunsch an @TilmanHerbrich @DianaEttig @vzbv.
Dank an @wolfiechristl.

#TeamDatenschutz

2/ Als Einstieg und Zusammenfassung kann der Beitrag von @publictorsten auf @heise_online dienen:

heise.de/news/Verbrauch…

Und wer Spaß an Meinungspluralität hat, liest sich unter dem Artikel das Heise-Forum dazu durch:

3/ Der Tatbestand stellt den Sachverhalt (streitig und unstreitig) technisch so detailliert dar, wie bislang kein anderes mir bekanntes deutsches Urteil. Lesenswert, hier Beispiel #RealTimeBidding und #Xandr.

Vortrag Kläger (S. 158):

4/ Immer noch Tatbestand. Vortrag der Beklagten zur (angeblich fehlenden) Verantwortlichkeit. Die Dritten seien verantwortlich, nicht die Beklagte. Wer jetzt an #FashionID denkt, steckt mitten drin in der Diskussion um die Verantwortlichkeiten nach #GDPR und #ePrivacy:

4/a #DeepDive #AdTech und #Datenschutz: Wie z.B. #RealTimeBidding funktioniert (und wo es dabei heftig knirscht), kann man hier gut nachlesen im Beitrag meiner coolen Kolleg:innen @TilmanHerbrich und Elisabeth Niekrenz von 2021:

degruyter.com/document/doi/1…

4/b Noch ein toller Beitrag zu #RTB und #GDPR, dieses Mal von @mikarv und @fborgesius (2022): Hier liegt der Fokus auf den Datenschutzgrundsätzen wie Transparenz, Integrität und Vertraulichkeit sowie der Rechtmäßigkeit der Verarbeitung. Sehr lesenswert!

cambridge.org/core/journals/…

4/c Wie man #RTB in einer Klageschrift darstellen kann, ist hier im Verfahren @johnnyryan v @IABTechLab, @xandr u.a. nachzulesen. Die @ICCLtweet wird gleichfalls vom Team Herbrich/Niekrenz unterstützt:

iccl.ie/wp-content/upl…

Hintergrund zur Klage:
iccl.ie/rtb-june-2021/

5/ Für die Praktiker:innen interessant: Klageanträge sind bestimmt (S. 183), Nachahmung (aber auch Nachschärfen) also möglich:

6/ Für Nerds interessant: Anwendungsbereiche von #TTDSG und #DSGVO können sich überschneiden (S. 187), so auch hier. Das hat der EuGH in C-645/19 so gesagt, wie man in der Besprechung von @TilmanHerbrich nachlesen kann ;-)

beck-online.beck.de/Dokument?vpath…

7/ Etwas für die Kommentarliteratur (z.B. irgendeine "Einführung vor § 25 TTDSG"😉) ist diese Kernaussage des Urteils (S. 189): Werbetrackingcookies zu setzen und/oder auszulesen ist ohne informiert-freiwillige Einwilligung unzulässig und begründet Unterlassungsansprüche:

7/a Werbung: Wer sich mit Unterlassungsansprüchen und Datenschutz beschäftigt, für den ist das Kapitel von @TilmanHerbrich im neuen Beck-Handbuch „Datenschutz im Internet“ ein Muss. Der S/B/R erscheint im April 2023 und kann bereits vorbestellt werden.
beck-shop.de/schwartmann-be…

8/ Nichts Neues für Nerds: Der #TCString des @iab_news #TCF ist ein personenbezogenes Datum, u.a. deshalb, weil er einem Individuum zugeordnet werden soll (S. 190):

@Panoptykon @JohnnyRyan @WolfieChristl
@Jeffausloos @bitsoffreedom
@quadraturedunet @FusterGloria @PaulNemitz

9/ Das Gericht bezieht die Ausführungen der belgischen Aufsichtsbehörde #APD ausdrücklich ein (S. 192). Für Rechtsberater:innen ein dezentes Zeichen, wie wichtig es ist, die Entscheidungspraxis in ganz Europa zu beachten:

gegevensbeschermingsautoriteit.be/publications/b…

9/a Hintergrund ist die Entscheidung der APD gegen das @IAB Europe (hier EN):

autoriteprotectiondonnees.be/publications/d…

Eine qualifizierte Besprechung dieser Entscheidung durch @mikarv @Cristianapt @MidasNouwens findet sich hier:

techreg.org/article/view/1…

9/b Mittlerweile hat das Berufungsgericht Antwerpen einige Fragen aus dem Verfahren dem EuGH zur Beantwortung vorgelegt, u.a. zum Personenbezug. Ob das sein musste, daran kann man zweifeln ;-)

beck-online.beck.de/Dokument?vpath…

Sei's drum. Aktenzeichen am EuGH: C-604/22:

10/ Eine große Wahrheit gelassen formuliert, schön für die Kommentarliteratur: Websitebetreiber sind verantwortlich für das, was sie auf der eigenen Website treiben (S. 193):

10/a Ob Anbieter von CMPs wie #OneTrust selbst Controller sind oder aber Processor mit reduzierten Pflichten, kann man in dem klugen Beitrag von Santos/Nouwens/Toth/@nataliabielova / Roca (2021) nachlesen:
link.springer.com/chapter/10.100…

10/b Experten der @TUBraunschweig und @SAP (ja, SAP!) haben Cookie-Banner untersucht. Ergebnis: Erschreckend. Viele CMPs scheitern an Art. 5.1.f, 25, 32 DSGVO, was auch nachfolgende Verarbeitungen rechtswidrig machen kann. #DataSupplyChain

ias.cs.tu-bs.de/publications/a…

11/ Jetzt wird es grundsätzlich: Das Gericht verwirft die Einwilligung, die mittels @IAB #TCF-zertifizierter #CMP eingeholt wurde, gestützt durch eine Stellungnahme des überzeugend argumentierenden BayLDA, im Verfahren beteiligt nach § 12a UKlaG (S. 195):

12/ Detailliert begründet das Gericht, warum es sich bei das angegriffene Banner eine rechtswidrige Gestaltung ist. Eine der stärksten und nachhaltigsten Passagen des Urteils. #DarkPatterns und #DeceptiveDesign werden es künftig vor deutschen Gerichten schwer haben (2 Screens):

12/a Bereits vor zwei Jahren erzielte der Kläger einen Erfolg gegen #DarkPatterns am #LGRostock. Meine Voraussage dazu war vielleicht optimistisch, aber Ende 2022 sehen wir doch allerorten einen konsequenteren Normenvollzug. Warum? Das Thema ist beliebt.

spiritlegal.com/en/news/detail…

12/b Beispiel: #Google Ireland hat sich erst kürzlich *strafbewehrt* verpflichtet, bisher gebrauchte #DarkPatterns und #DeceptiveDesigns in seinen #CookieBannern nicht mehr einzusetzen. Auch hier war das Team um @TilmanHerbrich und @Diana Ettig aktiv.

12/c Und die Fachliteratur zu #DarkPatterns und CMPs wird immer dichter. Topaktueller und schlauer Aufsatz von @ccmoeller zu "Dark Patterns in Consent-Bannern":

beck-online.beck.de/Dokument?vpath…

12/d Gut erforscht, kann man sagen, ist der Beitrag von @ProfMartini /Drews/Seeliger/@QuirinWeinzierl:

„Dark Patterns, Phänomenologie und Antworten der Rechtsordnung

uni-speyer.de/fileadmin/Lehr…

12/e Wer Tiefgang mag, wird diesen Aufsatz lieben:

Denga, „Digitale Manipulation und Privatautonomie - Provozierte Erklärungen im Privatrecht“

beck-online.beck.de/Dokument?vpath…

12/f Meine besondere Empfehlung, verleiht manch müdem Schriftsatz noch einmal Biss:

Meier: „Täuschung und Manipulation im Privatrecht“ (Diss, 2022)

mohrsiebeck.com/buch/taeuschun…

12/g Internationale Publikationen zu #DarkPatterns und #CMPs #1

“Dark Patterns and the Legal Requirements of Consent Banners: An Interaction Criticism Perspective”

von Gray/Santos/@nataliabielova/Toth/Clifford (2021)

dl.acm.org/doi/10.1145/34…

12/h Internationale Publikationen zu #DarkPatterns und #CMPs #2
“Dark Patterns after the GDPR: Scraping
Consent Pop-ups and Demonstrating their Influence” von Nouwens, Liccardi, @mikarv, Karger, Kagal

dl.acm.org/doi/10.1145/33…

12/i Internationale Publikationen zu #DarkPatterns und #CMPs #3 (insbesondere zu IAB/TCF)

“Do Cookie Banners Respect my Choice?
Measuring Legal Compliance of Banners from
IAB Europe’s Transparency and Consent Framework”

von Matte/Bielova/Santos

www-sop.inria.fr/members/Natali…

12/j Internationale Publikationen zu #DarkPatterns und #CMPs #4

406 Probanden. Interessante Nutzerperspektive, die zu §§ 5 und 5a UWG Input liefert.

”I am Definitely Manipulated, Even When I am Aware of it. It’s Ridiculous!” (2021)

dl.acm.org/doi/10.1145/34…

12/k Konstruktives von den Unis Darmstadt und Hannover:

“Website Operators are not the Enemy Either - Analyzing Options for Creating Cookie Consent Notices without Dark Patterns”

12/l Die enorme wirtschaftliche Relevanz von #DarkPatterns spiegelt sich hier wider:

„Data Protection, Cookie Consent, and Prices“.

Sicherlich ein guter Grund, bei der Bilanzierung von Data Assets und Risiken besonders achtsam zu sein.

mdpi.com/2227-7099/10/1…

13/ Kurz, schmerzlos, gut begründet zieht das Gericht einen spürbaren Schlussstrich unter die Debatte zur Frage, was denn „unbedingt erforderlich“ nach Art. 5.3 der #ePrivacy-Richtlinie (25 II Nr. 2 TTDSG) bedeuten soll. Looking at you, @bvdw, @ard, @zdf u.a.

14/ Fazit: Sehr lesenswertes Urteil, das die Sach- und Rechtslage umfassend darstellt und zitierfähige Passagen enthält. Die Sorgfalt, die das Gericht hierbei aufgewendet hat, wird Parteien in anderen Verfahren zugutekommen aber auch die Datenschutzaufsichtsbehörden stärken.

15/ PS: Es ist das erste in einer ganzen Reihe von Urteilen, die binnen Jahresfrist zu diesem Themenkreis zu erwarten sind. #TeamSpirit ist stets mittendrin statt nur dabei und sorgt für Rechtsprechung, die den Kommentator:innen von TTDSG/DSGVO etwas zum Kauen gibt ;-)

Update: Die Entscheidung ist bereits im Volltext auf @rewis_io abrufbar:

rewis.io/urteile/urteil…

Share this Scrolly Tale with your friends.

A Scrolly Tale is a new way to read Twitter threads with a more visually immersive experience.
Discover more beautiful Scrolly Tales like this.

Keep scrolling