1/ Druckfrisch: LG München I (33 O 14776/19) zu #Tracking, § 25 #TTDSG, #IAB #TCF, #RealTimeBidding, #DarkPatterns - focus_de (n.rkr.).
vzbv.de/sites/default/…
vzbv.de/urteile/einsat…
Glückwunsch an @TilmanHerbrich @DianaEttig @vzbv.
Dank an @wolfiechristl.
#TeamDatenschutz
2/ Als Einstieg und Zusammenfassung kann der Beitrag von @publictorsten auf @heise_online dienen:
heise.de/news/Verbrauch…
Und wer Spaß an Meinungspluralität hat, liest sich unter dem Artikel das Heise-Forum dazu durch:
3/ Der Tatbestand stellt den Sachverhalt (streitig und unstreitig) technisch so detailliert dar, wie bislang kein anderes mir bekanntes deutsches Urteil. Lesenswert, hier Beispiel #RealTimeBidding und #Xandr.
Vortrag Kläger (S. 158):
4/ Immer noch Tatbestand. Vortrag der Beklagten zur (angeblich fehlenden) Verantwortlichkeit. Die Dritten seien verantwortlich, nicht die Beklagte. Wer jetzt an #FashionID denkt, steckt mitten drin in der Diskussion um die Verantwortlichkeiten nach #GDPR und #ePrivacy:
4/a #DeepDive #AdTech und #Datenschutz: Wie z.B. #RealTimeBidding funktioniert (und wo es dabei heftig knirscht), kann man hier gut nachlesen im Beitrag meiner coolen Kolleg:innen @TilmanHerbrich und Elisabeth Niekrenz von 2021:
degruyter.com/document/doi/1…
4/b Noch ein toller Beitrag zu #RTB und #GDPR, dieses Mal von @mikarv und @fborgesius (2022): Hier liegt der Fokus auf den Datenschutzgrundsätzen wie Transparenz, Integrität und Vertraulichkeit sowie der Rechtmäßigkeit der Verarbeitung. Sehr lesenswert!
cambridge.org/core/journals/…
4/c Wie man #RTB in einer Klageschrift darstellen kann, ist hier im Verfahren @johnnyryan v @IABTechLab, @xandr u.a. nachzulesen. Die @ICCLtweet wird gleichfalls vom Team Herbrich/Niekrenz unterstützt:
iccl.ie/wp-content/upl…
Hintergrund zur Klage:
iccl.ie/rtb-june-2021/
5/ Für die Praktiker:innen interessant: Klageanträge sind bestimmt (S. 183), Nachahmung (aber auch Nachschärfen) also möglich:
6/ Für Nerds interessant: Anwendungsbereiche von #TTDSG und #DSGVO können sich überschneiden (S. 187), so auch hier. Das hat der EuGH in C-645/19 so gesagt, wie man in der Besprechung von @TilmanHerbrich nachlesen kann ;-)
beck-online.beck.de/Dokument?vpath…
7/ Etwas für die Kommentarliteratur (z.B. irgendeine "Einführung vor § 25 TTDSG"😉) ist diese Kernaussage des Urteils (S. 189): Werbetrackingcookies zu setzen und/oder auszulesen ist ohne informiert-freiwillige Einwilligung unzulässig und begründet Unterlassungsansprüche:
7/a Werbung: Wer sich mit Unterlassungsansprüchen und Datenschutz beschäftigt, für den ist das Kapitel von @TilmanHerbrich im neuen Beck-Handbuch „Datenschutz im Internet“ ein Muss. Der S/B/R erscheint im April 2023 und kann bereits vorbestellt werden.
beck-shop.de/schwartmann-be…
8/ Nichts Neues für Nerds: Der #TCString des @iab_news #TCF ist ein personenbezogenes Datum, u.a. deshalb, weil er einem Individuum zugeordnet werden soll (S. 190):
@Panoptykon @JohnnyRyan @WolfieChristl
@Jeffausloos @bitsoffreedom
@quadraturedunet @FusterGloria @PaulNemitz
9/ Das Gericht bezieht die Ausführungen der belgischen Aufsichtsbehörde #APD ausdrücklich ein (S. 192). Für Rechtsberater:innen ein dezentes Zeichen, wie wichtig es ist, die Entscheidungspraxis in ganz Europa zu beachten:
gegevensbeschermingsautoriteit.be/publications/b…
9/a Hintergrund ist die Entscheidung der APD gegen das @IAB Europe (hier EN):
autoriteprotectiondonnees.be/publications/d…
Eine qualifizierte Besprechung dieser Entscheidung durch @mikarv @Cristianapt @MidasNouwens findet sich hier:
techreg.org/article/view/1…
9/b Mittlerweile hat das Berufungsgericht Antwerpen einige Fragen aus dem Verfahren dem EuGH zur Beantwortung vorgelegt, u.a. zum Personenbezug. Ob das sein musste, daran kann man zweifeln ;-)
beck-online.beck.de/Dokument?vpath…
Sei's drum. Aktenzeichen am EuGH: C-604/22:
10/ Eine große Wahrheit gelassen formuliert, schön für die Kommentarliteratur: Websitebetreiber sind verantwortlich für das, was sie auf der eigenen Website treiben (S. 193):
10/a Ob Anbieter von CMPs wie #OneTrust selbst Controller sind oder aber Processor mit reduzierten Pflichten, kann man in dem klugen Beitrag von Santos/Nouwens/Toth/@nataliabielova / Roca (2021) nachlesen:
link.springer.com/chapter/10.100…
10/b Experten der @TUBraunschweig und @SAP (ja, SAP!) haben Cookie-Banner untersucht. Ergebnis: Erschreckend. Viele CMPs scheitern an Art. 5.1.f, 25, 32 DSGVO, was auch nachfolgende Verarbeitungen rechtswidrig machen kann. #DataSupplyChain
ias.cs.tu-bs.de/publications/a…
11/ Jetzt wird es grundsätzlich: Das Gericht verwirft die Einwilligung, die mittels @IAB #TCF-zertifizierter #CMP eingeholt wurde, gestützt durch eine Stellungnahme des überzeugend argumentierenden BayLDA, im Verfahren beteiligt nach § 12a UKlaG (S. 195):
12/ Detailliert begründet das Gericht, warum es sich bei das angegriffene Banner eine rechtswidrige Gestaltung ist. Eine der stärksten und nachhaltigsten Passagen des Urteils. #DarkPatterns und #DeceptiveDesign werden es künftig vor deutschen Gerichten schwer haben (2 Screens):
12/a Bereits vor zwei Jahren erzielte der Kläger einen Erfolg gegen #DarkPatterns am #LGRostock. Meine Voraussage dazu war vielleicht optimistisch, aber Ende 2022 sehen wir doch allerorten einen konsequenteren Normenvollzug. Warum? Das Thema ist beliebt.
spiritlegal.com/en/news/detail…
12/b Beispiel: #Google Ireland hat sich erst kürzlich *strafbewehrt* verpflichtet, bisher gebrauchte #DarkPatterns und #DeceptiveDesigns in seinen #CookieBannern nicht mehr einzusetzen. Auch hier war das Team um @TilmanHerbrich und @Diana Ettig aktiv.
12/c Und die Fachliteratur zu #DarkPatterns und CMPs wird immer dichter. Topaktueller und schlauer Aufsatz von @ccmoeller zu "Dark Patterns in Consent-Bannern":
beck-online.beck.de/Dokument?vpath…
12/d Gut erforscht, kann man sagen, ist der Beitrag von @ProfMartini /Drews/Seeliger/@QuirinWeinzierl:
„Dark Patterns, Phänomenologie und Antworten der Rechtsordnung
uni-speyer.de/fileadmin/Lehr…
12/e Wer Tiefgang mag, wird diesen Aufsatz lieben:
Denga, „Digitale Manipulation und Privatautonomie - Provozierte Erklärungen im Privatrecht“
beck-online.beck.de/Dokument?vpath…
12/f Meine besondere Empfehlung, verleiht manch müdem Schriftsatz noch einmal Biss:
Meier: „Täuschung und Manipulation im Privatrecht“ (Diss, 2022)
mohrsiebeck.com/buch/taeuschun…
12/g Internationale Publikationen zu #DarkPatterns und #CMPs #1
“Dark Patterns and the Legal Requirements of Consent Banners: An Interaction Criticism Perspective”
von Gray/Santos/@nataliabielova/Toth/Clifford (2021)
dl.acm.org/doi/10.1145/34…
12/h Internationale Publikationen zu #DarkPatterns und #CMPs #2
“Dark Patterns after the GDPR: Scraping
Consent Pop-ups and Demonstrating their Influence” von Nouwens, Liccardi, @mikarv, Karger, Kagal
dl.acm.org/doi/10.1145/33…
12/i Internationale Publikationen zu #DarkPatterns und #CMPs #3 (insbesondere zu IAB/TCF)
“Do Cookie Banners Respect my Choice?
Measuring Legal Compliance of Banners from
IAB Europe’s Transparency and Consent Framework”
von Matte/Bielova/Santos
www-sop.inria.fr/members/Natali…
12/j Internationale Publikationen zu #DarkPatterns und #CMPs #4
406 Probanden. Interessante Nutzerperspektive, die zu §§ 5 und 5a UWG Input liefert.
”I am Definitely Manipulated, Even When I am Aware of it. It’s Ridiculous!” (2021)
dl.acm.org/doi/10.1145/34…
12/k Konstruktives von den Unis Darmstadt und Hannover:
“Website Operators are not the Enemy Either - Analyzing Options for Creating Cookie Consent Notices without Dark Patterns”
12/l Die enorme wirtschaftliche Relevanz von #DarkPatterns spiegelt sich hier wider:
„Data Protection, Cookie Consent, and Prices“.
Sicherlich ein guter Grund, bei der Bilanzierung von Data Assets und Risiken besonders achtsam zu sein.
mdpi.com/2227-7099/10/1…
13/ Kurz, schmerzlos, gut begründet zieht das Gericht einen spürbaren Schlussstrich unter die Debatte zur Frage, was denn „unbedingt erforderlich“ nach Art. 5.3 der #ePrivacy-Richtlinie (25 II Nr. 2 TTDSG) bedeuten soll. Looking at you, @bvdw, @ard, @zdf u.a.
14/ Fazit: Sehr lesenswertes Urteil, das die Sach- und Rechtslage umfassend darstellt und zitierfähige Passagen enthält. Die Sorgfalt, die das Gericht hierbei aufgewendet hat, wird Parteien in anderen Verfahren zugutekommen aber auch die Datenschutzaufsichtsbehörden stärken.
15/ PS: Es ist das erste in einer ganzen Reihe von Urteilen, die binnen Jahresfrist zu diesem Themenkreis zu erwarten sind. #TeamSpirit ist stets mittendrin statt nur dabei und sorgt für Rechtsprechung, die den Kommentator:innen von TTDSG/DSGVO etwas zum Kauen gibt ;-)
16/ cc @alvar_f @OdiaKagan @maxschrems @julischka @SuVergnolle @Cristianapt @ICCLtweet @g_arezzo @PrivSymposium @PrivacyPros #TeamDatenschutz
Update: Die Entscheidung ist bereits im Volltext auf @rewis_io abrufbar:
rewis.io/urteile/urteil…
Share this Scrolly Tale with your friends.
A Scrolly Tale is a new way to read Twitter threads with a more visually immersive experience.
Discover more beautiful Scrolly Tales like this.