Personalisierte Medien und Unterhaltung

(1)

Personalisierte

Medien und Unterhaltung

25. Januar 2018

11. Tagung zum Datenschutz – Jüngste Entwicklungen

Dirk Spacek, Dr. iur., LL.M., Rechtsanwalt

(2)

11. Tagung zum Datenschutzrecht 25.01.2018

– Personalisierungsfaktoren in der heutigen Medienland- schaft:

– Bequemlichkeit: Kunden wollen Inhalte jederzeit, überall und auf Abruf verfügbar haben.

– Keine Loyalität zum Anbieter: Individualisierte, auf Inhalte fokussierte Kundengeneration.

– Kurze Aufmerksamkeitsspanne: Kunden zeigen ein verstärktes Inte- resse an Kurzform-Videos.

– Persönliche Teilnahme: Kunden sind offener für Interaktionen mit Inhaltsangeboten (z.B. Live-Teilnahme).

– Übermass an Inhalten: Geringere Bereitschaft, für Inhalte zu bezahlen.

– «Privacy-Paradox»: Verbraucher sind leicht bereit, ihre Personenda- ten offenzulegen bzw. in Bearbeitungen einzuwilligen.

Einleitung

2

(3)

– Ebenen der Personalisierung

Personalisierung

Künstliche Intelligenz (KI): Smart-Home-Assis- Tent für personalisierten Unterhaltungskonsum.

TV

Radio

Kino

Veranstaltungen

Wie unterhalte ich mich?

Persönliches Gerät

Personalisierter Inhalt

Interaktion

(Persönliche Teilnahme

⁾

Hi-Fi

(4)

Helpline in relation to Infotainment Service s.

Payment of share of hardware subsidy, activation

fee and revenue share

(commission) Introductory services Technology

Licence and Royalty Agreement 100%

Payment of hardware subsidy, activation fee and revenue share (commission) Payment of royalties

and payment for services

1) Engineering and IT support 2) Technology licensing

A greement with TSP to provide Infotainment Services (broadly incorporating terms of WSA)

Wireless Services

Agreement (" WSA ")

100%

CONTENT PROVIDER (UK) CONTENT PROVIDER

(USA) Telecom Service

Provider(US)

Payment for Infotainment Services Infotainment

Services Agreement

Infotainment Services Telecom Service

Provider (CH)

Swissresident individuals (the

" Subscribers ")

Telecom Service Provider (UK)

Beispiel 1: Persönliches Gerät als Vehikel für personalisierte Unterhaltung.

4

Herausforderungen:

Transparenz: Vertragsabschluss zwischen wem?

Fernmelderecht (FMG).

Datenschutzrecht (DSG).

Fernmeldeüberwachung (BÜPF).

Netzwerkneutralität.

Urheberrechtsfragen.

CAR MANUFACTURER

100%

(5)

– Abonnenten-Targetting («Subscriber-Models»: CID).

– Anonymes Targetting (Website-Besucher: IP-Adresse).

– Instrumente:

– Identifikatoren und Algorithmen generieren «Benutzerprofile» und selektionieren z.B. «Empfehlungen»;

– Inhaltsbasierte Empfehlungen.

– Kaufbasierte Empfehlungen (von anderen Kunden).

– Relevanzbasierte Empfehlungen (abgestimmt auf Kundennähe zu Produkt oder anderen Usern).

– oder passen Website-Inhalte, Dienstleistungen und Angebote in Echtzeit an («Augmented Reality»);

– Weitere Instrumente: Geschenke (Gratis-Content), Follow-up-e-mails, Vorbestellungen, Third-Party-Cookies.

– Big Data Analytics (Benutzerdatenerfassung und «Matching»

zur Vorhersage von Kundenbedürfnissen).

Beispiel 2: Personalisierte Inhalte (Tar-

getting).

(6)

– Kultur der Kundenbeteiligung («engagement»):

– Videospiele & persönliche Avatare.

– Crowdsourcing: Benutzergenerierte Inhalte.

– Musik-Sharing-Plattformen.

– Talentwettbewerbe (Publikum stimmt ab).

Beispiel 3: Interaktive Unterhaltung (Personalisiertes Engagement).

6

(7)

Beispiel 4: KI: Smart Home Geräte für

personalisierte Unterhaltung.

(8)

– «Smart-Home»: Geräte sind mit einem «KI-Haushälter»

verbunden. «KI-Haushälter» verwaltet Geräte, um per- sönlichen Bedürfnissen des Kunden zu entsprechen.

– Beispiel: Amazon Echo («Alexa»: Digitale Sprachsteue- rung, die als Schnittstelle zu internetbasierten Unterhal- tungsdiensten dient und weitere Fähigkeiten besitzt):

– Weitere KI-Funktionen für Smart Homes inskünftig denk- bar…

Beispiel 4: KI: Smart Home Geräte für personalisierten Unterhaltungskonsum.

8

(9)

– Datenschutzrecht (DSG).

– Telekommunikationsrecht (FMG).

– Immaterialgüterrecht.

– Vertragsrecht.

– Produktehaftpflicht-/Produktesicherheitsrecht.

– Bundesgesetz gegen den unlauteren Wettbewerb

– Ist Art. 3 Abs. 1 lit. o. (Massenwerbung/«Spam») überhaupt anwendbar auf z.B. personalisierte follow-up-e-mails?

– Art. 2 und 3 Abs. 1 UWG (div. Szenarien der «Irreführung»).

– Öffentliches Rundfunkrecht (RTVG).

– Verfassungsrecht (Meinungs- und Informationsfreiheit).

Zusammenfassung der rechtlichen

Wirkungsfelder.

(10)

– Die Europäische Datenschutzrichtlinie 95/46 EC wird durch die neue Europä- ische Datenschutzgrundverordnung («DSGVO») ersetzt.

– Extraterritorialer Geltungsbereich (u.U. auch für Tätigkeiten in der Schweiz);

– Direkte Verantwortlichkeit des Datenbearbeiters;

– Verbotsregime, aber mit risikobasierten «Milderungen»;

– Striktes und freies Einwilligungserfordernis für die Datenbearbeitung: Frei erteilte, spezifische, informierte und eindeutige Einwilligung (Koppelungsverbot);

– Benachrichtigungen über Datenschutzverletzungen («data breach notifications»);

– Automatisierte Entscheidungen inkl. «Profiling» – «Menschliches Gehör»;

– Bestimmung eines Vertreters in der EU;

– Bestimmung eines (unabhängigen) Datenschutzbeauftragten;

– Durchführung von Datenschutzverträglichkeitsprüfungen;

– Verstösse gegen die DSGVO können mit Bussgeldern von bis zu EUR 20’000’000 oder 4% des weltweiten Jahresumsatzes sanktioniert werden (je nachdem, welcher Betrag höher ist).

Rechtliche Erwägungen: Datenschutz (1)

10

(11)

– Entwurf für ein neues Schweizerisches Datenschutzgesetz («E-DSG»): Anvisier- te Inkraftsetzung 2018. Verzögerung erwartet.

– Beibehalten:

– Räumlicher Geltungsbereich, Begriff «Personendaten», «Opt-out»-Prinzip (Konzept der

«Erkennbarkeit». Keine Einwilligung für Datenbearbeitungen zwingend), Datenbearbei- tungsgrundsätze und Rechtfertigungsgründe (mit Modifikationen).

– Fallen gelassen:

– Schutz juristischer Personendaten (theoretisch aber via Art. 28 ZGB weiter möglich).

– Neu (bzw. ähnlich wie in DSGVO) übernommen:

– Gewisse Begriffsdefinitionen, z.B. «Profiling» ≠ Erstellung eines Persönlichkeitsprofils.

– Begriff der «Einwilligung»: «Angemessene Information, freiwillig und eindeutig» (neu?).

– Privacy by Design (im Grunde nicht neu) und Privacy by Default («Grundeinstellungen»).

Datenschutz-Folgeabschätzung.

– Data Breach Notifications und weitere Informationspflichten.

Rechtliche Erwägungen: Datenschutz (2)

(12)

– Herausforderungen für personalisierte Medienangebote in der Schweiz:

– Je nach Zielpublikum: EU-Recht und/oder Schweizer Recht anwendbar.

–

EU: Informierte, freiwillige und eindeutige Einwilligung (Art. 6 Abs. 1 lit. a./Art. 7 DSGVO):

– «Informiert»: «Alle relevanten Informationen» «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache» übermittelt (Art. 12 Abs. 1 DSGVO/Art. 5 Abs. 6 E-DSG weniger ausführlich).

– «Einwilligung»: «Freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Will- lensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung» (Art. 4 Abs. 11 DSGVO/Art. 5 Abs. 6 E-DSG weniger ausführlich).

– «Koppelungsverbot»: Vorformulierte Einwilligungserklärungen in schriftlichen Erklärungen zu anderen Angelegenhei- ten klar zu trennen. Erbringung von Dienstleistungen darf nicht von Einwilligung in eine Datenbearbeitung abhängig gemacht werden, wenn dies zur Vertragserfüllung nicht erforderlich ist (Art. 7 Abs. 2 und 4 DSGVO. Im E-DSG so nicht vorgesehen).

– «Widerrufbarkeit»: Betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen (Art. 7 DSGVO/im E-DSG und auch im heutigen DSG bereits systemimmanent).

–

EU & Schweiz: «Automatisierte Entscheidung im Einzelfall, inkl. Profiling»: Recht Betroffener, keinem auto- matisierten Profiling mit Rechtswirkung oder Beeinträchtigung unterworfen zu werden. → «Menschliches Gehör» (Art. 22 DSGVO/Art. 19 E-DSG).

Rechtliche Erwägungen: Datenschutz (3)

12

(13)

– Auswirkungen unter dem EU-Regime (DSGVO):

– Schweigen, vormarkierte Kästchen oder Inaktivität reichen nicht mehr aus für eine strikte Einwilligung.

– Spezifische, detaillierte Informationen über relevante Datenbearbeitung erforderlich.

– Folge: Längere Datenschutzerklärungen ↔ «Leicht zugänglich» und «einfach ver- ständlich»?

– → Balanceact im Drafting: Detailierungsgrad vs. Verständlichkeit.

– Erbringung von Dienstleistungen darf nicht von Einwilligung in eine Datenbearbeitung abhängig gemacht werden, wenn dies zur Vertragserfüllung nicht erforderlich ist («Kop- pelungsverbot»).

– → Vertragszweck einhalten oder Optionale Einwilligung anstreben.

– Jederzeitige Widerrufbarkeit → Risiko für andauernde Datenauswertungen (Z.B. [nicht- anonymes] Big Data-Analytics).

Rechtliche Erwägungen: Datenschutz (4)

(14)

– Auswirkungen unter dem Schweizer Regime (E-DSG)?

– Personalisierung und «Profiling»?

– Art. 4 lit. f. E-DSG: «die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten».

– Art. 19 Abs. 1 E-DSG: «automatisierte Bearbeitung, einschliesslich Profiling» … «und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt».

– Personalisierte Werbung oder Medieninhalte (Empfehlungen) im Regelfall keine rechtlichen oder erheblichen Beeinträchtigungen. Zweck der Bestimmung eher z.B. automatische Kredit- oder Anstellungsentscheide, personalisiertes Pricing, automatische Bestellung von Angeboten etc.

– Anonyme Personalisierung:

– Keine «Personendaten» i.S. DSG/E-DSG: Personalisierung zulässig.

– Anders: Vertreter der «Singularisierungsthese»/«Vorsorgeprinzip».

– Singularisierung/Vorsorgeprinzip findet im geltenden DSG und im E-DSG keine klare Stütze.

– Bundesgericht: Hat Singularisierungsansatz bislang verneint und bestätigt «relativen Ansatz» (BGE 136 II 508, E. 3,

«Logistep»).

– Derzeit: Legale Grauzone. Aber → Sobald eine relative persönliche Identifizierbarkeit von Daten möglich wird, sind Regeln des DSG/E-DSG einzuhalten → Rahmenordnung des UWG ist zu beachten («Irreführung»).

Rechtliche Erwägungen: Datenschutz (5)

14

(15)

– Rechtfertigung der Datenverarbeitung für personalisierte Me- dien & Unterhaltung (ohne Einwilligung)?

– Sofern «für die Erfüllung eines Vertrags […] erforderlich» (Art. 6 Abs. 1 lit. b DSGVO/Art. 24 Abs. 2 lit. a E-DSG):

– Empfehlungen, die das mutmassliche Interesse der Nutzer an einem Produkt treffen oder ihm helfen, die Informationsflut zu reduzieren (massgeschneiderte Nachrichten). Optimierung? Weniger «belästigend»?

– Technische Vereinfachung des Dienstleistungserbringungsprozesses?

– Sofern «zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich» (Art. 6 Abs. 1 lit. e DSGVO/Art. 24 Abs. 1 E-DSG).

– DSGVO nennt in den Erwägungsgründen Direktwerbung als ein berechtig- tes Interesse (Erwägungsgrund 47 DSGVO).

– Welche Personalisierungstools könnten als «Direktwerbung» betrachtet werden? Nur personalisierte Werbung oder sogar auch personalisierte Inhalte?

– Achtung! Betroffene können jederzeit Einwände gegen Direktwerbung erheben (Opt-out-Prinzip). Schafft kein dauerhaftes berechtigtes und übergeordnetes Interesse des Anbieters.

Rechtliche Erwägungen: Datenschutz (6)

(16)

– Amazon Echo: Was macht Alexa?

– Gerät: Manuell aktiviert/sprachaktiviert/

immer eingeschaltet.

– Spracherkennung (sprachbasierte Auf- tragsbearbeitung).

– Fähigkeiten: Musik spielen, Timer einstel- len, Kalender verwalten. (Alexa, spiele Musik, Alexa, welche Termine habe ich

heute?).

– Stimmerkennung (in der Amazon Cloud gespeicherte Voice Prints, die anhand Merkmalen der Stimme identifizieren).

Rechtliche Erwägungen: Datenschutz: KI- Assistent in Smart Homes (1)

16

(17)

– Datenschutz für KI-Geräte: Datenschutz «by design» und «by default» (Art. 25 DSGVO)?

– EU: Art. 25 DSGVO, Abs. 1: Geeignete technische und organisatorische Mas- snahmen, um Datenschutzgrundsätze wirksam umzusetzen («privacy by de- sign»).

– EU: Art. 25 DSGVO, Abs. 2: Technische und organisatorische Sicherstellung, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden («privacy by default»).

– Schweiz: Art. 6 E-DSG: Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden («pri- vacy by design»). Geeignete Voreinstellungen, dass Bearbeitung Personen- daten auf für Verwendungszweck nötiges Mindestmass beschränkt werden, soweit Betroffener nicht etwas anderes bestimmt («privacy by default»).

Rechtliche Erwägungen: Datenschutz: KI-

Assistent in Smart Homes (2)

(18)

– KI-Gerätesteuerung (Ansätze):

– Standardeinstellung aus, aktive Bestätigung zum Einschalten der Spracherkennungsfunk- tionen.

– Option zur vollständigen Deaktivierung des Mikrofons.

– Optische Signale zeigen an, ob das Mikrofon eingeschaltet ist (rot/grün).

– Ex-post-Kontrolle: Zugriff auf hochgeladene Audiobefehle/Löschen von Audiodateien und Texttranskripte.

– KI-Biometrische «Voice Prints» (Ansätze):

– Segregation und Anonymisieren biometrischer Audiodateien für die Cloud-Verarbeitung.

– Option für Kunden, biometrische Audiodateien vollständig zu entfernen.

– Sind biometrische Erkennungsmerkmale für die Vertragserfüllung notwendig (Rechtferti- gungsgrund)?

Rechtliche Erwägungen: Datenschutz: KI- Assistent in Smart Homes (3)

18

(19)

– Befürworter Personalisierung: Begrüssen diese Entwicklung, weil

– Zunehmende Informations- und Werbemenge; Erschwernis für Kunden, relevante Informationen zu selektionieren («overinformation» und «spam»); und

– Optimierung/Rationalisierung des Dienstleistungserbringungsprozesses erreicht wird.

– Kritische Gegenmeinungen:

– C ^ASS S ^UNSTEIN , Harvard Law School: «Echokammern», «Enklaven von Gleichgesinnten».

– E ^LI P ^ARISER , Internet-Aktivist: «Filterblasen».

– Risiko: Fragmentierung der Gesellschaft: Menschen hören nur das, was sie hören wollen. Abschottung von anderen Ansichten wird leicht (keine Reibungsflächen mehr). Personalisierung kann die Bildung extremer Meinungen fördern (Polarisie- rungstendenz). Bedrohung der Demokratie, die auf einem gleichberechtigten Zu- gang zu öffentlicher Information und auf offenem Diskurs basiert.

Rechtliche Erwägungen: Verfassungsrecht

(Informationsfreiheit) (1)

(20)

– Auswirkungen auf den öffentlichen Rundfunk:

– Art. 93 Abs. 2 der Schweizerischen Bundesverfassung:

“Radio und Fernsehen tragen zur Bildung und kulturellen Entfaltung, zur freien Meinungsbildung und zur Unterhaltung bei. Sie berücksichtigen die Besonderheiten des Landes und die Bedürfnisse der Kantone. Sie stellen die Ereignisse sachgerecht dar und bringen die Vielfalt der Ansichten angemessen zum Ausdruck.”

– “Service Public”-Auftrag des schweizerischen öffentlichen Rundfunkanbieters SRG SSR.

Rechtliche Erwägungen: Öffentliches Rundfunkrecht (2)

20

(21)

– ADMEIRA:

– Joint Venture zwischen der SRGSSR, Swisscom (schweizerischer Telekommu- nikationsdienstleister) und Ringier (grosses schweizerisches Medienunterneh- men).

– Im schweizerischen Recht umstritten:

– Mit SRGSSR geteilte Telekom-Benutzerdaten. Theoretische Möglichkeit für SRGSSR, Big Data Analytics bzw. Datenauswertungen zu nutzen und Werbung sowie redaktionelle Inhalte für Benutzer zu personalisieren.

– Wettbewerbsverzerrung.

– 14. Dezember 2015: Genehmigung des Joint Ventures durch die schweizerische Wettbewerbskommission.

– Beim Bundesgericht eingereichte Beschwerde betreffend Unvereinbarkeit mit dem «Service Public» (hängig).

– Bundesrat zieht Revision des RTVG in Erwägung mit Zulassung personalisierter Werbung durch SRGSSR für limitierte Stundenanzahl.

Rechtliche Erwägungen: Öffentliches

Rundfunkrecht (3)

(22)

– Fragen? Bitte melden!

Danke für Ihre Aufmerksamkeit!

22

(23)