Since the launch of Apple’s tvOS there’s been a natural increase of interest in the Smart TV ecosystem be it by consumers or developers. There’s another part of the ecosystem that has a very natural tendency of scrutinizing these developments: national data protection authorities.
We’ve read one such an overview and guide for Smart-TV services by the German DPAs that gather in the so called Düsseldorfer Kreis (Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich).
We felt their opinions were beneficial both for iubenda as a creator of a generator of legal documents as well as developers who are trying to understand how to handle this situation. Given that Germany often has some of the strictest interpretations on data protection, there are things to be learned from their approaches.
The document “Orientierungshilfe zu den Datenschutzanforderungen
an Smart-TV-Dienste” explains what the definition of personal data is, who is responsible for the data processing, which law is applicable, the legal basis of the doc and the TV app ecosystem, privacy policy requirements, IT-security and some pointers for the various involved categories.
Below is a very high-level reproduction of the outlined statements (so please doublecheck everything):
Personal data specific to Smart-TV ecosystems
The following is outlined as being personal data specifically processed in Smart-TV ecosystems
- IP address of the user, which in the case of dynamic IP addresses in conjunction with the time meta data is considered personal data by the data protection supervisory authorities;
- Device-IDs, which are connected to the device and can be tracked to the same person over time (registration cited as an example);
- Audio and voice recordings;
- Pictures and movie recordings of a person
- Information about which apps etc. were used by the user
- Information which programs were watched or accessed by the user (when how long)
- Registration data, e.g. name, email address, region, payment data like banking information or credit card numbers
Who are the involved parties?
Device producers and sellers, HbbTV service providers, portal providers , app store providers, app developers, providers of services that personalize the experience to some extent & third party data processors.
Regarding applicable law?
Generally German privacy law is to be considered applicable unto both entities based in Germany and extra-EU when personal data from Germans is being processed. If the data processing is happening in another member state of the EU without that entity having a legal base in Germany, then the laws of their home base are to be considered applicable.
Regarding the conditions for privacy policies
Creation of pseudonymous profiles
Creation of pseudonymous profiles are ok under the German TMG based on usage data for the purposes of advertising and market research if the user doesn’t contradicts to this sort of processing. There needs to be a disclosure regarding this fact in your privacy policy, and an option to contradict in an effective and appropriate way. An opt-out link or radio button is advisable (email, or postal mail is not considered a valid means of the former).
“Der Nutzer muss vom Diensteanbieter auf die Erstellung eines solchen Nutzungsprofils und die Möglichkeit, der Verwendung seiner Nutzungsdaten zu diesem Zweck widersprechen zu können, hingewiesen werden. Dies muss zumindest in der Datenschutzerklärung (vgl. Kapitel 5.2.1) geschehen.
Die Widerspruchsmöglichkeit muss effektiv und angemessen sein. Es sollte daher eine direkte Opt-Out-Möglichkeit (Link, Möglichkeit des Auskreuzens) für den Nutzer vorgehalten werden, die mit möglichst einem Klick aktiviert werden kann und dazu führt, dass der Datenfluss unterbrochen wird. Die Möglichkeit, per E-Mail oder postalisch einer Nutzungsprofilerstellung gem. §
15 Abs. 3 TMG zu widersprechen, genügt nicht, da bei einem Widerspruch per E-Mail oder per Post eine Zuordnung aufgrund des Medienbruches im Allgemeinen nicht erfolgen kann“.
Notice when user starts the app and always visible
The supervisors also provide information about how the users of smart TVs are to be informed effectively of the data processing. According to the authorities, there is an obligation, to embed the privacy policy in such a way that the user inevitably and as early as possible comes into contact with the privacy policy.
“(…) die Datenschutzhinweise derart zu verankern, dass der Nutzer zwangsläufig und so frühzeitig wie möglich mit diesen in Berührung gelangt. Deshalb muss die Information in einer Erklärung, die als „Datenschutzerklärung“, „Hinweise zum Datenschutz“ o.ä. bezeichnet und ohne Umwege erreichbar ist, erfolgen. Eine Information, die im Impressum oder den Allgemeinen Geschäftsbedingungen (AGB) erfolgt, genügt nicht den Anforderungen an die Transparenz.”
It is at this stage hard to guess what’s meant by the term “inevitably”. Is that privacy statement to be shown via a popup? In any case, information that’s tucked away in the an imprint of sorts or the terms are not going to be enough to comply with the transparency requirements.
It is also important to note that the authorities do not consider modules, which are often created for traditional websites, to be very much suited for Smart-TV apps (or tvOS for that matter, probably the future’s most popular system).
“Zu beachten ist insbesondere auch, dass nicht sonstige Textbausteine, die häufig für herkömmliche Webseiten erstellt werden, genutzt werden, da eine Abweichung zwischen Smart-TV-Diensten und herkömmlichen Webseiten bei den Einstellungsmöglichkeiten für den Nutzer besteht. Während bei gängigen Internetbrowsern gezielt Einstellungen zur Privatsphäre und zum Datenschutz vorgenommen werden können, wie z. B. das Löschen von Tracking-Cookies, ist es dem Nutzer bei Smart-TV-Geräten über Betriebssystemmittel regelmäßig noch nicht möglich, derartige Maßnahmen zu ergreifen. Werden diese allerdings in der Datenschutzerklärung unter Bezugnahme auf die Webseite dargestellt, so ist dies irreführend, weil sie auf die Nutzung des konkreten Angebots keine Anwendung finden.“
We at iubenda will continue to observe the market and opinions and will see whether further changes and tools will be implemented from our side.
