ePrivacy: Wie wirkt sich die Richtlinie auf Ihr Marketing aus?

Geschrieben von Aurélie Pols, Saskia Wollenberg

Veröffentlicht Dezember 15, 2017

ePrivacy-Verordnung: Tickende Zeitbombe für Ihr Online-Marketing? – So bereiten Sie sich vor!

DSGVO und ePrivacy sollten ursprünglich zeitgleich in Kraft treten, da beide Gesetze den Umgang mit persönlichen Daten in der elektronischen Kommunikation regeln. Doch zum jetzigen Zeitpunkt befindet sich das Gesetzgebungsverfahren zur ePrivacy-Verordnung lediglich im Trilog-Stadium. Damit zieht sich das Verfahren im europäischen Parlament deutlich länger hin, als geplant. DSGVO und ePrivacy werden daher nicht zeitgleich verabschiedet werden können. Während die DSGVO im Mai 2018 in Kraft tritt, könnte sich das Verfahren zur ePrivacy-Verordnung noch bis 2019 hinziehen.

Unternehmen müssen also zunächst die Anforderungen der DSGVO im Mai 2018 umsetzen und zu einem späteren Zeitpunkt Anpassungen in Sachen Datenschutz nach der ePrivacy-Regulierung vornehmen. Doch das zeitversetzte Inkrafttreten ist nicht das einzige Problem für Unternehmen. Bei den bisherigen Verhandlungen über Inhalt und Wortlaut des ePrivacy-Gesetzes zeichnet sich ein noch restriktiverer Kurs in Datenschutzfragen ab, als dies bei der DSGVO der Fall ist. Damit könnte die ePrivacy-Regulierung eines der restriktivsten Datenschutzgesetze werden, die jemals verabschiedet wurden.

Je näher die Verabschiedung rückt, desto dringender wird die Frage: Welche Auswirkungen und Änderungen für das digitale Marketing ergeben sich durch die ePrivacy-Verordnung?

Daher möchten wir einige unserer Gedanken zum Thema mit Ihnen teilen und die häufigsten Fragen bezüglich Personalisierung, Marketing-Automation und Re-Marketing beantworten.

Auswirkungen auf First und Third Party-Tracking

Immer wieder kommen Fragen zu den Begrifflichkeiten “First Party” und “Third Party” auf, hier scheint eine Menge Verwirrung zu herrschen. Möglicherweise liegt dies am “Cookie Wall”-Drama” der Jahre 2009 bis 2011 – auch bekannt als “Cookie Consent Havoc” – und der Außerkraftsetzung der Richtlinie 2002/58/EC durch die ePrivacy-Regulierung.

Wir fokussieren uns auf die drei Aspekte: Cookies, involvierte Parteien und Datenspeicherung:

1. First Party- vs. Third Party-Cookies.

Interessanterweise gibt es keinen Bezug auf diese Unterscheidung im aktuellen ePrivacy-Entwurf. First oder Third Party-Cookies werden im vorliegenden Entwurf der ePrivacy-Regulierung schlichtweg nicht erwähnt.
Die vorherige Version der ePrivacy-Verordnung gibt trotzdem einen Einblick: Sie machte die Zustimmung für sogenannte Third Party-Cookies erforderlich, die hauptsächlich zu Werbezwecken verwendet wurden.
Verschiedene Schwierigkeiten kamen auf, die auf die Problematik von 2009-2011 zurückgingen. Eine davon war die Frage: “Wie genau soll die Zustimmung aussehen?”
Darauf gibt es zwei Antworten:

  • Explizite und aktive Zustimmung des Users durch Klicken auf “Ich stimme dem Einsatz von Cookies zu”. In den Niederlanden wird diese strengste Form angewendet.
  • Implizite Zustimmung, durch Einblendung eines Cookie-Banners, mit dem Hinweis auf den Einsatz von Cookies. So wird die indirekte Zustimmung des Users eingeholt. Die UK ist ein Beispiel für dieses Modell.

Ein weiteres Problem ist die weit verbreitete Praxis, Third Party-Cookies als First Party-Cookies zu maskieren. Dieses Vorgehen wurde von Apple in den neuesten Safari und iOS 11 Versionen adressiert, die eine “Intelligent Tracking Prevention”-Logik beinhalten.

2. Die involvierten Parteien

Wie genau die Verantwortlichkeiten der einzelnen Parteien in Bezug auf Daten verteilt sind, wird in der DSGVO am deutlichsten beantwortet – Hier werden die Zuständigkeiten zwischen Datenverantwortlichem und Auftragsverarbeiter neu definiert. Demnach gehören First Party-Daten dem Datenverantwortlichen. Dieser teilt seine Verantwortlichkeiten im größeren Umfang mit Service-Providern, die, z. B. durch analytische Services die Datenverarbeitung unterstützen. Die Service-Provider sind demnach externe Drittparteien, die in der DSGVO unter den Terminus “Auftragsverarbeiter” fallen.

Wie genau die Speicherung und Verarbeitung von Daten unter der DSGVO funktioniert, finden Sie in unserem Blogbeitrag: So erhalten Sie Consent und tracken Daten gemäß den Richtlinien von CNIL und der DSGVO

Auch wenn der Begriff der Second Party-Daten in der DSGVO nicht existiert, stellt Artikel 26 der Verordnung das neuartige Konzept der gemeinsam für die Verarbeitung Verantwortlichen (im englischen charmanter “Joint-Controller” genannt) vor, das vermutlich am ehesten derzeitige Praktiken zum Datenverkauf abdeckt.

Beachten Sie die recht eindeutigen Verpflichtungen zur Transparenz unter Paragraph 2 des genannten Artikels: “Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt”. Die betroffene Person muss also jederzeit Zugriff auf die über sie gesammelten Information haben. Dies gilt für Unternehmen, die mit Second Party-Daten aus der Kategorie personenbezogene Daten “von betroffenen Personen, die sich in der Union befinden” handeln. (Art. 3 (2), Räumlicher Anwendungsbereich).

Das Konzept der gemeinsam für die Verarbeitung Verantwortlichen richtete sich ursprünglich gegen herrschende Missverhältnisse. Datenverantwortliche sahen sich häufig einer “Friss oder Stirb”-Haltung in Bezug auf die Geschäftsbedingungen einiger mächtiger Auftragsverarbeiter ausgesetzt. Die einzige Option war, die unausgeglichenen Bedingungen zu akzeptieren oder den Service gar nicht zu nutzen.
Artikel 24 bis 31 in Kapitel IV “Verantwortlicher und Auftragsverarbeiter” fokussieren sich darauf, dieses Missverhältnis wieder auszugleichen und benennen die Notwendigkeit, das Prinzip der Rechenschaftspflicht einzuhalten, das in Artikel 5 (2) dargelegt wird: “Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‘Rechenschaftspflicht’)”.

Die Forderung nach mehr Transparenz wird lauter; proportional zum Risiko, das mit der Datennutzung assoziiert wird. Gleichzeitig sitzen die Datenverantwortlichen auf datenhungrigen SDKs, die durch fehlende Skalierbarkeit nicht an die Verpflichtungen gegenüber der betroffenen Person angepasst werden können oder sich an den vereinbarten Geschäftsbedingungen reiben.

Die Änderungen der Verpflichtungen in Bezug auf Verantwortliche und Verarbeiter sind am deutlichsten sichtbar, wenn man den räumlichen Anwendungsbereich der neuen Verordnung mit dem der bisherigen Richtlinie vergleicht.

3. Datenspeicherung

In Bezug auf Cloud und SaaS ist das Problem der Datenspeicherung sowohl für First als auch für Third Party-Anbieter relevant. Sie müssen sich entscheiden, ob sie intern hosten (First Party) oder SaaS nutzen (Third Party). Beide Varianten sind natürlich mit entsprechenden Verpflichtungen verbunden.

Die Probleme bei der Datenspeicherung betreffen hauptsächlich Datenübertragungen. Wenn es sich dabei um personenbezogene Daten handelt, ist die Zustimmung durch die betroffene Person erforderlich. Geht es darum, den Transfer personenbezogener Daten in Drittländer oder zu internationalen Organisationen abzuwickeln, müssen wir einen Blick in Kapitel V der DSGVO werfen. Dieses gibt Handlungsanweisungen, wenn diese Daten außerhalb der europäischen Union gelagert werden sollen. Artikel 44 formuliert das generelle Prinzip für Datenübertragungen und Artikel 45 erläutert Übertragungen auf Basis eines Angemessenheitsbeschlusses.

Die Diskussion dreht sich häufig nur um die Datenübertragung in die Vereinigten Staaten. Nach der Außerkraftsetzung des “Safe Harbor”-Vertrages im Oktober 2015 kann nun eines der noch verfügbaren Frameworks/Tools zur rechtskonformen Datenübertragung eingesetzt werden:

  • Privacy Shield
  • Standardisierte vertragliche Klauseln bzw. Mustervertragsklauseln
  • Verbindliche interne Datenschutzvorschriften (unter Artikel 47 der DSGVO behandelt)

Privacy Shield scheint die beste Wahl zu sein, da es nur einmaligen Aufwand erfordert. Die Zustimmung zu Vertragsbedingungen, die für jede Geschäftsbeziehung neu evaluiert werden müssen, erfordern einen deutlich größeren Arbeitsaufwand. Die letzte Option benötigt typischerweise mehr Zeit als die anderen beiden, bietet dafür aber einen wichtigen Vorteil: Es wird sichergestellt, dass die Unternehmen konform mit EU-Recht handeln. Privacy Shield und vertragliche Bedingungen können dies u. U. zukünftig nicht garantieren, bleiben aber vorerst relativ sicher.

Auswirkungen auf Content-Personalisierung

Content-Personalisierung basiert auf einer 2-Schritt-Logik: Identifikationsregeln, gefolgt von Personalisierungsregeln. Die Identifikation ist möglich, weil die betroffene Person sich eingeloggt hat, und/oder weil ein vorher platzierter Cookie ausgelesen wurde.

In einem früheren Artikel zur Rechtmäßigkeit der Datenverarbeitung unter der DSGVO haben wir uns den Privatsphäre-Prinzipien und den verfügbaren Mechanismen gewidmet, die eine rechtmäßige Datenverarbeitung sicherstellen können. Wir haben den Fakt hervorgehoben, dass “berechtigte Interessen” im derzeitigen ePrivacy-Text nicht vorkommen, ganz im Gegensatz zur DSGVO. Die Zustimmung des Users einzuholen bleibt also die einzige Option, zum großen Bedauern der Werbeindustrie.

Sie wollen Content Personalisierung auf Ihrer Website einsetzen?

Gerne zeigen wir Ihnen in einer persönlichen Demo, wie Sie für Ihre Kunden das perfekte Erlebnis schaffen

Was bedeutet das?

Stellen Sie sich vor, es geht um die Webseite Ihres liebsten spanischen Designers. Für die Zahlungs- und Versandabwicklung ist ein Account die Voraussetzung. In diesem Rahmen sollte das Einholen der Zustimmung des Users zur Datenspeicherung, beispielsweise der Konfektionsgröße, kein Problem darstellen.
Problematisch wird es, wenn es z. B. darum geht, auf den Content eines Publishers zuzugreifen. Aufgrund der anstehenden Gesetzesänderung sollte dazu folgendes beachtet werden:
In den Änderungsanträgen 85 und 89, hier vor allem unter Punkt (d), steht nun die Reichweite statt der Zielgruppen-Messung im Fokus der Analytics-Ausnahme:

Jede vom jeweiligen Nutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer sie erfolgt aus folgenden Gründen:

  1. sie ist für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz unbedingt nötig oder
  2. der Nutzer hat seine ausdrückliche Einwilligung gegeben oder
  3. sie ist für die Bereitstellung eines vom Nutzer ausdrücklich angeforderten Dienstes der Informationsgesellschaft technisch zwingend nötig oder
  4. sie ist für die Messung der Reichweite des vom Nutzer angeforderten Dienstes der Informationsgesellschaft technisch nötig, sofern diese Messung vom Betreiber oder in seinem Namen oder von einer unabhängigen Webanalyseagentur durchgeführt wird, die im öffentlichen Interesse – auch für wissenschaftliche Zwecke – tätig ist, sofern die Daten aggregiert sind und der Nutzer die Möglichkeit hat, der Nutzung zu widersprechen, und sofern personenbezogene Daten keinem Dritten zugänglich gemacht und die Grundrechte des Nutzers durch diese Messung nicht beeinträchtigt werden, und falls eine Publikumsmessung im Namen eines Betreibers von Diensten der Informationsgesellschaft durchgeführt wird, dürfen die erhobenen Daten nur von diesem Betreiber verarbeitet werden und müssen getrennt von den Daten aufbewahrt werden, die bei Publikumsmessungen erhoben wurden, die im Namen anderer Betreiber durchgeführt werden.

Es gibt eine Referenz auf Datenlecks und das Entkoppeln von Daten – Dinge, mit denen die Analytics-Industrie nicht vertraut ist. Zum Thema Datenverlust wird formuliert, dass “personenbezogene Daten keinen Dritten zugänglich gemacht […] werden”, was bedeutet, dass die Daten beim Verantwortlichen verbleiben. Das bedeutet auch, dass Hashing und Verschlüsselung nicht ausreichen. Die Daten werden zwar so verarbeitet, dass sie weniger persönlich werden, bevor sie an ein anderes Tool weitergegeben werden, dabei bleiben die Datenschutz-Obligationen jedoch bestehen. Deshalb müssen die Tools voneinander entkoppelt werden.

Eine weitere wichtige Schlussfolgerung leitet sich ab aus der Vorgabe, dass “der Nutzer die Möglichkeit hat, der Nutzung zu widersprechen”, bezogen auf Artikel 21 der DSGVO. Hier sehen wir die Konsequenzen daraus, dass die betroffene Person zuerst über die Datenverarbeitung informiert werden muss. Die Datenverarbeitung muss im Fall des Widerspruchs gestoppt werden können:

“Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen”.

Kurz gesagt ist es nicht mehr möglich, Content standardmäßig zu personalisieren. Die Genehmigung dazu, sollte widerrufbar sein und die Bedingungen in Einklang mit der DSGVO stehen.

Das Einverständnis zur Content-Personalisierung wird Teil der Standard-Optionen des Users sein, die von einem Datenverantwortlichen erwartet werden.

Vermutlich fragen Sie sich nun:
“Kann ich den User denn zur Zustimmung zwingen? Oder ihn dazu zu nötigen, seinen AdBlocker zu deaktivieren?”

Es gab Diskussionen darüber, Inhalte nicht anzuzeigen oder den Zugriff zu verweigern, wenn ein AdBlocker im Einsatz ist. Amendment 92 adressiert dies im Hinblick auf Artikel 8 (1a) mit dem folgenden Wortlaut:

“Unabhängig davon, ob es sich um einen vergüteten Dienst handelt, darf keinem Nutzer der Zugang zu einem Dienst oder einem Funktionselement der Informationsgesellschaft mit der Begründung verweigert werden, er habe seine Einwilligung in die Verarbeitung personenbezogener Daten bzw. in die zur Bereitstellung dieses Dienstes oder dieses Funktionselements nicht erforderliche Nutzung von Verarbeitungs- oder Speicherkapazitäten seiner Endeinrichtung nach Artikel 8 Absatz 1 Buchstabe b nicht gegeben.”

Nach dem Einverständnis darf also gefragt werden, wenn es jedoch nicht gewährt wird, darf der Zugang deshalb nicht verweigert werden. Zur Erinnerung: Die Änderungsanträge sind derzeit recht komplex und werden noch diskutiert. Es ist ungewiss, ob es sich bereits um die finalisierte Version der ePrivacy-Regulierungen handelt und ob speziell diese Interpretation sich wirklich durchsetzt.

Auswirkungen auf E-Mail-Marketing

Im E-Mail-Marketing könnte die Zustimmung des Users schwierig einzuholen sein. Auch hier wird Transparenz vorausgesetzt, um sicherzustellen, dass die Absichten angemessen ausgerichtet sind und von den involvierten Parteien akzeptiert werden. Zusätzlich zu den Rechten der betroffenen Person auf z. B. Zugriff oder Löschung der Daten, die in der DSGVO verankert sind, gibt es noch eine weitere Herausforderung: Was soll passieren, wenn die Plattform für Marketing-Automation und E-Mail-Marketing die Daten wiederverwenden will?

Wenn jemand sich als Kunde oder als Interessent für einen Newsletter registriert und dem Erhalt von Mitteilungen durch das entsprechende Unternehmen zustimmt, dann heißt das nicht notwendigerweise, dass auch Informationen zu verwandten Produkten oder Services erwartet werden oder erwünscht sind.

Alles hängt von den Nutzungsbedingungen ab, denen bei der Registrierung zugestimmt wurde, und inwieweit sich die Deutung der Formulierungen dehnen lässt. Deswegen sollten die Nutzungsbedingungen akkurat formuliert werden, so wie es in der ICO’s Consent Guidance beschrieben wird, die vor einigen Monaten veröffentlicht wurde.
Hier sind zwei Beispiele, die das Problem anschaulich machen:

  • Die Kunden einer großen Supermarktkette müssen, wenn sie das WLAN-Netzwerk der Märkte benutzen wollen, durch Zustimmung der Nutzungsbedingungen, den Newsletter abonnieren. Offensichtlich war aber die Zustimmung zum Newsletter nicht die eigentliche Intention des Nutzers. Seine Zustimmung hat er gegeben, weil er das WLAN nutzen wollte. Sollte es dem Markt erlaubt sein, die Zustimmung auf diese Weise zu verwenden?
  • Kunden einer Bank, die sich nach dem Logout aus ihrem Online-Banking im Web über einen Kredit informieren: Kann/darf diese Information wiederverwendet werden, um dieses spezifische Produkte zu bewerben, ohne dabei unheimlich zu wirken oder die Erwartungen des Nutzers an die verantwortungsvolle Nutzung der eigenen Daten zu enttäuschen?

In Art. 25 der DSGVO wird der “Datenschutz durch datenschutzfreundliche Voreinstellungen” (privacy by default) erwähnt. Dieser soll nicht technikaffine Nutzer schützen, die nicht in der Lage sind, die Datenschutzeinstellungen selbst zu ändern. Wenn der Nutzer der Datennutzung also nicht explizit zustimmt, dürfen die Daten nicht gesammelt und verarbeitet werden. Vorausgewählte Kästchen und Opt-In-Boxen sind nicht zulässig.

Als Antwort darauf wurden einige Funktionalitäten und Verträge erneut geprüft, um sicherzustellen, dass die geforderten Optionen verfügbar sind. Dennoch kommt “standardmäßig” (oder “by default”) nur selten vor.

Auswirkungen auf Re-Marketing-Ads

Denken wir weiter: Welche Auswirkungen wird dies auf das Re-Marketing haben? Können Re-Targeting-Kampagnen weiterhin durchgeführt und Pixel für Third Party-Cookies gesetzt werden, um User über Netzwerke wie Google Search, Google Display Network oder in DSPs wie z. B. Adform zu targeten?

Die Komplexität der Systeme gepaart mit der Undurchsichtigkeit des serverseitigen Datenfluss und -austausch gehört zu den größten Herausforderungen, die es zu überwinden gilt.

Um rechtliche Verpflichtungen zu verstehen, müssen wir uns vergegenwärtigen, dass jeder Fall anders ist. Unser Fokus liegt einerseits auf der Customer-Journey, andererseits auf Data Trails und den eingesetzten Tools. Stellen Sie sich folgende Frage: Handhaben Sie Daten so, wie Sie es in den Nutzungsbedingungen versprochen haben?

Es gab viele Diskussionen über Artikel 30 der DSGVO in Bezug auf die Aufzeichnungen von Verarbeitungstätigkeiten. Ich kann Nymity’s vereinfachten Standpunkt nachvollziehen – Möchte aber auch darauf aufmerksam machen, dass die Überwachung der Nutzungsbedingungen digitaler Tools im Hinblick auf die ePrivacy-Verordnung ein Vollzeitjob sein kann.
Die rechtlichen Verpflichtungen mit der Datennutzung in Einklang zu bringen, unabhängig davon, wie sich ePrivacy entwickelt, ist die Herausforderung, der wir derzeit gegenüberstehen.

DSGVO und ePrivacy führen zur Entstehung zweier gegensätzlicher Kräfte in Unternehmen:

  • Den Marketing-Abteilungen, deren Ziel die Aktivierung der Nutzer und die Umsetzung der digitalen Transformation ist.
    vs.
  • Datenschutz und Compliance, in Form eines DPO. Er wird nach Möglichkeiten zur Risikominimierung suchen, um Sicherheitswarnungen, Einwilligungsmanagement, Rechteverwaltung für betroffene Personen, Anonymisierungsfunktionen, rechenschaftsbasierte Workflows etc. zu bewältigen.

Die Diskussion über solche Herausforderungen mit Unternehmen wie Immuta zwingt uns zum Neustart. Wir müssen uns über digitale Daten auf fordernde und innovative Weise Gedanken machen. Ein mögliches Diskussionsthema hierbei ist die Bestimmung.
Die Herausforderung des Datenschutz im Re-Marketing besteht darin, den Datenfluss zu definieren, und zu überprüfen, welche Art der Verwendung versprochen wurde. Es muss sichergestellt werden, dass die Rechenschaftspflicht erfüllt wird, indem idealerweise eine Datenschutz-Verträglichkeitsprüfung gemäß Artikel 35 der DSGVO durchgeführt wird.

Weiter verstärkt wurde dies für unseren Industriezweig durch das jüngste Update zu Artikel 29 – Datenschutz Working Party (WP29). Die Richtlinien zur Datenschutz-Folgenabschätzung (Data Protection Impact Assessment – DPIA) wurden aktualisiert. Sie soll Unternehmen dabei unterstützen, festzustellen, ob die Verarbeitung “mit hoher Wahrscheinlichkeit ein hohes Risiko mit sich bringt”. Sie bringen also die Notwendigkeit für Datenschutz-Folgeabschätzungen mit sich, um die Einhaltung der Vorschriften zu gewährleisten.

Aber was ist ein hohes Risiko im Sinne der Datenschutzbehörden? Kriterium Nr. 6 könnte Ihnen bekannt vorkommen:

“Abgleich oder Zusammenführung von Datensätzen, z. B. aus zwei oder mehr Datenverarbeitungsvorgängen, die zu unterschiedlichen Zwecken und/oder von verschiedenen für die Verarbeitung Verantwortlichen in einer Weise durchgeführt werden, die die angemessenen Erwartungen der betroffenen Person übersteigt”

Daher sollten viele der heutigen Praktiken von DMPs und Datenlieferanten gründlich untersucht, hinterfragt, korrigiert und dokumentiert werden, indem eine Datenschutz-Folgeabschätzung durchgeführt wird. Damit wird sichergestellt, dass Unternehmen ihrer Rechenschaftspflicht nachkommen (Art. 5.2 der DSGVO) und das Risiko begrenzt wird.

Die Fragen lauten jetzt:

  • Wer wird innerhalb der Unternehmen und unter den Website-Besitzern die Einhaltung der Datenschutz-Regelungen einfordern und
  • Wie werden Vermittler, also Auftragsverarbeiter, diese Anforderungen einhalten?

Geht es um Datenschutz, steckt der Teufel im Detail. Es geht darum, die unangenehmen Fragen zu stellen – Nicht nur weil der Ruf Ihres Unternehmens auf dem Spiel steht, sondern auch weil Datenschutzverletzungen Sie teuer zu stehen kommen können: Die Strafen bei Verstößen sind bei der ePrivacy-Verordnung die gleichen wie bei der DSGVO – Bis zu 20 Millionen Euro oder 4% Ihres globalen Vorjahresumsatz.