Die ePrivacy-Verordnung wird das Onlinemarketing auf den Kopf stellen. Sie wird es verbieten, Daten ohne ausdrückliche Erlaubnis des Nutzers zu sammeln und detaillierte Nutzerprofile zu erstellen. Damit wird es noch schwieriger, die eigene Zielgruppe zu definieren und digital zu erreichen. Außerdem wird es nicht mehr gestattet sein, personalisierte Werbung kanalübergreifend auszuspielen.
9. Mai 2018
Ursprünglich sollte die ePrivacy-Verordnung (ePVO) am 25. Mai 2018 in Kraft treten – ebenso wie die Datenschutzgrundverordnung (DSGVO). Aus verschiedenen Gründen war dieser Termin jedoch nicht zu halten. Es stellt sich also die Frage: Wenn die ePVO nicht wirksam wird, was gilt dann? Laut Juristin und Datenschutzexpertin Dr. Jana Moser macht es keinen Unterschied, welches nationale Gesetz oder welche europäische Verordnung ab Ende Mai gilt. Denn Werbetreibende sollten die nötigen Maßnahmen schon jetzt einleiten: „Werbetreibenden muss bewusst sein, dass sie zukünftig ein rechtssicheres Opt-in benötigen, um ein seitenübergreifendes Tracking zu betreiben und die so erhobenen personenbezogenen Daten auszuwerten.“
Hierfür ist das jeweilige Geschäftsmodell anzupassen. Dr. Moser empfiehlt Websitebetreibern, für jegliche Aktivitäten immer eine Registrierung mit freiwilliger Einwilligung anzubieten und die Anmeldung gegebenenfalls zu inzentivieren. Allerdings ist Moser davon überzeugt, dass das vielen Unternehmen alleine in der Praxis nicht gelingen werde. Dennoch kommen sie am Opt-in nicht vorbei: „Da schon jetzt viele Unternehmen eine aktive Einwilligung für Tracking und ähnliche Datenverarbeitungen einholen, fallen diejenigen, die es nicht tun, schnell negativ auf. Damit wird das Opt-in für Tracking auch ohne gültige ePrivacy-Verordnung faktisch zum Marktstandard.“
Selbst wenn noch nicht feststeht, wann genau die ePVO wirksam wird, sollten Unternehmen die nötigen Anpassungen nicht auf die lange Bank schieben. Schließlich bestehen schon mit Inkrafttreten der DSGVO in wenigen Wochen verschiedenste Risiken:
Moser empfiehlt, die Vorgaben der ePrivacy-Verordnung schon aus finanziellen Gründen zu antizipieren und sich dem Marktstandard entsprechend anzupassen. Anders als mancher vermuten mag, können nicht nur die Werbeplattformen, sondern auch werbetreibende Unternehmen bei Verstößen gegen die DSGVO oder nationale Gesetze wie das Bundesdatenschutzgesetz (BDSG) in voller Bußgeldhöhe haftbar sein. Die Höhe des Bußgeldes beläuft sich auf bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs – je nachdem, welcher Betrag höher ist. Gerichtliche Ansprüche können die Nutzer, aber auch Verbraucherschutzorganisationen oder – im Falle der Verletzung wettbewerbsrelevanter Normen – Wettbewerber geltend machen. Einstweilige Verfügungen oder erfolgreiche Ansprüche auf komplette Datenlöschungen könnten ein Unternehmen vollständig lahmlegen oder sogar wirtschaftlich ruinieren.
Um das zu verhindern, gibt es einige Aspekte, die Werbetreibende zukünftig beachten sollten:
1. Verantwortung übernehmen
Werbetreibende sind zukünftig für das Einwilligungsmanagement selbst verantwortlich. Während bisher der Websitebetreiber im Kontext eines Auftragsverarbeitungsvertrags für Rechtskonformität zu sorgen hatte, haften zukünftig auch Trackinganbieter und Werbetreibender für die Datenverarbeitung. Die Folge: Nutzer können Werbetreibende bei Verstößen direkt angehen. Darum ist es dringend ratsam, die rechtliche Grundlage für die Sammlung und Verarbeitung von Daten zu schaffen. Das heißt im besten Falle: kein Tracking ohne Opt-in. In der Praxis dürfte das jedoch kaum machbar sein. Schließlich besteht zwischen Nutzer und Werbetreibendem in der Regel kein unmittelbares Vertragsverhältnis. Ein Beispiel: Wer auf einer Verlagsseite surft und ein Werbebanner sieht, möchte keinen Vertrag mit dem Anbieter der Anzeige eingehen.
2. Personalisierte Werbemittel nur für registrierte Nutzer
Ohne Einwilligung – und diese werden Werbetreibende von den Nutzern kaum erhalten – werden es die großen Werbenetzwerke zukünftig schwer haben, weiterhin Dutzende Cookies für ein seitenübergreifendes Tracking zu setzen. Das macht es nahezu unmöglich, Nutzerprofile zu erstellen und auszuwerten. Dennoch können Websitebetreiber mit Nutzern rechtssicher in Kontakt treten: mittels Registrierung. Registriert sich ein Nutzer für ein Angebot, stimmt er damit der Datenverarbeitung zu. Darum empfiehlt es sich, auf offenen Seiten ausschließlich contentorientierte Werbemittel auszuspielen. Personalisierte Werbung sollte registrierten Nutzern vorbehalten sein. Hier können Werbetreibende als Auftragsverarbeiter für den Websitebetreiber das Tracking durchführen und Daten verarbeiten.
3. In Datenauftragsverhältnissen arbeiten
Werbetreibende sind auf der sicheren Seite, wenn sie mit dem Websitebetreiber einen Auftragsverarbeitungsvertrag schließen. Der Publisher stellt dann die Werbeplattform zur Verfügung. Viele argumentieren schon jetzt, dass die Daten nur in anonymisierter und aggregierter Form vorliegen. Technologisch ist es jedoch kaum möglich, Daten komplett zu anonymisieren. Auch vermeintlich anonyme Informationen beinhalten verborgene Hinweise auf die einzelne Person. Sogenannte Identifyer, wie etwa eine Cookie- oder eindeutige Geräte-ID, verarbeiten zwar pseudonyme, gleichwohl aber personenbezogene Daten. Sollte die ePrivacy-Verordnung auch eine nicht-personenbezogene Datenverarbeitung umfassen, spielt die Unterscheidung für Online-Tracking ohnehin keine Rolle mehr.
Hinsichtlich Vermarktung sind Unternehmen im Vorteil, die dank Registrierung legal erhobene Daten mit hohem Validitätsgrad und großer Detailtiefe besitzen, wie etwa Facebook und Google. Auch wenn diese Datenmonopolisten immer größer und mächtiger werden, liegt der Vorteil auf der Hand: Der Umgang mit ihren Daten ist relativ ungefährlich. Das wissen die US-Riesen natürlich und lassen sich die Verwendung ihrer Daten teuer bezahlen: Werbetreibende müssen eigene Umsatz-Anteile abgeben, um die Daten von Google, Facebook und Co. nutzen zu dürfen. Aber: Sie erhalten keine Detailinformationen und erfahren nicht, wer ihre Nutzer und Zielgruppen sind.