Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies

Mit der Datenschutzreform Ende Mai 2018 wird sich auch im Onlinemarketing rechtlich einiges ändern. Vieles zum Guten, aber auch mögliche Nachteile zeichnen sich ab.

Mit diesem Beitrag bereite ich Sie auf die gesetzlichen Änderungen im Hinblick auf Tracking, Targeting und weitere nutzerzentrierte Werbemethoden vor (der Gesetzgeber spricht von „Direktwerbung„). Sie sollten ihn nicht nur lesen, wenn Sie zu Unternehmen oder Marketern gehören, sondern auch dann, wenn Sie Tools wie z.B. Google Analytics oder Facebook-Pixel auf Ihrer Website einsetzen.

Ich gebe zu, das Thema ist nicht einfach, hoffe jedoch die anschauliche Darstellung macht das Recht zugänglicher. Am Ende erhalten Sie zudem eine kurze Zusammenfassung. Doch bevor es zu dem rechtlichen Teil geht, erläutere ich die verwendeten technischen und rechtlichen Begrifflichkeiten.

Arten und Werkzeuge des Onlinemarketings

Die Kenntnis dieser Begriffe des Onlinemarketings ist für eine rechtliche Bewertung unabdingbar:

• Reichweitenanalyse – Dient der Auswertung der Besucherströme, z.B. via Google Analytics.
• Remarketing – Wenn Nutzer auf anderen Seiten Anzeigen für Produkte sehen, die sie zuvor in einem Onlineshop betrachtet haben, dann spricht man vom Remarketing (oder auch vom Retargeting).
• Profiling – Profiling bedeutet die Auswertung und Vorausbestimmung der Interessen oder des Verhaltens von Nutzern aufgrund der über sie gesammelten Daten. Je nach Art des Profilings gehören dazu Informationen betreffend das Alter, das Geschlecht, Standortdaten und Bewegungsdaten, sozialen Interaktionen mit anderen Menschen oder Produkten, Eingaben in Onlineformulare, etc.).
• Online Behavioral Advertising – Wenn Profiling eingesetzt wird um das potentielle Interesse von Nutzern an Werbeanzeigen zu bestimmen, spricht man vom Online Behavioral Advertising, kurz OBA (zu Deutsch in etwa „interessens und/oder verhaltensbezogene Werbung“).
• Cookies – Kleine Dateien, die auf Rechnern der Nutzer gespeichert werden. Darin können auch ohne Kenntnis der wahren Identität der Nutzer, Daten zu den von ihnen gesehenen Produkten für Zwecke des Remarketings oder deren Profile für Zwecke des OBA gespeichert und beim Besuch von Webseiten ausgewertet werden.
• Fingerprints und andere Onlinekennungen – Statt Cookies werden zunehmend sogenannte „Fingerprints“ eingesetzt. Diese digitalen Fingerabdrücke können z.B. als Quersummen aus individuellen Faktoren von Geräten, wie z.B. Rechenleistung oder Browserplugins für Geräte individuell erstellt und so für Remarketing oder OBA eingesetzt werden. Die in diesem Beitrag getroffenen Aussagen zu Cookies gelten genauso für Fingerprints.
• Tracking – Vom Tracking spricht man, wenn das Verhalten von Nutzern über mehrere Onlineangebote hinweg „verfolgt“ wird. Die im Hinblick auf die genutzten Onlineangebote gesammelten Verhaltens- und Interessensinformationen werden als Nutzer-Profile in Cookies oder auf Servern der Marketingdienstleister (z.B. Google oder Facebook) gespeichert.
• Cross-Device-Tracking – Cookies und Fingerprints sind gerätebezogen. Um die Interessen der Nutzer im Rahmen der Smartphone-Nutzung für Werbeanzeigen auf Desktop-PCs auswerten zu können, ist das Cross-Device-Tracking erforderlich. Dazu können z.B. Logins in sozialen Netzwerken wie Facebook dienen. Alternativ werden Standort-Daten, IP-Adressen und Nutzerverhalten eingesetzt, um bis zu 98% genauere Nutzereingrenzung zu erreichen.
• Custom Audiences – Von Custom Audiences spricht man, wenn Zielgruppen für Werbezwecke bestimmt werden. Dies kann z.B. geschehen, wenn das Interesse der Nutzer beim Besuch von Produkten in einem Onlineshop dazu verwendet wird, sie als Zielgruppe von Facebook-Ads für dieses Produkt auszuwählen. Um Zielpersonen für Anzeigen genau zu bestimmen, können deren E-Mailadressen, Telefonnummern oder Plattform-IDs an Anbieter, wie z.B. Facebook, weitergegeben werden.

Wann sind Daten personenbezogen, pseudonym oder anonym?

Datenschutzvorschriften kommen zur Anwendung, wenn personenbezogene Daten verarbeitet werden. Das verneinen viele (vor allem ausländische) Anbieter und meinen, deren Datenverarbeitung ist anonym. In den meisten Fällen verwechseln sie jedoch „anonym“ mit „pseudonym„:

• Personenbezug – Personenbezogen sind praktisch alle im Direktmarketing involvierten Daten. Dazu gehören vor allem IP-Adressen und Daten, die auf Cookies gespeichert werden. Denn sie dienen zumindest dazu, Personen als Zielobjekte von Werbung zu identifizieren.
• Pseudonymisierung – Wenn Daten zwar dazu dienen eine Person als Zielobjekt von Werbemaßnahmen zu bestimmen, aber keine sie spezifisch identifizierende Daten gespeichert werden, spricht man von Pseudonymisierung. Pseudonyme Daten sind jedoch personenbezogen, da man mit deren Hilfe Nutzern passende Werbebotschaften „zustellen“ kann. Allerdings ist die Pseudonymisierung ein Punkt, der für die Zulässigkeit einer Werbemaßnahme spricht. D.h. wenn in einem Cookie zwar ein genaues Interessensprofil des Computernutzers gespeichert wird (ein „Werbe-Avatar“), aber nicht der Name des Nutzers, dann ist dieses pseudonyme Profil für den Nutzer weniger belastend.
• Anonymisierung – Wenn Daten nicht personenbezogen sind, sind sie anonym. Z.B. aggregierte Daten zu Websitebesuchern (Gesamtzahl in einem Zeitraum), die alleine der Reichweitenmessung dienen, ohne jedoch Profile der Nutzer anzulegen oder diese auszuwerten. Ein rein anonymes Onlinemarketing ist schon wegen der Erhebung von IP-Adressen, selten möglich.

Im Ergebnis wird ein Personenbezug in den meisten Fällen vorliegen und daher dem datenschutzrechtlichen Verarbeitungsverbot unterfallen.

[sc name=“tshinweisboxBEGIN“]Weitere Erklärungen der Begrifflichkeiten: Die DSGVO bietet im Artikel 4 weitere Erläuterungen der häufigsten Begriffe wie z.B. „Personenbezug“, Verarbeitung“, „Profil“, „Dritter“, etc.[sc name=“tshinweisboxEND“]

Notwendigkeit einer gesetzlichen Erlaubnis oder Einwilligung

Das Grundprinzip der Datenschutzgrundverordnung lautet: Die Verarbeitung personenbezogener Daten ist verboten, außer wenn das Gesetz sie erlaubt.

Im Fall des Onlinemarketings kommen vor allem die folgenden Erlaubnisgrundlagen in Betracht:

• Berechtigte Interessen, zu denen auch das Onlinemarketing gehört (Art 6 Abs. 1 lit. f DSGVO).
• Einwilligung der Nutzer (Art 6 Abs. 1 lit. a, 7 DSGVO).

Berechtigte Interessen als Erlaubnisgrundlage

Die Erlaubnis des Onlinemarketings auf Grundlage berechtigter Interessen hat jedoch einen Haken. Die schutzwürdigen Interessen der Nutzer dürfen die berechtigten Interessen nicht überwiegen:

Art. 6 Abs. 1 […]
f. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Zu den Interessen der Nutzer gehört vor allem der Schutz der Privatsphäre. Die Privatsphäre schützt Menschen davor „zum Spielball“ der Wirtschaft, des Staates und anderer Menschen zu werden. D.h. Bürger sollen mündig bleiben und die Grundlagen ihrer Entscheidungen und der über sie getroffenen Entscheidungen kennen.

Das klingt bisher noch sehr abstrakt, wird jedoch nachfolgend erläutert.

[sc name=“tshinweisboxBEGIN“]Sinn und Zweck der Privatsphäre: Die Privatsphäre ist von höchster Bedeutung, denn sie garantiert, dass Menschen wissen wer, was, wozu über sie weiß. Dadurch sollen sie flexibel bestimmen können, wie sie von anderen Menschen wahrgenommen werden. Dabei ist die Privatsphäre eingeschränkt und so müssen Menschen mit einer gewissen Beobachtung im öffentlichen und sozialen Raum rechnen oder wenn das dem Schutz Dritter dient. Die Privatsphäre hat aber noch eine zusätzliche Funktion – sie soll geistig vom Fremdeinfluss unabhängige Bürger gewährleisten. Denn nur so kann ein freier demokratischer Meinungswettbewerb überleben.[sc name=“tshinweisboxEND“]

Berechtigte Interessen vs. Privatsphäre

Im Ergebnis sind Onlinemarketingmaßnahmen damit zulässig, wenn der Schutz der Privatsphäre der Nutzer nicht höher wiegt. In der Zukunft ist zu hoffen, dass sich sog. Fallgruppen bilden, die eine hinreichende Verlässlichkeit für einzelne Tools und Marketingtechniken bieten.

Bis dahin gibt es zumindest Kriterien, an denen man sich bei der Beurteilung von Marketingmaßnahmen orientieren kann:

• Erwartungshaltung – Je eher eine Onlinemarketing-Maßnahme als üblich, typisch und erwartbar betrachtet werden kann, desto eher ist sie erlaubt (z.B. ist eine Reichweitenanalyse eher erlaubt als Cross-Device-Tracking zu Remarketingzwecken).
• Information – Eine verständliche und transparente Unterrichtung der Nutzer in der Datenschutzerklärung kann etwaige Informationslücken der Nutzer schließen. So sollen Nutzer auch frei entscheiden können, ob sie der Erfassung durch die Marketingmaßnahmen widersprechen möchten (sog. Opt-Out).
• Opt-Out – Eine Opt-Out-Möglichkeit ist notwendig. Je einfacher (ein Klick statt einer Widerspruchsmöglichkeit per E-Mail) und umfassender (gilt für ein Tool insgesamt und nicht nur für eine Website) das Opt-Out ist, desto eher ist die Marketingmaßnahme zulässig. Das Opt-Out muss zudem effektiv sein und nicht erst die Nutzung für Werbezwecke, sondern bereits die Datenverarbeitung verhindern.
• Pseudonymisierung – Wenn keine Namen, E-Mailadressen, IP-Adressen oder andere die Identität einer Person spezifizierende Daten verarbeitet werden, so spricht dies eher für die Zulässigkeit.
• Grad der Beeinträchtigung der Nutzer – Das berechtigte Interesse am Onlinemarketing nimmt mit dem Detailgrad der Nutzer-Profile und deren möglichen Beeinträchtigung für die Menschen dahinter ab. Wenn z.B. nur Produkt-Remarketing betrieben wird, so wirkt dies weitaus weniger beeinträchtigend als ein zentrales Interessensprofil der Nutzer. Beim Remarketing kann Nutzern eine auf sie zugeschnittene Werbung sogar willkommen sein. Umgekehrt können zu Zwecken der dynamischen Preisbestimmung für Produkte oder Bonitätseinschätzung eingesetzte Profile, nachteilige wirtschaftliche Auswirkungen für die Nutzer haben.
• Garantien, Datensicherheit – Auch der technische und der organisatorische Schutz spielt eine Rolle. Z.B. ob spezielle Verträge geschlossen wurden (Data Processing Agreements, bzw. Auftragsverarbeitungsverträge), in denen sich die Anbieter verpflichten die Daten der Nutzer nur für bestimmte Zwecke zu verarbeiten, zu schützen, auf Verlangen zu löschen etc. Ebenso sprechen auch spezielle Garantien, wie z.B. die Zertifizierung unter dem Privacy-Shield-Abkommen für die Zulässigkeit der Marketingmaßnahme.
• Minderjährige – Die Schutzinteressen Minderjähriger sind weitaus höher als die von Erwachsenen. Minderjährige können auch schlechter einschätzen, welche Onlinemarketingmöglichkeiten wie funktionieren und welche Folgen für sie haben können. Daher müssen Websites, die sich an Minderjährige richten, beim Onlinemarketing restriktiver sein.

Wie diese Kriterien im Einzelnen angewandt werden, verdeutlichen die Beispiele mit dem Facebook-Pixel und Google Analytics.

[sc name=“tshinweisboxBEGIN“]Probleme der Beurteilung von Maßnahmen und Tools: Die Frage ob ein bestimmtes Tool (z.B. Google Analytics) oder eine bestimmte Werbemaßnahme (z.B. Remarketing) zulässig ist, lässt sich selten mit „ja“ oder „nein“ beantworten. Das Problem ist, dass viele Tools weitere Optionen und diese wiederum Auswirkungen auf das Ergebnis haben. Z.B. macht es einen Unterschied, ob ein Facebook-Pixel mit oder ohne „erweiterten Abgleich“ eingesetzt wird (d.h. ob z.B. Telefonnummern oder E-Mailadressen an Facebook übermittelt werden). Ebenso kann Google Analytics mit oder ohne IP-Kürzung und separat oder Teil anderer Trackingmaßnahmen, z.B. als Teil der Firebase-Plattform eingesetzt werden. Auch kann Remarketing pseudonym und nur für bestimmte Produkte erfolgen oder in ein Nutzerprofil einfließen, das für Bonitätseinschätzungen verwendet wird. Folglich kann eine Einschätzung nur im Einzelfall rechtlich sicher erfolgen. Daher fallen in diesem Zusammenhang auch häufiger Begriffe, wie z.B. „eher“, „grundsätzlich“ oder „In der Regel“.[sc name=“tshinweisboxEND“]

Google Analytics bleibt zulässig

Bei Google Analytics in der Grundversion wird die Reichweite gemessen und die Nutzer erhalten keine Werbeeinblendungen. Derartige Reichweitenmessung kann heutzutage als üblich betrachtet werden. Die Daten der Nutzer werden ferner pseudonymisiert (die IP-Adresse muss dazu gekürzt werden), Google verpflichtet sich zudem vertraglich die Nutzerdaten nur weisungsgemäß zu verarbeiten und ist unter dem Privacy-Shield zertifiziert. Es gibt eine Opt-Out-Möglichkeit (zumindest im Web).

Wenn die Nutzer in der Datenschutzerklärung der Website über die Funktionsweise von Google Analytics aufgeklärt werden sowie den Link zum Opt-Out erhalten, ist die Privatsphäre der Nutzer hinreichend geschützt. Die Nutzer können entscheiden, ob Sie die Opt-Out-Lösung nutzen oder nicht. Damit ist Google Analytics (in der Grundversion) nach der DSGVO zulässig.

[sc name=“tshinweisboxBEGIN“]Anleitung für Google Analytics: Wie Sie Google Analytics rechtssicher einsetzen können, erfahren Sie in meinem Beitrag „Google Analytics – Anleitung für datenschutzkonforme Nutzung, Mustertext und FAQ„.[sc name=“tshinweisboxEND“]

Facebook Pixel

Beim Facebook-Pixel (Privacy-Shield) wird es schwieriger, da er dazu eingesetzt wird Nutzern interessens- und verhaltensbasierte Werbung anzuzeigen. Dennoch könnte man m.E. sehr gut vertreten, dass Nutzer es gewohnt sind Anzeigen für Produkte aus besuchten Onlineshops zu sehen (Remarketing, Custom Audiences) oder Anzeigen passend zu den Themen ihrer Postings (OBA). Auch Conversion-Tracking ist m.E. erwartbar und z.B. von den Affiliate-Verfahren her bekannt. Jedoch muss von Websiteanbietern eine eigene Opt-Out-Möglichkeit angeboten werden, da die von Facebook als nicht ausreichend betrachtet wird.

Anders kann argumentiert werden, wenn z.B. Cross-Device-Tracking eingesetzt oder E-Mailadressen von Kunden an Facebook übermittelt werden. Damit dürften Nutzer zumindest derzeit nicht rechnen, weswegen deren Schutzinteressen  die berechtigten Interessen am Onlinemarketing überwiegen. D.h. die Option „erweiterter Abgleich“ kann nicht auf Grundlage der berechtigten Interessen gestützt werden.

Wenn die berechtigten Interessen als Erlaubnisgrundlage ausscheiden, kommt eine Einwilligung zumindest in Frage.

[sc name=“tshinweisboxBEGIN“]Anleitung für das Facebook-Pixel: In dem Beitrag „Facebook-Pixel und Datenschutz – Anleitung für einen rechtssicheren Einsatz“ erläutere ich wie der Einsatz des Facebook-Pixels auch schon nach dem heutigen Recht möglichst zulässig ist. Das zumindest laut der bayerischen Datenschutzbehörde. Dies spricht zumindest derzeit dafür, dass das Facebook-Pixel auch nach der DSGVO erlaubt bleibt. Dagegen spricht jedoch, dass z.B. das Bundeskartellamt, es gar nicht für zulässig hält, dass Nutzer in die Datensammlung durch Facebook wirksam einwillgen können.[sc name=“tshinweisboxEND“]

Einwilligung (Opt-In) als Erlaubnisgrundlage

Ab dem 16. Lebensjahr können Nutzer Einwilligungen in die Verarbeitung ihrer Daten im Rahmen des Onlinemarketings abgeben. D.h. die erste Hürde ist bereits die Altersausrichtung einer Website.

Die zweite Hürde ist, dass die Einwilligung ausdrücklich, informiert und für den Einzelfall erfolgen muss. D.h. die Nutzer müssen über die verwendeten Tools und deren Funktionsweise informiert werden.

Die Einwilligung muss zudem ausdrücklich erfolgen, also per Klick auf eine Schaltfläche oder Anhaken eines Kontrollkästchens. Eine Einwilligung im Sinne der bisherigen Cookie-Hinweise („Wenn Sie weitersurfen, dann gilt das als Einverständnis“) ist nicht ausreichend. Ebenso müssten die Nutzer über die tatsächlichen Marketingmaßnahmen und nicht nur abstrakt (z.B. „Wir setzen Cookies ein“) informiert werden.

[sc name=“tshinweisboxBEGIN“]Kopplungsverbot: Das sog. „Kopplungsverbot“ verbietet es, die Erfüllung eines Vertrages von einer Einwilligung abhängig zu machen. Es wäre z.B. nicht erlaubt den Abschluss eines Onlinekaufs von einer Zustimmung in die Nutzung von Daten für Werbezwecke abhängig zu machen. Verbraucherschützer sind aber der Ansicht, dass damit auch Freemium-Modelle, wie z.B. „Gratis E-Book gegen Newsletterabo“ oder werbefinanzierte Plattformen wie Facebook untersagt sind. Diese kategorische Ablehnung wird jedoch in der Rechtsliteratur weitestgehend abgelehnt.[sc name=“tshinweisboxEND“]

Zwischenfazit – DSGVO sorgt für einen fairen und flexiblen Ausgleich

Nach meiner Ansicht bringt die DSGVO im Hinblick auf das Onlinemarketing, Verbesserungen mit sich:

• Die DSGVO bietet zwar eine abstrakte, aber immerhin eine Möglichkeit die Interessen der Wirtschaft und der Nutzer fair und entsprechend anhand der aktuellen technischen Lage auszutarieren.
• Die Erlaubnisgrundlage der „berechtigten“ Interessen erlaubt vor allem die Marketingtools anzupassen und z.B. deren Einsatz durch Pseudonymisierung zulässig zu gestalten.

Ferner ist zu erwarten, dass die Details wie auch bisher ein Zankapfel zwischen der Wirtschaft und den Daten- sowie Verbraucherschützern sein werden.

Diese Streitigkeiten könnten jedoch wie die Regelungen der DSGVO ohnehin durch die ePrivacy-Verordnung zu Nichte gemacht werden.

ePrivacy-Verordnung – Das Revival der „Cookie-Richtlinie“

Bereits 2009 hat der europäische Gesetzgeber den Versuch unternommen eine generelle Einwilligungspflicht für Cookies einzuführen. Dieser Versuch ist am Widerstand der Wirtschaft, abweichender Umsetzung in den einzelnen Mitgliedsstaaten gescheitert. Geblieben sind letztendlich die rechtlich kaum nützlichen, aber nervigen Cookie-Banner.

Nunmehr möchte der Gesetzgeber ganz klar festschreiben, dass jegliche Verarbeitung von Daten auf den Geräten der Nutzer derer Einwilligung bedarf (Stand und Gesetzestext Anfang Dezember 12.2017  bei Datenschutz-Notizen.de).

[sc name=“tshinweisboxBEGIN“]ePrivacy-VO ist mehr: Die ePrivacy-VO regelt nicht nur Tracking und Cookies. Sie enthält u.a. Vorgaben für Offline-Tracking, Messenger oder E-Mailwerbung (bei dieser bleibt alles im Wesentlichen beim Alten).[sc name=“tshinweisboxEND“]

Einwilligung für alle Zugriffe auf Geräte der Nutzer

Für die ePrivacy-VO ist es egal, ob es anonyme oder personenbezogene Daten sind, die in einem Cookie gespeichert werden. Der Grund ist, dass der Gesetzgeber die Geräte der Nutzer generell zu einer besonders schützenswerten Privatsphäre erklärt.

Nur wenn das Cookie notwendig ist, z.B. Session-Cookie für den Login-Status oder ein Warenkorb, bedarf es keiner Einwilligung. Ebenfalls keiner Einwilligung bedürfen Webanalysen oder Reichweitenmessung, die selbst durchgeführt werden. Selbst bedeutet, dass entweder eigene Analysewerkzeuge eingesetzt werden (z.B. Piwik) oder mit einem Analyseanbieter ein Vertrag über Verarbeitung von Daten im Auftrag abgeschlossen wird (z.B. Google Analytics). Dabei geht es aber nur um die Analyse von Nutzergruppen. Remarketing oder interessensbasierte Werbung sind von der Ausnahme nicht umfasst.

Würde dieses Vorhaben umgesetzt werden, dann würde es die wirtschaftliche (auf Werbeeinnahmen basierende) Struktur des Internets in ihren Grundfesten erschüttern. Als Folge wäre m.E mit Pop-Ups, Bannern o.ä. zu rechnen, also mit einer Zunahme der Cookie-Banner.

Interessanterweise wird das Gesetz aber damit begründet, dass es der Verbreitung der Cookie-Banner Einhalt gebieten will.

[sc name=“tshinweisboxBEGIN“]Geschichte des Cookie-Banners: Zur Geschichte des Cookie-Banners empfehle ich Ihnen meinen Beitrag „Google macht Cookie-Hinweise zur Pflicht – Handlungsempfehlung für Website- und Appanbieter„.[sc name=“tshinweisboxEND“]

Abschied vom Cookie-Banner?

Die Gesetzesbegründung verweist im Fall der ePrivacy-VO auf die Belästigungswirkung von Cookie-Bannern und will diesen entgegentreten. Die Einwilligung soll nach dieser Vorstellung mittels des Browsers erfolgen.

Denkt man das durch, dann kann man schnell zu ein paar kuriosen Widersprüchen gelangen:

• Einstellung „Third-Party-Cookies“ akzeptieren – Würde diese Einstellung als Einwilligung fungieren, dann könnte man auf sie genauso gut verzichten. Denn die „Third-Party-Cookies“ werden nicht nur für Onlinetracking verwendet. Wer z.B. will, dass YouTube sich merkt, bis wann man ein Video geschaut hat, sind solche Cookies erforderlich. D.h. das Gros der Nutzer wird diese Funktion im Regelfall aktiviert haben oder schnell wieder aktivieren.
• Einstellung „Do-Not-Track“ – Diese Funktion ist eigentlich genau dazu da, um Werbetreibenden zu sagen, ob man von ihnen getrackt werden möchte. Die Funktion wurde jedoch bisher praktisch gar nicht beachtet (Twitter ist z.B. vor kurzem auch ausgestiegen). Ausgehend von der Vorstellung des Gesetzgebers und dem Prinzip „privacy by default“ würden Browser mit aktivierten Do-Not-Track ausgeliefert. Indem die Nutzer „Do-Not-Track“ deaktivieren, erklären sie sich mit jedwedem Tracking einverstanden. Daher kann man sich fragen, ob diese Voreinstellung den Nutzern überhaupt etwas bringt.
• Feintuning nicht möglich – Der Nachteil der Do-Not-Track-Funktion ist, dass sie binär ist. D.h. entweder an oder aus. Sie erlaubt keine Abwägung wie die oben erklärten „berechtigten Interessen“ in der DSGVO. Also wird ein Google Analytics (also eine nach der ePrivacy-VO an sich erlaubte Reichweitenanlyse) genauso behandelt wie ein interessensbasiertes Cross-Device-Scoring. Umgekehrt kann der Nutzer nicht sagen, dass es nur ein Reichweitentracking erlaubt, aber kein Cross-Device-Tracking.
• On/Off-Schaltfläche als Einwilligung? – Ein weiteres Problem ist, dass die Einwilligung nach der ePrivacy-VO entsprechend der DSGVO erfolgen muss. Die DSGVO verlangt aber, dass die Einwilligenden konkret und transparent informiert sind, in welche Verarbeitung ihrer Daten sie einwilligen. D.h. eine Browsereinstellung, wie der schlichte Schiebeschalter der „Do-Not-Track“-Funktion wäre m.E. mangels Erläuterungen danach keine wirksame Einwilligung. Hier würde sich das Gesetz also widersprechen.
• ePrivacy-VO betrifft nicht das gesamte Onlinemarketing – Die von der ePrivacy-VO geregelte Datenerhebung und -speicherung auf den Geräten der Nutzer ist nur ein Teil der Marketingmaßnahmen. Die wesentliche Verarbeitung, d.h. Verwaltung der Nutzerprofile, Zuordnung von Werbeanzeigen, etc. findet auf den Servern der Anbieter statt. Daher wird dieser Teil der Datenverarbeitung nicht von der ePrivacy-VO geregelt und bestimmt sich nach der DSGVO. Nach der DSGVO wäre jedoch eine „Do-Not-Track“-Einstellung ohne weitere Aufklärung der Nutzer über die konkrete Marketingmaßnahme unwirksam. D.h. es müsste eine zweite Einwilligung neben der „Do-Not-Track“-Einstellung eingeholt werden.

Derzeit wird heiß darüber diskutiert, ob die ePrivacy-VO den Nutzern Vorteile bieten wird oder nicht. Für mich persönlich könnten die Regelungen sogar zum Nachteil für Nutzer,  also zum Gegenteil ihrer Zielsetzung führen.

[sc name=“tshinweisboxBEGIN“]Meinungen und Ansichten: Die Meinungen über die Funktion, Auswirkungen und Sinnhaftigkeit der ePrivacy-VO gehen weit auseinander. Die Ansichten in diesem Beitrag sind daher als subjektive Ansichten des Autors zu verstehen. Als Beispiel für ebenso vertretbare andere Ansichten, verweise ich auf den Beitrag „ePrivacy-Mythen unter der Lupe: „Eine der schlimmsten Lobby-Kampagnen, die wir je erlebt haben““ von Ingo Dachwitz bei Netzpolitik.org.[sc name=“tshinweisboxEND“]

Nutzen Einwilligungsmodelle den Anbietern statt den Nutzern?

Wenn alle Anbieter gleichmäßig zur Einwilligungsmodellen verpflichtet werden, könnte dies vor allen den Big-Playern Vorteile verschaffen. So könnte Facebook z.B. ein Opt-In all seiner Nutzer einholen und den Websitebetreiber die Last der Einwilligung abnehmen.

Genauso kann man sich vorstellen, dass Google entsprechende Einwilligungs-Lösungen sogar im Browser anbietet. Die übrigen Anbieter müssten entweder eigene Lösungen und Schnittstellen verwenden oder Nutzer per Banner zur Vornahme von Einstellungen auffordern.

Der Punkt ist aber, wenn die Anbieter ohnehin eine Einwilligung einholen müssen, dann müssen sie sich nicht um datenschutzfreundliche Einstellungen kümmern. Die waren ja nur im Rahmen der Abwägung der berechtigten Interessen erforderlich, damit sie nach der DSGVO auf die Einwilligung verzichten konnten. Ohne diese einwilligungslose Methode könnte der Datenschutz für Anbieter seinen Reiz verlieren.

[sc name=“tshinweisboxBEGIN“]Kopplungsverbot: Auch die ePrivacy-VO enthält ein „Kopplungsverbot“, dessen Reichweite wie in der DSGVO umstritten ist. Auch hier wird zum Teil vertreten, dass werbebasierte Geschäftsmodelle („Daten gegen Plattformnutzung“) damit verboten werden. Damit dürfte Facebook z.B. um eine Einwilligung bitten, sie aber nicht zur Voraussetzung der Plattformnutzung machen.[sc name=“tshinweisboxEND“]

Zusammenfassung

Den Beitrag zusammenfassend heißt das:

• Die DSGVO erlaubt Onlinemarketing ohne Einwilligung, wenn die Privatsphäre und andere Interessen der Nutzer nicht überwiegen.
• Kriterien, die für eine Erlaubnis sprechen, sind:
  • Erwartbare Marketingmaßnahme (Reichweitenmessung, aber auch Remarketing, interessensbezogenes Marketing und OBA können durchaus erwartbar sein),
  • technisch hohes Sicherheitsniveau,
  • Pseudonymisierung IP-Anonymisierung,
  • keine Verarbeitung von Namen, E-Mailadressen, Facebook-IDs, o.ä., Erläuterungen in der Datenschutzerklärung und ein Opt-Out,
  • keine extensiven Profile, kein Einsatz für erheblich beeinträchtigende Zwecke, wie z.B. Scoring,
  • keine Verarbeitung von Daten Minderjähriger,
  • besondere Datenschutzverpflichtungen (Data Processing Agreements, Auftragsverarbeitungsvereinbarungen)
  • Garantien bei US-Diensten (Privacy Shield).
• Mit der ePrivacy-VO könnte jede Datenerhebung und Datenverarbeitung zu Marketingzwecken auf den Geräten der Nutzer eine Einwilligung erfordern,
• Es ist noch unklar wann und wie die ePrivacy-VO umgesetzt wird, Man rechnet mit dem Jahr 2019.

[sc name=“tshinweisboxBEGIN“]Vereinfachung: Angesichts der Länge mag es verwundern, aber dieser Beitrag stellt eine vereinfachte Darstellung dieser komplizierten Rechtslage dar. So wird z.B. auch diskutiert, inwieweit die deutschen Regelungen zum Onlinemarketing im § 15 Abs. 3 Telemediengesetz weiterhin fortgelten.[sc name=“tshinweisboxEND“]

Fazit – Es kommt alles vielleicht so oder ganz anders

Ich halte persönlich nicht viel von der Einwilligungs-Lösung der ePrivacy-Verordnung. Genaugenommen klingt sie je nach Betrachtung so, als ob Google oder Facebook sich diese Lösung gewünscht hätten, weil sie so rechtlich sicher Einwilligungen einholen können.

Aus der Sicht der Privatsphäre, ist eine Einwilligung im Bereich des Onlinemarketings m.E. jedoch kein wirksames Mittel zum Schutz der Nutzer. Nutzer geben Einwilligungen sehr schnell ab, ohne sich große Gedanken über die Folgen zu machen. Wenn werbebasierte Geschäftsmodelle (wie z.B. Facebook) erlaubt bleiben sollten, dann werden Nutzer massenweise ihre Do-Not-Track-Option als Entgelt für die Plattformnutzung ausschalten.

Aber ob diese Folgen wegen der Widersprüche zwischen den Gesetzen zum Mai 2018 oder überhaupt eintreten, bleibt abzuwarten. Derzeit wird eher damit gerechnet, dass die ePrivacy-VO eher 2019 „nachgeliefert“ wird. Da die DSGVO bis dahin ein Jahr in Aktion sein wird, könnten die Karten ohnehin neu gemischt werden. Es bleibt also spannend und ich halte Sie gerne auf dem Laufenden.

[sc name=“tshinweisboxBEGIN“]Bleiben Sie auf dem Laufenden: Mit meinem Newsletter zum Marketing-, Datenschutz- und Vertragsrecht oder bei Twitter und bei Facebook, informiere ich Sie über aktuelle rechtliche Entwicklungen, unter anderem auch zum Newsletter-Marketing.[sc name=“tshinweisboxEND“]

[sc name=“tshinweisboxBEGIN“]Hilfe bei der Umsetzung der Datenschutzreform: Ich helfe Ihnen die kommenden Datenschutzanforderungen rechtssicher und effizient in Ihrer Agentur oder in Ihrem Unternehmen umzusetzen.[sc name=“tshinweisboxEND“]