Kanzlei Dr. Thomas Schwenke

Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies

Cookies sind kleine Dateien, die auf Ihrem Gerät gespeichert werden. In den Cookies (und zu ihnen gehörenden Servern) wird Ihr Abbild für Werbezwecke gespeichert (sog. "Profil"). In dem Profil können Ihre Bewegungen im Netz und in physischer Welt, Vorlieben, Interessen und sogar Ihre Schuhgröße gespeichert werden. Doch je detailreicher das Profil ist, destso höher sind die gesetzlichen Anforderungen an dessen Einsatz. (Illustrationen: © Dr. Thomas Schwenke 2017)
Cookies sind kleine Dateien, die auf Ihrem Gerät gespeichert werden. In den Cookies (und zu ihnen gehörenden Servern) wird Ihr Abbild für Werbezwecke gespeichert (sog. „Profiling“). In dem Profil können Ihre Bewegungen im Netz und in physischer Welt, Vorlieben, Interessen und sogar Ihre Schuhgröße gespeichert werden. Doch je detailreicher das Profil ist, desto höher sind die gesetzlichen Anforderungen an dessen Einsatz. (Illustrationen: © Dr. Thomas Schwenke 2017)

Mit der Datenschutzreform Ende Mai 2018 wird sich auch im Onlinemarketing rechtlich einiges ändern. Vieles zum Guten, aber auch mögliche Nachteile zeichnen sich ab.

Mit diesem Beitrag bereite ich Sie auf die gesetzlichen Änderungen im Hinblick auf Tracking, Targeting und weitere nutzerzentrierte Werbemethoden vor (der Gesetzgeber spricht von „Direktwerbung„). Sie sollten ihn nicht nur lesen, wenn Sie zu Unternehmen oder Marketern gehören, sondern auch dann, wenn Sie Tools wie z.B. Google Analytics oder Facebook-Pixel auf Ihrer Website einsetzen.

Ich gebe zu, das Thema ist nicht einfach, hoffe jedoch die anschauliche Darstellung macht das Recht zugänglicher. Am Ende erhalten Sie zudem eine kurze Zusammenfassung. Doch bevor es zu dem rechtlichen Teil geht, erläutere ich die verwendeten technischen und rechtlichen Begrifflichkeiten.

Arten und Werkzeuge des Onlinemarketings

Das Onlinemarketing hat viele Facetten und einzelne Marketing-Tools viele Einstellungen. Daher wird eine pauschale Beurteilung der Zulässigkeit nur unter Berücksichtigung der Einstellungen und Einsatzzwecke möglich sein.

Die Kenntnis dieser Begriffe des Onlinemarketings ist für eine rechtliche Bewertung unabdingbar:

Wann sind Daten personenbezogen, pseudonym oder anonym?

Personenbezogene Daten sind nicht nur Namen oder Telefonnummern, sondern alle Angaben, die Menschen identifizieren können. Dazu gehört auch die Identifizierung der Menschen als Zielobjekt für eine auf sie zugeschnittene Werbung. Anonym sind dagegen zusammengefasste Daten (z.B. „In Deutschland gibt es 20% Geringverdiener“). Allerdings nur, wenn sie nicht wiederum einer Person zugeordnet werden. Dann erhalten Sie in diesem Kontext einen Personenbezug (z.B. „A gehört zu den Geringverdienern“).

Datenschutzvorschriften kommen zur Anwendung, wenn personenbezogene Daten verarbeitet werden. Das verneinen viele (vor allem ausländische) Anbieter und meinen, deren Datenverarbeitung ist anonym. In den meisten Fällen verwechseln sie jedoch „anonym“ mit „pseudonym„:

Im Ergebnis wird ein Personenbezug in den meisten Fällen vorliegen und daher dem datenschutzrechtlichen Verarbeitungsverbot unterfallen.

Weitere Erklärungen der Begrifflichkeiten: Die DSGVO bietet im Artikel 4 weitere Erläuterungen der häufigsten Begriffe wie z.B. „Personenbezug“, Verarbeitung“, „Profil“, „Dritter“, etc.

Notwendigkeit einer gesetzlichen Erlaubnis oder Einwilligung

Der Grundsatz lautet: Die Verarbeitung personenbezogener Daten ist verboten. Außer das Gesetz sieht Ausnahmen vor.

Das Grundprinzip der Datenschutzgrundverordnung lautet: Die Verarbeitung personenbezogener Daten ist verboten, außer wenn das Gesetz sie erlaubt.

Im Fall des Onlinemarketings kommen vor allem die folgenden Erlaubnisgrundlagen in Betracht:

Berechtigte Interessen als Erlaubnisgrundlage

Für das Onlinemarketing kommen entweder gesetzliche Ausnahmen oder Einwilligungen als Erlaubnisgrundlagen in Frage.

Die Erlaubnis des Onlinemarketings auf Grundlage berechtigter Interessen hat jedoch einen Haken. Die schutzwürdigen Interessen der Nutzer dürfen die berechtigten Interessen nicht überwiegen:

Art. 6 Abs. 1 […]
f. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Zu den Interessen der Nutzer gehört vor allem der Schutz der Privatsphäre. Die Privatsphäre schützt Menschen davor „zum Spielball“ der Wirtschaft, des Staates und anderer Menschen zu werden. D.h. Bürger sollen mündig bleiben und die Grundlagen ihrer Entscheidungen und der über sie getroffenen Entscheidungen kennen.

Das klingt bisher noch sehr abstrakt, wird jedoch nachfolgend erläutert.

Sinn und Zweck der Privatsphäre: Die Privatsphäre ist von höchster Bedeutung, denn sie garantiert, dass Menschen wissen wer, was, wozu über sie weiß. Dadurch sollen sie flexibel bestimmen können, wie sie von anderen Menschen wahrgenommen werden. Dabei ist die Privatsphäre eingeschränkt und so müssen Menschen mit einer gewissen Beobachtung im öffentlichen und sozialen Raum rechnen oder wenn das dem Schutz Dritter dient. Die Privatsphäre hat aber noch eine zusätzliche Funktion – sie soll geistig vom Fremdeinfluss unabhängige Bürger gewährleisten. Denn nur so kann ein freier demokratischer Meinungswettbewerb überleben.

Berechtigte Interessen vs. Privatsphäre

Eine Interessensabwägung darf man sich durchaus wie eine Waage vorstellen, wobei die Gewichte Argumente sind und deren Größe ausdiskutiert wird. Weil die Positionen der Datenschützer und der Industrie oft konträr sind, ist es im Datenschutz häufig unklar, ob eine Maßnahme zulässig ist oder nicht. Daher arbeitet man häufig mit Risikowerten, wie die Skala der Waage es verdeutlicht.

Im Ergebnis sind Onlinemarketingmaßnahmen damit zulässig, wenn der Schutz der Privatsphäre der Nutzer nicht höher wiegt. In der Zukunft ist zu hoffen, dass sich sog. Fallgruppen bilden, die eine hinreichende Verlässlichkeit für einzelne Tools und Marketingtechniken bieten.

Bis dahin gibt es zumindest Kriterien, an denen man sich bei der Beurteilung von Marketingmaßnahmen orientieren kann:

Wie diese Kriterien im Einzelnen angewandt werden, verdeutlichen die Beispiele mit dem Facebook-Pixel und Google Analytics.

Probleme der Beurteilung von Maßnahmen und Tools: Die Frage ob ein bestimmtes Tool (z.B. Google Analytics) oder eine bestimmte Werbemaßnahme (z.B. Remarketing) zulässig ist, lässt sich selten mit „ja“ oder „nein“ beantworten. Das Problem ist, dass viele Tools weitere Optionen und diese wiederum Auswirkungen auf das Ergebnis haben. Z.B. macht es einen Unterschied, ob ein Facebook-Pixel mit oder ohne „erweiterten Abgleich“ eingesetzt wird (d.h. ob z.B. Telefonnummern oder E-Mailadressen an Facebook übermittelt werden). Ebenso kann Google Analytics mit oder ohne IP-Kürzung und separat oder Teil anderer Trackingmaßnahmen, z.B. als Teil der Firebase-Plattform eingesetzt werden. Auch kann Remarketing pseudonym und nur für bestimmte Produkte erfolgen oder in ein Nutzerprofil einfließen, das für Bonitätseinschätzungen verwendet wird. Folglich kann eine Einschätzung nur im Einzelfall rechtlich sicher erfolgen. Daher fallen in diesem Zusammenhang auch häufiger Begriffe, wie z.B. „eher“, „grundsätzlich“ oder „In der Regel“.

Google Analytics bleibt zulässig

Reichweitenmesseung, wie sie mit Hilfe von Google Analytics möglich ist, wird nach der DSGVO erlaubt sein.

Bei Google Analytics in der Grundversion wird die Reichweite gemessen und die Nutzer erhalten keine Werbeeinblendungen. Derartige Reichweitenmessung kann heutzutage als üblich betrachtet werden. Die Daten der Nutzer werden ferner pseudonymisiert (die IP-Adresse muss dazu gekürzt werden), Google verpflichtet sich zudem vertraglich die Nutzerdaten nur weisungsgemäß zu verarbeiten und ist unter dem Privacy-Shield zertifiziert. Es gibt eine Opt-Out-Möglichkeit (zumindest im Web).

Wenn die Nutzer in der Datenschutzerklärung der Website über die Funktionsweise von Google Analytics aufgeklärt werden sowie den Link zum Opt-Out erhalten, ist die Privatsphäre der Nutzer hinreichend geschützt. Die Nutzer können entscheiden, ob Sie die Opt-Out-Lösung nutzen oder nicht. Damit ist Google Analytics (in der Grundversion) nach der DSGVO zulässig.

Anleitung für Google Analytics: Wie Sie Google Analytics rechtssicher einsetzen können, erfahren Sie in meinem Beitrag „Google Analytics – Anleitung für datenschutzkonforme Nutzung, Mustertext und FAQ„.

Facebook Pixel

Beim Facebook-Pixel sprechen Argumente sowohl für, wie gegen dessen Einsatz. Das hängt auch davon ab, inwieweit die Nutzer aufgeklärt werden und ob ein Opt-Out für Facebook angeboten wird.

Beim Facebook-Pixel (Privacy-Shield) wird es schwieriger, da er dazu eingesetzt wird Nutzern interessens- und verhaltensbasierte Werbung anzuzeigen. Dennoch könnte man m.E. sehr gut vertreten, dass Nutzer es gewohnt sind Anzeigen für Produkte aus besuchten Onlineshops zu sehen (Remarketing, Custom Audiences) oder Anzeigen passend zu den Themen ihrer Postings (OBA). Auch Conversion-Tracking ist m.E. erwartbar und z.B. von den Affiliate-Verfahren her bekannt. Jedoch muss von Websiteanbietern eine eigene Opt-Out-Möglichkeit angeboten werden, da die von Facebook als nicht ausreichend betrachtet wird.

Anders kann argumentiert werden, wenn z.B. Cross-Device-Tracking eingesetzt oder E-Mailadressen von Kunden an Facebook übermittelt werden. Damit dürften Nutzer zumindest derzeit nicht rechnen, weswegen deren Schutzinteressen  die berechtigten Interessen am Onlinemarketing überwiegen. D.h. die Option „erweiterter Abgleich“ kann nicht auf Grundlage der berechtigten Interessen gestützt werden.

Wenn die berechtigten Interessen als Erlaubnisgrundlage ausscheiden, kommt eine Einwilligung zumindest in Frage.

Anleitung für das Facebook-Pixel: In dem Beitrag „Facebook-Pixel und Datenschutz – Anleitung für einen rechtssicheren Einsatz“ erläutere ich wie der Einsatz des Facebook-Pixels auch schon nach dem heutigen Recht möglichst zulässig ist. Das zumindest laut der bayerischen Datenschutzbehörde. Dies spricht zumindest derzeit dafür, dass das Facebook-Pixel auch nach der DSGVO erlaubt bleibt. Dagegen spricht jedoch, dass z.B. das Bundeskartellamt, es gar nicht für zulässig hält, dass Nutzer in die Datensammlung durch Facebook wirksam einwillgen können.

Einwilligung (Opt-In) als Erlaubnisgrundlage

Besser ohne Einwilligung: Eine Einwilligung sollte immer die zweite oder eine zusätzliche Wahl sein. Sie muss ausdrücklich erklärt, freiwillig, hinreichen erläutert, protokolliert sein, ist beiMinderjährigen erst ab dem 16. Lebensjahr möglich und ist zudem widerrufbar. Es ist weitaus einfacher, wenn Sie sich auf gesetzliche Erlaubnisse berufen können (z.B. Verarbeitung auf Grundlage der berechtigten Interessen).

Ab dem 16. Lebensjahr können Nutzer Einwilligungen in die Verarbeitung ihrer Daten im Rahmen des Onlinemarketings abgeben. D.h. die erste Hürde ist bereits die Altersausrichtung einer Website.

Die zweite Hürde ist, dass die Einwilligung ausdrücklich, informiert und für den Einzelfall erfolgen muss. D.h. die Nutzer müssen über die verwendeten Tools und deren Funktionsweise informiert werden.

Die Einwilligung muss zudem ausdrücklich erfolgen, also per Klick auf eine Schaltfläche oder Anhaken eines Kontrollkästchens. Eine Einwilligung im Sinne der bisherigen Cookie-Hinweise („Wenn Sie weitersurfen, dann gilt das als Einverständnis“) ist nicht ausreichend. Ebenso müssten die Nutzer über die tatsächlichen Marketingmaßnahmen und nicht nur abstrakt (z.B. „Wir setzen Cookies ein“) informiert werden.

Kopplungsverbot: Das sog. „Kopplungsverbot“ verbietet es, die Erfüllung eines Vertrages von einer Einwilligung abhängig zu machen. Es wäre z.B. nicht erlaubt den Abschluss eines Onlinekaufs von einer Zustimmung in die Nutzung von Daten für Werbezwecke abhängig zu machen. Verbraucherschützer sind aber der Ansicht, dass damit auch Freemium-Modelle, wie z.B. „Gratis E-Book gegen Newsletterabo“ oder werbefinanzierte Plattformen wie Facebook untersagt sind. Diese kategorische Ablehnung wird jedoch in der Rechtsliteratur weitestgehend abgelehnt.

Zwischenfazit – DSGVO sorgt für einen fairen und flexiblen Ausgleich

Nach meiner Ansicht bringt die DSGVO im Hinblick auf das Onlinemarketing, Verbesserungen mit sich:

Ferner ist zu erwarten, dass die Details wie auch bisher ein Zankapfel zwischen der Wirtschaft und den Daten- sowie Verbraucherschützern sein werden.

Diese Streitigkeiten könnten jedoch wie die Regelungen der DSGVO ohnehin durch die ePrivacy-Verordnung zu Nichte gemacht werden.

ePrivacy-Verordnung – Das Revival der „Cookie-Richtlinie“

Die „Cookie-Richtlinie“ (d.h. E-Privacy-Richtlinie 2009/136/EG) sah eine Cookie-Zustimmung schon 2009 vor. Letztendlich endete das Bemühen in der Verbreitung der Cookie-Banner.

Bereits 2009 hat der europäische Gesetzgeber den Versuch unternommen eine generelle Einwilligungspflicht für Cookies einzuführen. Dieser Versuch ist am Widerstand der Wirtschaft, abweichender Umsetzung in den einzelnen Mitgliedsstaaten gescheitert. Geblieben sind letztendlich die rechtlich kaum nützlichen, aber nervigen Cookie-Banner.

Nunmehr möchte der Gesetzgeber ganz klar festschreiben, dass jegliche Verarbeitung von Daten auf den Geräten der Nutzer derer Einwilligung bedarf (Stand und Gesetzestext Anfang Dezember 12.2017  bei Datenschutz-Notizen.de).

ePrivacy-VO ist mehr: Die ePrivacy-VO regelt nicht nur Tracking und Cookies. Sie enthält u.a. Vorgaben für Offline-Tracking, Messenger oder E-Mailwerbung (bei dieser bleibt alles im Wesentlichen beim Alten).

Einwilligung für alle Zugriffe auf Geräte der Nutzer

Die ePrivacy-VO definiert die Geräte der Nutzer als einen Teil ihrer Privatsphäre. Nach der Vorstellung des Gesetzgebers soll daher jede, auch anonyme Datenerhebung und Verarbeitung auf den Geräten der Nutzer erlaubnispflichtig sein. Außer wenn sie für die Nutzung des Onlineangebotes unbedingt notwendig ist (wie z.B. ein Warenkorb-Cookie in einem Onlineshop).

Für die ePrivacy-VO ist es egal, ob es anonyme oder personenbezogene Daten sind, die in einem Cookie gespeichert werden. Der Grund ist, dass der Gesetzgeber die Geräte der Nutzer generell zu einer besonders schützenswerten Privatsphäre erklärt.

Nur wenn das Cookie notwendig ist, z.B. Session-Cookie für den Login-Status oder ein Warenkorb, bedarf es keiner Einwilligung. Ebenfalls keiner Einwilligung bedürfen Webanalysen oder Reichweitenmessung, die selbst durchgeführt werden. Selbst bedeutet, dass entweder eigene Analysewerkzeuge eingesetzt werden (z.B. Piwik) oder mit einem Analyseanbieter ein Vertrag über Verarbeitung von Daten im Auftrag abgeschlossen wird (z.B. Google Analytics). Dabei geht es aber nur um die Analyse von Nutzergruppen. Remarketing oder interessensbasierte Werbung sind von der Ausnahme nicht umfasst.

Würde dieses Vorhaben umgesetzt werden, dann würde es die wirtschaftliche (auf Werbeeinnahmen basierende) Struktur des Internets in ihren Grundfesten erschüttern. Als Folge wäre m.E mit Pop-Ups, Bannern o.ä. zu rechnen, also mit einer Zunahme der Cookie-Banner.

Interessanterweise wird das Gesetz aber damit begründet, dass es der Verbreitung der Cookie-Banner Einhalt gebieten will.

Geschichte des Cookie-Banners: Zur Geschichte des Cookie-Banners empfehle ich Ihnen meinen Beitrag „Google macht Cookie-Hinweise zur Pflicht – Handlungsempfehlung für Website- und Appanbieter„.

Abschied vom Cookie-Banner?

Die Einwilligungspflicht für Cookies könnte zur Folge haben, dass die Cookie-Banner noch penetranter werden könnten. Schon bevor man eine Website betritt könnte man (ähnlich wie die Anti-Adblocker-Hinweise es schon tun) gefragt werden, ob man nicht doch Do-Not-Track deaktivieren mag. Denn nur so könne die Webseite Google Adsense nutzen und sich finanzieren. Wenn die „Do-Not-Track“-Funktion jedoch als eine Generaleinwilligung zählt, dann würde der Nutzer damit eine Einwilligung nicht nur in Adsense, sondern in jede Form des Onlinetrackings gewähren. Die Feinabstimmung über die DSGVO wäre obsolet.

Die Gesetzesbegründung verweist im Fall der ePrivacy-VO auf die Belästigungswirkung von Cookie-Bannern und will diesen entgegentreten. Die Einwilligung soll nach dieser Vorstellung mittels des Browsers erfolgen.

Denkt man das durch, dann kann man schnell zu ein paar kuriosen Widersprüchen gelangen:

Derzeit wird heiß darüber diskutiert, ob die ePrivacy-VO den Nutzern Vorteile bieten wird oder nicht. Für mich persönlich könnten die Regelungen sogar zum Nachteil für Nutzer,  also zum Gegenteil ihrer Zielsetzung führen.

Meinungen und Ansichten: Die Meinungen über die Funktion, Auswirkungen und Sinnhaftigkeit der ePrivacy-VO gehen weit auseinander. Die Ansichten in diesem Beitrag sind daher als subjektive Ansichten des Autors zu verstehen. Als Beispiel für ebenso vertretbare andere Ansichten, verweise ich auf den Beitrag „ePrivacy-Mythen unter der Lupe: „Eine der schlimmsten Lobby-Kampagnen, die wir je erlebt haben““ von Ingo Dachwitz bei Netzpolitik.org.

Nutzen Einwilligungsmodelle den Anbietern statt den Nutzern?

Am Ende können große Netzwerke mit vielen Nutzern dank eigenen Opt-In-Verfahren von der ePrivacy-Verordnung profitieren.

Wenn alle Anbieter gleichmäßig zur Einwilligungsmodellen verpflichtet werden, könnte dies vor allen den Big-Playern Vorteile verschaffen. So könnte Facebook z.B. ein Opt-In all seiner Nutzer einholen und den Websitebetreiber die Last der Einwilligung abnehmen.

Genauso kann man sich vorstellen, dass Google entsprechende Einwilligungs-Lösungen sogar im Browser anbietet. Die übrigen Anbieter müssten entweder eigene Lösungen und Schnittstellen verwenden oder Nutzer per Banner zur Vornahme von Einstellungen auffordern.

Der Punkt ist aber, wenn die Anbieter ohnehin eine Einwilligung einholen müssen, dann müssen sie sich nicht um datenschutzfreundliche Einstellungen kümmern. Die waren ja nur im Rahmen der Abwägung der berechtigten Interessen erforderlich, damit sie nach der DSGVO auf die Einwilligung verzichten konnten. Ohne diese einwilligungslose Methode könnte der Datenschutz für Anbieter seinen Reiz verlieren.

Kopplungsverbot: Auch die ePrivacy-VO enthält ein „Kopplungsverbot“, dessen Reichweite wie in der DSGVO umstritten ist. Auch hier wird zum Teil vertreten, dass werbebasierte Geschäftsmodelle („Daten gegen Plattformnutzung“) damit verboten werden. Damit dürfte Facebook z.B. um eine Einwilligung bitten, sie aber nicht zur Voraussetzung der Plattformnutzung machen.

Zusammenfassung

Den Beitrag zusammenfassend heißt das:

Vereinfachung: Angesichts der Länge mag es verwundern, aber dieser Beitrag stellt eine vereinfachte Darstellung dieser komplizierten Rechtslage dar. So wird z.B. auch diskutiert, inwieweit die deutschen Regelungen zum Onlinemarketing im § 15 Abs. 3 Telemediengesetz weiterhin fortgelten.

Fazit – Es kommt alles vielleicht so oder ganz anders

Ich halte persönlich nicht viel von der Einwilligungs-Lösung der ePrivacy-Verordnung. Genaugenommen klingt sie je nach Betrachtung so, als ob Google oder Facebook sich diese Lösung gewünscht hätten, weil sie so rechtlich sicher Einwilligungen einholen können.

Aus der Sicht der Privatsphäre, ist eine Einwilligung im Bereich des Onlinemarketings m.E. jedoch kein wirksames Mittel zum Schutz der Nutzer. Nutzer geben Einwilligungen sehr schnell ab, ohne sich große Gedanken über die Folgen zu machen. Wenn werbebasierte Geschäftsmodelle (wie z.B. Facebook) erlaubt bleiben sollten, dann werden Nutzer massenweise ihre Do-Not-Track-Option als Entgelt für die Plattformnutzung ausschalten.

Aber ob diese Folgen wegen der Widersprüche zwischen den Gesetzen zum Mai 2018 oder überhaupt eintreten, bleibt abzuwarten. Derzeit wird eher damit gerechnet, dass die ePrivacy-VO eher 2019 „nachgeliefert“ wird. Da die DSGVO bis dahin ein Jahr in Aktion sein wird, könnten die Karten ohnehin neu gemischt werden. Es bleibt also spannend und ich halte Sie gerne auf dem Laufenden.

Bleiben Sie auf dem Laufenden: Mit meinem Newsletter zum Marketing-, Datenschutz- und Vertragsrecht oder bei Twitter und bei Facebook, informiere ich Sie über aktuelle rechtliche Entwicklungen, unter anderem auch zum Newsletter-Marketing.

Hilfe bei der Umsetzung der Datenschutzreform: Ich helfe Ihnen die kommenden Datenschutzanforderungen rechtssicher und effizient in Ihrer Agentur oder in Ihrem Unternehmen umzusetzen.