Datenschutz
25.07.2018
Neues EU-Recht
1. Teil: „Die E-Privacy-Verordnung bedroht das Targeting“

Die E-Privacy-Verordnung bedroht das Targeting

Autor:
E-PrivacyE-PrivacyE-Privacy
rawf8 / shutterstock.com
Kommt die Verordnung wie geplant, stehen werbefinanzierten Angeboten harte Zeiten bevor. Vor allem personalisierte Werbung, wie sie heute im Netz die Regel ist, wird durch den aktuell gültigen Entwurf nahezu unmöglich gemacht.
Die E-Privacy-Verordnung (ePV) wird oft mit der EU-Datenschutz-Grundverordnung (DSGVO) in einen Topf geworfen. Kein Wunder, haben die beiden Verordnungen doch auch eine ganze Reihe von Gemeinsamkeiten: Sie befassen sich beide mit Datenschutz, gelten EU-weit und erzeugen bei jedem Unternehmen Handlungsdruck, das mit personalisierten Daten umgeht. Doch damit enden die Gemeinsamkeiten auch fast schon wieder.
Während die Datenschutz-Grundverordnung nämlich nach einer zweijährigen Übergangsphase am 25. Mai in Kraft getreten ist, befindet sich die E-Privacy-Verordnung noch in einer komplizierten Abstimmungsphase zwischen mehreren Akteuren: EU-Kommission, EU-Ministerrat und Europaparlament.
Geplant war diese Verzögerung allerdings nicht. Ursprünglich hätten beide Verordnungen durchaus zeitgleich in Kraft treten sollen. Doch aktuell rechnet der Branchenverband BVDW (Bundesverband Digitale Wirtschaft) damit, dass der EU-Ministerrat sich bis zum Sommer zu einer gemeinsamen Haltung durchringen wird.
Den Rest des Jahres dürfte der sogenannte Trilog in Anspruch nehmen, die Abstimmung mit den anderen Stakeholdern. Frühestens 2019 könnte die ePV dann beschlossen werden – und nach einer Übergangsfrist von zwei Jahren 2021 in Kraft treten.

Tiefe Einschnitte

2021 – das erscheint weit weg, zumal nicht wenige Branchenbeobachter davon ausgehen, dass es durchaus auch noch später werden könnte. Aber eine zögerlicher Haltung hat sich schon bei der langen Übergangsfrist zur Datenschutz-Grundverordnung für viele Unternehmen als wenig klug herausgestellt.
Und Abwarten und Tee trinken empfiehlt sich gerade auch bei der ePV nicht. Denn wenn die ePV so in geltendes Recht umgesetzt wird, wie sie im Moment auf Ministerratsebene diskutiert wird, dann kommen auf das Online-Marketing gravierende Einschnitte zu.
Vor allem personalisierte Werbung, wie sie heute im Netz die Regel ist, wird durch den aktuell gültigen Entwurf nahezu unmöglich gemacht. Michael Neuber, Justiziar und Leiter Recht beim BVDW, findet in einem Hintergrundpapier deutliche Worte: „Sollte der Entwurf wie beabsichtigt Realität werden, bedeutet es nichts anderes als das Ende des werbefinanzierten Internets.“
E-Privacy
"The Consent Tool"
Dreh- und Angelpunkt der E-Privacy ist die transparente Information des Nutzers und das saubere, regelkonforme Abfragen und Dokumentieren seiner Zustimmung zur Erfassung und Nutzung seiner Daten.
Ein Online-Tool des Werbevermarkters Conversant und des Affiliate-Marketing-Spezialisten Commission Junction richtet sich an alle Website-Publisher und Werbungtreibenden. Es soll Advertisern und Publishern nicht nur dabei helfen, die neuen Regulierungen einzuhalten, sondern auch die gesamte Adtech-Branche optimieren, indem Verbrauchern das beste Kundenerlebnis geboten wird. Das Tool wurde in Zusammenarbeit mit dem Interactive Advertising Bureau Europe (IAB EU) entwickelt. Es fungiert als Consent Manager Provider (CMP) und erfasst und speichert Kundenfreigaben. Dabei unterliegt das Tool den gleichen
technischen Standards wie das IAB EU Framework. Jede Einwilligung, die über dieses Tool vorgenommen wird, wird im IAB EU „Transparency and Consent Framework“ gespeichert.
Schon heute ist der Markt voll mit sogenannten Cookie Consent Kits. Diese Website-Skripts erfüllen jedoch in aller Regel nicht die (noch nicht im Detail feststehenden) Vorgaben der zukünftigen E-Privacy-Verordnung. Vor allem dokumentieren sie nicht die erteilte Zustimmung des Users zum Erhalt eines Cookies. Sie informieren ihn lediglich, dass Cookies gesetzt werden. Will er dies nicht akzeptieren, muss er die Seite verlassen.
Tabelle öffnen
2. Teil: „Cookies als Ausnahmen“

Cookies als Ausnahmen

Grund für den Pessimismus des Rechtsanwalts ist die harte Haltung der EU gegenüber Third-Party-Cookies. Das sind Cookies, die nicht vom Website- Betreiber selbst gesetzt werden (First-Party-Cookies), sondern von Dritten. Diese Cookies, so argumentiert der BVDW, sind unverzichtbar für essenzielle Dinge im kommerziellen Internet, zum Beispiel die Reichweitenmessung der Arbeitsgemeinschaft Online Forschung (AGOF). Sie sind aber auch ein Grundpfeiler für personalisierte Werbung und ein wichtiger Baustein für die Erstellung von Nutzerprofilen.
Nach Vorstellungen der EU soll das Setzen jedweder Cookies (sowohl First als auch Third) in Zukunft nur noch dann erlaubt sein, wenn der Nutzer zuvor explizit zugestimmt hat. Ausnahmen soll es lediglich dann geben, wenn das Cookie zur Ausführung eines Dienstes zwingend erforderlich ist, den der Nutzer zuvor angefordert hat, etwa für die Warenkorb-Funktion.
Das heißt, Website-Betreiber werden deshalb auch weiterhin Statistiken über die Nutzung ihres Online-Angebots erstellen dürfen, ansonsten sind keine weiteren Ausnahmen vorgesehen.

Viel Arbeit für Ad-Dienstleister

Sicher ist jedenfalls: Nach der Mammutaufgabe DSGVO kommt auf viele Mitspieler der Internetwirtschaft wieder jede Menge Arbeit zu. Ein Beispiel dafür ist Guillaume Marcerou. Der Franzose ist Global Privacy Director bei Criteo, einem Spezialisten für das Ausspielen personenbezogener Werbung: „Das Privacy-Team ist Teil der Produktentwicklung“, berichtet Marcerou.„Jede neue Maßnahme, die wir in den vergangenen zwei Jahren umgesetzt haben, hatte die DSGVO und die Privacy-Verordnung im Hintergrund.“
Criteo ist ein typischer Vertreter einer Industrie, die davon abhängt, dass ihre Partner, die Website-Publisher, die ePVVorgaben umsetzen. Man habe keine Kontrolle darüber, wie die Partner die Daten erheben, deshalb müsse man sie für E-Privacy sensibilisieren.
Eine grundsätzliche, radikale Abkehr von personalisierter Werbung sieht man bei Criteo nicht: „In den meisten Fällen akzeptieren die User digitale Werbung.“
Christian Bennefeld ist da etwas anderer Ansicht. Der Gründer und Gesellschafter der Webanalyse-Firma eTracker hat sich vor einigen Jahren aus dem operativen Geschäft zurückgezogen und ein neues Produkt auf den Markt gebracht: eBlocker. Während eTracker seinen Anwendern ein mächtiges Tool an die Hand gibt, um die Aktionen und Intentionen der Nutzer auf ihrer Website zu analysieren, tut eBlocker
scheinbar das genaue Gegenteil – die Hardware erkennt, wenn eine Website externe Tracking-Dienste aufruft, und unterbindet dies – inklusive der auf diese Weise personalisiert ausgespielten Werbung: Retargeting ade.
Für Christian Bennefeld ist das kein Widerspruch zu seinem früheren Job bei eTracker. „Targeting wird auch weiterhin möglich sein. Doch von der Art und Weise, wie heute manche Third-Party-Dienste ihre Daten sammeln – nämlich erst einmal alles abgreifen, was möglich ist, und dann den Nutzer mit personalisierter Werbung bewerfen –, werden wir uns verabschieden müssen.“ Christian Bennefeld verweist insbesondere darauf, dass der ePV-Entwurf, der derzeit in der Diskussion ist, nicht nur eine Einwilligung des Nutzers zur Datenspeicherung vorsieht, sondern sogar eine differenzierte Einwilligung, für welche Dienste er seine Daten zur Verfügung stellen will und für welche nicht.
Wie das Ganze in der Praxis handhabbar gestaltet werden soll, steht noch nicht fest. Nach dem Willen der EU soll zukünftig der Webbrowser eine wichtige Funktion bei der Erfassung von Nutzerwünschen haben: In den Voreinstellungen könnten Nutzer vorgeben, welche Art von Datenerfassung und -weitergabe sie akzeptieren.
Für BVDW-Justiziar Neuber ist das keine gute Lösung, denn sie würde letztlich dazu führen, dass Nutzer Third-Party-Cookies entweder generell an- oder abschalten – und im letzteren Fall nur noch ein sehr schmales Angebot an kostenfreien Webangeboten vorfänden.
Personalisiert ausgespielte Werbung mit einem Tracking, das das Einverständnis des Nutzers voraussetzt, wird schwieriger werden. Für eBlocker-Chef Bennefeld könnte dies eine Renaissance der Umfeld-Werbung bedeuten. Man bespielt einen Nutzer nicht mehr überall dort, wo man ihn kriegt, sondern
nur noch dort, wo man ihn aufgrund des thematischen Umfelds vermutet.
Für Alexander Gösswein, DACH-Chef von Criteo, eine furchtbare Vorstellung: „Das würde uns ja in die Steinzeit der Online-Werbung zurückwerfen, mit riesigen Streuverlusten und all diesen Dingen.“
Sollten die schlimmsten Befürchtungen der Branche Wirklichkeit werden und die EU hohe Hürden für jede Form der Erfassung personenbezogener Surfdaten einführen, könnte das vor allem denen nützen, die sich die Erlaubnis dazu in ellenlangen, von kaum einem Verbraucher je gelesenen Einwilligungserklärungen haben geben lassen: Plattformen wie Google, Facebook, Apple und Amazon haben sich von ihren Nutzern weitreichende Befugnisse einräumen lassen, die ihnen ein extrem genaues Targeting erlauben – inklusive der passenden Werbebespielung. Solche Single-Sign-on-Plattformen werden jetzt auch in Europa geplant, die deutsche Lösung Verimi ist gerade gestartet. Ob sie den Wettbewerbsvorsprung von Facebook aufholen kann, ist fraglich.
E-Privacy - darum geht's
Worum es geht: Die E-Privacy-Verordnung (ePV) regelt den Umgang mit personenbezogenen Daten und Nutzerprofilen in der elektronischen Kommunikation. Sie soll die 2002 erlassene Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) ersetzen, die 2009 durch die sogenannte Cookie-Richtlinie ergänzt wurde.
Zentrale Punkte: Die ePV soll alle Website-Betreiber, die personenbezogene Daten ihrer Besucher erfassen, dazu verpflichten, diese Nutzer vorab über Sinn und Zweck der Datensammlung zu informieren und ihre Zustimmung einzuholen. Die Erfassung von Nutzeraktionen ohne eine solche Einwilligung soll nur noch in wenigen Ausnahmefällen möglich sein.
Inkra treten: Die ePV ist keine Richtlinie mehr, sondern eine EU-Verordnung. Das bedeutet, dass sie nach Inkrafttreten unmittelbar gültiges Recht innerhalb der EU ist. Die EU-Mitglieder müssen ihre Gesetze entsprechend anpassen. Ursprünglich sollte die ePV gemeinsam mit der DSGVO im Mai 2018 wirksam werden. Dieser Termin wurde verpasst. Nach derzeitigem Stand könnte die ePV Ende 2018 vom EU-Parlament verabschiedet werden und 2019 in Kraft treten. Vermutlich würde dann eine zweijährige Übergangsfrist greifen, sodass die in der ePV festgelegten Regeln ab 2021 zwingend befolgt werden müssen.
Tabelle öffnen

mehr zum Thema

Huawei Roadshow 2024

Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs

Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen. >>
Tools

GitLab Duo Chat mit KI-Chat-Unterstützung

Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows. >>
Trendwende

Konsumenten sehen Silberstreif am Horizont

Shopping Cart
Erstmals seit Beginn der Lebenshaltungskostenkrise gibt es Anzeichen für einen Wendepunkt in der Mentalität der Verbraucher. Das zeigen Daten des Behavior Change Report der Consumer Panel Services GfK. >>
Cyberbedrohungen überall

IT-Sicherheit unter der Lupe

Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch. >>