Selten konnte der DLD aus sich heraus solch eine Aufmerksamkeit generieren, wie durch den zweiten Auftritt der EU-Kommissarin Viviane Reding – nahm sie die Konferenz doch zum Anlass, die tags darauf offiziell vorgestellte neue Datenschutzverordnung vorab zu beschreiben und im besten Licht darzustellen. Für Unternehmen und User birgt diese Verordnung in den unterschiedlichsten Bereichen erhebliche Veränderungen. Ich möchte drei aus werbungtreibender und agenturseitiger Sicht sehr relevante Faktoren darstellen:

  1. Eine einheitliche Datenschutzverordnung für die gesamte EU (Level Playing Field)
    Ein aus unserer Sicht wichtiger und richtiger Schritt ist die grundsätzliche europäische Vereinheitlichung von nationalen Datenschutzbestimmungen unter dem Dach einer europäischen Verordnung. Dies führt dazu, dass wir beispielsweise bei international ausgelegten Kampagnen eine einheitliche Datenschutzregelung haben und nicht mehr in jedem Land eine Anpassung an entsprechendes Datenschutzrecht vornehmen müssen.
    Darüber hinaus werden alle Unternehmen – auch die, die ihren Hauptsitz nicht in der EU haben – verpflichtet, sich der europäischen Verordnung zu unterwerfen und einen europäischen Datenschutzverantwortlichen zu benennen, was dazu führt, dass bei Verstößen die jeweilige europäische Behörde alleiniger Ansprechpartner ist und nicht mehr die Behörde des Landes, in dem das Unternehmen seinen Hauptsitz hat. Bedeutet, dass sie sich als User mit ihrer Beschwerde nicht mehr an ein US Gericht wenden müssen, wenn Sie ein US Unternehmen belangen wollen, sondern sich hierfür an ein europäisches Gericht wenden können – eine positive und wünschenswerte Regelung!
  2. Das Recht auf Vergessen (Artikel 17)
    Bedeutet, Sie als User dürfen vom „Verarbeitenden“ verlangen, dass er die von Ihnen erhobenen personenbezogenen Daten löscht, bzw. dass die Daten gelöscht werden, wenn sie nicht mehr benötigt werden. In der Realität ist dies faktisch unmöglich, denn die Verbreitungsmöglichkeiten von Informationen im Netz sind so vielfältig und unkontrollierbar, dass es für einen Anbieter, der eine personenbezogene Information ins Netz gestellt hat (mit Zustimmung des Users) im Nachhinein faktisch unmöglich ist, diese Information überall zu löschen.
    Ein Beispiel: Sie stellen in Ihrem Xing Profil denen mit Ihnen verbundenen Personen und Gruppen eine neue Information über sich zur Verfügung, bspw. eine neue Jobposition. Sie sind mit 150 Personen verbunden, die diese Information bspw. in einem Artikel oder einer Bekanntmachung nutzen. Sollten Sie aus irgendeinem Grund diese Information nicht mehr öffentlich sehen wollen, könnten Sie nach der neuen Verordnung XING nicht nur verpflichten, diese Information in XING zu löschen, sondern darüber hinaus auch, dass XING Sorge dafür trägt, dass nirgendwo mehr im Netz diese Information verfügbar ist… Merken Sie was? Das ist – so wie die Verordnung heute aufgesetzt ist – operativ unmöglich und der Beigeschmack einer politisch motivierten Verordnung, die ein in der Öffentlichkeit gut platzierbares, technisch aber nicht realisierbares Konstrukt erschafft, bleibt. Denn gerade im Internet ist das Recht auf Vergessen eine Illusion, der wir uns nicht hingeben sollten, nur um einer Verordnung größere Tragweite zu geben.
  3. Definition des Personenbezugs und Form der Einwilligung (Artikel 3 und 4)
    Der für uns als werbetreibendes Unternehmen zentrale Kritikpunkt der neuen Verordnung verbirgt sich in Artikel 3 und 4:
    Die gesamte Verordnung bezieht sich auf personenbezogene Daten, also alle Informationen, die sich auf eine betroffene Person beziehen. Im Originaltext ist eine „betroffene Person eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde, etwa mittels Zuordnung zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.“
    Diese „Betroffenheit“ ist laut der Verordnung faktisch durch jeden Nutzungsvorgang gegeben, den ein User im Netz durchführt. In gleichem Zusammenhang steht der sog. Erwägungsgrund 24 der Verordnung, der sich genauer mit Online-Kennungen im Rahmen eines solchen Nutzungsvorgangs auseinandersetzt und klarstellt, dass solche Kennungen auch Cookies sein können: „Dies kann Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind.“
    Merken Sie, wie wenig klar und wie wenig eindeutig und abstrakt diese beiden Textpassagen sind? Zusammengefasst heisst es nur, dass im Moment nicht klar ist, ob es sich bei einem Cookie, wie wir es heute für Kampagnentracking, Targeting oder auch Sitetracking nutzen, bereits um personenbezogene Daten handelt.

 

Mögliche Auswirkungen auf den Online-Werbemarkt?

Aber wenn dem so ist, wären wir in Zukunft verpflichtet, eine lt. Artikel 3 explizite Einwilligung des Nutzers einzuholen, bevor wir einem User irgendeine Form von Cookie setzen, was einem sog. „Opt-In“ entsprechen und einen massiven Einfluss auf die gesamt Onlinewerbewirtschaft haben würde. Was dies für einen User beim Surfen auf einer Website bedeuten würde, macht die Internetseite cookiedemosite.eu deutlich. Wir wären verpflichtet, für jedes Kampagnentracking, also jede Überprüfung, ob eine Werbekampagne überhaupt gelaufen ist, den User um Erlaubnis zu fragen – stellen Sie sich vor, wie viele Cookies Sie als User akzeptieren müssten, bis bspw. spiegel.de einmal geladen wäre.
Ein Publisher würde Sie fragen müssen, ob Sie möchten, dass er Ihnen bestimmte Websitebausteine zeigen darf, jegliche Form des Adservings und der Aussteuerung von Kampagnen ist heute durch Cookies geregelt! Ein explizites Opt-In, also eine aktive Zustimmung durch den Nutzer für jedes gesetzte Cookie würde die nationale und europäische Werbewirtschaft im Netz quasi zum Erliegen bringen. Ein Nutzererlebnis, wie oben dargestellt, wird weder der Nutzer noch ein werbungtreibendes Unternehmen akzeptieren. Die auf der Hand liegenden Vorteile einer profilbasierten Kommunikation wie vermarkterübergreifende Kontaktdosensteuerung auf bestimmte Zielgruppen und Motive ohne Eingriff auf die Persönlichkeitsrechte des Einzelnen würden deutlich beschnitten werden.

Da die Verordnung in der jetzigen ersten Fassung jedoch genauso den Umkehrschluss zulässt, dass Cookies noch keine personenbezogene Daten sein müssen und damit dieser Verordnung nicht unterstehen, besteht hier erheblicher Klärungsbedarf. Sowohl alle Verbände wie der BVDW oder der Bitkom weisen mit aller Nachdrücklichkeit darauf hin, dass eine entsprechende Klärung im Sinne eines Nicht-Vorliegens eines Personenbezugs bei Cookies erfolgen muss. Nehmen wir an – und wir wollen es nicht hoffen – dass die Verordnung in der jetzigen Form umgesetzt würde und wir in Zukunft Cookies als personenbezogene Daten definieren müssten, so würde die Realität verdreht, denn

  1. Cookies führen zu Transparenz…
    Auch wenn ein Cookie für Technologien eingesetzt wird, die es bspw. ermöglichen, dass Userströme messbar werden und auf einem Rechner spezielle u.U. für den User interessantere Werbung als auf einem anderen zeigen, den User also transparenter machen, so hat das Cookie an sich doch zwei entscheidende Vorteile für den User:
    a) es ist kontrollierbar und
    b) es ist löschbar.
    Das ist nicht zu unterschätzen, denn sollten wir Cookies aufgrund der Verordnung nicht mehr in dieser Form nutzen dürfen, so werden bestehende Trackingtechniken auf Cookiebasis von Technologieanbietern durch andere und für den User wahrscheinlich schwerer zu kontrollierende ersetzt werden. Es wird nicht mehr ausreichen bzw. überhaupt möglich sein, durch Löschung seiner Cookies im Browser oder durch Opt-Out auf einer zentralen Site die eigene Historie zu löschen oder zu kontrollieren, wer denn meine Informationen nutzt. Wollen wir das? Diese Transparenz ist sinnvoll und für den User gut nutzbar, ein wichtiges Argument, um in der Verordnung klarer zu differenzieren, als heute vorgesehen.
  2. …und Zustimmung/Opt In nicht automatisch!
    Wir dürfen nicht vergessen, dass der Zwang zur Zustimmung nicht automatisch dazu führt, dass ein User wirklich weiß, was oder wem er da gerade zustimmt.
    Aktuellstes Beispiel: Google. Im Moment fordert Google Sie bei Nutzung eines seiner Dienste auf, einer neuen für alle Dienste von Google geltenden Datenschutzbestimmung zuzustimmen. Will heissen, Sie haben bspw. ein Google Mail Konto und müssen nun, um dieses Konto weiter nutzen zu können, ein Opt-In für alle von Google angebotenen Dienste abgeben, also zum Beispiel GDN (Google Display Netzwerk), Google+ etc. Damit öffnen Sie Ihr Persönlichkeitsfenster wesentlich weiter, als ein normales Cookie es jemals öffnen könnte. Und dies nicht nur bei Ihrem E-Mail-Konto, sondern genauso für Werbung, Social Media, Shopping und, und, und…
    In letzter Konsequenz führt diese Entwicklung dazu, dass überall dort, wo wir eher bereit sind, ein Opt-In zu geben, dies Opt-In dazu benutzt wird, immer weitere Dienste mit zu integrieren, bei denen wir heute nicht begeistert wären, wenn dieser Diensteanbieter mehr von uns kennen würde, als nur einen Cookieinhalt. Damit würde die Verordnung genau das Gegenteil dessen erreichen, was sie bezweckt – die Persönlichkeitsrechte des Users zu stärken.

 

Wie geht es nun weiter?

Der Verordnungsvorschlag in der jetzigen Form ist weder durch das EU Parlament noch durch nationale Gesetzgebung ratifiziert und wird im nächsten Schritt an den Rat und das Europaparlament zur weiteren Beratung übersandt. Dieser Beratungsprozess wird sich im Rahmen von maximal drei Lesungen im Rat und Parlament über zwei Jahre hinziehen, in denen evtl. Änderungen in die Verordnung eingearbeitet werden. Sollte nach der zweiten oder dritten Lesung ein Rechtsakt erlassen werden – d.h. das Gesetz passiert den Rat und das Parlament –, gehen wir heute davon aus, dass eine Umsetzung der Verordnung in den Unternehmen bis 2016 erfolgen muss. Sollte im Rahmen der drei Lesungen keine Einigung erzielt werden, ist der Rechtsakt gescheitert und die bestehende Verordnung bleibt in Kraft.

Zeitgleich setzen wir uns als Agentur für einen gegenüber dem User transparenten Umgang mit den über ihn erhobenen Daten ein. Wir unterstützen aktiv die Etablierung des sog. DDOW, des „Deutschen Datenschutzrats Online-Werbung“, der die Aussteuerung von verhaltensbasierten Kampagnen ab Mitte 2012 kontrolliert und eine zentrale Anlaufstelle für Nutzerbeschwerden, die durch entsprechende Kampagnen auftreten, darstellt. Darüber hinaus unterwerfen wir uns dem Selbstregulierungskodex für verhaltensbasierte Kampagnen, der ebenfalls ab Mitte 2012 eine einheitliche Information und Wahlmöglichkeit auf sog. OBA-Werbemitteln (Online-Behavioral-Advertising) festlegt. Damit hat der User die Möglichkeit, sich zum einen über die durch die Kampagne erfassten Daten zu informieren und zum anderen seine Cookies über die zentrale Präferenzmanagement-Site www.meine-cookies.org zu löschen, sofern er dies möchte.

Ziel all dieser Maßnahmen ist es, zum einen ein für den User relevantes Angebot über Onlinewerbung bereitzustellen und ihm zum anderen jede Möglichkeit zu geben, die über ihn erhobenen Daten einzusehen und auf Wunsch zu löschen.

1 Antwort

Kommentare sind deaktiviert.