Gastbeitrag:

So verliert die DSGVO ihren Schrecken

Die neue EU-Datenschutz-Grundverordnung (DSGVO) stellt die Online-Branche vor etli

Die Neuregelung des Datenschutzrechts in Europa bringt für das Online-Marketing einiges an Veränderungen mit sich. Doch die enormen Herausforderungen lassen sich meistern.

Die neue EU-Datenschutz-Grundverordnung (DSGVO), die zum 25. Mai 2018 offiziell wirksam wird, stellt die Online-Branche vor etliche Herausforderungen. Ebenso wie die nun wahrscheinlich erst für 2019 geplante Novelle der ePrivacy-Verordnung. „Wer künftig zum Beispiel die Customer Journey seiner Kunden rechtskonform tracken möchte, muss für diese klar verständlich und genau definieren, warum welche Cookies gesetzt werden, und was der Sinn dahinter ist – und zwar für jeden einzelnen Datenpunkt, am besten mittels Opt-In-Verfahren“ , warnt Julius Ewig, Geschäftsführer der Online-Marketingagentur metapeople in Duisburg.


ePrivacy-Verordnung verzögert sich bis 2019


Nachdem sich das EU-Parlament Ende Oktober für eine massive Verschärfung des Datenschutzes ausgesprochen und die umstrittene ePrivacy-Verordnung in einer sehr strengen Variante die nächste Hürde genommen hat, geht das Europaparlament nun mit dieser Position in die sogenannten Trilog-Verhandlungen mit der EU-Kommission und den EU-Mitgliedstaaten. „Da aber der EU-Rat wohl erst Mitte 2018 seine erforderliche Stellungnahme dazu abgeben wird, dürfte sich der gesamte Prozess noch länger hinziehen“ , vermutet Dr. Martin Schirmbacher, Fachanwalt für IT-Recht in der auf Medien und Technologie spezialisierten Rechtsanwaltskanzlei HÄRTING Rechtsanwälte in Berlin.


Der ursprünglich geplante Termin des Inkrafttretens parallel zur Datenschutzgrundverordnung im Mai 2018 sei darum aller Wahrscheinlichkeit nach nicht mehr einzuhalten und werde sich bis ins Jahr 2019 verzögern. Zudem dürfte die Übergangsfrist laut jüngsten Aussagen von Vertretern der deutschen Bundesregierung nicht ein Jahr, sondern zwei Jahre betragen. Der Kern der Verordnung – die für alle Dienste gelten wird, die innerhalb der EU angeboten werden, auch wenn die eigentliche Datenverarbeitung außerhalb Europas stattfindet – ist es, dass Internet- und Kommunikationsunternehmen Nutzerdaten weiterhin nur mit Zustimmung der Betroffenen verarbeiten dürfen.


„Unter anderem wird davon das Cookie-Tracking massiv betroffen sein“ , so Dr. Schirmbacher. Bisher reiche es hier aus, dass Verbraucher beim Aufruf der Webseite darüber informiert werden und die Möglichkeit haben, der Erstellung von Nutzungsprofilen zu widersprechen. In Zukunft müsse dann ein Kunde, der einen Kauf in einem Online-Shop vorhat, beispielsweise für die Warenkorbfunktion der Verwendung von Cookies ausdrücklich zustimmen.


Wenn Cookies zu persönlichen Daten werden


Unabhängig davon, welchen Inhalt die ePrivacy-Verordnung schließlich haben wird und wann sie genau in Kraft tritt, ist bereits heute klar, welche Veränderungen die DSGVO mit sich bringen wird: So gilt zum Beispiel die IP-Adresse nach neuem Recht als personenbezogenes Datum. Dr. Schirmbacher: „Auch die allermeisten Cookies werden ab Mai 2018 als persönliche Daten eingestuft, die entsprechend zu schützen sind.“ In jedem einzelnen Fall müsse nun also geschaut werden, ob eine gesetzliche Grundlage die Datenverarbeitung rechtfertige. Fehle es daran, müsse eine Einwilligung des Nutzers her.


Tendenziell schwieriger wird auch die Bildung von Profilen. Zum einen kann allein die Aggregation von Daten in einem Profil zu einem Einwilligungserfordernis führen. Zum anderen gibt es eine neue Vorschrift, die automatische Entscheidungen verbietet, die zu nachteiligen rechtlichen Wirkungen bei dem Betroffenen führt. Danach ist etwa eine automatische Ablehnung eines Online-Kreditantrages unzulässig.


Mit der DSGVO werden auch zwei neue Datenschutzprinzipien gesetzlich verankert, die die Online-Branche vor Kopfzerbrechen stellen dürften: Privacy by Design meint, dass bei der Ausgestaltung eines Datenverarbeitungsprozesses der Datenschutz mitgedacht werden soll. Vom Prinzip her soll also immer die datensparsamere von zwei möglichen Varianten für die Ausgestaltung eines Prozesses gewählt werden. Privacy by Default meint, dass von mehreren Grundeinstellungen die datenschutzfreundlichere vorausgewählt sein muss. Es soll also, wo immer möglich, ein echtes Opt-In geben.


Beschäftigung mit innovativeren Datentypen notwendig


Die neue Verordnung wirkt zwar erst ab Ende Mai 2018 nächsten Jahres. Jedoch sollten Unternehmen ihre Vorgaben bereits jetzt beachten. Marketingverantwortliche müssen sich dabei auf einen geänderten Umgang mit den Daten ihrer Kunden einstellen. „Sie sollten ihre Strategien und damit auch die Systeme anpassen – und diese Aufgabe neben der damit verbundenen Herausforderung auch als neue Chance begreifen“ , empfiehlt Julius Ewig.


Denn die DSGVO könne auch ein Anlass sein, sich mit innovativeren Datentypen zu beschäftigen und eine differenzierte Datenstrategie zu entwickeln. Ewig: „Mit einem etwas breiteren Ansatz lassen sich auch brauchbare Ergebnissen beim Targeting erreichen.“ Etwa durch den Einsatz von „Makro-Daten” oder auch „Moment-Daten” als Schlüssel für eine relevante Online-Werbung, die auf einer Real-World-Umgebung basiert.


Die über längere Zeiträume auf der Makro-Ebene aggregierten Daten zu Kampagnen, Markttrends oder Saisonabhängigkeiten sind zwar ungenauer und ihr Informationsgehalt ist geringer als die auf User-Ebene gewonnenen Mikro-Daten. Andererseits können Device-Wechsel, Cookie Löschungen und auch die meisten Offline-Aktivitäten ohnehin nicht über Cookies getrackt werden. Und der große Vorteil: Weil die Makro-Daten anonym zusammengefasst werden, kollidiert ihre Verwendung auch nicht mit schärferen Datenschutzbestimmungen.


Nächste Seite

1
2