"Daten sind das neue Gold"? So hieß es zumindest vor einigen Jahren. Heute müsste es etwas wohl umformuliert werden: "Consent ist das neue Gold!"
Denn ohne Einwilligung der Nutzer sind die Daten nichts wert. Oder vielmehr, die Daten dürfen gar nicht erst erhoben und verarbeitet werden. Doch ganz so einfach ist es nicht. Was genau bedeutet Consent oder Einwilligung? Und wofür genau? Und wie sieht die aktuelle Rechtsgrundlage aus?
Aktuell herrscht etwas Wirrwar an Gesetzen, Verordnungen, Richtlinien, Empfehlungen und es fehlen Rechtsprechungen - zumindest hier in Deutschland.
Es gibt die seit Mai 2018 gültige DSGVO und eine Entwurfsfassung der sog. ePrivacy-Verordnung mit dem Stand vom 13.03.2019. (aktueller Status der ePrivacy-Verordnung auf der BVDW Seite) Sowie eine für Deutschland (und nur für Deutschland) immer noch gültige EU-Cookie-Richtlinie vom 25.11.2009.
Nun widersprechen sich die Texte jedoch gerade in den für die Online-Werbeindustrie relevanten Punkten. Die Verarbeitung personenbezogener Daten – auch zum Zwecke des Direktmarketings – kann nach Art. 6 Abs. 1 Buchst. f DSGVO bereits durch das berechtigte Interesse, z. B. des Werbetreibenden, gerechtfertigt sein. Dagegen sieht der Entwurf der ePrivacy-Verordnung, ebenso wie die bisherige EU-Cookie-Richtlinie vom 25.11.2009, eine ausdrückliche Einwilligung des Nutzers zur Verwendung von Cookies vor. Die Richtlinie wurde in diesem Punkt jedoch nie ins deutsche Recht aufgenommen. Das deutsche Telemediengesetz, welches immer noch Anwendung findet (so wird jedenfalls begründet), fordert lediglich die Möglichkeit zum Widerspruch gegen diese Verarbeitung (OptOut). Das gilt für Deutschland.
Und genau hier liegt das Dilemma!
In anderen europäischen Ländern gibt es kein Telemediengesetz und dort findet die EU-Cookie-Richtlinie bereits seit einigen Jahren Anwendung. Also das OptIn Verfahren.
Nun hat auch die DSK (Datenschutzkonferenz) in einem Orientierungspapier zur DSGVO und dem Tracking im März 2019 klar gemacht, dass die Rechte der User klar und eindeutig vor die Wirtschaft und Industrie zu stellen sind und ein eindeutiges OptIn einzuholen ist. Was genau dem Entwurf der ePrivacy-Verordnung und der EU-Cookie-Richtlinie entspricht. Die DSK Orientierungshilfe stellt deutlich klar: § 15 Abs. 3 TMG ist keine mögliche Rechtsgrundlage für Webtracking mehr. Ähnlicher Ansicht ist auch der Generalanwalt des EuGH kurz darauf in der Rechtssache Planet49. Die Umsetzung der Cookie-RL (RL 2009/136/EG) hat zu keiner Anpassung der deutschen Vorschriften geführt. § 15 Abs. 3 TMG steht also nicht mit dem Unionsrecht in Einklang.
Unterm Strich wird aktuell gefordert, dass der Endverbraucher, der eine Webseite oder App besucht oder technische Funktionen in einem anderen Umfeld bedient, um Erlaubnis gefragt werden muss, sollten seine personenbezogenen Daten erhoben und verarbeitet werden. Dies gilt für das Marketing sowie für das Tracking der User und Transaktionen bzw. die Attribuierung. Es betrifft also nicht nur das Retargeting, sondern die gesamte Marketingindustrie.
Die Industrie muss davon ausgehen, dass die ausdrückliche Einwilligung Pflicht wird!
Bis die ePrivacy-Verordnung irgendwann rechtlich verbindlich wird oder es auf Basis der aktuellen Gesetzeslage klare Rechtsprechungen gibt, herrscht Chaos auf deutschen Webseiten. Verschiedene Formen der sogenannten Cookie Banner sind im Umlauf und gaukeln den Usern teilweise nur etwas vor. Über deren Sinnhaftigkeit lässt sich streiten.
Viele Seitenbetreiber vertrauen auf die Rechtfertigung der Verarbeitung durch das Vorliegen ihres berechtigten Interesses und verzichten auf eine ausdrückliche Einwilligung. Andere Seitenbetreiber bitten zwar den Nutzer um Einwilligung, haben aber die Checkbox schon vorausgefüllt und wiederum andere fragen ihn um ausdrückliche Einwilligung und stellen ihm teilweise noch die Möglichkeit zur Verfügung, diese Einwilligung für die verschiedenen Arten von Cookies gesondert zu erteilen. Es ist zu erkennen, dass gerade die großen Shopbetreiber oder Portale sich schon jetzt auf das OptIn einstellen, um es im Zweifelsfall bei einer Klage nachweisen zu können, dass sie vom User genau diese Einwilligung erhalten haben, denn genau dies sieht die DSGVO vor, der Verarbeiter ist in der Beweispflicht.
Gültige Einwilligungen werden zukünftig einen Wert erhalten und Wettbewerbsvorteile schaffen!
Dort, wo der User dezidiert um die Einwilligung zu einem bestimmten Verfahren gebeten wird, kommen meist sogenannte Consent Management Plattformen (CMPs) zum Einsatz. Diese Systeme, je nachdem wie sie konfiguriert sind, geben dem User die Möglichkeit eines OptIns und verarbeiten und speichern die jeweilige Einwilligung, die jederzeit vom User wieder zurückgenommen werden kann. Erst nach dem OptIn und das ist sehr wichtig, darf eine Verarbeitung der Daten durchgeführt werden. Egal ob durch den Seitenbetreiber oder durch einen dritten Auftragsverarbeiter. Diese CMPs geben dann vor, wie sich andere technische Systeme der Webseite in Bezug auf die Verarbeitung der personenbezogenen Daten verhalten sollen. Also z.B. das Auslesen der IP-Adresse oder das Setzen von Cookies für das Remarketing.
Diese CMPs werden also zukünftig eine wichtige Rolle in der Verarbeitung von personenbezogenen Daten einnehmen. Einige Anbieter von CMPs sind bereits auf dem Markt, sicher werden Weitere folgen. Es lässt sich beobachten, dass bei der genauen Funktionsweise und beim Wording der Texte noch getestet wird. Immerhin geht es darum so viel Consent Conversion zu erzielen wie möglich.
Man darf gespannt sein, wann sich hierbei Standards entwickeln und welche Player sich durchsetzen werden. Wichtig wird aber sein, sich so früh wie möglich mit diesen Themen zu befassen, denn gültige Einwilligungen werden zukünftig einen Wert erhalten, vielleicht sogar eine eigene Währung bilden, auf jeden Fall Wettbewerbsvorteile schaffen.
Wenn Sie eine Webseite betreiben, als Advertiser Online-Marketing einsetzen oder als Publisher Werbung ausspielen sollten Sie Sich folgende Fragen stellen:
Muss ich einen Consent Layer (Cookie Banner) einsetzen?
Und wenn ja, bei welchen Verfahren benötige ich zukünftig ein OptIn?
Wo und wie speichere ich die Einwilligung der User?
Ist mein Online Marketing von der Einwilligung der User abhängig?
Wie gestalte ich Consent Conversion starke Layer und Verfahren?
Wie sorge ich dafür, dass mein Online-Marketing weiterhin funktioniert?