searchmetrics email facebook github gplus instagram linkedin phone rss twitter whatsapp youtube arrow-right chevron-up chevron-down chevron-left chevron-right clock close menu search
1676116761

Datenschutz, Tracking & Cookies: Quo vadis, Online Marketing?

Auch zwei Jahre nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) ist das Thema Datenschutz weiterhin umstritten. Browser-Anbieter blockieren Third Party Cookies, die EU zwingt zum Opt-In, Datenschützer verhängen Millionen-Bußgelder: Wohin steuert das Online Marketing angesichts der strengeren Datenschutz-Regelungen? Welche Alternativen zum Cookie gibt es? Alle Antworten in diesem Artikel.

DSGVO: Alles Roger im europäischen Datenschutz?

Das Schreckgespenst, das 2018 in Europa umging, war am Ende doch gar nicht so grimmig, wie viele Online Marketer befürchteten. Die Datenschutz-Grundverordnung (DSGVO), ebenfalls bekannt unter ihrer englischen Abkürzung GDPR für General Data Protection Regulation, sorgte zumindest dafür, dass Website-Betreiber erstmal den Quellcode reinigten, alte bzw. unnötige Scripte, Tracker und Formulare auf ihren Seiten entfernten.

Die Bestimmungen für die Zustimmung, Verarbeitung und Aufbewahrung personenbezogener Daten – die auch in Offline-Branchen wie Arztpraxen, Bibliotheken und Behörden zur Anwendung kamen – waren am Ende schnell implementiert. Und seither gehen tatsächlich viele Websites sensibler mit den Nutzerdaten um; und diese Entwicklung ist nach dem Tracking-Rausch der vergangenen Jahre durchaus zu begrüßen.

Bußgelder wegen DSGVO-Verstößen nehmen zu

Dass die DSGVO zumindest kein zahnloser Tiger ist und saftige Bußgelder verhängt wurden, zeigen die spektakulären Fälle in den vergangenen zwei Jahren. Über den GDPR Enforcement Tracker können die abgemahnten Fälle abgerufen werden. In Deutschland wurden die höchsten DSGVO-Bußgelder verhängt gegen die Deutsche Wohnen, 1&1 und Delivery Hero.

Top3 DSGVO-Bußgelder in Deutschland:

  1. Deutsche Wohnen SE wurde zu einem Rekord-Bußgeld von 14,5 Millionen Euro Bußgeld, weil der Immobilienkonzern alte Mieter-Daten unzulässig aufbewahrt hatte.
  2. 1&1 wurde zu 9,5 Millionen Euro Bußgeld verurteilt, weil über den Kundenservice sensible Nutzerdaten zu ermitteln waren, indem nur Name und Geburtsdatum angegeben wurden.
  3. Delivery Hero wurde zu 195.000 Euro Bußgeld verurteilt, weil alte Nutzer-Accounts nicht ordnungsgemäß gelöscht wurden. Zudem hatten einige ehemalige Nutzer weiterhin Werbe-Mails erhalten.

CCPA: Datenschutz auch in den USA ein Thema

Inzwischen hat die DSGVO auch international Schule gemacht. So hat in den USA nun Kalifornien zum Jahresbeginn 2020 ein ähnliches Datenschutzgesetz verabschiedet: der California Consumer Protection Act, kurz CCPA.

Hierbei müssen Nutzer (aus Kalifornien) der Verwendung von personenbezogenen Daten widersprechen können, also die Opt-Out-Regelung. Dies gilt etwa auch für Marketing Cookies. Zudem gibt es Auskunfts- und Löschungs-Rechte. Entsprechend halten Cookie Banner, wie sie in Europa bis 2018 üblich waren, nun auch in den USA Einzug. Allerdings sind die angedrohten Strafen deutlich geringer als bei der DSGVO, und es gibt keine Erfordernisse für Datenschutzbeauftragte.

ePrivacy-Verordnung zunächst gescheitert

In Europa ist dagegen die neue ePrivacy-Verordnung am Veto von verschiedenen europäischen Mitgliedsstaaten Ende 2019 gescheitert. Damit sollte die ältere ePrivacy-Richtlinie von 2002 aktualisiert und – wegen des Status als Verordnung – sofort in den EU-Mitgliedsstaaten rechtlich wirksam werden.

Ziel der ePrivacy-Verordnung war die Aktualisierung der geltenden Datenschutzrichtlinie für elektronische Kommunikation, mit einem „Recht auf Privatsphäre in der elektronischen Kommunikation“. Hierbei ging es also auch um Verschlüsselung und um die Vertraulichkeit der Kommunikation; dabei sollten Messenger-Dienste wie WhatsApp oder Facebook Messenger sowie IoT-Geräte (Internet of Things) einbezogen werden.

Noch stärker als die DSGVO wollte die ePrivacy-Verordnung zudem die Cookie-Setzung regeln. Alle nicht notwendigen Cookies sollten erst nach Aufklärung und Zustimmung der Nutzer gesetzt werden dürfen und die standardmäßige Ablehnung einfacher werden.

Allerdings ist bereits der Europäische Gerichtshof (EuGH) der ePrivacy-Verordnung zuvorgekommen. Der EuGH entschied Ende 2019 die Klage der Verbraucherzentrale gegen das Unternehmen „planet49″, das im Rahmen von Gewinnspielen Daten für Werbezwecke Dritter sammelte. Laut des EuGH-Urteils müsse die Einwilligung zur Cookie-Setzung klar, eindeutig, ohne jeden Zweifel und für den konkreten Fall vom Nutzer eingeholt werden, sofern Cookies nicht technisch notwendig sind.

Deutsches Gesetzes-Wirrwarr um den Datenschutz

In Deutschland stehen nationale Gesetze wie das Telemediengesetz (TMG) den härteren Bestimmungen zum Online Tracking der europäischen Datenschutzgrundverordnung und der älteren ePrivacy-Richtlinie entgegen. So hat Deutschland die Richtlinie nie in eigenes Recht umgesetzt, sondern ein Telemediengesetz erarbeitet.

Und während das deutsche TMG ein Opt-Out für ausreichend hält, haben die DSGVO, die ältere ePrivacy-Richtlinie, aber auch die Datenschutzkonferenz (DSK) der Datenschützer aus Bund und Ländern eine eindeutige Tendenz zum Opt-In.

Browser-Anbieter blockieren Third Party Cookies

Während Gesetzgeber und Gerichte langsam vorankommen und sich nationale und supranationale Gesetzgebung im Hinblick auf Datenschutz und Online Tracking zum Teil noch widersprechen, haben nun Browser-Anbieter vorgelegt.

So blockieren Apple in seinem Safari Browser und Mozilla im Firefox Browser inzwischen standardmäßig und vollumfänglich Third-Party-Cookies. Damit ist ein Großteil der technisch nicht notwendigen Cookies vor allem im Online Marketing nutzlos, da diese vorrangig über Drittanbieter beim Besuch einer Website auf dem Endgerät des Nutzers gespeichert werden.

Auch der Google-Konzern will nun nachziehen und bis 2022 Third Party Cookies im Chrome-Browser standardmäßig blockieren. Google selbst generiert den Großteil seiner Einnahmen über (Remarketing)-Advertising und muss selbst seine Werbeplattformen entsprechend umstellen. Hierfür ist mit seiner Google Privacy Sandbox allerdings noch in der Findungsphase.

Third Party Cookies am Ende – das sind die Alternativen

Welche alternativen Lösungen und Ansätze werden sich im Online Marketing nach dem Ende der Third Party Cookies durchsetzen? Einige der Ideen und Praktiken nachfolgend im Kurzüberblick:

  • Fingerprinting: Hierbei werden User anhand technischer Merkmale wie Standort, installierte Plugins und Fonts, Bildschirmauflösung und mehr identifiziert. Dies funktioniert auch im privaten Surfmodus und kann nicht durch Do-Not-Track, AdBlocker oder das Löschen der Daten durch den User beeinflusst werden.
  • User-ID: Bei einer User-ID muss sich der Nutzer auf der Website registrieren und bei jedem Besuch (automatisch) anmelden. Damit ist die Einwilligung des Nutzers gegeben, und vor allem große Unternehmen können diese Variante nutzen. So nutzen etwa Google und Facebook ein Device-übergreifendes User-ID-Anmeldesystem, ein Wallet-Garden-System. In Deutschland gibt es etwa mit Verimi (Axel Springer, Telekom, Deutsche Bahn u.v.m.) oder der NetID (RTL, ProSiebenSat.1, GMX, u.v.m.) entsprechende branchenübergreifende Login-Allianzen.
  • ID Graph: Für die Erstellung eines ID-Graphen werden Daten aus verschiedenen Bereichen kombiniert. Hierbei können Daten, die der Nutzer selbst bei einer Website eingegeben hat – etwa durch Anmeldungen für Newsletter, Webinare oder E-Books – kombiniert mit anderen Daten wie IP-Adressen, Browser-Daten oder optionalen Cookie-Infos. Je mehr Informationen hier gesammelt werden, desto aussagekräftiger sind die daraus generierten Nutzerprofile.

Fazit und Fragen

Das Zeitalter der Cookies scheint im Online Marketing ein Auslaufmodell zu sein. Die DSGVO wird zum Vorzeige-Modell auch für anderen Länder – so hat etwa (ausgerechnet!) Kalifornien ein ähnliches Datenschutzgesetz verabschiedet. Und auch wenn die ePrivacy-Verordnung der Europäischen Union wohl gescheitert ist, haben sowohl Gerichte – etwa der Europäische Gerichtshof mit der „planet49“-Entscheidung – also auch Browser-Anbieter wie Apple und Mozilla mit ihrer Entscheidung, Third Party Cookies im Safari und Firefox Browser standardmäßig zu blockieren, Tatsachen geschaffen.

Trotzdem bleiben noch immer zahlreiche Fragen offen, sowohl ganz praktische als auch weitreichende:

  • Muss der Nutzer einzelnen Cookie-Anbietern zustimmen oder können es auch Cookie-Gruppen sein? Und wie muss diese Einwilligung gestaltet sein? Hintergrund: Viele Websites heben auf dem Cookie Consent Panel den Button „Alle Cookies akzeptieren“ hervor.
  • Was ist mit dem „berechtigten Interesse“ laut Art. 6 Abs. 1 der DSGVO? Hintergrund: Dieser Punkt wird in vielen Datenschutzerklärungen als Begründung für weitere Daten-Sammelleidenschaft genannt.
  • Wie lange macht das Katz-und-Maus-Spiel zwischen Plattformen & Advertisern auf der einen Seite und Browser-Anbietern auf der anderen Seite Sinn? So sorgte etwa Facebook für Aufsehen, als der Konzern Werbetreibenden Ende 2018 ermöglichte, ein Third Party Cookie mit dem Facebook Pixel als First Party Cookie zu nutzen. Hier wiederum reagierte Apple mit einem Update der Intelligent Tracking Prevention (ITP) für den Safari-Browser und machte Facebooks Ansatz zunichte.
  • Und vor allem: Wo steuert das Online Marketing, wenn Nutzerdaten zunehmend an Aussagekraft verlieren?