Zurück zur Übersicht
WissenMobileOnline DisplayOnline Video

Data Privacy: Auswirkungen auf die Werbewirtschaft

Was geschieht mit Daten von Webseiten oder Apps, die persönliches Nutzungs- und Bewegungsverhalten genau nachvollziehen können? User können die Datenbearbeitungen zwar selber an- und abstellen, damit sie vor Angriffen Dritter geschützt sind, aber wer ist sich dem bewusst, vor allem bei Informationen, die ohne aktives Wissen des Nutzers gesammelt werden?

Die Diskussion um Daten und deren Schutz ist nicht neu. Es besteht ein Spannungsfeld zwischen den Privatpersonen und der Industrie, die ihre Geschäftsmodelle zunehmend auf Datensammlungen und den daraus gewonnenen Nutzerprofilen stützen. Die Nutzer haben den Überblick darüber verloren, was mit ihren Daten geschieht – es entsteht ein Gefühl des Kontrollverlustes. Aufgrund der weltweiten Vernetzung und leichten Bearbeitungsmöglichkeiten von digitalen Datensätzen entwickelt sich bei den Usern ein Schutzbedürfnis. Die europäischen und schweizerischen Datenschutzrevisionen sind Reaktionen auf die fortschreitende Digitalisierung und den daraus entstandenen Ängsten der Nutzer.

Die neue EU-Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Die Regeln sind mit länderspezifischen Ausnahmen direkt anwendbar. Dies aufgrund des weiten Anwendungsbereichs auch für viele Schweizer Unternehmen, die auch im EU Raum tätig sind. Per 1. Januar 2019 sollen voraussichtlich auch das revidierte Schweizer Datenschutzgesetz (DSG) und per Mitte 2019 die europäische E-Privacy-Verordnung in Kraft treten. Das Schweizerische DSG soll die internationalen Anforderungen weitestgehend übernehmen, damit ein Datenaustausch mit der EU weiterhin gewährleistet ist.

Was bedeuten die neuen Datenschutzregularien für die Werbewirtschaft?

Umfangreiche Informationspflichten (volle Transparenz), zumeist ausdrückliche Einwilligungen mit jederzeitigem Widerrufsrecht und höheres Verantwortungsbewusstsein der für die Bearbeitung verantwortlichen Personen – diese Massnahmen sollen den Datenschutz stärken. Damit werden die Transparenz der Bearbeitung und die Kontrollmöglichkeiten über eigene Daten verbessert.

Für das digitale Marketing, welches heutzutage zunehmend datengetrieben ist, gibt es eine Reihe von Herausforderungen, aber auch Chancen, die zu beachten sind. Grundsätzlich wird der Handlungsspielraum aber erheblich eingeschränkt und es sind aufwändige softwaregetriebene Innovationen notwendig, da der Anwendungsbereich des Datenschutzes stark ausgeweitet wird. Wir haben für Sie die wichtigsten Veränderungen zusammengefasst.

1. Personendaten
In der neuen Datenschutzverordnung gelten als Personendaten alle Informationen, die in irgendeinem Zusammenhang mit einer natürlichen Person stehen, dies auch dann, wenn ein solcher Zusammenhang mit vertretbarem Aufwand erst nachträglich hergestellt werden kann. Im Zweifel reicht es oft auch aus, wenn irgendein Dritter den Betroffenen ermitteln kann. Grundsätzlich ist sodann für jede Bearbeitung von Personendaten eine ausdrückliche Einwilligung des Betroffenen notwendig. Aber: Nach der DSGVO können die Interessen bei Direktwerbung als legitimes Interesse dafür gelten, dass es keiner ausdrücklichen Einwilligung benötigt. Diese Ausnahme wird nun aber mit den derzeitigen Bestimmungen in der von den zuständigen Gremien noch nicht gänzlich verabschiedeten E-Privacy-Verordnung wieder in Frage gestellt.

Die europäische und schweizerische Definition der Personendaten sind nicht identisch und es kann durchaus einen Spielraum dazu geben, der künftig unterschiedliche Interpretationen offen lässt.

2. Profiling
Gemäß den neuen Datenschutzregularien ist unter Profiling folgendes zu verstehen: jede Auswertung von Daten oder Personendaten, um wesentliche persönliche Merkmale einer Person zu analysieren oder Entwicklungen vorherzusagen, insbesondere bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, Intimsphäre oder Mobilität. Unter den Begriff des Profiling fallen im Zeitalter von Big Data auch automatisierte, sprich durch einen Algorithmus oder eine Software veranlasste, Auswertungen von Daten. Die Sammlung der Daten für das Profiling geschieht dabei hauptsächlich im Internet und kann verschiedenen Zwecken dienen. So beispielsweise der Identifikation, Optimierung, Überwachung oder aber auch zur besseren Vermarktung eines Produkts über nutzungsbasierte Werbeauslieferungen.

Gemäß den neuen Regularien kann auch die Auswertung von "anderen", also nicht-personenbezogenen Daten, unter das Profiling fallen. Dies weil eine Auswertung von im Internet gesammelter Daten (beispielsweise auch Cookies) am Schluss oft einen persönlichen Bezug zulassen würde. Diese gegenüber den früheren Datenschutzregularien geplante Ausweitung der Personendaten wird von verschiedenen Branchen scharf kritisiert, da sie letztlich zu einer massiven Ausweitung von ausdrücklichen Einwilligungserfordernissen führen kann. In welchen Fällen in Zukunft automatisierte Auswertungen von im Internet gesammelten Daten eine ausdrückliche Einwilligung erfordern, ist noch nicht gänzlich geklärt. Die aktuellen Entwicklungen im EU-Raum lassen aber befürchten, dass künftig für den Betrieb einer Data-Management-Plattform zur Bildung von Nutzerprofilen eine ausdrückliche Einwilligung des Internetnutzers notwendig sein wird.

3. Anonyme und pseudonyme Daten
Anonyme Daten sind personenbezogene Informationen, die soweit anonymisiert wurden, dass die betroffene Person nicht mehr identifiziert werden kann. Pseudonymisierung ist hingegen die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

4. Ad Blocker
In den neuen Regularien wird die Verwendung von Ad Blockern nicht ausdrücklich geregelt. Aus dem Entwurf der Cookie-Verordnung geht aber hervor, dass der Inhalt der Webseite auch die Werbung auf dieser umfasst. Die Verwendung von Konfigurationsprüfungen durch Publisher, um festzustellen, ob das Gerät des Endnutzers die angeforderten Inhalte nicht empfangen kann, fällt zudem nicht unter eine einwilligungsbedürftige Datenbearbeitung. Der Publisher darf also beim Nutzer anfragen, ob er einen Werbeblocker benutzt und er diesen für die betroffene Webseite abschalten möchte, wenn festgestellt wurde, dass vom Endnutzer nicht alle Inhalte (inkl. Werbung) empfangen werden. Möchte der Nutzer den Werbeblocker aber dennoch nicht abschalten, so scheint es aufgrund des Koppelungsverbots nach den europäischen Regeln nicht ohne weiteres erlaubt, dem Nutzer die Inhalte einfach nicht mehr zugänglich zu machen.

5. Opt-in für Identifier
Für die Verwendung von Cookies und anderen technischen Mitteln zur Nutzererkennung ist grundsätzlich gemäss dem Entwurf der Cookie-Verordnung eine Einwilligung der Nutzer erforderlich. Dies wäre - wie oben bereits erwähnt - nach der DSGVO bei Vorliegen eines legitimen Interesses nicht immer notwendig gewesen. Wird die Cookie Verordnung wie derzeit in den Gremien diskutiert dann auch verabschiedet, bedeutet dies, dass in Zukunft viel mehr Datenverarbeitung einer ausdrücklichen Einwilligung unterliegen und die Online-Marketing-Branche würde erheblich geschwächt.

6. Sanktionen und Strafen
Sowohl in der EU wie auch in der Schweiz sind die Sanktionen für Datenschutzverletzungen stark verschärft worden. Sanktioniert werden kann neu neben der verantwortlichen Stelle auch der Datenschutz-Verarbeiter. Sowohl in der EU wie auch in der Schweiz sind die Strafhöhen für Datenschutzverstöße stark angestiegen: In der EU bis zu 20 Mio. EUR oder 4% des gesamten und weltweiten Jahresumsatzes, in der Schweiz Strafen bis zu CHF 500’000.