Zurück zur Übersicht
WissenMobileOnline DisplayOnline Video

Werben in Zeiten der DSGVO

Seit Inkrafttreten der DSGVO am 25. Mai 2018 sind Datenströme nicht mehr gleich nutzbar wie zuvor. Vor allem die amerikanischen Player unterscheiden beispielsweise nicht zwischen EU und der Schweiz: Europa ist Europa und die Affäre ist so manchen zu heiss. Daher haben einige Publisher (personalisierte) Werbung sogar komplett eingestellt. Keine Werbung ist aber auch nicht die Lösung, neue Ansätze sind gefragt. Doch eins nach dem anderen: Was genau hat sich dann nun geändert?

Neu ist, dass ab sofort alle digitale Identifier als personenbezogene Daten gelten, also nicht mehr nur Namen oder Telefonnummern, sondern auch beispielsweise Cookie-IDs, IP-Adressen oder User-IDs. Das heisst, auch alle im Online Marketing verwendeten Identifier fallen unter die DSGVO. Zudem muss die Einhaltung der Prinzipien nach Art. 5 (2) der Rechtmässigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Vertraulichkeit und Rechenschaftspflicht nachgewiesen werden. Dies zieht für Unternehmen einen enormen zusätzlichen Compliance-Aufwand mit sich.

Mit der neuen DSGVO hat der User ein Recht auf Auskunft, Berichtigung und Löschung seiner Daten und kann von diesem jederzeit Gebrauch machen. Diese Dokumentation muss daher operativ möglich gemacht werden. Zum Beispiel bei GPS-Informationen, bei medizinischen Daten oder beim Sammeln einer gesamten Einkaufshistorie muss der User einsehen können, welche Folgen die Datensammlung für ihn haben könnte und was mit seinen Daten geschieht. Infolgedessen müssen die AGBs sowie die verschiedenen Verträge zwischen den Marktteilnehmern überprüft und angepasst werden. Dieser Prozess ist noch im Fluss. Im gleichen Zug werden Nutzer zunehmend mit intransparenten Cookie-Bannern und Einwilligungen konfrontiert, Open Auction verliert massiv, Walled Gardens nehmen zu und individuelles White/Blacklisting von Technologiepartnern wird betrieben.

Mehr Transparenz dank Consent?

Bezüglich Transparenz ist Consent das aktuelle Stichwort, sprich die Einwilligung des Nutzers, dass seine Daten gesammelt werden dürfen. Bei Consent handelt es sich nicht nur um den Schutz von Daten, sondern viel mehr um Schutz von Personen und Personenrechte. Consent-Management-Plattformen könnten eine Lösung für die Transparenz bieten, bedeuten aber zusätzliche Mehrkosten. Die aktive Einwilligung der Nutzer würde zudem einen beachtlichen Impact auf die gesamte User-Experience mit sich bringen. Unternehmungen sind aktuell noch in der Planung, wie man mit Consent umgehen soll. Eines ist aber bereits jetzt klar: Consent macht eigentlich nur mit Log-In wirklich Sinn, alles andere ist extrem schwierig.

Aktuell heiss diskutiert ist zudem das Thema des berechtigten Interesses. Das berechtigte Interesse besagt, dass eine Datenverarbeitung ohne Einwilligung erlaubt ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz der personenbezogenen Daten erfordern, überwiegen. Dies gilt insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Das Einholen einer Einwilligung wird aber nach dem aktuellen Entwurf der E-Privacy-Richtlinie ab 2019/20 sowieso notwendig sein.

Harte Sanktionen: Wer haftet?


Was ebenfalls feststeht sind die um einiges härteren Sanktionen. Diejenigen, die die neue Verordnung nicht einhalten, erwarten hohe Bussen: Bis 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes für kleinere Verstosse, z.B. Datenschutzerklärungen, fehlende Verzeichnisse usw. Bis 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes bei Verstössen gegen die obengenannten Prinzipien, z.B. Zweckbindung. Der höhere Betrag ist jeweils massgebend. Wer sanktioniert wird, wird mit einem Blick auf die rechtlichen Rollen ersichtlich.
Rechtlich gesehen, nehmen die verschiedenen Marktteilnehmer unterschiedliche Positionen ein: Joint Controller, Controller oder Processor.


Beim Joint Controller sind Publisher und Vermarkter gemeinsam haftbar. Sie müssen sich zudem gegenseitig informieren. Die Dienstleister (Processoren) führen hingegen nur noch aus, was der Controller erlaubt. Je nach Konstrukt kann es sich somit beim Controller um den Joint von Publisher und Vermarkter, dem Zweitvermarkter oder die Agentur handeln. Wenn zu einem früheren Zeitpunkt alle Controller sein wollten, um die Kontrolle zu behalten, ist nach der DSGVO eher die Processor-Rolle beliebt, die von den Sanktionen nicht betroffen ist. Vorteile dieser Struktur sind die klare Definition der Rollen sowie die Verteilung der Verantwortung und Haftung. Noch offen ist hingegen die Definition des Controller-Controller-Verhältnisses. Hier gehen die Meinungen der Agenturen auseinander, da die Rahmenbedingungen noch klar definiert werden müssen.

Muss sich die Werbebranche nun komplett neu erfinden?

Aktuell befindet sich die Branche noch in einer Umbruch- und Übergangsphase, täglich finden sich neue Wege und Interpretationen, wie in Zukunft mit der DSGVO umzugehen ist. Beispiel Österreich und Deutschland: Im österreichischen Telemedien-Gesetz werden Cookies als personenbezogenes Datum schärfer reguliert. Mit der DSGVO wird daher die Notwendigkeit des Opt-ins für Österreich angenommen. In Deutschland steht hingegen das berechtigte Interesse der Website im Vordergrund, das heisst, dass die Website sich über Werbung finanzieren kann. Ein Opt out wird hier als ausreichend angesehen.

Doch wo ein Wille ist, ist auch ein Weg: Nun ist die Zeit der neuen Lösungsansätze. So bieten beispielsweise Machine Learning und das kontextuelle Targeting bereits heute Alternativen. Hier steht nämlich nicht mehr der User im Zentrum, sondern das Umfeld in dem er sich bewegt. Es ist also wie so oft: Nicht alles ist schlechter, nur anders.

Autorin: Senta von Dach
Referenten: Patrick von der Gönna (Freier Berater zu Datenschutz in Unternehmen wie der RTL-Gruppe, Zalando, Ringier) & Christian Rakowski (Data Architect, Goldbach Digital Services AG)

Zurück zur Übersicht