Im Mai 2018 tritt GDPR in Kraft. Dadurch ergeben sich einschneidende Veränderungen für die Online-Branche. Wir zeigen, wie diese aussehen und erläutern, welche Anpassungen notwendig sein werden.
1. Was ist die neue ePrivacy Verordnung?
Die ePrivacy Verordnung spezifiziert die Europäische Datenschutzgrundverordnung (EU-DSGVO) (bzw. im englischen Original die General Data Protection Regulation – GDPR) im Hinblick auf Vorgaben für datenschutzfreundliche Software-Technik. Sie soll die bisher geltende E-Privacy-Richtlinie (2002/58/EG) und die ergänzende Cookie-Richtlinie (2009/136/EG) ablösen. GDPR wird am 25. Mai 2018 in Kraft treten.
Ursprünglich war dies auch so für die ePrivacy Verordnung geplant. Hier stehen jedoch Verzögerungen im Raum, die unter anderem auch dem aktuellen Regierungsbildungsprozess in Deutschland geschuldet sind. Bis zur endgültigen Inkraftsetzung, die außer Zweifel steht, werden aktuelle, bereits ratifizierte Vorschriften und Gesetze (BDSG, TMG, StGB und natürlich ab Mai die DSGVO) die Brücke schlagen.
Der bisherige Entwurf der ePrivacy Verordnung der EU-Kommission muss noch noch vom europäischen Parlament und dem Europäischen Rat abgesegnet werden.
2. Warum ist die neue ePrivacy Verordnung notwendig?
Eine Verordnung gilt unmittelbar in allen EU-Mitgliedsstaaten. Im Gegensatz zu einer Richtlinie muss sie nicht in national geltendes Recht übertragen werden. Damit wird sichergestellt, dass in den Mitgliedsstaaten nicht mehr unterschiedliche Vorgaben gelten. Bisher war beispielsweise der Umgang mit Cookies, d.h. kleine Textdateien, welche auf dem Computer des Nutzers abgelegt werden und dazu dienen, ihn später wiederzuerkennen, innerhalb Europas sehr unterschiedlich geregelt. So ist bis jetzt in Deutschland aufgrund des Telemediengesetzes der Einsatz von Cookies auch ohne aktive Zustimmung des Nutzers erlaubt (Opt-out-Regelung). In vielen anderen Mitgliedsstaaten wird eine aktive Einverständniserklärung vor dem Einsatz von Cookies erfordert (Opt-in-Regelung).
3. Was ist der Zweck der ePrivacy Verordnung?
Die ePrivacy Verordnung sieht Neuregelungen zum Schutz der Verbraucher und ihrer Daten im Netz vor. So sollen beispielsweise Regeln für den Umgang mit Cookies vereinfacht und die Datensicherheit für Kommunikationsdienste wie WhatsApp ausgeweitet werden. Ziel ist es, europaweit die Vertraulichkeit in der elektronischen Kommunikation sicherzustellen und den Umgang mit personenbezogenen Daten im Online-Bereich zu regeln.
4. Wie verändert die ePrivacy Verordnung den Umgang mit Cookies?
Gemäß der neuen ePrivacy Verordnung dürfen von nun an nur noch Cookies, welche keine Auswirkungen auf die Privatsphäre des Nutzers haben, ohne Einwilligung gesetzt werden. Dazu zählen beispielsweise Cookies, die dafür genutzt werden, die Besucheranzahl einer Website zu analysieren. Cookies, welche die Privatsphäre der User betreffen und beispielsweise für die Wiedererkennung der Nutzer eingesetzt werden (Retargeting), bedürfen künftig der ausdrücklichen Zustimmung durch den Nutzer („unambiguous consent“).
Der Nutzer soll zukünftig seine Zustimmung zu bzw. Ablehnung von Cookies durch allgemeine Voreinstellungen im Browser treffen können. Damit wird der Browser quasi zu einer Art „Super-Cookie“, der alle anderen Cookies verwaltet. Jeder Browser muss einen Do-Not-Track-Mechanismus implementieren und in der Lage sein, Cookies von direkt besuchten Websites zu akzeptieren, jedoch Cookies von Drittanbietern („Third Party Cookies“) blockieren zu können. Werbetreibende dürfen diesen Do-Not-Track-Mechanismus dann nicht mehr wie bisher ignorieren. Dafür werden die heutzutage so gern genutzten Cookie-Hinweis-Banner, obsolet. Apple hat jüngst angekündigt, für seinen Safari-Browser eben solch eine Tracking-Unterdrückung von Third Party Cookies einzubauen.
5. Was sind die größten Herausforderungen der ePrivacy Verordnung?
Darüber hinaus soll es Nutzern ermöglicht werden, eine erteilte Einwilligung alle sechs Monate zu widerrufen („Recht auf Vergessenwerden“). Dies hat enorme Auswirkungen auf die Informationsstrukturen aller Unternehmen. Datenbanken müssen so angelegt werden, dass jederzeit gezielt einzelne Datensätze gelöscht werden können. Und zwar nicht nur aus dem aktuellen Bestand, sondern auch aus allen Backups. Wohl eine der größten Herausforderungen für Unternehmen…
Mit der neuen ePrivacy Verordnung will die EU-Kommission außerdem Website-Betreibern ausdrücklich erlauben, zu überprüfen, ob User einen AdBlocker nutzen, um ihnen dann gegebenenfalls den Zugang zu ihrem Angebot zu verhindern. Inwiefern diese Regelung rechtlich erlaubt ist, ist allerdings bislang noch höchst umstritten.
6. Was passiert bei einem Verstoß gegen die ePrivacy Verordnung?
Wird gegen Regelungen aus der neuen ePrivacy Verordnung verstoßen, droht zukünftig ein hohes Bußgeld. Die Höchstbeträge entsprechen denen aus der GDPR und betragen je Verstoß bis zu vier Prozent des weltweiten Vorjahresumsatzes bzw. bis zu 20 Millionen Euro.
7. Was bedeutet die neue ePrivacy Verordnung für das Online-Marketing und den Online-Advertising Markt?
Tritt die ePrivacy Verordnung bereits in zehn Monaten in geplanter Form in Kraft, steht der Online-Werbemarkt in seiner heutigen Form vor einer existenziellen Bedrohung. Third Party Cookies gehören zum täglichen 1×1 des Online-Marketings – ohne sie sind Werbeformen wie Retargeting undenkbar. Damit ist eine Finanzierung von Websites, die auf Third Party Cookies setzen, quasi ausgeschlossen.
Um jedoch nicht gegen die ePrivacy Verordnung zu verstoßen und Nutzer nicht bei jedem Banner fragen zu müssen, ob er das Werbemittel wirklich sehen möchte [Ganz ehrlich: Wer von uns würde da auf „OK, Cookies akzeptieren“ klicken?], sind neue Werbeformen unumgänglich. An erster Stelle steht dabei das kontextuelle Targeting bzw. das semantische Targeting. Da jeweils nur der Inhalt sowie die Stimmung des vom Nutzer aktuell konsumierten Contents mit den Inhalten der Werbebanner verglichen werden, sind keine Cookies für die Auslieferung des Ads sowie keine personenbezogenen Daten bzw. Identitäten notwendig. Content, der in der Vergangenheit konsumiert wurde, ist beim kontextuellen Targeting vollkommen irrelevant. Es werden allein über aktuell betrachtete Inhalte gegenwärtige Interessenslagen identifiziert. Auch unser kontextuelles Targeting, d.h. unser Smart Relevance Advertising, hat demnach überhaupt kein Problem mit der ePrivacy Verordnung.
Wer sich noch detaillierter mit der ePrivacy Verordnung beschäftigen möchte, findet hier den vollständigen Gesetzestext in deutsch bzw. in englisch.
Bildquelle: tbtb / Depositphotos.com
Möchten Sie mehr zum Thema SRA erfahren?
Dann kontaktieren Sie uns! Wir senden Ihnen gern detaillierte Informationen zu Cognitive Targeting und dessen Vorteilen gegenüber klassischen Targetingverfahren.