Das Ende der Third-Party-Cookies – Was kommt nach der DMP?

Werbetreibende in Europa stehen derzeit vor diversen Herausforderungen. Einmal mehr führt der rasante digitale Wandel sowie der oft sorglose Umgang mit Daten dazu, dass Marketing-Abteilungen liebgewonnene Gewohnheiten über Bord werfen und neue Strategien entwickeln müssen. Die wohl dramatischste Veränderung ergibt sich derzeit im Bereich der Daten Management Plattformen (DMP), von denen viele noch Nutzerdaten Website-übergreifend per Third–Party-Cookies erheben. Sie bilden damit Nutzersegmente unterschiedlichster Kunden bzw. Kaufinteressenten und teilen diese mit ihren Kunden zur gezielten Werbeaussteuerung. Dieser Praxis wird nun in mehrfacher Hinsicht ein Riegel vorgeschoben.

Entstehungsgeschichte und Ausgangssituation

Die Cookie-Urteile vom EuGH am 1. Oktober 2019, vom BGH am 28. Mai 2020 und nun das EuGH-Urteil, das im sog. „Schrems II“ – Verfahren das Privacy Shield, den Nachfolger des bereits 2015 gekippten Safe-Harbor Abkommens, für ungültig erklärte: Anhand dieser Beispiele lässt sich bereits erkennen, in welch dynamischer Rechtssituation digitale Marketers heutzutage versuchen müssen, datenschutz-konformes Online-Marketing möglich zu machen – eine Aufgabe, die nicht einfacher werden dürfte.

Aber eins nach dem anderen: Nachdem wir in der letzten Zeit durch die Rechtsprechungen von EuGH und BGH erlebt haben, dass das Consent Management vor großen Herausforderungen steht und die Verwendung einer Consent Management Plattform (CMP) unerlässlich geworden ist, geht es nach dem „Schrems II“ Urteil auch darum, wie Cookies überhaupt von Website-Anbietern verwendet und in welchen Ländern Daten gespeichert werden dürfen.

Dem EuGH Urteil, das nun das Privacy-Shield zwischen der EU und den USA kippte, ging ein Rechtsstreit zwischen der Facebook-Tochter „Facebook Ireland Limited“ und dem österreichischen Datenschutzaktivist Maximilian Schrems voraus. Dieser Rechtsstreit über die Weitergabe von Nutzerdaten der europäischen Facebook-Tochter an den US-amerikanischen Mutterkonzern führte nicht nur im Jahr 2015 zur Safe-Harbor-Entscheidung, sondern bewirkte nun auch die Ungültigkeit des Privacy Shields zwischen der EU und den USA. Laut dem Urteil können die USA daher im Rahmen der Weitergabe von Nutzerdaten nicht als ein sicheres Drittland angesehen werden, da die Anforderungen an den europäischen Datenschutz nicht ausreichend gegeben sind.

Trotz der Tatsache, dass die Weitergabe personenbezogener Daten von EU-Staaten in die USA und andere Drittstaaten nun als illegal angesehen werden muss, bleiben sogenannte „Standard Contractual Clauses“ (SCC) weiterhin gültig. Zwar berufen sich Datentransfers zwischen EU-Staaten und den USA oft auf solche SCC, dennoch stehen die Unternehmen nach dem Urteil vor der Herausforderung, diese SCC auf die europäische Datenschutzkonformität zu überprüfen: Werden im Zielland trotz der Nutzung von SCCs die Datenschutzregeln der europäischen Union eingehalten? Eine Frage, mit der sich beispielsweise bereits jetzt der irische Datenschutzbeauftragte beschäftigt, indem er die Gültigkeit von Facebooks SSCs anzweifelt. Weitere Fälle dürften in der kommenden Zeit folgen…

Konsequenzen für Website-Betreiber und Data Management Plattformen

Die Prüfung der SCCs auf europäische Datenschutzkonformität wird voraussichtlich nicht einfach, häufig in Einzelfällen geprüft, in weiteren Gerichtsverfahren enden und ist somit für Unternehmen bei der Anwendung mit einem gewissen Risiko verbunden.  Die Tatsache, dass Google als einer der ersten Akteure auf die Anwendung dieser SCCs setzt, zeigt aber, dass es nicht viele Alternativen zu geben scheint.

Viele Datentransfers von Unternehmen in die USA sind durch das Privacy Shield Urteil rechtswidrig geworden. Unternehmen und Digitale Marketers müssen daher umdenken und nach Lösungen suchen. Denn absolute Rechtssicherheit stellen die SCCs bei Weitem nicht dar. Die Situation wird für betroffene Unternehmen mit einem Blick auf das europäische digitale Ökosystem nicht besser. Viele Unternehmen nutzen derzeit Dienstleister wie Google, Amazon, Microsoft, Salesforce, Oracle, Adobe & Co., um Prospect- und Kundendaten zu speichern und zu verarbeiten.

Schaut man sich in diesem Zusammenhang vor allem die Funktionsweise von Data Management Plattformen (DMP) an, lässt sich erkennen, dass DMPs hauptsächlich mit Daten von Drittanbietern, den sog. Third-Party Daten, arbeiten. Diese Art der Datenübermittlung sowie das damit verbundene Speichern, Verarbeiten und Weiterverkaufen von 3rd-Party Daten ist unter DSGVO-Gesichtspunkten höchst fraglich und wird nicht zuletzt durch Rechtsprechungen wie das Privacy Shield Urteil so gut wie unmöglich.

Die datenschutzrechtlichen Konsequenzen für das Geschäftsmodell von DMPs erkennt man bereits jetzt in der Praxis: So haben bspw. Oracle für ihre DMP Bluekai und Salesforce für Krux angekündigt, innerhalb der EU nicht mehr mit Third-Party-Daten zu handeln. Dies folgt mit Sicherheit als Konsequenz aus der 10 Mrd. USD schweren Sammelklage der NGO „Privacy Collective“, die beim Amsterdamer Bezirksgericht aufgrund offenbarer Verstöße gegen die DSGVO eingereicht wurde. Damit endet eine Praxis bei der Nutzerdaten über unterschiedlichste Websites gesammelt und als Profildaten zur personalisierten Nutzeransprache den Oracle-Kunden gegen Gebühr zur Verfügung gestellt wurden.

Schematische Darstellung einer DMP

Auch technologisch wird den DMP-Anbietern das Leben schwer gemacht: Nicht nur durch AdBlocker sondern auch durch die ITP (Intelligent Tracking Prevention) vom Apple-Browser Safari sowie der analogen ETP von Firefox werden 3rd Party Cookies automatisch vom Browser gelöscht. Sogar Google bereitet derzeit mit der Entwicklung der sog. „Privacy Sandbox“ den Ausstieg aus der Nutzung von Third–Party-Cookies vor und sucht somit händeringend nach einem Kompromiss zwischen individuellem Nutzer-Targeting und Datenschutz. Bis 2022 will der US-Konzern komplett auf Third-Party-Cookies verzichten und setzt damit im Gegensatz zu Apple und Mozilla auf eine Übergangsphase, um das eigene Geschäftsmodell entsprechend auf die Änderungen vorbereiten zu können.

Durch das automatische Löschen der Cookies wird die Wiedererkennung der Nutzer über unterschiedliche Domains erheblich erschwert. Dadurch werden DMPs in ihrer Funktion zunehmend eingeschränkt – ein Trend, der gerade mit Blick auf aktuelle Rechtsprechungen andauern dürfte.

Zeit, europäisch zu denken! Wie sollten Marketer in dieser stetig dynamischen Situation handeln?

Natürlich wird im Kontext des Privacy Shield Urteils derzeit auch von amerikanischen Digitalunternehmen die Frage diskutiert, Server-Zentren in Europa auf- und auszubauen, sodass personenbezogene Daten den europäischen Kontinent nicht mehr verlassen müssen. Dies müsste zugleich aber auch von der Politik gefördert werden und kommt als kurzfristige Reaktion auf aktuelle DSGVO-Rechtsprechungen nicht in Frage. Hinzu kommt, dass es die Gesetzeslage in den USA zum Teil zulässt, dass Geheimdienste auch auf Server von US-Unternehmen im Ausland zugreifen dürfen.

Vielmehr müssen sich digitale Marketer nun die Frage nach integrierten europäischen Customer Data Plattform – Lösungen stellen, um somit zum einen den Fokus auf First-Party und Zero-Party Daten zu legen und zum anderen europäische Lösungsansätze in Betracht zu ziehen.

Integrierte CDP-Lösungen zielen darauf ab, nur Daten zu speichern und zu verarbeiten, für die die User eine explizite Einwilligung (explizites Opt-in) gegeben haben. Daher lässt sich eine datenschutzkonforme CDP in Unternehmen heutzutage nur mit einer Integration einer professionellen Consent Management Plattform (CMP) umsetzen. Der CDP-CMP – Lösungsansatz sorgt nicht nur dafür, die Consent-Einholung mithilfe der CMP datenschutzkonform zu gestalten, sondern gibt ebenfalls die Möglichkeit, Datensätze aus der CDP automatisiert zu begrenzen bzw. zu löschen, sollte sich die Einwilligungserklärung des Users ändern. Der User eines DSGVO-konformen Publishers muss also bspw. die Möglichkeit haben, für die Verwendung seiner Daten durch Google eine Einwilligung zu geben, durch Facebook aber nicht.

Bei Verwendung des CDP-CMP Ansatzes geht es sowohl um die Interessen der User, als auch um die Interessen des Unternehmens und seiner Marketers: Natürlich müssen sich die Unternehmen damit beschäftigen, wie sie das eigene Consent-Management stetig optimieren, um die First-Party Datenbank zu füllen und somit digitales Marketing überhaupt noch möglich zu machen. Wenn die Interaktion zwischen CMP und CDP schließlich noch dafür sorgt, dass individuelle Datenschutzpräferenzen der User automatisiert umgesetzt werden, lassen sich vor allem bei der Wahl europäischer CDPs und CMPs die Themen Datenschutz und Digitales Marketing auch heute noch miteinander verbinden.

Commanders Act als europäischer Anbieter einer integrierten CDP-CMP mit europäischer Daten-Infrastruktur ist hier zukunftsweisend für Marketing-Verantwortliche.

Fazit

Die aktuelle Rechtsprechung in Datenschutzfragen hebt die große Bedeutung einer dringend notwendigen europäischen digitalen Souveränität hervor. Mit Standardvertragsklauseln (SCC) und wichtigen Frameworks wie das IAB-TCF 2.0 lässt sich zwar eine gewisse Risikominimierung betreiben, dennoch sollten sich Marketers die Frage stellen, wie sich Digitale Marketingstrategien insbesondere bei der Partnerauswahl europäisieren lassen.

Mit unserer CDP-CMP Lösung hilft Commanders Act als europäisch führendes Unternehmen seinen Kunden bei der Umsetzung eines datenschutzkonformen Consent- und Datenmanagements. Kontaktieren Sie uns gerne jederzeit, wenn Sie Fragen zu unserer Customer Data Plattform sowie unserer Consent Management Lösung, dem TrustCommander, haben.

Kontakt

Timo von Focht
Country Manager DACH | Commanders Act
[email protected]
+49 (0) 89 741 20345