Warum sich die Zustimmung zu einem Marketing-Faktor entwickelt

04. Februar 2020 | 330 0

Aufruhr an der Gesetzesfront

 

DSGVO: Willkommen in Phase 2

Manch einer war sich sicher, dass die Diskussion um die DSGVO (Datenschutz-Grundverordnung) längst der Vergangenheit angehört. Dass die DSGVO ein abgeschlossenes Thema ist, auch wenn sie eine Zeit lang Gesprächsthema Nummer eins gewesen ist. Und das aus gutem Grund: Für Unternehmen in der Europäischen Union (EU) – bzw. für Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten – war das Inkrafttreten der DSGVO am 25. Mai 2018 ein Schlüsselereignis. Eines dieser Ereignisse, die die Welt in ein vorher und nachher unterteilen. Denn mit der DSGVO wurde eine ganze Reihe Neuerungen in Form verstärkter oder zusätzlicher Rechte eingeführt: das Recht auf Einsicht und Berichtigung, das Recht auf Vergessenwerden, das Recht auf Datenübertragbarkeit und, nicht zu vergessen, die Zustimmung. Nicht zu vergessen… oder fast.

In digitaler Hinsicht haben die Unternehmen ihre Banner und Zustimmungsfenster anlässlich des 25. Mai 2018 natürlich entsprechend überarbeitet, dennoch ist das Verfahren immer noch ziemlich weit von den Grundprinzipien der DSGVO entfernt. Und das aus einem einfachen Grund: Die Lücken im Gesetzestext und insbesondere die Unklarheiten in Bezug auf die konkrete Umsetzung der DSGVO haben es zahlreichen Unternehmen beispielsweise ermöglicht, sich auf einen „Soft Consent“ zu beschränken. Das ist als eine Zustimmung zu verstehen, die nicht auf einer expliziten Aktion seitens des Websitebesuchers beruht – z. B. wenn das Fortsetzen der Navigation implizit Zustimmung bedeutet. Diese Taktik wird seit dem „Planet49“-Urteil des Europäischen Gerichtshofs vom 1. Oktober 2019 nicht mehr akzeptiert.

Gemäß der DSGVO unterliegt die Verwendung von Cookies oder die Aktivierung jeder anderen Art von Tracking-Mechanismus nunmehr der Einholung einer Zustimmung, die freiwillig, spezifisch, informiert und eindeutig sein muss. Eine Bestätigung durch einfaches Fortsetzen der Navigation gehört dadurch der Vergangenheit an, ebenso wie die im Vorfeld angekreuzten Kästchen „Ich stimme zu“. Bis Juli 2020 muss dem Websitebesucher eine ausgewogene und informierte Auswahl bereitgestellt werden, damit er ganz einfach seine Zustimmung geben oder verweigern kann. Was bedeutet das für den Erhalt der Zustimmung? Prognosen diesbezüglich lassen sich nur schwer aufstellen, da gemäß der 2. Ausgabe des Privacy-Barometers von Commanders Act bisher nur 37 % aller Zustimmungen explizit eingeholt wurden. Eines jedoch lässt sich jetzt schon mit Sicherheit sagen: Diese neue Art der „Präsentation“ der Zustimmung wird den Websitebesuchern wesentlich mehr Gelegenheit zum Nachdenken geben…

CCPA: Wenn Kalifornien die Zustimmung gesetzlich regelt

Europa hat mit der DSGVO lautstark den Ton angegeben, ist aber bei weitem nicht allein, wenn es um Maßnahmen zum Schutz personenbezogener Daten geht. Der US-Bundesstaat Kalifornien hat mit seinem „California Consumer Privacy Act“ (CCPA) die Diskussion in den USA eröffnet. Ein Gesetzestext, der seit seiner Verabschiedung im Juni 2018 zehn andere Staaten inspiriert hat und sogar auf Landesebene einen Anstoß geben könnte. Was den CCPA selbst betrifft, so ist dessen Anwendungsbereich begrenzter als der der DSGVO, und das aus mehreren Gründen:

  • Der CCPA beschränkt sich auf die Rechte der kalifornischen Verbraucher, während die DSGVO die Bürger Europas schützt.
  • Auch wenn der CCPA einige Rechte gewährt (Einsicht, Datenübertragbarkeit, Vergessenwerden), so beruht er nach wie vor auf dem Opt-out.
  • Er betrifft Unternehmen, die einer Geschäftsaktivität im Bundesstaat nachgehen und eine der folgenden Voraussetzungen erfüllen: ihr Jahreseinkommen überschreitet 20 Millionen Dollar, sie kaufen oder verkaufen personenbezogene Daten von mindestens 50 000 Verbrauchern, über 50 % ihres Jahreseinkommens gehen auf den Verkauf personenbezogener Daten von Verbrauchern zurück.
  • Die Bußgelder letztendlich sind auf 7 500 Dollar pro festgestelltem Verstoß festgelegt – nur zur Erinnerung: mit der DSGVO können die Strafzahlungen 4 % des Umsatzes erreichen.

Der CCPA, der voraussichtlich 2020 in Kraft treten soll, ist somit keine „US-amerikanische Version der DSGVO“. Er nimmt nur sehr begrenzt auf das Konzept der Zustimmung Bezug und macht diese übrigens nicht zu einer Voraussetzung für die Erhebung personenbezogener Daten. Allerdings gibt der kalifornische Gesetzestext ganz im Sinne der DSGVO ein Prinzip der Transparenz sowie Meilensteine vor, die immerhin die fünftgrößte Wirtschaftsmacht der Welt betreffen. Mit diesem Gesetz werden sich auch die Praktiken der großen Unternehmen in der Digitalwirtschaft ändern.

China: Die andere Auffassung personenbezogener Daten

In diesem Zusammenhang ist es undenkbar, nicht die Position Chinas anzusprechen. Einerseits, weil das Land 1,4 Milliarden Einwohner zählt. Andererseits, weil sein digitales Ökosystem sich in voller Entwicklung befindet und zahlreiche Akteure aus dem Ausland anzieht. Zwar hat China im Lauf der Zeit verschiedene Maßnahmen zum Schutz personenbezogener Daten ergriffen, diese galten jedoch weitgehend für Sonderfälle (Telekommunikationsfirmen, öffentliche Einrichtungen usw.).

Seit dem 1. Juni 2017 hat sich die Situation allerdings geändert, nämlich mit Inkrafttreten eines Gesetzes zur Cybersicherheit für die Volksrepublik China. Die 79 Gesetzesartikel weisen einige Gemeinsamkeiten mit der DSGVO auf, da sie auf die Verpflichtung zur Veröffentlichung der Regeln für die Erhebung und Verwendung von Daten verweisen – von Regeln, die genau die angestrebten Ziele ausweisen müssen.

Darüber hinaus regelt das Gesetz auch die Speicherung personenbezogener Daten sowie deren Übertragung außerhalb der chinesischen Landesgrenzen. Da sich die Anforderungen in Bezug auf digitale Souveränität und Schutz personenbezogener Daten überlappen, schreibt der Gesetzestext das Prinzip der ausdrücklichen Information der von der Datenerhebung betroffenen Personen fest. Somit erweisen sich die bewährten europäischen Verfahren wohl auch für China als relevant.

Eine brandaktuelle, grenzübergreifende Debatte

Nicht nur DSGVO und CCPA haben einige Aufmerksamkeit erregt, der Schutz personenbezogener Daten sorgt weltweit für Aufruhr. Kanada plant die Überarbeitung seines Personal Information Protection and Electronic Documents Act und will diesen an die europäische DSGVO anpassen. Indien legt gerade letzte Hand an seine Personal Data Protection Bill an, Großbritannien hat seine Guidance on the Use of Cookies and Similar Technologies zur Regelung der Verwendung von Cookies veröffentlicht…

Diese bei weitem nicht vollständige Liste bekräftigt, dass personenbezogene Daten weltweit immer mehr als sensibles Material eingestuft werden, für dessen Erhebung und Verwendung ein rechtlicher Rahmen erforderlich ist. Eine noch in der Entwicklung befindliche Landschaft, in der die Marken lernen müssen, Vertrauen zu schaffen und zu pflegen.

Cookies: Eine ungesunde Spannung

Von Europa bis China über die USA ist die Verwaltung der Zustimmung somit nunmehr geregelt – oder auf dem besten Weg dahin. Dieses regulatorische Umfeld wird unweigerlich dazu führen, dass die Benutzer dem Wert ihrer Zustimmung größere Bedeutung beimessen. Das ist jedoch nicht die einzige im Wandel begriffene Variable, der die Marketingleiter Rechnung tragen müssen. Auch der technische Kontext kann mit einigen Neuerungen aufwarten…

ITP 2.2: Apple verstärkt den Druck…

Apple sieht sich als Champion beim Schutz personenbezogener Daten und gab bereits 2017 mit seiner ersten Version der „Intelligent Tracking Prevention“ den Ton an. Dieser in den Safari-Browser integrierte Mechanismus zur Filterung von Cookies hat sich seither um einiges erhärtet. Das Ergebnis? Die erste Version reduzierte den Lebenszyklus von Third-Party-Cookies noch auf eine Dauer von 24 Stunden, die Folgeversionen haben sie nahezu ausgerottet. Zur Erinnerung: Ein Third-Party-Cookie ist mit einer anderen Domain verknüpft als die besuchte Website. Folglich ermöglicht ein derartiger Cookie die Nachverfolgung der Journey eines Besuchers von Website zu Website. Ohne diese Cookies artet die Verwaltung von Programmatic und Retargeting damit in reine Spekulation aus. Das hat dazu geführt, dass manche kurzerhand Safari aus ihren Kampagnen verbannt haben.

Die neueste Version (2.2) von ITP geht noch einen Schritt weiter und nimmt First-Party-Cookies ins Visier, d. h. diejenigen Cookies, die direkt mit einer Website verknüpft sind. Das Verfahren peilt im Grunde einen ganz bestimmten Typ von First-Party-Cookies an, der mitunter zur Umgehung der für Third-Party-Cookies geltenden Beschränkungen eingesetzt wird. Mit ITP 2.2 können diese Cookies nur noch 24 Stunden nachverfolgt werden. Und das ist (viel) zu kurz, um eine Customer Journey zu erstellen, insbesondere im Hinblick auf eine direkte Zuordnung. Eine nicht zu vernachlässigende Entwicklung angesichts der Tatsache, dass dieser Browser einen Anteil von etwa 30 % am Mobilmarkt hält.


Phoenix von Commanders Act – Oder wie sich das Leben von Cookies in Safari verlängern lässt

Das Löschen der First-Party-Cookies in Safari nach 24 Stunden führt Marketers in eine regelrechte Sackgasse. Ein Beispiel für die Folgen: Ein Tool wie Google Analytics ist dadurch nicht mehr in der Lage, 2 Sitzungen desselben Nutzers in Verbindung zueinander zu bringen, wenn diese mehr als 24 Stunden auseinander liegen. Das ist ein Problem… Aus genau diesem Grund integriert Commanders Act seit Oktober 2019 in seinen TMS TagCommander das Phoenix-Modul. Diese Technologie ermöglicht die Ablage der Cookies auf einem Cookie-Server, um sie über die 24-Stunden-Hürde hinaus aufzubewahren – in der Praxis bis zu 13 Monate. In Verbindung mit dem TrustCommander, der CMP von Commanders Act, erspart Phoenix den Internetnutzern eine (nur allzu) bekannte Unannehmlichkeit: bei jeder einzelnen Sitzung zur Zustimmung aufgefordert zu werden, da der Cookie einer CMP mit großer Wahrscheinlichkeit in der Zwischenzeit von Safari gelöscht wurde…


Und auch Firefox mischt mit

Mit der Version 76 führt Firefox die Funktion Enhanced Tracking Protection (ETP) ein. Angepeilt werden Third-Party-Cookies, die dieser Mechanismus folglich blockiert. Allerdings sei darauf hingewiesen, dass Facebook diesbezüglich eine Sonderbehandlung zuteilwird, da Firefox das soziale Netzwerk am Tracking der Internetnutzer über die Schaltflächen „Teilen“ und „Gefällt mir“ auf seiner Website hindert.

Chrome: Die große Unbekannte

Und welche Rolle spielt Chrome bei all dem? Angesichts des Marktanteils des Google-Navigators wird die Antwort mit einiger Unruhe erwartet. Eine Gewissheit: Das Unternehmen arbeitet an einem „Privacy Framework“, von dem es diesen Sommer einen ersten Entwurf veröffentlicht hat. Ein Dokument, das sich als Vorschlag präsentiert und die allgemeine Diskussion anregen soll, das aber gleichzeitig ein Bild des Google von morgen zeichnet – als weltweiter Hub für die Zustimmungseinholung. Das ist eindeutig Grund zur Besorgnis. Das Unternehmen arbeitet heute bereits an der Verwaltung der Nutzerpräferenzen und hat diese in der letzten Version von Chrome wesentlich leichter zugänglich und verständlich gemacht.

Kernpunkte

Was ist das Fazit der neuen Regelungsrahmen und technischen Einschränkungen, die sich zunehmend vermehren?

  • Für die meisten Unternehmen ist die Online-Einholung der Zustimmung nach wie vor die reinste Baustelle. Die Sicherstellung der Konformität mit den neuen Empfehlungen der CNIL bis Juli 2020 wird eine grundlegende Überarbeitung der Einholungsmodalitäten erforderlich machen.
  • Angesichts der technischen Einschränkungen, die den Aktionsradius der Cookies erheblich eingrenzen, wird im Zusammenhang mit der Zustimmung herauszufinden sein, wie sich ein ausreichend qualitativer und damit auswertbarer Datenfluss aufrechterhalten lässt.
  • Ganz allgemein setzt sich die Gewissheit durch, dass die Verwaltung der Zustimmungen von den Marketingabteilungen nicht mehr einfach an die Rechts- und IT-Teams delegiert werden kann, sondern als eigenständiger Pfeiler einer Marketingstrategie zu handhaben ist.
Bleiben Sie regelmäßig über alle Neuigkeiten und Events von Commanders Act informiert und abonnieren Sie unseren Newsletter!