print logo

Die Zukunft des digitalen Marketing ist ungewiss

Werbetreibende in Europa stehen derzeit vor Herausforderungen. Der Praxis wird gerade in mehrfacher Hinsicht ein Riegel vorgeschoben.
Timo von Focht | 18.12.2020
Die Zukunft des digitalen Marketing ist ungewiss © Fotolia
 

Werbetreibende in Europa stehen derzeit vor diversen Herausforderungen. Einmal mehr führen der rasante digitale Wandel sowie der oft sorglose Umgang mit Daten dazu, dass Marketingabteilungen liebgewonnene Gewohnheiten über Bord werfen und neue Strategien entwickeln müssen. Die wohl dramatischste Veränderung ergibt sich derzeit im Bereich der Daten-Management-Plattformen (DMP): Über sie erheben Unternehmen Nutzerdaten Website-übergreifend per Third-Party-Cookies, bilden Nutzersegmente unterschiedlichster Kunden beziehungsweise Kaufinteressenten und teilen diese mit ihren Kunden zur gezielten Werbeaussteuerung. Dieser Praxis wird nun in mehrfacher Hinsicht ein Riegel vorgeschoben.

Entstehungsgeschichte und Ausgangssituation

Ob das Cookie-Urteil vom EuGH am 1. Oktober 2019, vom BGH am 28. Mai 2020 oder das EuGH-Urteil, das im sog. „Schrems II“ – Verfahren das Privacy Shield, den Nachfolger des bereits 2015 gekippten Safe-Harbor Abkommens, für ungültig erklärte: Sie alle zeigen, in welch dynamischer Rechtssituation digitale Marketers heutzutage versuchen müssen, datenschutzkonformes Online-Marketing möglich zu machen – eine Aufgabe, die nicht einfacher werden dürfte.

Aber eins nach dem anderen: Nachdem wir in der letzten Zeit durch die Rechtsprechungen von EuGH und BGH erlebt haben, dass das Consent Management vor großen Herausforderungen steht und die Verwendung einer Consent-Management-Plattform (CMP) unerlässlich geworden ist, geht es nach dem „Schrems II“ Urteil auch darum, wie Cookies überhaupt von Website-Anbietern verwendet und in welchen Ländern Daten gespeichert werden dürfen.

Dem EuGH-Urteil, das nun das Privacy Shield zwischen der EU und den USA kippte, ging ein Rechtsstreit zwischen der Facebook-Tochter „Facebook Ireland Limited“ und dem österreichischen Datenschutzaktivisten Maximilian Schrems voraus. Dieser Rechtsstreit über die Weitergabe von Nutzerdaten der europäischen Facebook-Tochter an den US-amerikanischen Mutterkonzern führte nicht nur im Jahr 2015 zur Safe-Harbor-Entscheidung, sondern bewirkte nun auch die Ungültigkeit des Privacy Shields zwischen der EU und den USA. Laut dem Urteil können die USA daher im Rahmen der Weitergabe von Nutzerdaten nicht als ein sicheres Drittland angesehen werden, da die Anforderungen an den europäischen Datenschutz nicht ausreichend gegeben sind.

Trotz der Tatsache, dass die Weitergabe personenbezogener Daten von EU-Staaten in die USA und andere Drittstaaten nun als illegal angesehen werden muss, bleiben sogenannte „Standard Contractual Clauses“ (SCC) weiterhin gültig. Zwar berufen sich Datentransfers zwischen EU-Staaten und den USA oft auf solche SCC, dennoch stehen die Unternehmen nach dem Urteil vor der Herausforderung, diese SCC auf die europäische Datenschutzkonformität zu überprüfen: Werden im Zielland trotz der Nutzung von SCCs die Datenschutzregeln der europäischen Union eingehalten? Eine Frage, mit der sich beispielsweise bereits jetzt der irische Datenschutzbeauftragte beschäftigt, indem er die Gültigkeit von Facebooks SSCs anzweifelt. Weitere Fälle dürften in der kommenden Zeit folgen.

Konsequenzen für Website-Betreiber und Data-Management-Plattformen

Die Prüfung der SCCs auf europäische Datenschutzkonformität wird voraussichtlich nicht einfach, häufig in Einzelfällen geprüft, in weiteren Gerichtsverfahren enden und ist somit für Unternehmen bei der Anwendung mit einem gewissen Risiko verbunden. Die Tatsache, dass Google als einer der ersten Akteure auf die Anwendung dieser SCCs setzt, zeigt aber, dass es nicht viele Alternativen zu geben scheint.

Viele Datentransfers von Unternehmen in die USA sind durch das Privacy-Shield-Urteil rechtswidrig geworden. Unternehmen und digitale Marketers müssen daher umdenken und nach Lösungen suchen. Denn absolute Rechtssicherheit stellen die SCCs bei Weitem nicht dar. Die Situation wird für betroffene Unternehmen mit einem Blick auf das europäische digitale Ökosystem nicht besser. Viele Unternehmen nutzen derzeit Dienstleister wie Google, Amazon, Microsoft, Salesforce, Oracle, Adobe & Co., um Prospect- und Kundendaten zu speichern und zu verarbeiten.

Schaut man sich in diesem Zusammenhang vor allem die Funktionsweise von Data-Management-Plattformen (DMP) an, lässt sich erkennen, dass DMPs hauptsächlich mit Daten von Drittanbietern, den sogenannten Third-Party-Daten, arbeiten. Diese Art der Datenübermittlung sowie das damit verbundene Speichern, Verarbeiten und Weiterverkaufen von Third-Party-Daten ist unter DSGVO-Gesichtspunkten höchst fraglich und wird nicht zuletzt durch Rechtsprechungen wie das Privacy-Shield-Urteil so gut wie unmöglich.

Die datenschutzrechtlichen Konsequenzen für das Geschäftsmodell von DMPs erkennt man bereits jetzt in der Praxis: So haben beispielsweise Oracle für ihre DMP Bluekai und Salesforce für Krux angekündigt, innerhalb der EU nicht mehr mit Third-Party-Daten zu handeln. Dies folgt mit Sicherheit als Konsequenz aus der 10 Mrd. USD schweren Sammelklage der NGO „Privacy Collective“, die beim Amsterdamer Bezirksgericht aufgrund offenbarer Verstöße gegen die DSGVO eingereicht wurde. Damit endet eine Praxis bei der Nutzerdaten über unterschiedlichste Websites gesammelt und als Profildaten zur personalisierten Nutzeransprache den Oracle-Kunden gegen Gebühr zur Verfügung gestellt wurden.

Auch technologisch wird den DMP-Anbietern das Leben schwer gemacht: Nicht nur durch AdBlocker sondern auch durch die ITP (Intelligent Tracking Prevention) vom Apple-Browser Safari sowie der analogen ETP von Firefox werden Third-Party-Cookies automatisch vom Browser gelöscht. Sogar Google bereitet derzeit mit der Entwicklung der sogenannten „Privacy Sandbox“ den Ausstieg aus der Nutzung von Third-Party-Cookies vor und sucht somit händeringend nach einem Kompromiss zwischen individuellem Nutzer-Targeting und Datenschutz. Bis 2022 will der US-Konzern komplett auf Third-Party-Cookies verzichten und setzt damit im Gegensatz zu Apple und Mozilla auf eine Übergangsphase, um das eigene Geschäftsmodell entsprechend auf die Änderungen vorbereiten zu können.

Durch das automatische Löschen der Cookies wird die Wiedererkennung der Nutzer über unterschiedliche Domains erheblich erschwert. Dadurch werden DMPs in ihrer Funktion zunehmend eingeschränkt – ein Trend, der gerade mit Blick auf aktuelle Rechtsprechungen andauern dürfte.

Zeit, europäisch zu denken

Natürlich wird im Kontext des Privacy-Shield-Urteils derzeit auch von amerikanischen Digitalunternehmen die Frage diskutiert, Server-Zentren in Europa auf- und auszubauen, sodass personenbezogene Daten den europäischen Kontinent nicht mehr verlassen müssen. Dies müsste zugleich aber auch von der Politik gefördert werden und kommt als kurzfristige Reaktion auf aktuelle DSGVO-Rechtsprechungen nicht in Frage. Hinzu kommt, dass es die Gesetzeslage in den USA zum Teil zulässt, dass Geheimdienste auch auf Server von US-Unternehmen im Ausland zugreifen dürfen.

Vielmehr müssen sich digitale Marketer nun die Frage nach integrierten europäischen Customer-Data-Plattform-Lösungen stellen, um somit zum einen den Fokus auf First-Party- und Zero-Part- Daten zu legen und zum anderen europäische Lösungsansätze in Betracht zu ziehen.

Integrierte CDP-Lösungen zielen darauf ab, nur Daten zu speichern und zu verarbeiten, für die die User eine explizite Einwilligung (explizites Opt-in) gegeben haben. Daher lässt sich eine datenschutzkonforme CDP in Unternehmen heutzutage nur mit einer Integration einer professionellen Consent-Management-Plattform (CMP) umsetzen. Der CDP-CMP-Lösungsansatz sorgt nicht nur dafür, die Consent-Einholung mithilfe der CMP datenschutzkonform zu gestalten, sondern gibt ebenfalls die Möglichkeit, Datensätze aus der CDP automatisiert zu begrenzen beziehungsweise zu löschen, sollte sich die Einwilligungserklärung des Users ändern. Der User eines DSGVO-konformen Publishers muss also beispielsweise die Möglichkeit haben, für die Verwendung seiner Daten durch Google eine Einwilligung zu geben, durch Facebook aber nicht.

Bei Verwendung des CDP-CMP-Ansatzes geht es sowohl um die Interessen der User, als auch um die Interessen des Unternehmens und seiner Marketers: Natürlich müssen sich die Unternehmen damit beschäftigen, wie sie das eigene Consent Management stetig optimieren, um die First-Party-Datenbank zu füllen und somit digitales Marketing überhaupt noch möglich zu machen. Wenn die Interaktion zwischen CMP und CDP schließlich noch dafür sorgt, dass individuelle Datenschutzpräferenzen der User automatisiert umgesetzt werden, lassen sich vor allem bei der Wahl europäischer CDPs und CMPs die Themen Datenschutz und Digitales Marketing auch heute noch miteinander verbinden.


Fazit

Die aktuelle Rechtsprechung in Datenschutzfragen hebt die große Bedeutung einer dringend notwendigen europäischen digitalen Souveränität hervor. Mit Standardvertragsklauseln (SCC) und wichtigen Frameworks wie das IAB-TCF 2.0 lässt sich zwar eine gewisse Risikominimierung betreiben, dennoch sollten sich Marketers die Frage stellen, wie sich Digitale Marketingstrategien insbesondere bei der Partnerauswahl europäisieren lassen.