Blogpost

Opt-in – Vorrangregelung DSGVO setzt Industrien mit hohem P&L-Anteil in der Drittvermarktung von Nutzerdaten unter Druck

Key Facts

  • Inkrafttreten europäische Datenschutz-Grundverordnung DSGVO am 25. Mai 2018, Datenschutzkonferenz des Bundes und der Länder vom 26. April 2018 definiert Vorrang DSGVO vor Telemediengesetz TMG in Deutschland trotz Verzögerung ePrivacy-Verordnung auf voraussichtlich 2019
  • DSGVO-konforme Einholung der Einwilligung der Nutzer zur Verarbeitung personenbezogener Daten notwendig, jedoch in einzelnen Branchen nur partiell sichergestellt – mit teilweise drastischen Folgen für Datenhaltung und Geschäftsmodell
  • Hoher Handlungsdruck insbesondere für Medienunternehmen und Vermarkter, regulatorische Vorgaben und Marktbedarfe übergreifend zu harmonisieren

Report

Die Wirkmächtigkeit des Satzes: „Im Verhältnis zum nationalen Recht kommt ab dem 25. Mai 2018 die DSGVO für sämtliche automatisierte Verarbeitungen personenbezogener Daten vorrangig zur Anwendung […]“ ist von Experten verstanden. Der Düsseldorfer Kreis – die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – vom 26. April 2018 bestätigt damit einen regulatorischen Rahmen – und überrascht wieder eine ganze Industrie. So wie beispielsweise die Finanzindustrie die Entschlossenheit der Regulation lange unterschätzte, scheint die Medienindustrie die inhärenten Zusammenhänge von technologischen Möglichkeiten, sich verändernden regulatorischen Rahmenbedingungen und einhergehender Veränderung in den entscheidungsrelevanten Parametern bisher zu unterschätzen (vgl. das Urteil des Bundesgerichtshofs zur Rechtmäßigkeit von AdBlock Plus als Werbeblocker vom 19. April 2018). Diese ging allgemein davon aus, dass die bisherigen Vorschriften des Telemediengesetzes unverändert Gültigkeit hätten bis zur Geltung der neuen ePrivacy-Verordnung oder zumindest auf das sogenannte berechtigte Interesse nach Art. 6 Abs. 1lit.f) DSGVO abgestellt werden könnte, d.h. die Verarbeitung personenbezogener Daten durch das „berechtigte Interesse“ des Werbetreibenden oder Webseitenbetreibers gedeckt sei. Gleichzeitig wurde übergreifend von den Juristen der Häuser die Einschätzung in die Vorstände getragen, dass die Auslegung – wenn überhaupt so anzuwenden – abzumildern und etwa durch Verweis auf den Erhalt von Arbeitsplätzen durch ergänzende lobbyistische Maßnahmen zu vermeiden sei.

 

Nun jedoch müssen Medienunternehmen das Einwilligungsmanagement sowie die Datennutzung bis auf wenige Ausnahmen zeitnah und umfassend auf ein „Opt-in“ umstellen. Neben Auftragsdatenverarbeitern sind Medienunternehmen und Vermarkter in besonderer Weise betroffen: ihr Geschäftsmodell basiert in weiten Teilen darauf, personenbezogene Daten für die Platzierung personalisierter Angebote über Domain- und Session-Grenzen hinweg zu nutzen.

B2

Abbildung 1: Restliche Anforderungen aus DSGVO (und ePVO)

Der Vorrang der DSGVO ist daher mit Veränderungen gegenüber der bisherigen Aufstellung verbunden:

  • Einschränkung Telemediengesetz

Zur Beurteilung der Rechtmäßigkeit des Einsatzes von Tracking-Mechanismen finden die §§ 12, 13, 15 des TMG ab dem 25. Mai 2018 keine Anwendung mehr.

  • Etablierung DSGVO als neue Rechtsgrundlage

Art. 6 Abs. 1 repräsentiert die neue Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien.

  • Formulierung weiterer Grundsätze

Dies umfasst insbesondere die transparente und zweckgebundene Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DSGVO sowie die Einhaltung der Vorgaben von datenschutzfreundlichen Voreinstellungen nach Art. 25 Abs. 2 ebd. („Privacy by default“).

Im Ergebnis steht nicht weniger als eine einschneidende Zäsur im Bereich Datenschutz und informationelle Selbstbestimmung. Insbesondere sind ab dem 25. Mai positive Opt-in-Voten durch die Nutzer hinsichtlich der Nutzung ihrer Daten erforderlich. Der Einsatz von Tracking-Mechanismen, etwa für die Erstellung von Nutzerprofilen, bedarf ebenso einer informierten Einwilligung in Form einer eindeutigen Bestätigung durch den Nutzer wie die Datenverarbeitung. 

B2

Abbildung 2: Paradigmatischer Wechsel im Datenschutz durch DSGVO

Falls die Einwilligung durch den Nutzer nach den Anforderungen und Grundsätzen der DSGVO nicht vorliegt, resultieren kaskadierend verringerte Handlungsoptionen und verschärfte Sanktionen. Zwar gelten die eingeholten Einwilligungen z.B. zum Versandvon Newslettern auch weiterhin; aber es ist davon auszugehen, dass in den meistern Fällen vorab keine aktive Einwilligung zur Verarbeitung personenbezogener Daten eingeholt worden ist. Das hat zur Folge, dass die entsprechend erhobenen Daten wie im Falle von nicht DSGVO-konformen Einwilligungen nicht weiter vorgehalten werden dürfen. Die Konsequenz daraus reicht an den Lebensnerv der Unternehmen: Die fehlenden Daten werden eine Personalisierung der ausgespielten Angebote unmöglich machen. Schätzungen zum Umfang dieses Ausfalls gehen auf einen jährlichen Umsatzeinbruch in der Medien- und Vermarktungsindustrie von bis zu 30%. Es wird Monate brauchen, die entsprechenden Daten und Analysen erneut aufzubauen – es könnte Jahre dauern, das verlorene Vertrauen nach publizierten Verstößen wieder aufzubauen.

Ein weiterer, wenn auch indirekter Faktor wirkt verschärfend: Google beispielsweise fordert von seinen Partnern die Einholung der Einwilligung von Nutzern für die Verwendung der Google-Services gemäß DSGVO. Bei Nicht-Vorliegen der Einwilligung droht den Unternehmen, die Google-Tools und -Plattformen nicht mehr nutzen zu dürfen. Das wäre ein weiterer herber Schlag für die Handlungsfähigkeit der Unternehmen. Sie müssten entweder auf die Technologiebasis ihres ärgsten Konkurrenten in der Media-Vermarktung schwenken oder in hochriskante Technologieinvestitionen einsteigen, deren Erfolg von der Bildung kritischer Massen und der Ausprägung von Netzwerk-Effekten abhängig ist. Zumal Google und Co. diese Entwicklung vor anderthalb Jahren antizipiert haben und in der aktuellen Situation gut vorbereitet agieren.

Angesichts des drohenden Verlusts der Kernkompetenz der personalisierten Platzierung von Angeboten sind die Aufgabe und ihre Dringlichkeit verstanden: Es ist für die Medien- und Vermarktungsbranche so schnell wie möglich eine marktfähige Lösung zu formulieren, um eine für diese Industrie zweckgebundene Einwilligung von Nutzern zur Erhebung, Weitergabe und Verarbeitung personenbezogener Daten einzuholen.

Aktuell verfolgen die Unternehmen der Medien- und Vermarktungsbranche verschiedene Ansätze. (1) Einzellösungenintegrieren separat für einzelne Webseiten einen Opt-in-Layer, um die Einwilligung der Nutzer einzuholen. Dagegen organisieren (2) gruppenspezifische Lösungsansätze die Einwilligung einzelner Nutzer für mehrere Domänen. Schließlich setzen (3) generische Lösungen direkt am Management der Zugänge des Nutzers an. Jeder der Ansätze formuliert eine partikulare Lösung für die Einholung der Einwilligung. Keine der Lösungen jedoch harmonisiert regulatorische Vorgaben, fachliche Anforderungen und technische Umsetzungsoptionen in marktfähiger Weise: Die Reichweite der Einzellösungen ist zu gering, da keine Web-Verbünde integriert werden; Gruppenlösungen fokussieren allein auf die Interessen der Gruppenunternehmen; die generischen Lösungen verfolgen einen industrieübergreifenden Ansatz, weshalb sie die Spezifika einzelner Industrien nicht vollumfänglich abdecken respektive die erforderliche Transparenz nicht hinreichend genau herstellen können.

Für die dringliche Aufgabe, eine DSGVO-konforme Lösung für die Einholung der Einwilligung der Nutzer zu schaffen, sind aus unserer Perspektive mit sofortigem Start drei Workstreams zu initiieren:

  • Umfang der Lösung: Individuell vs. industrieweit

Jedes Unternehmen ist verpflichtet, eine DSGVO-konforme Lösung zu implementieren. Gegenüber dem „natürlichen“ Weg von Individuallösungen kann es ratsam sein, sich industrieweit zusammenzuschließen und in diesem nicht wettbewerbsdifferenzierenden Bereich einen Standard gegen global agierende Strukturen zu etablieren.


Wie weit dieser Standard reicht, d.h. ob die Lösung viele Bedarfe direkt abdecken würde oder in vielen Bereichen bzw. von einzelnen Unternehmen und Verbünden konfigurierbar wäre, ist zu diskutieren. Es würde sich um einen Antritt handeln, der einerseits höchsten Anforderungen an Convenience und Einfachheit, technische Sicherheit und Anpassungsfähigkeit genügen müsste, der andererseits einer faktischen Standardisierung durch Tech-Unternehmen Paroli bieten könnte.
In diesem Zusammenhang wären auch Initiativen mit industriespezifischem Ansatz zu betrachten, z.B. das IAB Framework des Interactive Advertising Bureau Europe. Dieses Rahmenwerk fokussiert auf die Etablierung eines Standards nach den Transparenzanforderungen der DSGVO.

Lösungskonzept: Regulatorisch, fachlich, technisch

Die Aufgabe besteht darin, die Erhebung personenbezogener Daten, deren Weitergabe sowie ihre Nutzung im Sinne der Zweckbindung transparent zu machen, Nutzern im Detail die Möglichkeit zu geben, sich für oder gegen bestimmte Vorschläge der Nutzung zu entscheiden sowie schließlich eine Handhabe für die Kontrolle und ggf. spätere Umentscheidung zur Verfügung zu stellen – durchaus als Instrument für die technologische Emanzipation der Nutzer.
Leitend für das Lösungskonzept sollte sein, die regulatorischen Anforderungen, die fachlich-marktseitigen Bedarfe sowie die technischen Optionen miteinander zu harmonisieren. Dies ließe sich mit den Transparenzanforderungen des IABFrameworks synchronisieren.


Zudem ist jede langatmige Findungsphase angesichts der Dringlichkeit inakzeptabel. Ein iterativer Ansatz ermöglicht nach einer kurzen Phase der Visionsprägung die enge Kopplung des fachlichen Designs mit der technischen Umsetzung. Wesentlich wäre, interdisziplinäre Teams in agiler Aufstellung mit weitgehender Entkopplung von hierarchischen Kulturen mit der Umsetzung zu beauftragen und darauf zu vertrauen, dass Innovation das Verlassen etablierter Muster zwingend voraussetzt. Eine nachfolgende Operationalisierung sollte in etablierten Strukturen der Corporates erfolgen.

 

  • Weiterentwicklung: Anpassung und Integration

Es wird zu vielfältigen Anpassungen kommen: die regulatorischen Vorgaben werden durch die ePrivacy-Verordnung präzisiert, daneben decken neue technische Praktiken weitere Potenziale auf. Es ist daher ergänzend erfolgskritisch, den Prozess der Weiterentwicklung von Beginn an und parallel zur Lösungskonzeption zu gestalten und notwendige Elemente der Weiterentwicklung im technischen Lösungsdesign zu berücksichtigen. Wesentliches Ziel sollte sein, der erwartbaren Dynamik in der Entwicklung effizient zu begegnen.


Notwendige Veränderungen sind proaktiv bei den diversen Stakeholdern zu syndizieren, so sollte der Regulator als aktiver Gesprächspartner verstanden und in die Planung eingebunden werden. Der Prozess für die auch technische Umsetzung ist marktnah zu gestalten, d.h. Änderungen sind möglichst zügig zu integrieren. Die Governance ist an der Modularität der Lösung auszurichten.
 

Resümee

Mit Inkrafttreten der DSGVO am 25. Mai 2018 wird eine der einschneidendsten Zäsuren für den Datenschutz und die informationelle Selbstbestimmung Realität. Konkret: Das Paradigma der weitgehend freien Verfügbarkeit von Nutzungsdaten wird in Europa abgelöst von dem der aktiven Verfügung und Kontrolle der Nutzer über ihre Daten, zumindest im Zielzustand. Diese Entwicklung ist aus zivilgesellschaftlicher Perspektive zu begrüßen, einhergehende Anpassungsprozesse sind aktiv zu begleiten.

Anders als andere Branchen sind Medienunternehmen in besonderer Weise von der DSGVO betroffen: Die Erhebung, Weitergabe und Analyse der Daten bildet die Grundlage für die Platzierung personalisierter Angebote über Domain- und SessionGrenzen hinweg, was wiederum den Kern ihres Geschäftsmodells mit ausmacht.

Angesichts der Tatsache, dass die Medienunternehmen und Vermarkter nur in Teilen fristgerechte Lösungen entwickelt haben werden, stehen diese vor der Wahl: Bisherige Handlungsmuster hierarchischer Kultur mit hoher juristischer Kompetenz und geringer technischer Expertise auszuagieren – oder einen vertrauens- und kompetenzbasierten Ansatz unter Berücksichtigung netzpolitischer Argumente und netzstrategischer Horizonte zu verfolgen, um aktiv an neuen Paradigmen auch wirtschaftlich partizipieren zu können.

Quellen

Düsseldorfer Kreis
Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Düsseldorf, 26. April 2018: https://datenschutz.saarland.de/fileadmin/datenschutz/dsk_entschliessungen/95/Positi onsbestimmung-TMG.pdf Bundesgerichtshof

Bundesgerichtshof
Mitteilung der Pressestelle, Nr. 78/2018: Bundesgerichtshof: Angebot des Werbeblockers AdBlock Plus nicht unlauter: http://juris.bundesgerichtshof.de/cgibin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=2018&nr=82856&linke d=pm&Blank=1

Google
„Wie Google deutsche Vermarkter mit vorauseilenden Opt-in-Forderungen quält“, in: http://www.horizont.net/medien/nachrichten/Datenschutz-Wie-Google-deutsche-Vermarkter-mitvorauseilenden-Opt-in-Forderungen-quaelt-166612

IAB 
IAB Europe 2018, https://www.iabeurope.eu

Unsere Autoren

Reference items

Artur Burgardt

Artur Burgardt
Managing Partner
Artur
Burgardt

Artur Burgardt ist Managing Partner bei CORE und spezialisiert auf das Management agiler Umsetzungsprojekte in komplexen Kontexten. Als ausgebildeter theoretischer Physiker sammelte er erste Berufs...

Mehr lesen

Artur Burgardt ist Managing Partner bei CORE und spezialisiert auf das Management agiler Umsetzungsprojekte in komplexen Kontexten. Als ausgebildeter theoretischer Physiker sammelte er erste Berufserfahrung als Business Analyst bei großen Finanzdienstleistern und erwarb grundlegende Kenntnisse in der Entwicklung von Kernbankensystemen. Dieser Karriereschritt führte ihn zu CORE. Mit seinem umfangreichen Wissen verantwortet Artur neben den Projekten bei Klient:innen das Knowledge Management bei CORE.

Weniger lesen