Wie lässt sich die Zustimmung der User zu Onlinewerbezwecken rechtskonform einholen, ohne Umsätze im eigenen Business zu gefährden? Diese Frage ist für Marketingverantwortliche 2020 wichtiger denn je. Wo hier die regulatorischen Herausforderungen liegen und worauf Unternehmen achten sollten, erläutern Barbara Nietzer, Legal Director EMEA bei Criteo, und Florian Tannen, Partner bei Baker & McKenzie. Sie sprachen beim virtuellen Event Digital Bash Law Ende Oktober über ihre Erfahrungen.
Wer Cookies auf seiner Webseite einsetzt, um Nutzer mit Onlinewerbung anzusprechen, muss zuvor die Zustimmung der User einholen. Das hat der BGH im Sommer dieses Jahres bestätigt. Unternehmen fragen sich aus diesem Grund, wie ein entsprechender Hinweis-Banner aussehen und welche Anforderungen er erfüllen muss. Sie kommen daher nicht drum herum, sich damit zu beschäftigen. „Eine Auseinandersetzung mit dem Thema ist ein Muss“, sagt Florian Tannen. „Dabei braucht man keine Angst davor haben. Man muss sich den Herausforderung stellen und das Beste für sich herausholen.“
Unternehmen in Zugzwang
Für Unternehmen geht es in erster Linie darum, „dass der Nutzer ausdrücklich seine Zustimmung zum Setzen von Cookies geben muss und dass derjenige, der diesen Consent einholt, beweisen muss, dass dies in klarer Weise erfolgte“, erläutert Barbara Nietzer. Denn nicht nur Behörden, sondern auch die Nutzer selbst würden auf Einhaltung pochen. Die meisten Unternehmen folgten daher diesem Ansatz und holen den Consent ein, so ihre Marktbeobachtung. „Besonders auf Händler-Seite sieht es schon sehr schön aus. Viele arbeiten mit Consent Management Plattformen, um dies abzubilden und datenschutzkonform vorzugehen.“ Tannen hält dies ebenfalls für eine gute Entwicklung, denn es gebe kaum noch Unternehmen, die am alten Ansatz festhielten. Dies sei auch nicht nachhaltig und daher „juristisch nicht empfehlenswert“.
Mehr Rechtssicherheit
Gibt ein Nutzer seine Einwilligung zum Setzen von Cookies nicht, sind die Möglichkeiten eingeschränkt, den Nutzer mit Online-Werbung anzusprechen. Dementsprechend liegt es im Interesse der Unternehmen, den Consent einzuholen. „Die Angst vor der Nichteinwilligung der Nutzer ist aus meiner Erfahrung aber gar nicht so sehr berechtigt. Wer sich Gedanken macht, testet und probiert, findet am Ende auch eine Lösung, die zu ihm und den Nutzern passt. Dann ist auch die Akzeptanzrate ziemlich hoch und damit konsequenterweise auch die Rechtssicherheit“, sagt Tannen.
Herausforderung Cross-Border
Viele Unternehmen sind inzwischen international unterwegs. Sie sind dann in besonderem Maße mit datenschutzrechtlichen Herausforderungen konfrontiert. „Das Vorhaben mit der DSGVO einheitliche Regelungen in der EU zu schaffen ist gescheitert, denn mehr als 50 Themen wurden in die lokalen Behörden gegeben, die die Thematiken sehr unterschiedlich interpretieren“, bedauert Tannen. Barbara Nietzer beobachtet allerdings auch, dass ein Austausch zwischen den Behörden stattfindet. Sie sagt: „Die nationalen Datenschutzbehörden scheinen miteinander zu sprechen. Ich sehe, dass es dort zunehmend größere Überschneidungen gibt. Die Behörden haben offenbar erkannt, dass wir in einer europäischen Welt leben.“
Auch der anstehende Brexit bringt seine Herausforderungen mit sich, denn die DSGVO gilt formal nicht in UK. Die dortigen Kollegen hätten sich allerdings schon darauf vorbereitet und die Anforderungen der DSGVO weitestgehend in nationales Recht umgewandelt, beschreibt Tannen die Situation. Das Ziel sei es gewesen, den Datenaustausch so weit es geht zu unterstützen. Werden Drittländer zudem durch die EU-Kommission geprüft und der dortige Datenschutz als ausreichend eingestuft, kann der internationale Datentransfer weiterhin datenschutzkonform ablaufen.
Privacy Shield gilt nicht mehr
In einer Entscheidung des EuGH dieses Jahres, auch als Schrems II bekannt, wurde das Privacy Shield gekippt. „Wir haben damit ein Vehikel verloren, das es ermöglichte, personenbezogene Daten an Empfänger in die USA zu schicken, wenn diese nach dem Privacy Shield registriert waren“, erläutert Tannen. Unternehmen müssten sich nun neuen Anforderungen stellen, um Daten grenzübergreifend auszutauschen. „Dies ist essenziell und lässt sich kaum verhindern.“ „Gerade befinden sich alle in so einem Pause-Modus“, beschreibt Nietzer. „Es passiert nicht viel, die Unternehmen warten auf eine klare Aussage der EU wie in Zukunft zusammengearbeitet werden soll.“ Für Criteo sei das Privacy Shield allerdings kein Thema gewesen, da man auf Standard-Vertragsklauseln setze. „Wir freuen uns aber über klare Guidance.“
Der Umgang mit Cookie-Walls
Das Thema Cookie-Walls, die dem User bei Ablehnen der Cookies von der Webseite ausschließt, wird international von den Datenschutzbehörden ebenfalls unterschiedlich bewertet. In Deutschland werden diese eher negativ gesehen. In Frankreich, wo auch Criteo seinen Hauptsitz hat, kann man sich diese unter bestimmten Voraussetzungen durchaus vorstellen, wie Nietzer beobachtet. „Hier gibt man den Unternehmen wieder ein Stück weit eigenen Handlungsspielraum und Entscheidungskraft zurück.“
Targeting und Datenschutz stellen Unternehmen vor juristische Herausforderungen und bieten viele Fallstricke. Grundsätzlich gilt aber: Bei der Handhabung von Daten ist die DSGVO unterschiedslos anwendbar, egal ob kleines Unternehmen oder Konzern. Datenschutzkonformität ist Pflicht und muss von jedem Unternehmen ernst genommen werden.