In der letzten Ausgabe der Website Boosting wurde ja bereits ausführlich über die DSGVO berichtet. Diese brachte am 25. Mai 2018 wesentliche Änderungen für den Umgang mit personenbezogenen Daten in der EU mit sich und ersetzte den bestehenden Rechtsrahmen des Datenschutzes. Doch damit sind die Diskussionen über das Thema Datenschutz noch nicht abgeschlossen, denn derzeit steht noch eine Entscheidung über die sogenannte ePrivacy-Verordnung aus.
Führt ePrivacy zu einer neuen Dotcom-Blase?
Die DSGVO führte in den vergangenen Monaten für sehr viel Unruhe auch in der Online-Branche. Doch damit sind die Diskussionen über strengeren Datenschutz noch nicht abgeschlossen, denn derzeit steht noch die finale Entscheidung über die ePrivacy-Verordnung aus. Doch warum wurde nicht direkt alles in der DSGVO geregelt?
Das liegt daran, dass die DSGVO eine Grundverordnung ist und somit lediglich die Grundsätze des Datenschutzes vorgibt. Das Ziel der DSGVO ist es, natürliche Personen generell bei der Verarbeitung personenbezogener Daten zu schützen, sowohl online als auch offline. Die ausstehende ePrivacy-Verordnung hat allerdings den speziellen Schutz des Privatlebens und besonders den Schutz personenbezogener Daten in der elektronischen Kommunikation im Fokus, auch wenn sich manche Schutzziele an einigen Stellen überschneiden.
Die ePrivacy-Verordnung soll zudem auch spezielle Fälle abdecken, die nicht unter die DSGVO fallen. Aus diesem Grund ist ePrivacy „Lex specialis" der Datenschutz-Grundverordnung. Das heißt, wenn die beiden Verordnungen die gleiche Situation abdecken oder wenn ein Fall nicht in der Datenschutz-Grundverordnung aufgeführt ist, wird ePrivacy sie außer Kraft setzen und somit Grundlage für die Entscheidung sein.
Was bedeutet ePrivacy-Verordnung?
Im Jahr 2002 wurde durch die EU die sog. ePrivacy-Richtlinie erlassen, die Mindestvorgaben im Bereich des Datenschutzes festlegt. 2009 erfolgte dann durch die Europäische Union eine Ergänzung der Datenschutzrichtlinie durch die sogenannte Cookie-Richtlinie, welche eine explizite Einwilligung der Nutzer von Webseiten und Apps verlangt, damit diese Cookies setzen dürfen. Cookies entwickeln eine kleine Textdatei, bei der eine Reihe von Zahlen gebildet wird, um z. B. ein internetfähiges Endgerät, Betriebssysteme und die Browser bzw. Apps zu identifizieren. Damit wird werbetreibenden Unternehmen und Internetdiensten ermöglicht, Nutzern beim Besuch unterschiedlicher Webseiten durch Online-Tracking zu folgen und z. B. die generierten Informationen für Werbezwecke einzusetzen.
Bisher wurde die Cookie-Richtlinie allerdings in allen EU-Ländern unterschiedlich interpretiert. Denn eine „Richtlinie“ erlangt nicht automatisch Anwendung in den 28 Mitgliedsstaaten der EU, sondern bedarf nationaler Umsetzungsgesetze. In Deutschland wurde die Datenschutzrichtlinie hauptsächlich durch das Bundesdatenschutzgesetz umgesetzt. Die ePrivacy-Richtlinie und die Cookie-Richtlinie wurden vor allem durch Vorschriften im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) realisiert.
Doch seit 2017 steht nun eine Novellierung an, in deren Zuge die ePrivacy- und die Cookie-Richtlinie in eine Verordnung überführt werden sollen. Dadurch soll eine EU-weite Vereinheitlichung der Richtlinien stattfinden. Da sich unsere elektronische Kommunikation seit 2002 bzw. 2009 massiv änderte, sind zwangsläufig auch inhaltliche Änderungen in der neuen ePrivacy-Verordnung gegenüber den bisher geltenden Richtlinien erforderlich.
Bereits im Oktober 2017 stimmte hierzu der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments (LIBE) über den Neuentwurf der ePrivacy-Richtlinie ab und nahm den Entwurf vom 10.01.2017 für die neue ePrivacy-Verordnung an.
Diese neue Verordnung soll die DSGVO flankieren. Im Oktober 2017 folgte dann die nächste Abstimmung über die ePrivacy-Verordnung. Überraschenderweise votierten trotz heftiger Proteste der Internet-Industrie auch die Parlamentsmitglieder der EU mit einer großen Mehrheit für die ePrivacy-Verordnung und somit für die geplanten hohen Datenschutz-Standards für elektronische Kommunikation.
Doch aktuell fehlt noch die finale Zustimmung. Derzeit finden hierzu noch die sogenannten Trilog-Verhandlungen zwischen EU-Kommission, EU-Parlament und dem Rat der Europäischen Union statt, um die ePrivacy-Verordnung zu finalisieren.
Was beinhaltet die neue ePrivacy-Verordnung konkret und was wären die Folgen?
Die Folgen für die Online-Marketing-Branche wären aus Sicht der Internet-Industrie gravierend, denn Nutzerdaten, die z. B. beim Tracking der Affiliate-Netzwerke verwendet werden, dürften zukünftig nur noch genutzt werden, wenn der Nutzer explizit ein „Opt-in“, also seine Einwilligung dafür gegeben hat.
Jeder User müsste sich dann bei jedem Erstkontakt mit jedem Medium durch endlose Informationen von Technologieanbietern und Datenpartnern klicken und diese mit ihren jeweiligen Verwendungszwecken bei jedem Anbieter immer wieder neu bestätigen. Die User Experience wäre in diesem Fall natürlich verheerend, da wohl nur mit einer geringen Zustimmung zu personalisierter Werbung zu rechnen wäre. Laut einer Schätzung der Europäischen Kommission würden wahrscheinlich nur rund 11 Prozent der Nutzer eine Einwilligung zu Cookies erteilen.
Zudem dürfen Daten nur noch verarbeitet werden, wenn sie „streng erforderlich“ oder „streng technisch notwendig“ sind, um einen Dienst zu erbringen. Dabei sollen v. a. „Cookie-Walls“ und „Cookie-Banner“ verhindert werden, wenn sie den Nutzern nicht dabei helfen, die Kontrolle über ihre persönlichen Daten und ihre Privatsphäre zu behalten oder sich über ihre Rechte zu informieren.
Auch „Privacy by Default“ soll ein Standard werden. Das bedeutet, dass die Browser bereits in der Grundeinstellung die beschriebenen Datenschutzstandards gewährleisten.
Die bisher diskutierten Lösungsmöglichkeiten, z. B. die derzeit gebräuchlichen Hinweistexte in Bannern oder Pop-ups mit dem Inhalt „Mit dem Besuch dieser Website akzeptieren sie die Verwendung von Cookies“ oder dem Hinweis „Wir benutzen Cookies“ und einem OK-Button werden durch die neue ePrivacy-Verordnung nicht mehr zulässig sein, da der User hierbei keine echte Wahl bezüglich der Abgabe einer Einwilligung hat. Es reicht auch nicht mehr aus, darauf hinzuweisen, dass der betroffene Nutzer in seinem Browser bestimmte Datenschutzeinstellungen vornehmen kann.
Das heißt, zukünftig würde jedem Internetnutzer beim ersten Aufruf einer Website noch vor der ersten Platzierung eines Cookies ein Hinweis auf die Verwendung von Cookies dargestellt werden, bei dem der User dann die Wahl hat, zuzustimmen oder abzulehnen. Die Zustimmung muss dann per Opt-in abgefragt werden. Opt-in bedeutet dabei, dass im Fall einer Checkbox diese nicht bereits mit einem Häkchen versehen sein darf. Falls der User das Opt-in ablehnt, darf er für die Website auch nicht gesperrt sein, wie es aktuell bereits einige Verlagshäuser bei Adblockern durchführen. Zudem darf auch die Nutzung der Webseite nicht eingeschränkt werden.
Es stellt sich also die große Frage, wie werbefinanzierte Webseiten zukünftig Geld verdienen wollen, wenn ggfs. aus einer gewissen Unsicherheit ein großer Anteil der Internetuser kein Werbeeinverständnis per Opt-in gewährt und sogar die Browser per Default-Einstellung 3rd-Party-Cookies deaktivieren. Selbiges gilt dann übrigens nicht nur für Cookies, sondern auch für Fingerprinting und andere Trackingmethoden.
Wäre die ePrivacy-Verordnung das Ende der Online-Werbung?
Nein, das natürlich nicht. Denn nicht tracken zu dürfen, heißt ja nicht, dass die Unternehmen keine Werbung mehr schalten dürfen. Auch auf Endgeräten von Nutzern, die kein Opt-in-Werbeeinverständnis gegeben haben, dürfen zukünftig Werbebanner geschaltet werden. Allerdings können die Nutzer nicht mehr individuell gemessen und angesprochen werden. Entsprechend eingeschränkt wären auch die Möglichkeiten, die Effizienz- und Effektivitätsgewinne automatisierter Werbebuchungen zu nutzen. Die Nutzer würden infolge der ePrivacy-Verordnung Unmengen an Werbung nach dem Gießkannenprinzip erhalten. Was für Markenwerbung vielleicht halbwegs funktionieren könnte, wäre für Performance-Kampagnen verheerend. Man muss sich einfach nur mal vorstellen, was über die Cookies gesteuert und geregelt werden kann, wie z. B. das Einstellen von Frequency Capping für die Kontakthäufigkeit und auch die Relevanz der Banner über Behavioral Advertising. Die Folge wäre, 20-mal pro Stunde eine Werbung für Kinderfahrräder zu bekommen, was indirekt auch negative Imagefolgen für die Marke haben könnte.
„Die Folge von ePrivacy wäre, 20-mal pro Stunde eine Werbung für Kinderfahrräder zu bekommen."
Im November 2017 wurde vom Wissenschaftlichen Institut für Infrastruktur und Kommunikationsdienste (WIK) im Auftrag des Bundesministeriums für Wirtschaft und Energie eine Studie über „Die wirtschaftlichen Auswirkungen der Regelungen der ePrivacy-Verordnung“ veröffentlicht. Demnach ist von einer Reduzierung des gesamten digitalen Werbebudgets von etwa einem Drittel auszugehen. In erster Linie werden Display- und Affiliate-Werbeformate betroffen sein. Der kurzfristige Effekt auf Suchwerbung wie Google oder Bing und Werbung in sozialen Netzwerken wie Facebook wird wahrscheinlich relativ klein ausfallen, denn die Zustimmung zu den AGB z. B. bei der Nutzung eines Google-Dienstes hat entsprechende Auswirkungen auf das Setzen und die Akzeptanz von Cookies.
Laut einer IAB-Studie rechnet man zudem mit einer Reduktion des Werbeetats für Displaywerbung bis 2020 von 45 bis 70 Prozent als kombinierter Effekt von DSGVO und ePrivacy-Verordnung. Da der überwiegende Teil von Displaywerbung heute über sog. Programmatic Advertising bestückt wird, erscheint diese Schätzung eher konservativ.
„Der IAB rechnet mit einer Reduktion der Display-Werbeetats bis 2020 von bis zu 70 %."
Die weiteren Folgen würden zunächst die schon seit 2014 voranschreitende Entkoppelung des europäischen Online-Werbemarktes vom Wachstum des US-amerikanischen Marktes beschleunigen. Dort werden die Gelder aus Online-Werbung zusehends in die Entwicklung neuer Geschäftsmodelle und Technologien wie autonomes Fahren und künstliche Intelligenz investiert. Mit der ePrivacy-Verordnung riskiert Europa letztendlich, von entscheidenden Innovationen, die über die wirtschaftliche Zukunft Europas mitentscheiden, ausgeschlossen zu sein.
Für viele europäische Unternehmen aus der Digitalbranche, aber auch deren Mitarbeiter, könnte so eine Entwicklung sehr negative Auswirkungen haben. Wenn man bedenkt, dass viele erfolgreiche Online-Shops nur aufgrund von Daten und entsprechenden Online-Marketing-Strategien groß wurden, kann man sich vorstellen welche Auswirkungen die ePrivacy-Verordnung für diese Firmen und auch die Unternehmen, die sich darum ansiedelten, haben könnte.
Die „Gewinner“ der derzeitigen ePrivacy-Version wären somit US-Unternehmen wie Facebook, Google, Apple, Amazon oder Microsoft, denn diese haben durch ihre Log-in-Systeme bereits das Werbeeinverständnis der Nutzer eingeholt und benötigen hierzu kein Cookie-Opt-in mehr. Die Werbeausgaben würden sich also zukünftig anders verteilen. Google & Co. haben hierzu dann relevante Daten und können diese optimal analysieren und verwenden. Alle anderen würden versuchen, ihre Produkte nach dem Gießkannenprinzip zu verkaufen. Die Konsequenz wäre, dass man relevante Nutzergruppen nur noch bei Google und Facebook bekommt und dann dort buchen müsste. Die Folge könnten höhere Preise sein, da es keinen Werbewettbewerb mehr gäbe und die anderen Anbieter vom Markt verschwänden.
Wo bleibt der Lobbyismus?
Man merkt derzeit in der Branche eine große Ignoranz gegenüber der ePrivacy-Verordnung und viele Marktteilnehmer sind fest davon überzeugt, dass diese in der aktuellen Form nicht kommen wird. Anstatt sich mit der Situation intensiv auseinanderzusetzen, versteckt man sich hinter der Hoffnung, dass nichts passieren wird.
Dabei gäbe es doch viele Möglichkeiten, dagegen anzukämpfen, Präsenz zu zeigen und in öffentlichen Diskussionen über die möglichen Folgen auch für die Nutzer aufzuklären. Publisher und Affiliate-Netzwerke könnten Aufklärungskampagnen schalten und anstatt der langweiligen Cookie-Banner auch Werbung und Anzeigen über möglichen Folgen der ePrivacy-Verordnung einblenden.
Nur wenn der großen Masse an Internetusern und auch Politikern bewusst wird, welche Auswirkungen durch eine strenge ePrivacy-Verordnung entstehen, besteht die Möglichkeit, dass sich die Bundesregierung im EU-Rat gegen den aktuellen Entwurf ausspricht.
Und die Folgen wären ja auch für die Nutzer gravierend, denn kostenloser Qualitätsjournalismus wäre durch fehlende Werbeeinnahmen nicht mehr finanzierbar. Viele hilfreiche Blogs und Foren würden ihren Betrieb einstellen. Werbung wäre nicht mehr zielgerichtet möglich, sondern würde die User sogar durch nicht ausgesteuerte Werbung noch wesentlich mehr nerven. Es käme zur Benachteiligung der europäischen Datenwirtschaft und zu einer Gefährdung für die Entwicklung europäischer Start-ups, innovativer Unternehmen und des Online-Werbesektors sowie von Telekommunikationsbetreibern.
„Kostenloser Qualitätsjournalismus wäre durch fehlende Werbeeinnahmen nicht mehr finanzierbar.“
Vielen Verbrauchern sind die Folgen einer ePrivacy-Verordnung nicht wirklich bewusst. Schließlich ist es den Nutzern auch wichtig, dass Internetangebote unentgeltlich bereitgestellt werden, denn die Gegenleistung der Nutzer liegt derzeit in der Akzeptanz der Werbeinhalte, für deren Zustellung wiederum Daten der User verarbeitet werden müssen. Nutzer bezahlen privatwirtschaftliche Angebote im Internet durch die Aufmerksamkeit für Werbeinhalte oder durch die Herausgabe von Nutzerdaten.
Es kann nicht das Ziel sein, die Internetnutzer in ihrer eigenen Verantwortung und Nutzerorientierung einzuschränken und zu bevormunden. Es sollte weiterhin die Souveränität der Nutzer und der Branche gewährleistet werden, aber natürlich mit einem effektiven und nachhaltigen Datenschutz.
Wo bleibt die öffentliche Forderung Tausender Publisher und Affiliate-Netzwerke gegenüber europäischen und nationalen politischen Entscheidungsträgern, den ePrivacy-Verordnungsentwurf zu revidieren? Der europäische digitale Binnenmarkt verdient mehr als eine Regulierung mit massiven und unvorhersehbaren Nebenwirkungen. Er benötigt klare und praktikable Definitionen, eine Unterscheidung persönlicher und nicht-persönlicher Daten bei einer konsequenten und horizontalen Umsetzung, um den Schutz des Einzelnen und die Entwicklung des europäischen digitalen Ökosystems zugleich zu gewährleisten.
Natürlich hilft eine allgemeine Panikmache niemandem weiter, aber gerade die Online-Branche hat es in den vergangenen Jahren verpasst, Lobbyarbeit in eigener Sache zu machen, und ist nun kurz davor, dies bei der ePrivacy-Verordnung wieder zu verpassen.
Nach mehreren Gesprächen des BVDW mit der Fachebene und auch Minister Pinkwart entschloss sich das NRW-Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie dazu, die Standpunkte des BVDW in den Verhandlungen über die ePrivacy-Verordnung zu unterstützen. Besonders wichtig sind dabei folgende Punkte:
- Die ePrivacy-Verordnung sollte nur Regelungen über elektronische Kommunikation betreffen. Für Dienste der Informationsgesellschaft enthält die DSGVO bereits ausreichende Regelungen.
- Webseitenbetreiber dürfen nicht gezwungen werden, ihren Webseiteninhalt gratis – ohne Werbung – anzuzeigen.
- Art. 10 der ePrivacy-Verordnung, mit dem der Browser zum „Super Gatekeeper“ gemacht wird, sollte überdacht werden.
- Es muss möglich bleiben, die Reichweitenstärke von Online-Angeboten durch Messdienstleister feststellen zu lassen.
Was sind die Next Steps?
Derzeit ist die ePrivacy-Verordnung in der aktuellen Version noch nicht final verabschiedet. Dies könnte allerdings jeden Monat so weit sein und dann wäre diese mit einer Übergangsfrist von 12 Monaten für alle EU-Länder umzusetzen.
Daher bleibt für die Werbeindustrie und die Publisher derzeit nur zu hoffen, dass es noch Änderungen an den Inhalten geben wird. Falls das nicht der Fall wäre, erscheinen sog. Log-in-Systeme als eine mögliche Lösung. Diese lassen eine Abrechnung und entsprechende Allokation zu. Eine Proliferation von Log-in-Systemen würde allerdings dafür sorgen, dass die ePrivacy-Verordnung ihr Kernziel – ein höheres Datenschutzniveau – verfehlt. Denn Log-in-Systeme ermöglichen einen wesentlich direkteren Zugang zu persönlichen Daten und reduzieren den effektiven Datenschutz im Vergleich zum heutigen Schutzniveau und dem vorherrschenden offenen System der Werbemittelallokation mithilfe pseudonymisierter Daten.
Zudem besteht die Gefahr, dass gerade für kleinere Webseiten die Integration von Log-in-Systemen eine zu hohe technische Hürde und Komplexität darstellt und es dabei, ähnlich wie bei der DSGVO, zu einem weiteren Webseiten-Sterben kommt. Des Weiteren werden Konsumenten vorwiegend Log-in-Systeme nur dort annehmen, wo sie solche bereits gewohnt sind. Vor allem trifft das auf soziale Netzwerke wie Facebook, Handelsplattformen wie Amazon oder Kommunikationsdienste wie WhatsApp oder Instagram zu. In Verbindung mit der Gatekeeper-Position von Browsern ist es wahrscheinlich, dass mittel- bis langfristig vor allem die großen werbefinanzierten Plattformen wie Facebook und Google im Vergleich zu anderen Marktteilnehmern profitieren. Im Extremfall kann die ePrivacy-Verordnung also die Entwicklung hin zu einem in weiten Teilen proprietären Internet anstoßen, dessen Werbeeinnahmen fast vollständig außerhalb von Europa erwirtschaftet werden.
Doch aktuell laufen auf EU-Ebene noch einige Diskussionen, sodass das Thema noch nicht abgeschlossen ist. So hat z. B. im Juli 2018 die neue österreichische Ratspräsidentschaft einen abgeänderten Textentwurf für die ePrivacy-Verordnung vorgelegt. Einen aktuellen Stand der Verhandlungen findet man unter einfach.st/bdvw2.
Gerade deswegen sollte allen Marktteilnehmern daran gelegen sein, die Diskussionen über die Folgen einer ePrivacy-Verordnung weiter zu forcieren und über die möglichen Nachteile zu informieren.