E-Privacy-Verordnung: Die DSGVO war noch nicht alles
Die hart debattierte DSGVO regelt den Datenschutz in der Europäischen Union technikneutral. Doch speziell für elektronische Kommunikation sieht das EU-Parlament Handlungsbedarf und arbeitet an einer ergänzenden E-Privacy-Verordnung (EPVO) Sie soll die alte E-Privacy-Richtlinie von 2002 und die Cookie-Richtlinie von 2009 ersetzen, die uns die allgegenwärtigen Cookie-Warnungen auf fast jeder Website beschert haben.
E-Privacy-Verordnung: Das ändert sich (nicht)
Anders als die DSGVO ist die EPVO nur für Unternehmen relevant, die Kommunikationsdienste betreiben: Telefon, Internetzugang, E-Mail, Chat, Messenger, Audio- und Videochat und so weiter. Das klingt, als sei die Verordnung nur für einen relativ kleinen Kreis von Unternehmen relevant, allerdings kann jedes gewerbliche Medienangebot darunter fallen, sobald Onlinewerbung und Tracking-Cookies ins Spiel kommen.
Im Wesentlichen dehnt der Entwurf der E-Privacy-Verordnungen einige deutsche Regelungen des Telemediengesetzes und des Gesetzes gegen unlauteren Wettbewerb auf die gesamte EU aus. Für Telefon-Anbieter, Internet-Provider, E-Mail-Hoster oder Entwickler von Messengern und ähnlichen Apps ändert sich wenig. Wahrscheinlich müssen sie nur den einen oder anderen Passus ihrer Nutzungsbedingungen etwas umformulieren.
Telefonwerbung mit Cold Calls und unerwünschte Werbe-E-Mails bleiben verboten, wie es in Deutschland auch bisher schon der Fall ist. Kommunikationsanbieter dürfen nur diejenigen Daten erheben, die sie brauchen, um die Kommunikation ihrer Nutzer abzuwickeln. Besonders die dabei immer anfallenden Meta-Daten dürfen ausschließlich dafür benutzt werden und nicht etwa, um Profile für Marketingzwecke und Onlinewerbung anzulegen. Google zum Beispiel dürfte also keine Mails in Googlemail mehr scannen, um personalisierte Werbung einzublenden. Erlaubt wäre das allerdings trotzdem, wenn die Nutzer explizit einwilligen. Die spektakulärste Neuerung sind die angedrohten Bußgelder: ähnlich wie bei der DSGVO bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes eines Unternehmens. Anders als bei der DSGVO gibt es aber im Gesetzesentwurf kaum Augenmaß- und Goodwill-Klauseln, um die harte Bestrafung unbeabsichtigter Fehler kleiner Anbieter zu vermeiden.
Tracking-Cookies müssen abgelehnt werden können
Das alles wäre eher eine gesetzgeberische Fußnote, enthielte die Verordnungen nicht auch strengere Regeln zum Umgang mit Cookies und Werbetrackern. Sie sieht vor, dass Websites ihre Nutzer künftig explizit fragen müssen, ob Tracking-Cookies gesetzt werden dürfen. Anders als bisher handelt es sich nicht um eine Information, die einfach wirkungslos weggeklickt wird. Es muss möglich sein, Tracking-Cookies zu verweigern und die jeweilige Website trotzdem zu nutzen. Darüber hinaus soll die Einstellung schon im Browser vorgenommen werden können. Und das Verweigern von Tracking-Cookies muss Default-Einstellung im Browser sein. Ein Tracking-Blocker per Gesetz: Das dürfte all diejenigen freuen, die diese Funktion mit Plugins in ihren Browsern nachrüsten. Nicht gemeint sind übrigens Cookies, die zum Betrieb der Website nötig sind, etwa für den Warenkorb in einem Onlineshop.
Das automatische Versteigern und Platzieren personalisierter Onlinewerbung anhand von Behavioral Targeting dürfte mit der EPVO rigoros abgemurkst werden. Nur ein kleiner Teil der Anwender würde dem Tracking wohl freiwillig zustimmen und Verlage dürften nicht einfach die Auslieferung der Website verweigern, wie das heute bei einigen großen Websites der Fall ist, wenn sie einen Adblocker bemerken. Onlinewerbung würde zurückkatapultiert in die 1990er Jahre, als simple statische Werbebanner auf den Websites platziert wurde wie Anzeigen in gedruckten Zeitungen. Dementsprechend nervös reagiert die Branche. Der Verband deutscher Zeitschriftenverlage rechnet mit einem Schaden von mehr als 300 Millionen Euro und der Bundesverband digitale Wirtschaft rechnet mit zu 500 Millionen Euro und sieht jeden vierten Arbeitsplatz in der Digitalwirtschaft bedroht. Unabhängig davon, wie realistisch diese Zahl ist, dürften zahlreiche Onlinemedien, die auf Werbeeinnahmen angewiesen sind, diese Gesetzesreform nur schwer überstehen.
Stärker zentralisiertes Web
Tracking ist eine vertrackte Angelegenheit: Die Verordnung könnte unerwünschte Nebenwirkungen haben. Sie unterscheidet nicht mehr zwischen personalisiertem und pseudonymen Tracking. Denn meistens wissen die Vermarkter trotz ihrer Profile nicht, wer da vor dem Bildschirm sitzt. Die Nutzer sind für sie Nummern, denen allerlei Merkmale wie ungefähres Alter, vermutliches Geschlecht, besuchte Websites und so weiter zugeordnet sind, sodass eingekreist werden kann, zu welchen Zielgruppen die Person gehört, nicht aber so ohne weiteres, wer sie ist. So wissen die Werber vielleicht, dass eine schwangere Frau gerade einen Text liest, der Werbung für Babyartikel einblendet – aber eben nicht, dass es sich genau um Erika Mustermann handelt.
Es sei denn, die Anbieter heißen Facebook, Google und Amazon. Bei ihnen melden sich die Nutzer meistens bewusst unter echtem Namen an. Auf Basis der Nutzerdaten, die sie sowieso im Rahmen der ganz normalen Nutzung gewinnen, wissen diese Plattformen meistens genau, wer da vor dem Rechner sitzt, und können weiterhin personalisierte Werbung ausspielen. Und ausgerechnet diese großen Plattformen könnten durch die EPVO noch gestärkt werden. Zwar dürfen sie außerhalb der eigenen Plattformen nicht mehr tracken, aber die Verlage, die dringend auf Onlinewerbung angewiesen sind, könnten sich gezwungen sehen, auf genau diesen großen Plattformen unterzuschlüpfen.
Verabschiedung verzögert sich
Oder sie gründen eigene Plattformen wie Verimi, das dieses Frühjahr einen Fehlstart hingelegt hat, oder die angekündigte Login-Allianz von Pro-Sieben-Sat1, RTL und United Internet. Interessante Inhalte gibt es dann nur noch nach Login und natürlich weiterhin mit Werbung. So oder so würden sich die Inhalte im Internet noch stärker auf einige wenige, große Plattformen konzentrieren. Eine andere Folge könnte sein, dass sich Paywalls noch weiter verbreiten. Denn durch das Login wird es den Verlagen wieder möglich, die Leser zu identifizieren und personalisierte Werbung einzubauen. Der Preis für die Paywall selbst kann dann entsprechend niedriger ausfallen.
Wahrscheinlich ist dem Lobby-Druck geschuldet, dass die E-Privacy-Verordnung noch nicht vom EU-Parlament verabschiedet wurde. Geplant war ihr Inkrafttreten ursprünglich für den 25. Mai 2018 zeitgleich zum Ende der Übergangsfrist der DSGVO. Allerdings hat sich der EU-Rat, in dem die Mitgliedsländer vertreten sind, noch nicht auf eine Position zur E-Privacy-Verordnung verständigt. Ein Inkrafttreten wird derzeit nicht vor 2019 erwartet und könnte von der dann anstehenden Europawahl weiter verzögert werden.
Wer direkt oder indirekt mit tracking-basierter Onlinewerbung Geld verdient, sollte sich aber schonmal nach neuen Strategien umsehen. Nur schemenhaft zeichnen sich künftige Plattformen ab, auf denen Verlage ihre Inhalte vermarkten könnten, wenn sie nicht auf eigene Paywalls setzen möchten. Für Onlinewerber gibt es ebenfalls erste Ideen: So könnten die Ads künftig nicht mehr anhand des Nutzerverhaltens ausgewählt werden, sondern anhand des Umfelds und Themas der Website, auf der sie eingeblendet werden soll. Einigermaßen sicher ist nur, dass all diejenigen Medien kaum betroffen sein werden, die auf das Einblenden von Onlinewerbung und Tracking-Cookies ohnehin schon verzichten: private Blogs, nichtkommerzielle Websites oder auch die Angebote der öffentlich-rechtlichen Rundfunkanstalten.
Die E-Privacy-Verordnung als auch die DSGVO regelt nichts anderes als den vertrauenswürdigen Umgang mit personenbezogenen Daten. Dies sollte heute eigentlich eine Selbstverständlichkeit sein. Leider ist dem nicht so – deshalb die Gesetzgebung.
Wie kann man dem als Unternehmen oder Organisation dem begegnen? – Im Grunde ganz einfach: Es geht darum, wie man mit den persönlichen Daten eines Kunden oder potentiellen Geschäftspartners umgeht. Natürlich benötigt man diese Daten um eine Geschäftsbeziehung aufzubauen. Das ist auch weiterhin kein Verbrechen. Es geht darum, diese Daten auch für den potentiellen Geschäftspartner transparent zu machen. Das gelingt aber dann, wenn man ein klares und transparentes Verfahren – nach innen wie auch nach außen – definiert, und dieses für einen potentiellen Partner auch nachvollziehbar macht.
Transparenz ist hier das Stichwort. Geschäftsprozessmanagement Systeme helfen eben diese Lücke zu schließen. Über einen Geschäftsprozess wird definiert wie Datenverarbeitung gehandhabt wird, welche Ziele man verfolgt und welchen Nutzen das für den Kunden bringt.
Open Source Software wie Imixs-Office-Workflow hilft Unternehmen genau diese Prozesse zu managen und für Kunden transparent zu machen. Das ganze ist im Grunde trivial…..
Viele Grüße