Trackingarmageddon 2

Zeichnung eines geschlossenen Schloss

03/20 Welche Alternativen wird es geben?

Wie gestaltet sich die aktuelle Rechtslage?

Vor der Einführung der Datenschutzgrundverordnung (DSGVO) im Jahr 2018 galt noch eine veraltete Datenschutzrichtlinie für elektronische Kommunikation bzw. die „ePrivacy-Richtlinie“ (Richtlinie 2009/136/EG). Zusammen mit der Einführung der DSGVO sollte auch diese ePrivacy-Verordnung neu eingeführt werden, da die DSGVO selbst die Frage der Cookies nicht eindeutig beantwortet. Zur Version der ePrivacy-Verordnung zum Starttermin der DSGVO am 25. Mai 2018 wurde jedoch sehr viel Kritik aus unterschiedlichen Bereichen der Adtech-Branche geäußert, wonach das Inkrafttreten der Verordnung verschoben wurde. Aktuell ist dieses erst ab 2021/22 geplant. 
Zusätzlich dazu hat sich die EU in dem sogenannten EuGH-Urteil zu Cookies und dem Facebook Like-Button geäußert. Was sagt dieses hauptsächlich aus und worauf müssen ein Webseitenbetreiber und Marketer beispielsweise beim Einbau von Plug-Ins, die Third-Party-Cookies fördern, zum Beispiel beim Like-Button von Facebook, achten?

  • Webseitenbetreiber sind ebenso verantwortlich für Datenschutzverstöße wie Facebook selbst.
  • Die ungefragte Übertragung von Third-Party-Cookies, also in diesem Sinn auch von Nutzerdaten, durch den Facebook Like-Button verstößt gegen europäisches Datenschutzrecht.
  • Wettbewerbsverbände können Webseiten, die den Facebook Like-Button ohne explizite Einwilligungsmöglichkeit des Users eingebunden haben, kostenpflichtig abmahnen!
  • Cookies zu Trackingzwecken müssen durch den User explizit eingewilligt werden. Eine bloße Information darüber reicht nicht aus.

Was bedeutet die neue ePrivacy-Verordnung konkret für die Praxis?

Die ePrivacy Verordnung besagt, dass es keine „stillen Zustimmungen“ mehr geben darf. Dies wird durch den Artikel 9 dieser Verordnung beschrieben. Es bedarf nämlich einer auffälligen Information, dass Daten erhoben werden. Dem muss ausdrücklich durch den User zugestimmt werden, davor darf kein Datentransfer stattfinden. Dies ist nach Auslegung des Gerichtsurteils der korrekte Weg. 

Was kann uns demnächst erwarten?

1. Die großen Browseranbieter blocken 3rd-Party-Cookies

Das Verlangen und Bewusstsein nach Privatsphäre und Datenschutz in der Gesellschaft ist in den letzten Jahren stark gestiegen. Deswegen haben bereits Browser wie Mozilla Firefox und Safari den Einsatz von Third-Party-Cookies komplett blockiert. Nun hat auch der Riese Google Chrome angekündigt, 2022 die Unterstützung eben solcher Third-Party-Cookies komplett einzustellen. Für die Adtech-Branche würde dies aber bedeuten, dass sie sich komplett neu aufstellen müssten. Alwin Viereck, Head of Programmatic Advertising und Ad Management bei United Internet Media (UIM) hat es ganz passend auf den Punkt gebracht: 

„Ohne Cookies gebe es keine Identität, ohne Identität keine Daten für das Targeting, ohne Targeting keinen Demand (Nachfrage) mit direkter Auswirkung auf den Umsatz.“

Besonders die ohnehin gefährdeten Zeitungsverlage stehen nun vor einem weiteren, massiven Problem: Das Finanzierungsmodell von Verlagen ist denkbar einfach, nämlich a) reiner Absatz von Ausgaben und b) Werbeeinnahmen. Dadurch, dass Printumsätze statistisch zurückgehen und somit die Verlage auf Online umsteigen, bedeutet das Third-Party-Cookie Aussterben nun weitere Einbußen in den Einnahmen, wenn nicht eine Alternative geschaffen wird.

2. NEU: Cookieless Tracking von Google

Eine Lösung ist jedoch in Sichtweite. Google hat im August 2019 bekanntgegeben, dass sie an einer sogenannten „Privacy Sandbox API“ arbeiten. Diese soll 2022 als Schnittstelle im digitalen Werbemarkt als Ersatz für den klassischen Tracking-Cookie fungieren. Cookieless Tracking ist hier das Stichwort. 
Diese Sandbox von Google kann man durchaus bildlich verstehen: Google Chrome soll durch diese Privacy Sandbox abgeschottet von der restlichen Internetwelt User-Informationen intern im Browser speichern, ohne dass Dritte darauf Zugriff haben. Daraus stammt das Bild der Sandbox: der Rahmen vom Sandkasten schützt auch den Sand des Rests des Spielplatzes. Tech-Unternehmen sollen dann die Möglichkeit erhalten, mittels einer Schnittstelle diese Daten zwecks Personalisierung und Messung abrufen zu können, ohne besonders schützenswerte persönliche Daten der User, die nichts mit Werbezwecken zu tun haben, einsehen zu können. 
Allerdings sollen durch die Privacy Sandbox keine einzelnen User adressiert werden, sondern Usergruppen z.B. mit ähnlichem Browserverhalten zusammengefasst und erst ab einer bestimmten Größe abrufbar sein. Der Vorteil daran wäre, dass mit Hilfe dieser gebildeten Kohorten keine Rückschlüsse auf Individuen gezogen werden können, anders als es beim Fingerprinting der Fall ist. Dies soll laut Google die Privatsphäre fördern. Dadurch können in der Theorie Third-Party-Cookies überflüssig werden. 
Jedoch: Erste Tests sollen erst Ende 2020 erfolgen. Dabei werden klickbasierte Conversions in Chrome ohne die Hilfe von Third-Party-Cookies gemessen und über die Privacy Sandbox ausgegeben werden. 

3. Eine mögliche Alternative: „Project Rearch"

Eine weitere Idee wurde vom Fachverband für interaktives Marketing (IAB) am 10.02.2020 auf der jährlichen Hauptversammlung in Palm Springs vorgestellt: Das „Project Rearc“. Mit minimalster Einhaltung der DSGVO soll ein browserübergreifender Identifier entwickelt werden, der anhand verschlüsselter E-Mail-Adressen oder Telefonnummern zwar User-Informationen bezieht  diese aber nicht auf den Unique-User zurückzuführen sind. Dies soll die neue Lösung in Zeiten des Aussterbens von Third-Party-Cookies sein. Wie das jedoch umgesetzt wird und ob solch ein Prinzip, was eigentlich mit sehr sensiblen Daten arbeitet, wirklich datenschutzkonform ist, wird sich demnächst zeigen.
Auch fusedeck hat eine Alternative entwickelt. Laut deren Idee wird ohne eine vorhergehende Opt-in-Zustimmung die IP anonymisiert. Die gesammelten Daten werden nicht für eigene Zwecke verwendet, sondern nur an den entsprechenden Auftraggeber weitergeleitet. Erst bei einem ausdrücklichen Opt-in des Users werden Cookies gesetzt, welche aber auch als Salt Hash (erhöhte Sicherheit) verschlüsselt werden. 
Ausblick
Eins steht fest: der Online-Werbemarkt wird sich drastisch ändern! Nur bleibt die Frage offen, welche Folgen daraus resultieren. 

  • Wird sich Google als Vorreiter und Brancheführer durchsetzen mit ihrer Privacy Sandbox?
  • Oder sind ganz andere Methoden von Nöten, um den Zeitgeist der Datenschutzaffinität der Gesellschaft zu treffen? 

Das wird sich aller Voraussicht nach innerhalb der nächsten zwei Jahre entscheiden. 

Bedarf an neuen Kommunikationsstrategien und -ansätzen

Nichtsdestotrotz müssen sich Unternehmen und Agenturen jetzt schon darauf einstellen, dass demnächst andere Werbestrategien konzipiert und umgesetzt werden müssen. Wie werden die Nutzung, Akzeptanz und Relevanz der Inhalte und Angebote der eigenen Website und des eigenen Webshops künftig einigermaßen valide und reliabel ermittelt und gemessen werden können? Wie soll man überhaupt künftig seine User ermitteln und ansprechen? 
Die Konzepte oben weitergedacht, bedeuten einen ziemlich radikalen Umbruch für die Adtech-Branche. Darauf Antworten zu finden ist jetzt die Aufgabe. Unternehmen und Agenturen müssen raus aus der bisher recht komfortablen Cookie-Zone und neue Lösungen und Angebote gestalten. Aber es wäre ja auch langweilig, wenn es keine neuen Aufgaben gäbe.