Die neue europäische Datenschutzverordnung und mögliche Auswirkungen auf unsere Branche21.02.2012

Verfasser: Julian Simons
Kategorie: Mediascale
Schlagworte: , , , , , ,

Selten konnte der DLD aus sich heraus solch eine Aufmerksamkeit generieren, wie durch den zweiten Auftritt der EU-Kommissarin Viviane Reding – nahm sie die Konferenz doch zum Anlass, die tags darauf offiziell vorgestellte neue Datenschutzverordnung vorab zu beschreiben und im besten Licht darzustellen. Für Unternehmen und User birgt diese Verordnung in den unterschiedlichsten Bereichen erhebliche Veränderungen. Ich möchte drei aus werbungtreibender und agenturseitiger Sicht sehr relevante Faktoren darstellen:

  1. Eine einheitliche Datenschutzverordnung für die gesamte EU (Level Playing Field)
    Ein aus unserer Sicht wichtiger und richtiger Schritt ist die grundsätzliche europäische Vereinheitlichung von nationalen Datenschutzbestimmungen unter dem Dach einer europäischen Verordnung. Dies führt dazu, dass wir beispielsweise bei international ausgelegten Kampagnen eine einheitliche Datenschutzregelung haben und nicht mehr in jedem Land eine Anpassung an entsprechendes Datenschutzrecht vornehmen müssen.
    Darüber hinaus werden alle Unternehmen – auch die, die ihren Hauptsitz nicht in der EU haben – verpflichtet, sich der europäischen Verordnung zu unterwerfen und einen europäischen Datenschutzverantwortlichen zu benennen, was dazu führt, dass bei Verstößen die jeweilige europäische Behörde alleiniger Ansprechpartner ist und nicht mehr die Behörde des Landes, in dem das Unternehmen seinen Hauptsitz hat. Bedeutet, dass sie sich als User mit ihrer Beschwerde nicht mehr an ein US Gericht wenden müssen, wenn Sie ein US Unternehmen belangen wollen, sondern sich hierfür an ein europäisches Gericht wenden können – eine positive und wünschenswerte Regelung!
  2. Das Recht auf Vergessen (Artikel 17)
    Bedeutet, Sie als User dürfen vom “Verarbeitenden” verlangen, dass er die von Ihnen erhobenen personenbezogenen Daten löscht, bzw. dass die Daten gelöscht werden, wenn sie nicht mehr benötigt werden. In der Realität ist dies faktisch unmöglich, denn die Verbreitungsmöglichkeiten von Informationen im Netz sind so vielfältig und unkontrollierbar, dass es für einen Anbieter, der eine personenbezogene Information ins Netz gestellt hat (mit Zustimmung des Users) im Nachhinein faktisch unmöglich ist, diese Information überall zu löschen.
    Ein Beispiel: Sie stellen in Ihrem Xing Profil denen mit Ihnen verbundenen Personen und Gruppen eine neue Information über sich zur Verfügung, bspw. eine neue Jobposition. Sie sind mit 150 Personen verbunden, die diese Information bspw. in einem Artikel oder einer Bekanntmachung nutzen. Sollten Sie aus irgendeinem Grund diese Information nicht mehr öffentlich sehen wollen, könnten Sie nach der neuen Verordnung XING nicht nur verpflichten, diese Information in XING zu löschen, sondern darüber hinaus auch, dass XING Sorge dafür trägt, dass nirgendwo mehr im Netz diese Information verfügbar ist… Merken Sie was? Das ist – so wie die Verordnung heute aufgesetzt ist – operativ unmöglich und der Beigeschmack einer politisch motivierten Verordnung, die ein in der Öffentlichkeit gut platzierbares, technisch aber nicht realisierbares Konstrukt erschafft, bleibt. Denn gerade im Internet ist das Recht auf Vergessen eine Illusion, der wir uns nicht hingeben sollten, nur um einer Verordnung größere Tragweite zu geben.
  3. Definition des Personenbezugs und Form der Einwilligung (Artikel 3 und 4)
    Der für uns als werbetreibendes Unternehmen zentrale Kritikpunkt der neuen Verordnung verbirgt sich in Artikel 3 und 4:
    Die gesamte Verordnung bezieht sich auf personenbezogene Daten, also alle Informationen, die sich auf eine betroffene Person beziehen. Im Originaltext ist eine “betroffene Person eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde, etwa mittels Zuordnung zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.”
    Diese “Betroffenheit” ist laut der Verordnung faktisch durch jeden Nutzungsvorgang gegeben, den ein User im Netz durchführt. In gleichem Zusammenhang steht der sog. Erwägungsgrund 24 der Verordnung, der sich genauer mit Online-Kennungen im Rahmen eines solchen Nutzungsvorgangs auseinandersetzt und klarstellt, dass solche Kennungen auch Cookies sein können: “Dies kann Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind.”
    Merken Sie, wie wenig klar und wie wenig eindeutig und abstrakt diese beiden Textpassagen sind? Zusammengefasst heisst es nur, dass im Moment nicht klar ist, ob es sich bei einem Cookie, wie wir es heute für Kampagnentracking, Targeting oder auch Sitetracking nutzen, bereits um personenbezogene Daten handelt.

 

Mögliche Auswirkungen auf den Online-Werbemarkt?

Aber wenn dem so ist, wären wir in Zukunft verpflichtet, eine lt. Artikel 3 explizite Einwilligung des Nutzers einzuholen, bevor wir einem User irgendeine Form von Cookie setzen, was einem sog. “Opt-In” entsprechen und einen massiven Einfluss auf die gesamt Onlinewerbewirtschaft haben würde. Was dies für einen User beim Surfen auf einer Website bedeuten würde, macht die Internetseite cookiedemosite.eu deutlich. Wir wären verpflichtet, für jedes Kampagnentracking, also jede Überprüfung, ob eine Werbekampagne überhaupt gelaufen ist, den User um Erlaubnis zu fragen – stellen Sie sich vor, wie viele Cookies Sie als User akzeptieren müssten, bis bspw. spiegel.de einmal geladen wäre.
Ein Publisher würde Sie fragen müssen, ob Sie möchten, dass er Ihnen bestimmte Websitebausteine zeigen darf, jegliche Form des Adservings und der Aussteuerung von Kampagnen ist heute durch Cookies geregelt! Ein explizites Opt-In, also eine aktive Zustimmung durch den Nutzer für jedes gesetzte Cookie würde die nationale und europäische Werbewirtschaft im Netz quasi zum Erliegen bringen. Ein Nutzererlebnis, wie oben dargestellt, wird weder der Nutzer noch ein werbungtreibendes Unternehmen akzeptieren. Die auf der Hand liegenden Vorteile einer profilbasierten Kommunikation wie vermarkterübergreifende Kontaktdosensteuerung auf bestimmte Zielgruppen und Motive ohne Eingriff auf die Persönlichkeitsrechte des Einzelnen würden deutlich beschnitten werden. Diesen Beitrag weiterlesen

Datenschutz ist nicht tot. Er riecht nur komisch.21.12.2011

Verfasser: Joachim Schöpfer
Kategorie: Serviceplan
Schlagworte: , , , ,

Nach dem Skandal ist vor dem Skandal:  Joachim Schöpfer über das ewige Scheitern im Umgang mit dem Datenschutz

Wie lange ist es her, dass der Staatstrojaner das Top-Thema in den Medien war? Sechs Wochen? Oder schon acht? Sie wissen schon, das war die Geschichte mit den Münchner Staatsschützern, die nach bayrischer Art ohne Grundgesetz unter dem Arm spionierten. Und zwar mit verwanzten Computern, sprich mit Trojanern. Dass den Staatsschützern danach vor Schreck der Laptop in die Lederhose rutschte, ist dem Chaos Computer Club gedankt und dem Medienhype, der darauf folgte.

Der eine Datenskandal ist jetzt medial abgehakt, aber der nächste kommt bestimmt. Auch dann wird die Entrüstung wieder groß sein, bis sie allmählich wieder nachlässt. So war das beim Telekom-Daten-Skandal, beim Bahn-Daten-Skandal, bei Lidl und so weiter.

Im Moment ist das Thema gerade out. Der richtige Zeitpunkt, um mal etwas Grundsätzliches zu sagen: Die ganze Datenschutzdiskussion ist out. Auf sie trifft das zu, was Frank Zappa einmal so treffend über Jazz gesagt hatte: „It´s not dead, it just smells funny.“

Was lebt, ist das Ritual. Ein Skandal wird entdeckt, die Medien berichten, der Datenschutzbeauftrage fordert härtere Gesetze, alle geloben mehr Datenschutz.

Was dieses Ritual so ermüdend macht ist nicht die Tatsache, dass Skandale aufgedeckt werden. Wer gegen Gesetze verstößt, gehört an den Pranger und vor Gericht. Das Ermüdende ist die Forderung nach schärferen Gesetzen und mehr Datenschutz.

Wir leben in einer Welt, in der jeder Netzbewohner Daten über Daten hinterlässt, meistens sogar freiwillig. Dass Daten in falsche Hände geraten können, gehört zum digitalen Lebensrisiko wie der Autodieb zum Auto. Deshalb sollten Datenschützer ein ähnliches Verhältnis zum Datenmissbrauch haben, wie Polizisten zu Autodieben. Haben sie aber nicht. Datenschützer sind eine Mischung aus selbsternannten Volkserziehern und Jammerlappen. Unsere Datenschützer möchten auf Biegen und Brechen die schützen, die offensichtlich zu dumm sind, den Ernst der Lage zu begreifen. Am besten, indem man das Übel an der Wurzel packt und an jede Innovation schon mal ein Verboten-Schild klebt.

Beispiel gefällig? Nehmen wir die RFT-Technik. Das sind winzige Chips, die, an Produkten angebracht, alles über das Produkt wissen und per Funk auslesbar sind. Potentieller Vorteil: Es wäre z. B. möglich, Abfall viel sortenreiner zu sortieren. Potentieller Nachteil: Man kann herausfinden, wer das Produkt gekauft hat und möglicherweise wird dann vom Hacker in Facebook gepostet, dass Frau Müller sich einen Vibrator zugelegt hat. Die Reaktion der Datenschützer: Missbrauch lässt sich nicht ausschließen, also verbieten.

Mit der gleichen Argumentation hätte man auch soziale Netzwerke und Handys verbieten können. Mubarak, Ben-Ali und Gaddafi hätte das gefreut, denn dann wären sie heute noch an der Macht.

Und genau darin liegt die Crux des Datenschutzes heute: Missbrauchsbekämpfung wird als präventive Aufgabe gesehen. Man vermutet das Schlimmste und nimmt das als Legitimation, um vorauseilend und brachial durchzugreifen. Dass darin auch eine Einschränkung in der Freiheit besteht, ist den Datenschützern nicht bewusst.

Bürgernaher Datenschutz sollte sich darauf konzentrieren, konkreten Missbrauch zu stoppen. Spielverderber haben wir schon genug.

tags

aktuelle kommentare

  • kategorien

  • archiv

meta