Adzine Top-Stories per Newsletter
PROGRAMMATIC

DSGVO: Erschreckend uneinheitlich

Von Jens von Rauchhaupt, 9. Mai 2018
Bild: Platform 161 Christopher Reher

Das neue Positionspapier der Datenschutzkonferenz (DSK), der Google Consent und dann auch noch eine plötzliche Textänderung in der DSGVO (GDPR): Die digitale Werbebranche ist derzeit nicht zu beneiden. Gerade im Bereich Programmatic Advertising ist die Unsicherheit besonders groß, weil dort Maschinen und Plattformen automatisiert miteinander kommunizieren. Was liegt also näher als mit einem Rechtsexperten zu sprechen, der für einen Adtech-Anbieter an der DSGVO-Umsetzung arbeitet. Bei Christopher Reher, Projects & Privacy Director bei der Demand-Side-Platform (DSP) Platform 161 wurden wir fündig.

Chrisopher Reher ist nicht nur Jurist, sondern auch ein waschechter Online-Marketing-Experte. Er arbeitete bereits für die Performance-Marketing-Schmiede TRG, den Cross-Screen-Vermarkter Undertone und den Video-Marktplatzanbieter SpotX. Für die DSP Platform 161 berät er sowohl die eigenen Mitarbeiter als auch die Kunden bei der Umsetzung der DSGVO.

ADZINE: Herr Reher, wie ist bei Platform 161 der Stand der Dinge? Es sind ja nur noch wenige Wochen; alles fix und fertig für den 25. Mai? Und wie sieht es mit Ihren Kunden und den europäischen Publishern aus? Geben Sie uns doch bitte einen kleinen Einblick, wo es überall noch etwas zu tun gibt.

Christopher Reher: In der Tat sehe ich dem 25. Mai entspannt entgegen. Wir treffen derzeit letzte Vorbereitungen und schließen Implementierungen ab, haben aber bereits erfolgreich Pre-Audits durchgeführt und sind absolut davon überzeugt, unsere Services gerade auch in einer Welt post-25. Mai rechtssicher anbieten zu können und mit unseren Kunden vertrauensvoll und transparent zusammen zu arbeiten.

In der Marktschau muss ich jedoch sagen, dass sich noch immer ein erschreckend uneinheitliches Bild ergibt. Das ist nicht nur im Bereich der rechtssicheren Dokumentation von Datenverarbeitungsprozessen zu sehen – noch heute stellen wir in Gesprächen fest, dass die Unternehmen schlicht zu spät mit der Projektierung angefangen haben – , sondern speziell auch im Bereich der rechtlichen Grundlage der Datenverarbeitung des Unternehmens bzw. des Angebotes an sich.

Hier stellt sich primär die Frage, ob eine Datenverarbeitung auf legitimen Interesse basieren kann oder doch eher eine Einwilligung des Nutzers als zu bevorzugende rechtliche Grundlage gewollt ist.

Zwar gibt es bereits verschiedene erfolgversprechende Initiativen, wie zum Beispiel das IAB EU Transparency & Consent Framework, den Ansatz der European NetID Foundation und auch die Login-Allianz Verimi. Diese scheinen aber leider noch nicht marktweit akzeptiert zu sein und zeigen weiterhin auf, dass es gerade noch keine einheitliche Lösung für den Markt gibt. Gerade eine solche Lösung ist jedoch unabdingbar und muss auch im europäischen Kontext stimmen, denn schließlich ist die DSGVO die europäische Antwort auf uneinheitliches und teils für die Nutzer negatives Datenhandling aller datengetriebenen europäischen Unternehmen.

ADZINE: Wo sehen Sie überall diese Uneinheitlichkeit?

Reher: Die Uneinheitlichkeit betrifft hier schon die Markteilnehmer selber. Publisher tendieren zu legitimen Interesse um bestehende Geschäftsmodelle beizubehalten. Agenturen, Adtech-Anbieter, Kunden und dergleichen tendieren dagegen eher zu einem einwilligungszentrischen Ansatz, um das Vertrauen der Nutzer zu wiederzuerlangen und auch langfristig, mit Blick auf die noch im Raum stehende E-Privacy Verordnung schon jetzt rechtssichere Datensätze aufzubauen. Hier spielt der erfolgte Schwenk Googles hin zur Opt-In-Lösung eine zentrale Rolle, da damit ja bekanntlich ein nicht unerheblicher Teil quasi schon festgelegt worden ist.

Weiterhin sehen wir durch die Gespräche, die wir als international agierende DSP führen, dass die einzelnen Ansätze auch länderspezifisch unterschiedlich angegangen werden. Während wir in den Nordics und generell im angelsächsischen Bereich einen Fokus auf Einwilligungslösungen sehen, sind zum Beispiel Deutschland, mit der Sonderregelung über das Telemediengesetz (TMG), und auch die Niederlande, zumindest im Bereich einiger Publisher, eher auf ein legitimes Interesse fokussiert.

Insgesamt kann also gesagt werden, dass es nicht an Ideen mangelt um Datenerhalt und -verarbeitung auf rechtlich solide Füße zu stellen, es aber sehr wohl an der marktübergreifenden Zusammenarbeit und damit einer einheitlichen Lösung des Sachverhaltes mangelt. Außerdem muss man wohl konstatieren, dass noch immer nicht genug getan wird um das Datensubjekt, also den Nutzer an sich, darüber aufzuklären, weswegen Daten eigentlich das Lebensblut des freien Internets sind und das Teilen von Daten – sofern es eben kontrolliert und bewusst erfolgt – zu einem erheblichen Mehrwert für den Nutzer werden kann.

ADZINE: Nun pochen die Datenschützer im DSK auf eine Einwilligung, wollen also vom „berechtigten Interesse“ als Rechtfertigungsgrund fürs Werbetracking abrücken. Zudem hat der Europäische Rat ein Corrigendum veröffentlicht, eine 386 Seiten starke Ergänzung und Klarstellung zur Datenschutzgrundverordnung. Dort wurde in Art. 25 Abs. 2 S. 1 berichtigt „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. In der Berichtigung wird das Wort „grundsätzlich“ entfernt. Was ist von diesen Änderungen aus Sicht eines Advertisers, der programmatisch Media einkaufen will, zu halten?

Reher: Vielleicht zuerst einmal zu dem Corrigendum. Es scheint mir schon ein wenig abenteuerlich, so kurz vor der tatsächlichen Anwendbakeit noch umfassende sprachliche Änderungen an dem Gesetzeswerk vorzunehmen, speziell wo klar sein dürfte, dass im juristischen Kontext gerade jedes inkludierte oder eben weggelassene Wort erhebliche Auswirkungen für Rechtsanwender und -betroffene haben kann und hat. Hier zeigt sich jedoch lediglich erneut, dass noch immer eine erhebliche Diskrepanz zwischen der politisch gewollten und der real umsetzbaren Datenschutzwelt besteht, welche sukzessive abgebaut werden muss um ein optimales Zusammenwirken und damit einen validen Datenschutz zu ermöglichen. Dies ist speziell auch in Bezug auf das technische Verständnis auf Seiten des Gesetzgebers zu verstehen, da noch immer und immer wieder offensichtlich wird, dass bei der Konzeption des DSGVO in großen Teilen der Idealismus und Wunsch über den praktischen Umsetzungsgedanken gesiegt hat.

Bei der von Ihnen angesprochenen Textstelle sehe ich jedoch nur bedingt ein Problem. Im juristischen Sprachgebrauch steht „grundsätzlich“ als Formulierung in der Regel gerade nicht für einen Ausschluss, sondern für eine Erweiterung der Möglichkeiten. Wenn ich betone das etwas grundsätzlich zulässig ist, dann lasse ich damit auch immer Raum für Fälle die gerade nicht im Grundsatz anfallen, sondern spezieller Natur sind. Streiche ich im vorliegenden Fall also „grundsätzlich“ so helfe ich tatsächlich dem Rechtsanwender, denn ich nehme diesen Spielraum weg und fokussiere komplett auf die Verarbeitung der personenbezogenen Daten und damit ja eigentlich nur genau auf das, worauf die DSGVO anwendbar ist und sein darf, nämlich in Bezug auf personenbezogene Daten natürlicher Personen und eben nicht möglicherweise auch auf andere Daten.

ADZINE: Und wie bewerten Sie das Positionspapier der DSK zur Einwilligung?

Reher: Bezüglich der Positionsbestimmung der DSK denke ich, dass hier natürlich bewusst ein Fokus auf Einwilligungslösungen gelegt worden ist, um eben auch für die Zeit nach dem 25. Mai schon einmal eine Richtung vorzugeben. Damit wurde aber ganz klar außer Acht gelassen, dass die DSGVO explizit verschiedene Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten aufführt und diese auch genutzt sehen will.

Die Stellungnahme ist im Prinzip ein erheblicher Vorgriff auf Regelungsinhalte, welche so bewusst vom europäischen Gesetzgeber erst im Rahmen der E-Privacy Verordnung kodifiziert werden sollen. Dass der europäische Gesetzgeber hier bewusst auf eine Trennung gesetzt hat und speziell die schärferen Anwendungsgrundlagen auf mögliche direkte Eingriffe auf das Endgerät der Nutzer beschränkt, und gerade nicht auch auf Reichweitenmessung und werbemittelbezogenes Targeting bezogen hat, sollte als eindeutiger Fingerzeig verstanden werden hier nicht Dinge zu vermischen, die schon der europäische Gesetzgeber getrennt sehen will.

Auch vor dem Hintergrund der just veröffentlichten Stellungnahme der Artikel29-Arbeitsgruppe (Guidelines on consent under Reglation 2016/679) ist der von der DSK gefasste Entschluss durchaus bedenklich und nicht gerade zur Aufklärung von Unsicherheiten geeignet. Die Artikel29-Arbeitsgruppe weist explizit drauf hin, dass Unternehmen darauf achten sollten, nicht zu viele Verarbeitungen auf eine Einwilligung zu stützen. Stattdessen sollten sie um so mehr spezifisch einzelne Fälle abwägen und dann nach Bedarf mit einer Einwilligungsmechanik zu versehen.

Ein Votum hin zu einem generellen Gebrauch der Einwilligung als einzig valider rechtlicher Grundlage für die Verarbeitung von personenbezogenen Daten, erscheint als eine unnötige Pauschalisierung. Dadurch werden allen Beteiligten des Umsetzungsprozesses unnötige Härten auferlegt und die von allen gewünschte juristische Trennschärfe aufgeweicht.

Schlussendlich muss man vielleicht noch einmal darauf hinweisen, dass es sich laut DSK bei der Stellungnahme um eine Positionsbestimmung handelt. Eine Positionsbestimmung ist qua Natur kein Beschluss und damit wird bewusst offengehalten, sich nochmals anders zu positionieren.

Hier sollte man Ruhe bewahren, weiter sauber und solide an seinen Lösungen arbeiten und konstant den Dialog mit den Aufsichtsbehörden suchen um zu einer positiven Umsetzung zu kommen.

ADZINE: Google verlangt von den Publishern per se eine Einwilligung, und greift eigentlich damit der E-Privacy-Verordnung (EpV) vor, die ja mit der DSGVO noch gar nicht in Kraft tritt. Zudem will Mountain View laut US-amerikanischen Quellen nur noch mit zwölf Adtech-Partnern zusammenarbeiten, über die der Publisher eine Einwilligung (Consent) einholen kann. Welche Relevanz könnte dies aus Ihrer Sicht für den Programmatic-Advertising-Markt in Deutschland haben?

Reher: Wie eingangs bereits angedeutet ist dieser Schritt von Google natürlich ein massiver Fingerzeig an den Markt, in welche Richtung es in Bezug auf die rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten gehen wird. Mit Google gehen erhebliche Teile des Marktes in Richtung einwilligungsbasierter Lösungen und das unabhängig davon, ob diese tatsächlich die richtige, notwendige oder gesetzlich angezeigte Lösung ist. Speziell die bereits aufgezeigten Modelle die sich eher am legitimen Interesse orientieren, haben durch diesen Schritt einen erheblichen Schlag erhalten. Nur jene die tatsächlich ohne Google Traffic oder Produkte leben können oder wollen, werden es sich leisten können diesen Schritt zu ignorieren.

Das es sich hierbei um einen Vorgriff auf die E-Privacy-Verordnung handelt, stimmt insoweit, dass eben generell und unabhängig von der eigentlich notwendigen rechtlichen Basis eine Einwilligung verlangt wird. Dies sollte aber eigentlich keine gesonderte Panik auslösen, denn die Anforderungen für die EpV und die Anforderungen der DSGVO decken sich in der praktischen Umsetzung doch recht weit. Zudem muss man mit klarem Blick auf beide Gesetze und bei ordnungsgemäßer Herangehensweise eigentlich schon jetzt die Pläne für die E-Privacy-Verordnung und damit für einen stärkeren Fokus auf die Einwilligung zumindest bedacht haben.

Ein Fokus auf zwölf Adtech-Partner würde ganz in den grundsätzlichen, marktbereinigenden Ansatz der DSGVO passen. Auf der anderen Seite diktiert Google hiermit den Partnern ganz explizit, mit wem diese wie zusammenarbeiten können und festigt somit erneut die eigene Position.

Auch scheint diese Zahl dahingehend fragwürdig, dass sie zumindest ein wenig willkürlich ausgewählt erscheint. Eine Relevanz in Form der Bereinigung, aber auch Supply-Verknappung wird dies sicherlich haben. Folglich könnten Revenues eindeutig betroffen werden.

Man sollte jedoch nicht außer Acht lassen, dass durch die bereits angesprochenen und existierenden Ansätze und den sehr restriktiven, nicht unbedingt publisherfreundlichen Ansatz Googles, eine hohe Chance besteht, dass nicht viele Partner tatsächlich auf die Consent Management Platform (CMP) von Google zugreifen werden.

Ebenfalls eröffnet sich hierdurch die Chance, gerade auch für kleinere Anbieter, wieder in einen eigentlich verschlossenen Markt zu kommen und durch Transparenz und Verlässlichkeit Vertrauen zu gewinnen und so ein langfristiger und guter Partner für all jene zu sein, die eventuell mit dem aktuellen Gebaren Googles und dessen potentiellen Konsequenzen nicht unbedingt glücklich sind.

Schlussendlich wird man wohl abwarten müssen, in wie weit und welche CMP sich durchsetzen wird. Nachfolgend werden sich dann auch sicherlich die angesprochenen Beschränkungen nochmals relativieren.

ADZINE: Herr Reher, vielen Dank für dieses interessante Gespräch!