ADZINE: Hallo Herr Reher, als Managing Director von Platform 161 sind Sie als Tech-Anbieter im Programmatic-Markt aktiv. Als studierter Jurist bringen sie jedoch auch Expertise im Bereich Datenschutz und Gesetzgebung mit. Vor einem Jahr befand sich die Branche noch in heller Aufregung. Die DSGVO stand bevor. Alle versuchten noch rechtzeitig, die ihre Systeme den neuen Vorgaben entsprechend anzupassen. Wenn sich werbetreibende Unternehmen heute eine Datenstrategie zurecht legen, was sollten sie auf jeden Fall beachten?

Christopher Reher: Werbetreibende sollten heutzutage zuallererst differenzieren, wie sie Nutzerdaten verwenden wollen. Es gibt eine Vielzahl von Maßnahmen, die sich auch ohne Einwilligung des Nutzers abbilden lassen, da sie über das legitime Interesse oder vertragliche Verpflichtungen abgedeckt sind. Sie hängen zwar mit personenbezogenen Daten zusammen, aber dienen nicht der Profilbildung. Erst in dem Moment, in dem Werbetreibende Nutzerdaten für Tracking oder Profilbildung zwecks besserer Werbeansprache nutzen, verlassen sie das Feld des legitimen Interesses und eine Einwilligung des Nutzers wird fällig.

Daher ist es für Unternehmen wichtig, den Kontext der Datenverarbeitung in Betracht zu ziehen. Sie sollten nicht pauschal für alles eine Einwilligung einholen, da nicht für jeglichen Datengebrauch die Einwilligung gegeben werden muss. Wurde jedoch pauschal alles abgefragt und der Nutzer hat sich dagegen entschieden, dann bleiben die andernfalls verfügbaren Daten den Unternehmen verschlossen.

ADZINE: Durch die DSGVO ist das Einholen einer Einwilligung des Nutzers für Werbetreibende an zentrale Stelle gerückt. Kommen Unternehmen dieser Aufgabe nach?

Reher: Die DSGVO regelt ziemlich genau, dass für eine Profilbildung des Nutzers auch seine Einwilligung vorhanden sein muss. Auch wenn es häufig nicht so wahrgenommen wird, ist die Einwilligung kein Selbstzweck. Sie soll dazu dienen, dem Nutzer zu erklären, was mit seinen Daten geschieht, und ihn zu überzeugen, dass eine Verarbeitung der personenbezogenen Daten zu seinem Vorteil geschieht. Nutzer sollen Willens sein, mit ihren Daten für den jeweiligen Service zu „bezahlen“. Die Einwilligung ist nicht einfach nur das in Kenntnis setzen, sondern soll eine aktive Partizipation zwischen dem Unternehmen, das die Daten nutzen möchte, und dem Nutzer sein. Der Nutzer soll dem gewahr sein und dieses Verhältnis steuern können.

Momentan ist es allerdings immer noch verbreitet, dass Unternehmen die Einwilligungserklärung etwas verstecken oder implizit einholen, indem sie den Nutzer darauf hinweisen, dass er sich durch Nutzung ihrer Angebote automatisch einverstanden erklärt, seine Daten weiterzugeben. Dies gilt zwar landläufig immer noch als Einwilligung, aber wirksam nach DSGVO ist es nicht.

Für die Einwilligung nach DSGVO gelten folgende Vorgaben: Die Einwilligung muss individuell bzw. persönlich sein und sie muss von jemanden gegeben werden, der informiert worden ist und sie freiwillig abgibt.

Die größte Herausforderung besteht meistens in der Informiertheit und Freiwilligkeit des Nutzers. Die Information darf nicht zu kompliziert sein und muss auch für Laien leicht verständlich sein. Zudem darf die Einwilligung nicht an Services gekoppelt sein. Es gibt mittlerweile eine Reihe von Urteilen, die klarmachen, dass nicht jede Einwilligung nach der DSGVO Bestand hat. In der anstehenden ‚Planet 49‘-Entscheidung wird geklärt werden, wie tiefgehend eine Einwilligungserklärung sein muss. Dem Nutzer muss erklärt werden, welche Daten zu welchem Zweck von ihm erhoben werden, und ihm muss vor allem die Wahl gelassen werden.

ADZINE: Ist es seit dem 25. Mai nicht recht still geworden? Bis auf wenige prominente Fälle, wie Google und Facebook, hörte man nur wenig von den bisherigen Konsequenzen der DSGVO. Wie sehen Sie den Markt?

Reher: Tatsächlich tut sich ziemlich viel. Es gibt mittlerweile eine Reihe von Urteilen, die die DSGVO weiter präzisieren. Beim Facebook-Fanpage-Urteil stand zum Beispiel im Mittelpunkt, wer bei der Datenverarbeitung verantwortlich ist. Ein weiteres Urteil im Fall der „Fashion ID“ ging auf die Verantwortlichkeit von Datenverarbeitung bei der Verwendung von Drittanbieter-Plugins auf einer Homepage ein. Dies bezog sich auch auf Social Buttons. Bei der ‚Planet 49‘-Entscheidung geht es konkret um die Frage, ob man die Einwilligung für das Platzieren eines Cookies braucht, das keine persönlichen Daten sammelt. Zudem werden die Datenschutzbehörden zunehmend aktiv. Sie stellen immer häufiger auch Anfragen und beteiligen sich aktiv an der Diskussion.

Ich sehe im Markt häufig noch das Festhalten an alten Modellen. Im angelsächsischen Bereich werden häufig noch Lösungen verwendet, die eher ein Opt-out vorsehen. In Deutschland versucht man die Datennutzung häufig über das legitime Interesse zu rechtfertigen. Es gibt dahingehend eine Sonderregelung in Form des § 15 III TMG als besondere Umsetzung der E-Privacy-Richtlinie hier in Deutschland. Beides sind Vorgehensweisen, die quasi den früheren Status aufrechterhalten wollen.

Wenn ein Unternehmen jedoch in ein Audit-Verfahren gerät und versucht, mit der impliziten Einwilligung die Datennutzung zu rechtfertigen, wird es mit sehr großer Wahrscheinlichkeit scheitern. In den Niederlanden gab es zum Beispiel gerade ein Statement der Datenschutzbehörde (Autoriteit Persoonsgegevens), das besagt, dass Cookie Walls keine Einwilligung erzeugen. Das wäre genau dieser Sachverhalt.

ADZINE: Das sind alles Beispiele, in denen die DSGVO alte Modelle verbietet. Gibt es auch konstruktive Seiten an der Verordnung?

Reher: Ich sehe die DSGVO in erster Linie als eine Art „Ermöglichungsmechanismus“, durch den Unternehmen mit ihren Kunden in Kontakt treten können. Das Schöne an der Einwilligung ist, wenn sie sauber gestaltet ist und den Nutzer abholt, hat man danach absolute Handlungsfähigkeit in dem Rahmen, in dem man aufgeklärt hat. Andersherum könnte man sagen, dass die Leute, die keine Einwilligung geben wollen, vielleicht auch einfach nicht die richtige Zielgruppe sind. Und selbst wenn Nutzer ablehnen, bleibt trotzdem noch die Möglichkeit, sie zielgerichtet über ihr Umfeld anzusprechen.

Ein riesiger Teil der DSGVO ist Dokumentation. Es ist sauberes Abarbeiten von Rahmenbedingungen. Wir haben neue Spielregeln bekommen, die ziemlich genau und präzise sind und sich umsetzen lassen.

ADZINE: Um die Einwilligung einzuholen, setzen viele Unternehmen auf Consent-Management-Plattformen (CMPs). Hierbei gibt es jedoch immer wieder Beispiele, bei denen sich das Opt-out durch verschachtelte Menüs schwierig gestaltet. Wie kann das sein?

Reher: Wir befinden uns momentan noch in einer Phase, in der viele Unternehmen Lösungen auf den Markt werfen, die rechtlich nicht einwandfrei sind, dies aber häufig versprechen. Eine CMP muss die komplette Kommunikation mit allen verwendeten Tracking-Anbietern abbilden. Weiterleitungen auf die Seiten der Anbieter sind hierbei nicht optimal. Der Nutzer sollte möglichst auf einer Oberfläche die volle Kontrolle über die Daten haben, die er zur Verwendung freigibt.

Zudem stellt sich generell ein Problem dar, wenn CMPs nach dem Opt-out-Prinzip funktionieren, sprich der Nutzer die Dienste abwählen muss, die nicht auf seine Daten zugreifen sollen. Dieser Herangehensweise liegt quasi das legitime Interesse des Kunden zugrunde. Solange er nicht sein Opt-out gibt, würde die Möglichkeit des legitimen Interesses bestehen.

Nach der DSGVO funktioniert dieses Modell jedoch eigentlich nicht mehr. Wenn der Nutzer partizipieren soll und Plattformen nach der Divise „Privacy by Default“ vorgehen, dann sollte eine CMP in ihrer Ausgangseinstellung alle Dienste deaktiviert haben und der Nutzer sollte seine Daten nach vorangegangener Information freiwillig abgeben. Wenn eine CMP von vornherein so eingestellt ist, dass sie alles erlaubt, dann ist das ein grundsätzlicher Widerspruch zur Idee der DSGVO.

ADZINE: Die besprochenen Szenarien beziehen sich meist auf das Tracking im Browser. Es gibt jedoch auch im In-App-Bereich Anbieter, die ihre SDKs in Apps verbauen und dadurch andere Apps oder Handlungen des Nutzers auf dem Smartphone mitmessen können. An welcher Stelle müssen App-Nutzer aufgeklärt werden? Schon im App Store? Oder beim Starten der App?

Reher: In diesem Fall stellt sich die Frage, wo der Datenverarbeitungsprozess angesetzt ist. Der Google Play Store kommuniziert zum Beispiel bereits frühzeitig über Bild und Text, auf welche Daten zugegriffen wird. In diesem Rahmen kann auch mitgeteilt werden, dass personenbezogene Daten genutzt werden.

Wenn die Datenverarbeitung noch nicht mit der Installation der App startet, dann würde auch ein zusätzlicher Layer beim ersten Start der App ausreichen, um den Nutzer zu informieren und sich das Einverständnis einzuholen.

ADZINE: Die DSGVO unterscheidet Controller und Processor und regelt die Verantwortlichkeiten. Wie sieht es diesbezüglich im App-Bereich aus? Stehen Apple und Google durch ihre App Stores auch in der Verantwortung?

Reher: Tatsächlich gibt da das Facebook-Fanpage-Urteil sehr gut Auskunft. Das besagt, wenn ein Unternehmen das Initial für eine Datenverarbeitung setzt, egal wie viel Kontrolle es letztendlich über die Daten hat, gilt es trotzdem als (Co-)Controller. Es ist allerdings nicht im gleichen Rahmen haftbar wie das Unternehmen, das tatsächlich die Daten nutzt. Anders sieht es aus, wenn sich ein Unternehmen dazu entscheidet, beispielsweise das Plugin eines Dritten auf der eigenen Homepage zu installieren, wie es bei der Fashion ID der Fall war. Dem Anwender dieses Plugins ist dann klar, was das Plugin bezweckt. Auch hier besteht eine Co-Controller-Beziehung, allerdings ist die Haftbarkeit eher angeglichen.

Diese Fälle lassen sich nun auf den App-Bereich abstrahieren. Der Play Store klärt bei der initialen Nutzung auf, welche Daten abgerufen werden. Das heißt, Google nimmt sich der Aufklärung des Nutzers schon an. Wenn App-Betreiber sich dazu entscheiden, ein Dritt-SDK einzubauen, werden sie dies in irgendeiner Form auch verantworten müssen. Der SDK-Betreiber selber wird sich ebenfalls nicht aus der Verantwortung ziehen können. All diese Instanzen treten damit als Co-Controller in den einzelnen Bereichen auf. Die Urteile führen dazu, dass es die frühere Beziehung zwischen Controller und Processor eigentlich gar nicht mehr gibt. Stattdessen ist jeder Controller. Sie sind keine Gehilfen mehr, die etwas ausführen, sondern aktive Teilnehmer am Prozess.

ADZINE: Vielen Danke für das aufschlussreiche Gespräch, Herr Reher. Wir sehen uns auf dem Mobile Ad Summit!