Am 26. Oktober 2017 hat sich das EU-Parlament für eine schärfere ePrivacy-Verordnung ausgesprochen. Noch ist der Entwurf kein rechtskräftiger Gesetzestext. Auch ist unklar, ob ein Inkrafttreten zum 25. Mai 2018 gemeinsam mit der EU-Datenschutz-Grundverordnung erfolgen wird. Besonders schwerwiegende Auswirkungen hat die neue Verordnung in der jetzigen Form auf die Medien- und Werbe-Wirtschaft. Aber auch die Verhaltens- und Erfolgsmessung von Websites, Apps und Portalen im Rahmen der Web-Analyse ist in geringerem Ausmaß betroffen.
Daher haben wir für Sie die zentralen Punkte des Entwurfs für den Bereich Digital Analytics (Web-Analyse) zusammengefasst:
- Browser müssen künftig standardmäßig 3rd-Party Cookies blocken (sogenanntes ‚Privacy by Design‘) und granulare Datenschutzeinstellungen ermöglichen, die bindend für Dritte sind: generelle Website-übergreifende Zustimmung bzw. Ablehnung sowie Abfrage pro Website mit (Opt-in-) Zustimmung differenziert nach Zwecken wie (Direkt-) Marketing, Analyse, personalisierte Inhalte, Ortung und Datenweitergabe an Dritte mithilfe einfach und klar verständlicher Symbole.
- Ohne explizite Zustimmung (und sofern kein Opt-out vorliegt) ist nur die Messung von aggregierten Session-bezogenen Nutzungsdaten wie Besuche, Seitenaufrufe und Events ohne Ortung (Geo-Lokalisierung) sowie ohne technische Daten wie Gerätetyp und Browser erlaubt (auch kein technisches Fingerprinting und Ähnliches).
- Details zur Datenerhebung und -verarbeitung müssen wie gewohnt in den Datenschutzhinweisen aufgeführt werden. Gegebenenfalls müssen Websites und Apps auch eigene Opt-in- und Opt-out-Verfahren anbieten.
Was heißt das für die Nutzung von etracker Analytics und Optimiser?
- etracker wird alle Anforderungen rechtzeitig umsetzen.
- Aktuell ist es noch zu früh für eine Anpassung, da die finale Ausgestaltung der Verordnung noch zu ungewiss ist.
- etracker ist bestens vorbereitet, da
- die Besucherwiedererkennung nicht von 3rd-Party Cookies abhängig ist,
- differenzierte Opt-in-Verfahren schon heute möglich sind,
- ein datenschutzkonformes Opt-out-Verfahren schon lange im Einsatz ist,
- wir schon heute ‚Privacy by Design‘ leben zum Beispiel im Hinblick auf die Verarbeitung von IP-Adressen,
- wir im engen Austausch mit Datenschutzbehörden und -experten stehen und stets proaktiv dafür sorgen, dass sich unsere Kunden auf der sicheren Seite befinden.
Was bedeutet die neue ePrivacy-Verordnung generell für Web-Analyse und datengetriebenes Marketing?
Die Zeiten, in denen Unternehmen unbedarft Tools einsetzen können, die Daten erheben und verarbeiten, sind vorbei. Angesicht der empfindlich hohen Geldbußen und möglichen Schadensersatzforderungen müssen Lösungen und Prozesse sehr sorgfältig ausgewählt und implementiert werden.
Allgemein ist damit zu rechnen, dass eine geringere Stichprobe für die Erfolgsmessung zur Verfügung stehen wird. Man darf aber nicht vergessen, dass aktuell auch keine 100% erfasst, da Besucher sich z.B. per Opt-out von der Messung ausschliessen lassen oder im privaten Modus browsen. Wie hoch der Anteil nach Inkrafttreten der neuen Regelungen sein wird, wird zum einen davon abhängen, wie die Einstellungen konkret in den Browsern umgesetzt werden und zum anderen davon, inwieweit es Anbietern gelingt, ihren Nutzern einen wirklichen Mehrwert aus ihren Daten zu liefern und dies überzeugend zu kommunizieren.
Auf der einen Seite wollen Nutzer zurecht nicht gänzlich gläsern sein, ausgenutzt, übervorteilt, manipuliert oder diskriminiert werden. Andererseits genießen wir die durch den Datenaustausch gewonnenen Vorteile, z.B. zur Vermeidung von Staus im Straßenverkehr oder für individuelle digitale Fahrplanauskünfte. Wir machen gerne Schnäppchen beim Shopping, entdecken neue Locations oder Events, die zu unseren Vorlieben passen und heißen Unterstützung bei besonderen Bedürfnissen willkommen.
Die aktuelle Fassung der ePrivacy-Verordnung schießt sicherlich etwas über das Ziel hinaus. Ein Beispiel aus der analogen Welt macht dies deutlich: So käme niemand auf die Idee, von meiner Friseurin zu verlangen, eine Zustimmung von mir im Vorfeld einzuholen, um sich meinen Namen und die Art der durchgeführten Haarschnitte von Besuch zu Besuch merken zu dürfen. Ähnliches verlangt die ePrivacy-Verordnung jedoch in der digitalen Welt. Allerdings hat meine Friseurin auch – soweit mir bekannt – bislang nicht versucht, die im Smalltalk ausgetauschten Informationen zu Kindern, Haustieren, Reisen und so weiter durch Weitergabe an Dritte zu monetarisieren. Insofern muss man die jetzigen Forderungen als Reaktion auf mitunter sehr fragwürdigen Umgang mit Nutzerdaten verstehen.
Ungeachtet unserer persönlichen Bewertungen der Richtlinien gilt: Mit Inkrafttreten der finalen Verordnung müssen und werden wir diese einhalten sowie das Beste daraus machen. Darauf können Sie sich verlassen.