EU-DSGVO: Wie Programmatic Buyer die Reglementierungen kontrollieren können

Bei der Diskussion um die EU-DSGVO wird eine fast noch wichtigere Reglementierung der Online-Datenverarbeitung gerade in Brüssel besprochen: Die ePrivacy-Verordnung. Wir sprachen der Expertin Céline Craipeau, Product and Solution Spezialistin der französischen Programmatic Plattform Tradelab, laut der Käufer keine effizienten Mittel besitzen, um das Einverständnis der Internetnutzer und ihre Daten für das Targeting und die Media Aktivierung zu nutzen und zu kontrollieren. 

„Hunderte von Geschäftsmodellen sind mit der Explosion der Digitalisierung geboren und benötigen offengelegte Spielregeln zum Schutz der User.“

OnlineMarketing.de: Sie vollziehen den Medieneinkauf für Kampagnen von Werbetreibenden. Im Rahmen dieser machen sie von Daten momentaner und zukünftiger Kunden der Werbetreibenden Gebrauch, aber Sie könnten ebenso Daten der Zielgruppen für die jeweiligen Kampagnenbedürfnisse einkaufen (Third Party Data). Fühlen sie sich direkt von der EU-DSGVO betroffen?

Céline Craipeau: Als Akteur im programmatischen Bereich ist Tradelab tatsächlich direkt von der großen Neuartigkeit der DSGVO, die in der Erweiterung der Definition von persönlichen Daten liegt, betroffen. Es ist klar, dass Cookies und Mobile Advertising IDs die Hauptdaten repräsentieren, die unser Ökosystem verarbeitet und als solche persönlichen Daten angesehen werden. Die Verarbeitung dieser Signale bildet die Grundlage unserer Arbeit. Auf dieser Basis wurde das Versprechen von Programmatic konstruiert. Dies ist einer der Gründe dafür, warum wir mit der Organisation ePrivacyseal ein ausführliches Audit auf europäischem Niveau durchführten, das unsere Prozesse der Nutzerdatenerfassung-, -verdichtung und -freigabe kontrollierte. Die Verantwortungsaufteilung der Datensicherung bleibt jedoch weiterhin eine große Herausforderung. Mit Einführung der DSGVO wird erwartet, dass Verantwortungen aufgrund der Komplexität des programmatischen Ökosystems, das multiple Vermittler benötigt, wahrscheinlich stark aufgeteilt werden.

Die EU-DSGVO besteht darauf, dass der Erfassung von jeglichen persönlichen Daten, egal ob personenbezogene oder Navigationsdaten, explizit von Nutzern zugestimmt worden sein muss. Soweit diese Daten im Umlauf und in verschiedenen Händen zwischen dem Erfassungszeitpunkt und dem Aktivierungszeitpunkt sind: Wie kann man sich hier sicher sein, dass das Opt-in real und gültig bleibt?

Das ist auch eine Frage, die wir uns seit Anfang des Jahres, seit wir angefangen haben an diesem Thema zu arbeiten, stellen. Heutzutage segmentieren programmatische Einkäufer das Publikum mithilfe von Daten der Herausgeber und Werbetreibenden. Wenn man Informationen erhält, ist es immer unmöglich zu wissen, ob der Internetnutzer wirklich zugestimmt hat, seine Informationen zu kommunizieren. Außer wenn man alle Domains, mit denen man sich verbindet, umgeht. Dann gibt es keine wirklich effizienten Kontrollmöglichkeiten mehr. Allerdings ist das Umgehen aller Domains fast unmöglich. Einfach aufgrund des riesigen Volumens und der Undurchsichtigkeit mancher Märkte.

Haben ihre Klienten, Partner, Anbieter oder kurz gefragt, hat die Industrie schon alle Antworten bezüglich der Umsetzung der EU-DSGVO gefunden? Haben Sie auch andere Punkte in der Verordnung identifiziert, die Umsetzungsprobleme bereiten könnten?

Die neue DSGVO hat den Vorteil ziemlich eindeutig zu sein, was zum Beispiel die Datenbanksicherheit, das Ausstellen von auf Datensammlung und Datenverarbeitung verweisenden Dokumenten oder die Ernennung eines Datenschutzbeauftragten betrifft. Wir haben diese durchaus überwindbaren Baustellen, die nichtsdestotrotz eine reelle Mitwirkung unserer Teams benötigen, initiiert. Das ist, warum man weiterhin sowohl intern als auch extern die pädagogischen Bemühungen der Verordnung verfolgen sollte. Wenn es einen Punkt gibt, der technisch gesehen Fragen aufbringen könnte, ist es die Verpflichtung, Daten auf Anfrage eines Users definitiv zu löschen. Wenn man Cloud-Datenbanken benutzt, die alle auf dem Prinzip der Replikation von Informationen auf verschiedenen Maschinen basieren, ist es sehr schwierig zu garantieren, dass nicht irgendwo noch eine Kopie übrig ist. Die Unternehmen, die diese Art von Lösungen anbieten, versetzen sich übrigens gerade in Kampfbereitschaft, um ihre Systeme anzupassen.

ePrivacy wird aktuell in Brüssel diskutiert, um die Datenerfassung in elektronischer Kommunikation zu regulieren. Stellt es jedoch wirklich eine Gefahr für die Industrie dar? Denken Sie, dass sich die Verordnung noch weiterentwickeln könnte bevor sie eingeführt wird?

Es stimmt, die digitale Industrie spricht seit einigen Monaten fast mehr über die ePrivacy Reglementierung als über die DSGVO. Der Inhalt muss die Anforderungen zum Datenschutz bezüglich der Cookies präzisieren. Es gibt hierzu noch einige Unsicherheiten, die dazu führen, dass der Online Werbemarkt erstarrt, wenn es um den Datenschutz geht. Viele bevorzugen aktuell, sich noch nicht mit der neuen DSGVO in Einklang zu bringen, weil sie auf eine finale Version der anzuwendenden Regeln warten.

Kann Onlinewerbung auch ohne Cookies oder ohne Datenerfassung funktionieren?

Es gibt Alternativen, die allerdings nicht optimal funktionieren. Ich denke an die „DoubleClick for Publishers“-Initiative. Mit dieser kann Werbung angezeigt werden, ohne User IDs zu generieren. So könnte man der europäischen Gesetzgebung ausweichen. Diese Lösung ist aber nicht unbedingt wünschenswert. So kann man weder die aufgezeigten Messages personalisieren, noch den Marketingdruck bewältigen. Das bedeutet, dass User viel zu oft Werbungen ausgesetzt werden würden, die nichts mit ihrem Interesse zu tun haben. In Zeiten von Adblocks scheint es, als könnte eine solche Verschlechterung der User Experience, die Übereinkunft zwischen der digitalen Industrie und den Internetnutzern stark schädigen. Ohne Cookies wäre eine Werbung außerdem schwieriger bei Werbetreibenden wertzuschätzen, da man weder den psychologischen, noch den kommerziellen Einfluss messen kann.  Des Weiteren muss man eine Überbewertung von Werbeflächen in eingeloggten Flächen erwarten, die Zugriff auf Zielgruppeninformationen bieten. Die GAFA (Google, Apple, Facebook und Amazon) werden die ersten und die wesentlichsten Akteure sein, die davon profitieren. Auch wenn der Untergang von Cookies noch nicht programmiert ist, kann man sich nur um die schlechte Verfassung dieses Tracking-Systems sorgen. Es wird nicht nur von privaten Initiativen, wie die von Apple mit Safari 11 bedroht, sondern auch von der EU-DSGVO.

Neben dem juristischen Aspekt: Wie kann Ihrer Meinung nach die Beziehung zwischen Usern und der digitalen Industrie verbessert werden?

Es ist allgemein bekannt, dass eine zu aggressive Werbung destruktiv ist. Einem interessierten Nutzer, der zum Beispiel eine Produktbeschreibung gelesen oder etwas in den Warenkorb gelegt hat, Retargeting auszusetzen, ist so ein Beispiel aus dem Lehrbuch. Das kann bei Werbetreibenden hohe Absatzeinbußen verursachen. Genauso generieren aufdringliche Formate wie Autoplay-Werbevideos mit Ton oder Popups nur sehr wenig Nutzerinteresse trotz ihres einflussreichen Charakters. Ich komme auf die Einführung von Adblocks zurück, die fast 25 Prozent der deutschen Internetnutzer betrifft. Ja, es existiert ein Bedürfnis, die Übereinkunft zwischen digitaler Industrie und Usern erneut zu legitimieren.

Um auf die EU-DSGVO zurückzukommen: Denken Sie, dass das Datenschutzgesetz förderlich für die Industrie ist?

Während der Veröffentlichung wurde um die EU-DSGVO viel Lärm gemacht. Die Grundverordnung führt eine Vereinheitlichung der europäischen Gesetzgebung ein, die das Verständnis unserer Verpflichtungen wirklich vereinfacht. Zukünftig müssen wir nicht mehr mit verschiedenen nationalen Reglementierungen jonglieren. Die EU-DSGVO stellt vor allem neue Regulierungsprinzipien im digitalen Bereich auf. Und diese sind absolut wichtig. Hunderte von Geschäftsmodellen sind mit der Explosion der Digitalisierung geboren und benötigen offengelegte Spielregeln zum Schutz der User.

Haben Sie die Befürchtung, dass ein hoher Anteil der Verbraucher ablehnt, sich selbst betreffende Informationen zu liefern? Wie könnte hier die goldene Mitte aussehen und wie bewerten Sie die Zukunft dahingehend?

Das hängt vor allem davon ab, wie man den Verbrauchern diese Frage stellt. Wenn man den User ab dem Zeitpunkt des Herunterladens des Webbrowsers über seine Präferenzen fragt, die dann systematisch angewendet werden, ist zu befürchten, dass sie es bevorzugen, das komplette Ganze abzulehnen. Das Problem kommt daher, dass User heutzutage nicht die Möglichkeit haben, sich die Daten, die sie teilen, auszusuchen. User können sehr wohl dazu bereit sein, ihre Kaufintentionen zu teilen, um personalisierte Werbung zu erhalten. Jedoch möchten sie gleichzeitig, die Vertraulichkeit der Informationen bewahren, die sie für rein privat halten. Wie zum Beispiel die baldige Geburt ihres Kindes. Um das zu schaffen, müsste man persönliche Daten hierarchisieren. Die DSGVO führt eine Differenzierung zwischen sensiblen Daten (zum Beispiel bezüglich der Gesundheit) und den restlichen persönlichen Daten ein. Diese zweite Kategorie unterscheidet allerdings nicht zwischen den verschiedenen Intimitätsniveaus, obwohl das ein guter Weg sein könnte, das Privatleben der Internetnutzer zu schützen, ohne ihre Usererfahrung zu verschlechtern. Eine vorteilhafte Lösung für alle Beteiligten wäre es, die Normen auf nationalem oder europäischem Level zu definieren und dann für alle Werbeakteure anzuwenden. Das würde auch ermöglichen, nur die persönlichen – „nicht intimen“ – Daten zu sammeln. Zu diesem Preis könnte ein Gleichgewicht zwischen allen Parteien hergestellt werden: Usern, Werbetreibenden und Vermittlern.

Vielen Dank für das Interview!