Sind Cookie Banner Pflicht? Personalisierte Werbung datenschutzkonform gestalten

Datenschutz 28.03.2023

Personalisierte Werbung ist heutzutage nicht mehr wegzudenken. Unternehmen setzen verstärkt auf maßgeschneidertes Marketing, um ihre Zielgruppe gezielter ansprechen und erreichen zu können.

Allerdings ist es sehr wichtig darauf zu achten, dass die Kundendaten datenschutzkonform eingeholt werden. In diesem Artikel erfährst Du, welche Datenschutzprobleme personalisierte Werbung mit sich bringt und wie Du diese datenschutzkonform gestaltest.

5

In diesem Beitrag erfahrt ihr

  • Was bedeutet personalisierte Werbung
  • Wie funktioniert personalisierte Werbung
  • Beispiel für Datenschutzverletzung: Meta
  • Warum man Cookie Banner und Datenschutzerklärung benötigt
  • Wie man diese rechtskonform ausgestaltet

Was versteht man unter personalisierter Werbung

Unter personalisierter Werbung versteht man: die gezielte Ausrichtung von Anzeigen auf die spezifischen Interessen einer Person auf der Grundlage ihres Online-Verhaltens. Diese Art der Werbung erlaubt es Unternehmen, ihre Zielgruppe effektiver zu erreichen und ihre Conversion Rate zu erhöhen. Die Conversion Rate ermittelt den prozentualen Anteil von Interessenten, die nach dem Website-Besuch zu Käufern oder Abonnenten werden.


Wie funktioniert personalisierte Werbung

Personalisierte Werbung funktioniert, indem ein Unternehmen Informationen über einen Nutzer (User) sammelt und diese dann verwendet, um individualisierte Werbeanzeigen auszuspielen. Dies erfolgt in der Regel über Cookies – kleine Textdateien, die beim Besuch einer Website auf den Endgeräten oder im Browser gespeichert werden und im vordefinierten Fall wieder ausgelesen werden.

Auf diese Weise können Login-Daten, Warenkörbe im Onlineshop oder andere Voreinstellungen des Users, gespeichert und beim erneuten Aufruf der Website ausgespielt werden. Eine weitere Möglichkeit ist es, die IP-Adresse des Nutzers zu verwenden, um den Standort zu bestimmen und ihm entsprechende Werbung auszuspielen. Zudem werden häufig Daten von sozialen Medien-Profilen des Users gesammelt.

Diese umfangreiche Verwendung von Nutzerdaten, fordert ein entsprechendes datenschutzkonformes Vorgehen der Unternehmen.

Präsente Datenschutzverletzung – Geldstrafe gegen Meta

Zum wiederholten Mal wurde ein Bußgeld in Millionenhöhe gegen Facebook verhängt. Nach dem Bußgeld im November 2022 in Höhe 265 Millionen Euro, hat die irische Datenschutzbehörde DPC ein weiteres Bußgeld in Höhe von 390 Millionen Euro gegen den Facebook Konzern Meta verhängt.

Facebook und Instagram hatten die personenbezogenen Daten ihrer Nutzer nicht datenschutzkonform genutzt. Insbesondere hatten sie es versäumt eine für die personalisierte Werbung grundsätzlich erforderliche Einwilligung einzuholen. Stattdessen hatten sie die personalisierte Werbung als Dienstleistung in ihre AGB aufgenommen. Damit wollte man die Einholung einer Einwilligung vermeiden.

Denn die Datenverarbeitung zum Zwecke der Vertragserfüllung ist grundsätzlich erlaubt. Eine Einwilligung ist in diesen Fällen in der Regel nicht erforderlich (Ausnahme: besonders schutzwürdige Daten nach Art. 9 DSGVO).

Eben dieses Vorgehen wurde vom Europäischen Datenschutzausschuss (EDSA) nun als „Umgehung“ der für die personalisierte Werbung grundsätzlich erforderlichen Einwilligung angesehen.

Die irischen Datenschutzbehörden hatten jahrelang das Vorgehen von Facebook akzeptiert.

Rechtlicher Hintergrund

Jeder kennt es. Man surft auf einer Website und sofort erscheint der Cookie Banner.

Hier wird in technisch notwendige Cookies und technisch nicht notwendige Cookies unterschieden.

Technische notwendige Cookies bedürfen keiner Einwilligung, da sie für die Funktionalität einer Website erforderlich sind und daher auch nicht abgeschaltet werden können.

Anders zu beurteilen sind technisch nicht notwendige Cookies, in denen die Nutzerdaten für personalisierte Werbung benutzt werden. Der Einsatz von marketingbasierten Cookies: Tracking-, Targeting-, Analyse- und Social Media-Cookies dient dazu, geräteübergreifend Nutzer-Informationen zu Standort, Surf- und Kaufverhalten zu sammeln. Unternehmen nutzen diese Informationen überwiegend im eigenen Interesse. Der Nutzer muss ihrer Verwendung daher zustimmen.

Cookie Banner: so geht datenschutzkonforme Einwilligung

Eine datenschutzkonforme Einwilligung verschafft Unternehmen zwar viel Spielraum in puncto Datennutzung, bringt aber in der Umsetzung eine Reihe notwendiger Arbeitsschritte mit sich.

Zunächst muss die Einwilligung eingeholt werden. Bei der Ausgestaltung einer datenschutzkonformen Einwilligungserklärung kommen besagte Cookie Banner ins Spiel.

Wichtig ist, dass der Nutzer seine Einwilligung auch jederzeit widerrufen kann. Dafür müssen bei Unternehmen entsprechende Prozesse geschaffen werden, damit der Widerruf eingeht und die bis dato gespeichert Daten entsprechend gelöscht oder gesperrt werden. Zudem ist dieser Vorgang aus UX- Perspektive – verständlicherweise – nicht der schönste Weg.

Die in der Praxis am häufigsten auftretenden Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten sind: die Verarbeitung zu Vertragszwecken und die Verarbeitung aufgrund eines berechtigten Interesses.

Der Vorteil dieser Rechtsgrundlagen, ist dass sie ohne Zusatzaufwand die Datennutzung ermöglichen.

Ein berechtigtes Interesse des Unternehmens liegt im Fall der personalisierten Werbung nach überwiegender Ansicht nicht vor.

Bei der Verarbeitung zu Vertragszwecken, dürfen nur die Daten verwendet werden, die für die Erfüllung des Vertragszwecks erforderlich sind. Das sind in der Regel Kontaktdaten, sowie Bankdaten der Vertragspartner. Der weitere Umfang des Erlaubten ergibt sich aus dem konkreten Vertrag. Den Inhalt können die Vertragsparteien grundsätzlich frei bestimmen.

So auch die Idee von Facebook und Instagram: Die personalisierte Werbung wurde als Leistung in die AGB aufgenommen. Die Datennutzung wurde folglich auf die Verarbeitung zu Vertragszwecken gestützt. Eine Einwilligung wurde nicht eingeholt.

Das Vorgehen wurde vom EDSA aber als „Umgehung“ der erforderlichen Einwilligung eingestuft. Facebook muss seine Dienste nun auch ohne personalisierte Werbung anbieten. Eine nachvollziehbare Ansicht, da die Hauptleistung des Vertrags die Social Media Plattform ist. Für das Ausspielen personalisierter Werbung ist eine aktive Zustimmung, bspw. durch den Klick des Nutzers auf einen Button erforderlich.

Lösung des rechtlichen Problems

Der beste Weg, um sicherzustellen, dass Unternehmen bei personalisierter Werbung die Datenschutzgesetze einhalten, besteht darin, ein datenschutzkonformes Design zu implementieren. Dazu gehört die Schaffung einer datenschutzfreundlichen Umgebung auf einer Website oder App, die Funktionen wie eine Datenschutzerklärung und einen Cookie Banner enthält.

Die Datenschutzerklärung sollte detaillierte Informationen darüber enthalten, wie ein Unternehmen personenbezogene Daten sammelt und verwendet und wie Einzelpersonen auf ihre Daten zugreifen und sie löschen können. Der Cookie-Banner sollte Einzelpersonen darüber informieren, wie ihre Daten verwendet werden, und ihnen die Möglichkeit geben, bestimmte Arten von Werbung abzulehnen. Wichtig ist dabei, dass auch hier die Einwilligung genau so einfach gestaltet ist, wie die Ablehnung.

Erst im Dezember 2022 hatte die französische Datenschutzbehörde CNIL ein 60 Mio. hohes Bußgeld gegen Microsoft verhängt. Der Grund: Die Ablehnung des Cookie-Banners erforderte 2 Klicks, die Einwilligung nur 1 Klick.

Das gleiche gilt für den Widerruf der Einwilligung. Auch hier muss die Webseite so gestaltet sein, dass es dem Nutzer ebenso einfach ist die Einwilligung zu widerrufen, wie sie zu erteilen.

Darüber hinaus sollten Unternehmen sicherstellen, dass sie die Einwilligung der Betroffenen einholen, bevor sie deren Daten sammeln und verwenden. Bei der Gestaltung der Webseite sollte dringend darauf geachtet werden, dass Cookies nicht bereits beim Aufruf der Seite gesetzt werden.

Schließlich sollten die Unternehmen sicherstellen, dass sie ihre Datenschutzerklärung und Cookie-Banner regelmäßig überprüfen und gegebenenfalls aktualisieren. Dies ist wichtig, um sicherzustellen, dass sie mit den Datenschutzgesetzen auf dem neuesten Stand sind und dass sie Einzelpersonen ausreichende Informationen über die Verwendung ihrer Daten geben.

Praxistipps

Die Vorschriften im Datenschutz und die Auslegung der Behörden sind streng. Beim Thema Marketing sollten Unternehmen sicherstellen, dass sie die rechtlich erforderlichen Maßnahmen einhalten, wenn sie personalisierte Werbung betreiben. Insbesondere durch

  • Datenschutzkonformes Design der Website (privacy by design)
  • Datenschutzfreundliche Grundeinstellungen (privacy by default).
  • Transparente Datenschutzhinweise
  • Datenschutzkonforme Cookie-Banner
  • Regelmäßige Aktualisierung
  • Vorsichtige Auswahl der Marketing-Tools und Dienstleister