Nutzer speisen die großen Netzwerke und Plattformen freiwillig mit ihren privaten Daten, was es Facebook, Google & Co. einfach macht, zielgenau personalisierte Werbung an die Nutzer auszuliefern. App-Macher, Marken und Onlinehändler haben es ohne die großen Player schon sehr viel schwerer, ihre Werbung an bedürfnis- und personengerecht an die Massen zu bringen. Denn man ist darauf angewiesen, die fragmentarischen Informationen von den unterschiedlichen Devices eines Nutzes für seine Kampagnen zu nutzen.
Worauf Mobile Advertisers in Zeiten der DSGVO achten müssen, zeigen wir in diesem Beitrag.
Was sagt die DSGVO zum Thema Datenschutz?
Die DSGVO deklariert in Artikel 4 Nr.1 personenbezogene Daten als „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Besonders schwerwiegend ist dabei die Einstufung „identifizierbar“. Denn das bedeutet, dass alle erfassten Daten, seien es Standort, IP-Adressen oder Gerätekennung (Mobile oder Desktop), die mit einer natürlichen Person in Verbindung gebracht werden können, grundsätzlich nicht ohne Einwilligung durch den Nutzer verwendet werden dürfen.
Werbetreibende dürfen unter Berufung auf ihr berechtigtes Interesse Direktmarketing betreiben: Eine E-Mail, die man aufs Smartphone erhält, nachdem man sich in einen Newsletter eingetragen hat, ist also unproblematisch solange es ein Opt-Out gibt und darauf hingewiesen wurde. Gleiches gilt für Push-Benachrichtigungen.
Außerdem ist das Tracking und die Assoziation von Daten erlaubt, wenn es für Services unerlässlich ist – Werbung fällt in diesem Szenario aber aus dem Raster: Das heißt eine Fitness-App darf zwar Schlüsse aus allen Daten ziehen, die ein spezieller Nutzer auf verschiedenen Geräten in der App eingibt. Personalisierte Werbung darf sie mir auf den Geräten aber nur schalten, wenn ich für jedes Gerät in diese Praxis eingewilligt habe.
Das Datenkopplungsverbot – der Schlag für Mobile Advertisers
Grundsätzlich sind wir es schon gewöhnt, dass uns jetzt jede Seite nach Cookies fragt, dass wir einwilligen müssen, getrackt zu werden. Allein diese Abfragen bringen den User Flow bei mobiler Nutzung zum Stocken – die Einbindung von Cookie-Checks wird zur Herausforderung für das Mobile Design. Manche Trackings kommen als Bitte daher, man solle die Homepage durch die Erlaubnis zum Tracking und die Nutzung der privaten Daten für personalisierte Werbung unterstützen. Andere Daten werden an anderen Stellen wie dem Verkaufsabschluss erhoben und verwertet.
Eine weitere maßgebliche Neuregelung der DSGVO ist das Kopplungsverbot – auch dieses beeinflusst die mobile Nutzung. Sagen wir, wir haben am Computer in die Cookies eines Online-Shops eingewilligt und am Smartphone besuchen wir später diesen Online-Shop ein weiteres Mal: Werden nun ohne Einwilligung die Daten vom Computer mit dem Smartphone assoziiert, ist dies grundsätzlich problematisch.
Denn ein Re-Targeting geht in diesem Falle über das berechtigte Interesse des Werbetreibenden hinaus und vom Nutzer ist nicht zu erwarten, dass er mit diesem Re-Targeting rechnen konnte. Die Verknüpfung von Daten und die Schlussfolgerung, dass die Person am Computer dieselbe Person wie am Mobile Device war, ist nicht zulässig. Es sei denn die Person wurde klar darüber informiert und sie hat eingewilligt und es gibt ein Opt-Out, auf das sie jederzeit zugreifen kann. Auch das Nutzen desselben User-Accounts könnte ohne explizite Zustimmung des Nutzers im Zweifel angefochten und im berechtigten Interesse des Nutzers ausgelegt werden.
Das Problem: Lücken schließen
Die Lücken zwischen den verschiedenen Datenabfragen und -speicherungen zu schließen ist seit der DSGVO nicht mehr nur eine technische, sondern eben auch eine juristische Frage. Grundsätzlich müsste der Nutzer immer dann einwilligen, wenn Daten miteinander kombiniert werden, um Aufschluss über das Nutzungsverhalten und die persönlichen Vorlieben zu gewähren. Das Problem der Lücke zwischen den unterschiedlichen Geräten, die von einem Nutzer genutzt werden und damit den unterschiedlichen Cookies, denen auf jedem Gerät eingewilligt wurde, besteht aber schon viel länger als die DSGVO. Die neue Datenschutzregelung verstärkt es lediglich.
User ID und Datennetzwerke
Als Lösung für die fragmentarische Sammlung von Daten und deren Assoziierung jenseits der großen Werbeplattformen bilden sich neue Netzwerke heraus. Hierzu gehört zum Beispiel das Advertising ID Consortium, welches eine Open User ID schaffen und ihren Partnern gemeinsame Cookies zu Assoziierung und Auswertung von Nutzerdaten sowie deren Zuordnung zu Gerätetypen ermöglicht.
Am Beispiel von Adobe, Dentsu und Merkle kann man sehen, wie sich Unternehmen bereits zusammenschließen, um gemeinsame allgemeinverbindliche Nutzerdaten zu generieren und für ihre Werbeaktivitäten zu nutzen. Solche Netzwerklösungen können einen gangbaren Weg darstellen, um das übergreifende Nutzungsverhalten zwischen Mobile und Desktop besser der Kunden zu verstehen, ohne dabei direkt in die Identifizierung einzelner Nutzer übergehen zu müssen.
Fazit: Consent ist das wichtigste Thema
Für viele der oben beschriebenen Sachverhalte gibt es noch keine juristischen Urteile oder praktischen Anwendungen. Fakt ist: Wer selbst Daten über verschiedene Quellen, z.B. Online-Shop, Mobile-App, Homepage, Cookies und mehr erhebt, muss peinlich auf die Einwilligung seiner Kunden achten. Besonders, wenn diese Daten assoziiert werden sollen. Hier gilt es allerdings einen Mittelweg zu finden, zwischen der Bombardierung mit Consent-Formularen – besonders auf dem kleinen Bildschirm – und der Informationspflicht des Werbenden.
Ein guter Anfang, um seine Nutzer über die Einwilligungsthematik aufzuklären, ist der Hinweis auf die Dienste der Network Advertising Initiative. Hier gibt es einen Überblick über alle Cookies, in die man mit dem Desktop oder Mobile Device eingewilligt hat, sowie ein automatisches Opt-Out von allen heruntergeladenen Trackern. Für Smartphones gibt es sogar eine passende App.