Kategorie: Mobile Marketing

Contextual Targeting ohne personenbezogene Daten – warum die DSGVO häufig gar nicht greift

Geschrieben am von Dr. Frank Eickmeier

Im Online-Marketing wird Targeting regelmäßig reflexartig mit hochen Datenschutz-Anforderungen gleichgesetzt. Insbesondere im Programmatic Advertising dominiert die Annahme, dass bei jeder Form der Werbeaussteuerung zwangsläufig personenbezogene Daten verarbeitet werden und damit die DSGVO anwendbar ist. Diese Sichtweise greift jedoch zu kurz.

Reines Contextual Targeting kann – bei entsprechender technischer Ausgestaltung – vollständig außerhalb des Anwendungsbereichs der DSGVO liegen. Dieser Beitrag zeigt, unter welchen Voraussetzungen das der Fall ist und welche Konsequenzen sich daraus auch für branchenübliche Standards wie das IAB Transparency & Consent Framework sowie für zukünftige Regulierungsvorhaben ergeben.

Ausgangspunkt: Die DSGVO setzt personenbezogene Daten voraus

Die DSGVO ist kein allgemeines „Internetregulierungsrecht“. Sie findet ausschließlich Anwendung, wenn personenbezogene Daten verarbeitet werden (Art. 2 Abs. 1 DSGVO).

Der zentrale Prüfungsmaßstab lautet daher nicht sofort, ob eine Verarbeitung „zulässig“ ist, sondern erst einmal, ob überhaupt personenbezogene Daten vorliegen.

Personenbezogen sind Daten nur dann, wenn sie sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Erforderlich ist stets ein Bezug zu einer konkreten Person – sei es unmittelbar oder mittelbar.

Rein sachbezogene Informationen, etwa über Inhalte von Webseiten, fallen nicht darunter.

Was ist Contextual Targeting im rechtlichen Sinne?

Beim Contextual Targeting wird Werbung ausschließlich anhand des Umfelds ausgespielt, in dem sie erscheint. Maßgeblich sind also Inhalte, nicht Nutzer.

Typischerweise werden dabei folgende Elemente analysiert:
– Themen und Keywords einer Seite
– semantische Strukturen
– Taxonomien und Kategorien
– Sentiment oder Tonalität

Diese Informationen werden zu Kontextsegmenten verdichtet, die als Entscheidungsgrundlage für die Werbeausspielung dienen.

Entscheidend ist: Diese Daten beziehen sich auf Inhalte, nicht auf Personen.

Wann Contextual Targeting tatsächlich „DSGVO-frei“ ist

Ob Contextual Targeting datenschutzrechtlich relevant ist, hängt ausschließlich von der konkreten technischen Umsetzung ab.

Ein Modell fällt nur dann vollständig aus der DSGVO heraus, wenn konsequent auf jeglichen Personenbezug verzichtet wird. Das setzt insbesondere voraus:

– keine Verarbeitung von IP-Adressen, auch nicht temporär
– keine Nutzung von Cookies, Device IDs oder vergleichbaren Identifikatoren
– keine Wiedererkennung von Nutzern über mehrere Interaktionen hinweg
– keine Bildung von Nutzerprofilen, auch nicht pseudonym
– keine Verknüpfung mit anderen Datenquellen
– keine Möglichkeit der Re-Identifizierung

Sind diese Voraussetzungen erfüllt, werden ausschließlich inhaltsbezogene Daten verarbeitet. Ein Personenbezug fehlt vollständig.

Warum Context IDs keine personenbezogenen Daten sind

In der Praxis werden häufig sogenannte Context IDs oder Segment-IDs verwendet. Diese stehen für bestimmte Inhaltskategorien oder Umfelder.

Rechtlich entscheidend ist, worauf sich diese IDs beziehen:

– Beziehen sie sich auf Nutzer oder Geräte, liegt personenbezogene Verarbeitung vor.
– Beziehen sie sich ausschließlich auf Inhalte oder Platzierungen, fehlt der Personenbezug.

Context IDs, die lediglich beschreiben, dass sich eine Anzeige etwa im Umfeld „Sport“, „Finanzen“ oder „Reisen“ befindet, enthalten keinerlei Information über eine natürliche Person.

Auch wenn solche Segmente im Auktionsprozess genutzt werden, bleibt die Verarbeitung rein sachbezogen.

Warum auch keine mittelbare Identifizierbarkeit vorliegt

Häufig wird argumentiert, ein Personenbezug könne bereits deshalb vorliegen, weil irgendwo in der Wertschöpfungskette personenbezogene Daten existieren. Diese Argumentation überzeugt nicht. Maßgeblich ist, ob die konkret verarbeiteten Daten eine Identifizierung ermöglichen oder zumindest einen Anknüpfungspunkt dafür bieten. Fehlen jegliche Identifier und erfolgt keine Verknüpfung mit Dritt-Daten, besteht auch keine theoretische Re-Identifizierbarkeit. Die bloße Einbettung in ein Ad-Tech-Ökosystem reicht nicht aus, um einen Personenbezug zu begründen.

Abgrenzung zu verhaltensbasiertem Targeting

Die rechtliche Bewertung wird klarer, wenn man Contextual Targeting vom klassischen Behavioral Targeting abgrenzt.

Während verhaltensbasiertes Targeting typischerweise auf folgenden Elementen beruht:
– Tracking über Cookies oder IDs,
– Wiedererkennung von Nutzern,
– Profilbildung über Zeit,
– geräteübergreifende Zuordnung,

fehlen all diese Elemente beim reinen Contextual Targeting vollständig.

Die Werbeentscheidung erfolgt nicht „wegen“ einer Person, sondern „wegen“ eines Inhalts.

Keine Anwendbarkeit der DSGVO

Fehlt es an personenbezogenen Daten, ist der sachliche Anwendungsbereich der DSGVO nicht eröffnet.

Das hat weitreichende Konsequenzen:
– keine Pflicht zur Rechtsgrundlage (Art. 6 DSGVO)
– keine Informationspflichten (Art. 13, 14 DSGVO)
– keine Betroffenenrechte
– keine Anforderungen an Auftragsverarbeitung oder Joint Controllership

Die datenschutzrechtliche Prüfung endet bereits auf der ersten Stufe.

Keine Einordnung als Vendor im TCF 2.0

Das IAB Transparency & Consent Framework (TCF 2.0) ist ein Branchenstandard zur Verwaltung von Einwilligungen im Programmatic Advertising. Es adressiert ausschließlich Verarbeitungsvorgänge, die personenbezogene Daten betreffen – insbesondere Tracking, Profiling und personalisierte Werbung. Ein „Vendor“ im Sinne des TCF ist daher zwingend ein Akteur, der personenbezogene Daten verarbeitet und hierfür eine Rechtsgrundlage benötigt.

Fehlt es – wie beim strikt umgesetzten Contextual Targeting – an jeder Verarbeitung personenbezogener Daten, entfällt diese Voraussetzung vollständig.

Die Folge ist klar:
– keine Einbindung in Consent-Mechanismen
– keine Verarbeitung von TC Strings
– keine Verpflichtung zur Teilnahme am TCF

Eine Einordnung als Vendor wäre systemwidrig, da das gesamte Framework auf der Existenz personenbezogener Daten aufbaut.

Warum auch zukünftige Regulierung („Digitaler Omnibus“) nichts ändert

Aktuelle regulatorische Entwicklungen auf EU-Ebene zielen darauf ab, bestehende Digitalregeln zu bündeln und zu schärfen. Unter Schlagworten wie „Digitaler Omnibus“ werden insbesondere Anpassungen im Zusammenspiel von DSGVO, ePrivacy, Digital Services Act und weiteren Regelwerken diskutiert.

Diese Initiativen verfolgen vor allem drei Ziele:
– Stärkung von Transparenz und Durchsetzung
– Vereinheitlichung von Pflichten
– Schließung von Regelungslücken bei datengetriebenen Geschäftsmodellen

Entscheidend ist jedoch: Auch zukünftige Regulierung knüpft weiterhin an bekannte Tatbestände an.

Insbesondere bleiben zentrale Anknüpfungspunkte:
– personenbezogene Daten
– Zugriff auf Endgeräte
– personalisierte Beeinflussung von Nutzern
– Plattformverantwortlichkeit

Ein Modell, das bewusst auf all diese Elemente verzichtet, bleibt strukturell außerhalb dieses Regelungsregimes. Weder die Bündelung bestehender Vorschriften noch deren Verschärfung führt dazu, dass rein sachbezogene Datenverarbeitungen plötzlich erfasst werden.

Fazit

Contextual Targeting ist nicht per se „datenschutzfrei“ – kann es aber sein.

Entscheidend ist eine konsequent personenbezogenheitsfreie Architektur. Sobald auf Identifier, Tracking und Nutzerbezug vollständig verzichtet wird, handelt es sich nicht mehr um eine Verarbeitung personenbezogener Daten.

Die Konsequenz ist grundlegend: Die DSGVO ist dann nicht anwendbar.

Darauf aufbauende Systeme wie das TCF greifen ebenfalls nicht. Und auch zukünftige regulatorische Entwicklungen ändern an dieser Einordnung nichts.

Für die Praxis bedeutet das: Wer Contextual Targeting technisch sauber umsetzt, kann sich bewusst außerhalb der datenschutzrechtlichen Regulatorik positionieren – nicht durch Gestaltung der Rechtsgrundlage, sondern durch Vermeidung ihres Anwendungsbereichs.

Einsatz von Facebook Custom Audiences – rechtswidrig?

Geschrieben am von Dr. Frank Eickmeier

Unternehmen, die Facebook Custom Audiences einsetzen, riskieren nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht die Eröffnung eines Bußgeldverfahrens.

Das Bayerische Landesamt hat in seinem kürzlich veröffentlichen Tätigkeitsbericht 2013/2014 die Ansicht vertreten, dass der Einsatz von „Facebook Custom Audiences“ rechtswidrig sei. Bei „Facebook Custom Audiences“  werden personenbezogene Datensätze, die als Identifier eine E-Mail-Adresse oder eine Telefonnummer besitzen, von Unternehmen anonymisiert (verhasht) und an Facebook übertragen. Facebook vergleicht diese Hashwerte der übermittelten Daten mit eigenen Hashwerten, die im Rahmen der Facebook-Nutzung erhoben wurden. Hierdurch kann Facebook eigene Facebook-Nutzer mit denen der Kunden abgleichen und diese identifizieren.

Beim Einsatz dieser Technologie wird für die Verschlüsselung das bekannte MD5-Verfahren verwendet. Nach Auffassung reicht dieses Verfahren für die Verschlüsselungszwecke nicht aus. Nach Ansicht des Bayerischen Landesamtes könne tatsächlich eine sog. „Brute-Force-Attacke“ dadurch deutlich beschleunigt werden, wenn ursprüngliche Klartexteigenschaften der MD5-gehashten Werte berücksichtigt werden. Wörtlich heißt es in dem Tätigkeitsbericht:

„E-Mail-Adressen bestehen oftmals aus Vornamen, Nachnamen, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zugrunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70 – 80 %  aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können“.

Facebook könne deshalb nach Ansicht des Bayerischen Landesamtes ohne wesentlichen Aufwand einen Hashwert bei der überwiegenden Zahl der Fälle zurückrechnen, wodurch auch nicht-Facebook-Nutzer betroffen sein können. Es komme deshalb trotz der vermeintlichen Anonymisierung zu einer Verarbeitung von personenbezogenen Daten die somit eine Einwilligung der betroffenen Personen bedürfe, deren Daten im Rahmen der „Custom Audiences“ an Facebook übermittelt werden. Da diese im Allgemeinen nicht vorliegen dürfte, sei von der Nutzung von „Facebook Custom Audiences“ abzuraten. Tatsächlich könne der Einsatz der „Custom Audiences“ ohne Einwilligung der Nutzer sogar eine Ordnungswidrigkeit darstellen, die mit Bußgeldern sanktioniert werden kann.

Twitter und Geotargeting

Geschrieben am von Dr. Frank Eickmeier

Twitter ermöglicht nun auch Geotargeting. Hierbei handelt es sich um eine Option für Werbetreibende, die auf Twitter geschaltete Werbung nun auch ortsgebunden anzeigen zu können. In Deutschland ermöglicht Twitter bisher die Auswahl aus 16 Städten, in den USA hingegen ist schon eine Auswahl bis auf die Postleitzahl möglich.

Datenschutzrechtlich bietet der neue Service von Twitter für sich genommen keine Bedenken. Zwar arbeitet Twitter mit personenbezogenen Daten, um die Zielgruppe auszuwählen, diese Daten werden laut Twitter nur akkumuliert und damit anonymisiert oder mit Erlaubnis weitergegeben. Für weitere Fragen zu dieser Thematik empfehlen wir auch unseren Beitrag zum location based advertising.

BVDW Whitepaper „Browser-Cookies und alternative Tracking-Technologien“ veröffentlicht.

Geschrieben am von Dr. Frank Eickmeier

Der BVDW hat  unter Mitwirkung von Dr. Frank Eickmeier ein sehr interessantes Whitepaper „Browser-Cookies und alternative Tracking-Technologien veröffentlicht.“ Das Whitepaper beschäftigt sich mit den technischen und den datenschutzrechtlichen Aspekten der alternativen Trackingtechnologien. Neben einer ausführlichen und praxisorientierten Darstellung des Browser-Cookie-Trackings, erläutert das Whitepaper daher alternative browser-basierte Trackingtechnologien wie Fingerprinting, Common-IDs, eTag, Local Storage, Flash-Cookies und Authentication Cache sowie app-basiertes Tracking mittels endgeräteabhängiger IDs. Das Whitepaper ist hier abrufbar: http://www.bvdw.org/medien/browsercookies-und-alternative-tracking-technologien-technische-und-datenschutzrechtliche-aspekte?media=7007.

 

„tools“ 2015: Teilnahme am Panel zum Mobile und Location Based Advertising

Geschrieben am von Dr. Petra Hansmersmann

Dr. Frank Eickmeier wird am 17.06.2015 auf der Messe “tools” an einem Panel zum Thema Mobile und Location Based Advertising teilnehmen, bei dem es um das Thema der passgenauen Kundenansprache durch den Einsatz von Mobile sowie Location Based Advertising geht.

Die Mehrheit der Smartphone-Nutzer in Deutschland nutzt ortsbezogene Dienste. Dadurch erschließt Location Based Advertising für werbetreibende Unternehmen eine Vielzahl neuer Möglichkeiten, ihre Zielgruppe in einem für die Werbebotschaft relevanten örtlichen Kontext zu erreichen und damit das Potenzial des Kanals Mobile für Vertrieb, Marketing und Kommunikation effizienter auszunutzen. Der Verkauf eigener Produkte und Dienstleistungen über mobile Endgeräte ist eine der Zukunftsherausforderungen für Unternehmen. Wo liegen die konkreten Anwendungsgebiete und welche Technologien sind heute bereits im Einsatz? Was die verschiedenen Formen des standortbezogenen Targetings auszeichnet und wie diese optimal angewendet werden, erläutern u.a. Experten der Fokusgruppen Mobile und Targeting des Bundesverbands Digitale Wirtschaft (BVDW) e.V. Weitere Informationen finden sich unter dem folgenden Link: http://www.tools-berlin.de/