IP-Adressen anonymisieren – wann, wie und warum?

Geschrieben am von Dr. Lukas Mezger

Seit dem Breyer-Urteil des Europäischen Gerichtshofs gelten auch dynamisch vergebene IP-Adressen als personenbezogene Daten und fallen damit unter das Datenschutzrecht. Diese Wertung wurde auch von der Datenschutzgrundverordnung (DSGVO) übernommen, die am 25. Mai 2018 in Kraft tritt und in allen EU-Mitgliedstaaten den Begriff der personenbezogenen Daten neu definiert.

Das hat zur Folge, dass an die Verarbeitung von IP-Adressen im Wesentlichen dieselben Anforderungen gestellt werden wie zum Beispiel an das Speichern von E-Mail-Adressen. Weil IP-Adressen aber natürlich für jede Übermittlung von Webinhalten erforderlich sind, kennt das Datenschutzrecht aber auch Ausnahmen von dem Grundsatz, dass personenbezogene Daten nur nach vorheriger Zustimmung des betroffenen Nutzers verarbeitet werden dürfen.

Der Prozess der Anonymisierung bietet die Möglichkeit, IP-Adressen so zu verarbeiten, dass das Datenschutzrecht gar keine Anwendung mehr findet. Denn schutzbedürftig sind nur diejenigen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. „Anonymisierung“ bedeutet also, die IP-Adresse so zu ändern, dass ein Rückschluss auf die Nutzeridentität nicht mehr möglich ist. Um dieses Ziel zu erreichen gibt es zwei Möglichkeiten: das Kürzen und das so genannte Hashing.

Das Kürzen von IP-Adressen (englisch: „trunkating“) erfolgt durch Entfernen des letzten Zeichenblocks einer IP-Adresse. Bei einer IPv4-Adresse würde dieser dann zum Beispiel durch eine Null oder einer andere Zahl ersetzt werden (Beispiel: aus 217.91.101.31 wird 217.91.101.0). Das „Hashing“ (deutsch: „zerhacken“) erfolgt durch die Verschlüsselung der IP-Adresse unter Verwendung eines speziellen Algorithmus. Derzeit entspricht der so genannte SHA-256-Algorithmus dem  Stand der Technik. Da die Anzahl von IP-Adressen auch nach Einführung des IPv6-Protokolls endlich ist, reicht die einfache Hashfunktion jedoch allein nicht aus, um die Anonymisierung der Daten zu gewährleisten. Deshalb ist nach dem „Hashing“ noch ein weiterer Schritt erforderlich, das sogenannte „Salting“, eine weitere Verschlüsselungstechnik. Nur so wird eine vollständige Anonymisierung erreicht.

Zusammenfassend bedeutet das: Wenn IP-Adressen zum frühestmöglichen Zeitpunkt wirksam anonymisiert werden, unterliegt deren weitere Verarbeitung nicht dem Datenschutzrecht und es sind keinerlei besondere Vorschriften zu beachten. Bevor jedoch eine solche Anonymisierung stattgefunden hat, gilt die Datenschutzgrundverordnung freilich uneingeschränkt. Eine Ausnahme vom Verbot der Verarbeitung von IP-Adressen, bei der die Verarbeitung der (vollständigen) IP-Adresse unter bestimmten Umständen zulässig sein kann, ist beispielsweise die Verhinderung von Klickbetrug.

Facebook Custom Audiences – doch datenschutzkonform ?

Geschrieben am von Dr. Frank Eickmeier

Die Bayerischen Datenschutzbehörden überprüfen derzeit den Einsatz von Facebook-Custom-Audiences. Zu diesem Zweck versendet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) derzeit Fragebögen zu Facebook-Custom-Audiences und dessen Verwendung. Dieser Fragebogen erfasst beide derzeit häufig eingesetzten Varianten von Facebook-Custom-Audiences, nämlich der Einsatz von Facebook-Custom-Audiences über die eigenen Kundenlisten (CRM) und der Einsatz von Facebook-Custom-Audiences über die eigene Website (Custom Audiences from your Website).

In seinem Schreiben vertritt das BayLDA die Auffassung, dass der Einsatz von Facebook-Custom-Audiences über die Kundenlisten nur auf der Grundlage einer Einwilligung des Webseitennutzers zulässig ist.

Dagegen ist der Einsatz von Facebook-Custom-Audiences from your Website unter Beachtung der Voraussetzungen des § 15 Abs. 3 TMG zulässig ! Das bedeutet, dass der Verwender in seiner eigenen Datenschutzerklärung über den Einsatz von Facebook-Custom-Audiences in seiner Datenschutzerklärung hinweisen muss und darüber hinaus ein Opt-Out-Verfahren zur Verfügung stellt, mit dem der Nutzer der Nutzung seiner Daten im Rahmen dieses Prozesses widersprechen kann.

Damit schafft das BayLDA immerhin für Facebook-Custom-Audiences from your Website endlich eine datenschutzrechtliche Klarstellung, die sehr erfreulich ist. Wie der Einsatz von Facebook-Custom-Audiences über die eigenen Kundenlisten endgültig durch das BayLDA entschieden wird, bleibt noch abzuwarten.

 

 

Acht Missverständnisse über die Datenschutzgrundverordnung

Geschrieben am von Dr. Lukas Mezger

Bereits 2016 wurde die EU-Datenschutzgrundverordnung (DSGVO) verabschiedet. Die Verordnung wird im Mai 2018 voll anwendbar. Für Unternehmen, die in Europa tätig sind, ist es entscheidend, ihren Geschäftsbetrieb an der neuen Regelung auszurichten. Allerdings begegnen wir regelmäßig Missverständnissen über die DSGVO. Die acht wichtigsten davon hat unser Brüsseler Kollege Edwin Jacobs, mit dem wir im Rahmen des Kanzleinetzwerks World IT Lawyers zusammen arbeiten, hier aufgeführt.

Missverständnis 1: Die DSGVO gilt nicht für kleine Unternehmen.

Obwohl einige Zugeständnisse an kleine Unternehmer und KMU gemacht wurden, gilt die DSGVO für alle Organisationen, die personenbezogene Daten verarbeiten. Die Auswirkungen der DSGVO auf Ihr Unternehmen hängen von der Art und Weise ab, wie Daten verarbeitet werden und nicht von der Anzahl der Datensätze oder der Größe der Organisation.

Missverständnis 2: Jede Firma, auf die die DSGVO anwendbar ist, muss einen Datenschutzbeauftragten einsetzen.

Ob die DSGVO auf ein Unternehmen anwendbar ist oder nicht, bedeutet nicht zwangsläufig, dass das Unternehmen einen Datenschutzbeauftragten (DSB) benennen muss. Dies gilt nur für öffentliche Institutionen, die Daten verarbeiten, Unternehmen, die personenbezogene Daten systematisch verarbeiten und Organisationen, die besonders sensible Daten (wie zum Beispiel Gesundheitsdaten) verarbeiten.

Auch wenn Ihr Unternehmen nicht in eine dieser Kategorien fällt, ist es dennoch empfehlenswert, einen DSB zu ernennen. Dies bietet zusätzliche Aufsicht und mehr Sicherheit im Fall von Streitigkeiten.

Missverständnis 3: Die Ernennung eines Datenschutzbeauftragten ist eine reine Formalität.

Die DSGVO verlangt, dass ein Datenschutzbeauftragter nachweislich Expertenwissen über Datenschutz und Datensicherheit hat. Eine einfache Ernennung einer Ihrer aktuellen Mitarbeiter als DSB reicht nicht aus. Darüber hinaus muss der ernannte DSB über die unternehmensspezifischen Datenprozesse hinreichend informiert werden.

Missverständnis 4: Unsere Firma verschlüsselt Daten, so dass wir DSGVO-konform sind.

Es ist ein Missverständnis, dass durch die bloße Verschlüsselung von Daten die DSGVO-Anforderungen erfüllt sind. Die Datenverschlüsselung sollte eher als Mindeststandard interpretiert werden und erfordert daher zusätzliche Maßnahmen. Unternehmen müssen zusätzliche Optionen zum Schutz personenbezogener Daten anbieten, wie zum Beispiel die Verwendung von zweistufigen Verifizierungen und das endgültige Löschen von Daten, die nicht mehr verwendet werden.

Missverständnis 5: Unsere Daten werden in der Cloud gespeichert, daher liegt die Verantwortung für die Datensicherheit beim Cloud-Provider und beim Security-Provider.

Die DSGVO gilt nicht nur für Unternehmen, die Daten speichern, sondern auch für Unternehmen, die diese Daten verarbeiten. Das bedeutet, dass die DSGVO auch gilt, wenn ein Unternehmen Drittanbieter für die Datenspeicherung bei der Verarbeitung von Daten einsetzt.

Missverständnis 6: Meine Firma hält das nationale Datenschutzgesetz ein, daher entsprechen wir der DSGVO.

Die DSGVO ersetzt die Datenschutzrichtlinie, die von allen Mitgliedsstaaten der Europäischen Union in nationales Recht umgesetzt wurde. Die DSGVO und die derzeitigen nationalen Datenschutzgesetze sind jedoch in vielerlei Hinsicht unterschiedlich. Es gibt zum Beispiel Unterschiede bei der Einwilligung, die Betroffene für die Verarbeitung ihrer Daten erteilen müssen oder dass der Betroffene bei einem Datenleck informiert werden muss. Es stimmt jedoch, dass die Einhaltung Ihres nationalen Datenschutzgesetzes einen einfacheren Übergang zur Erfüllung der DSGVO-Anforderungen ermöglicht.

Missverständnis 7: Meine Firma ist mit dem Privacy Shield konform, daher entsprechen wir der DSGVO.

Obwohl es viele Ähnlichkeiten zwischen den Vorschriften des Privacy Shield und den Bestimmungen der DSGVO gibt, ist es nicht wahr, dass diese beiden Systeme gleich sind. Das Privacy Shield bezieht sich nur auf eines der vielen DSGVO-Themen, nämlich internationale Datenübertragungen. Das Privacy Shield erwähnt beispielsweise keine Benutzerberechtigungen oder einen Datenschutzbeauftragten.

Missverständnis 8: Die DSGVO ist eine All-in-One-Lösung für die Datenverarbeitung in Europa.

Die DSGVO wurde als universelle Regulierung veröffentlicht, die die Gesetzgebung in Europa vereinfacht und vereinheitlicht. In der Praxis ist dies jedoch nicht der Fall. Für multinationale Konzerne ist die DSGVO nur die nächste Regulierung, die einer Reihe von bestehenden Regelungen hinzufügt wird. Zum Beispiel gibt es im Fall eines Datenlecks unterschiedliche gesetzliche Regelungen für die Meldepflicht. Darüber hinaus müssen Unternehmen die nationalen Datenschutzbestimmungen einhalten, die je nach Land variieren. Es wird noch komplizierter, wenn die DSGVO mit nationalen oder branchenspezifischen Richtlinien nicht übereinstimmt.

Ist ihr Unternehmen fit für die Datenschutzgrundverordnung? Falls Sie dazu Fragen haben, sprechen Sie uns an.

Die deutsche Übersetzung der ePrivacy-Verordnung ist veröffentlicht – das Ende des werbefinanzierten Internets?

Geschrieben am von Dr. Frank Eickmeier

 

Seit kurzem ist die deutsche Fassung der ePrivacy-Verordnung veröffentlicht. Der aktuelle Entwurf stellt, wie bereits an anderer Stelle erwähnt, eine erhebliche Bedrohung für die Unternehmen der Onlinemarketingbranche dar. Wörtlich hat auch der BVDW in seinem Factsheet hervorgehoben:

„Sollte der Entwurf wie beabsichtigt Realität werden, bedeutet es nichts anderes als das Ende des werbefinanzierten Internets. Gem. Art. 8 Abs. 1 der Verordnung sollen Webseitenbetreiber nur noch dann Cookies einsetzen können, wenn sie eine explizite Erlaubnis des Nutzers erhalten haben.“

 Die für die Onlinebranche wichtigsten Regeln befinden sich in den Art. 8 und 9 des Verordnungsentwurfes:

„Artikel 8

Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen

Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen.

Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer sie erfolgt aus folgenden Gründen:

  1. sie ist für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder
  2. der Endnutzer hat seine Einwilligung gegeben oder
  3. sie ist für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig oder
  4. sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt.

Die Erhebung von Informationen, die von Endeinrichtungen ausgesendet werden, um sich mit anderen Geräten oder mit Netzanlagen verbinden zu können, ist untersagt, außer

  1. sie erfolgt ausschließlich zum Zwecke der Herstellung einer Verbindung und für die dazu erforderliche Dauer oder
  2. es wird in hervorgehobener Weise ein deutlicher Hinweis angezeigt, der zumindest Auskunft gibt über die Modalitäten der Erhebung, ihren Zweck, die dafür verantwortliche Person und die anderen nach Artikel 13 der Verordnung (EU) 2016/679 verlangten Informationen, soweit personenbezogene Daten erfasst werden, sowie darüber, was der Endnutzer der Endeinrichtung tun kann, um die Erhebung zu beenden oder auf ein Minimum zu beschränken.

Voraussetzung für die Erhebung solcher Informationen ist die Anwendung geeigneter technischer und organisatorischer Maßnahmen, die ein dem Risiko angemessenes Schutzniveau nach Artikel 32 der Verordnung (EU) 2016/679 gewährleisten.

Die nach Absatz 2 Buchstabe b zu gebenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht  wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die Erhebung zu.

Der Kommission wird die Befugnis übertragen, nach Artikel 27 delegierte  Rechtsakte zur Bestimmung der Informationen, die durch standardisierte Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

Artikel 9

Einwilligung

(1) Für die Einwilligung gelten die Begriffsbestimmung und die Voraussetzungen, die in Artikel 4 Nummer 11 und Artikel 7 der Verordnung (EU) 2016/679 festgelegt sind.

(2) Unbeschadet des Absatzes 1 kann die Einwilligung für die Zwecke des Artikels 8 Absatz 1 Buchstabe b – soweit dies technisch möglich und machbar ist – in den passenden technischen Einstellungen einer Software, die den Zugang zum Internet ermöglicht, gegeben werden.

(3) Endnutzern, die ihre Einwilligung zur Verarbeitung elektronischer Kommunikationsdaten nach Artikel 6 Absatz 2 Buchstabe c und Artikel 6 Absatz 3 Buchstaben a und b gegeben haben, wird nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 die Möglichkeit eingeräumt, ihre Einwilligung jederzeit zu widerrufen; sie werden in regelmäßigen Abständen von sechs Monaten an diese Möglichkeit erinnert, solange die Verarbeitung andauert.“

Diese beiden Artikel sind im Zusammenhang mit den so genannten Erwägungsgründen zu lesen, die nicht selbst Teil des Gesetzestextes sind. Sie spiegeln jedoch die Gedanken und Erwägungen der EU-Kommission wieder und helfen bei der Auslegung des Gesetzeswortlautes.

Die wichtigsten Erwägungsgründe 21–24 lauten:

„(21) Ausnahmen von der Verpflichtung, die Einwilligung in die Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen oder den Zugriff auf in Endeinrichtungen gespeicherte Informationen einzuholen, sollten auf Situationen beschränkt sein, in denen kein oder nur ein geringfügiger Eingriff in die Privatsphäre stattfindet. Beispielsweise sollte keine Einwilligung eingeholt werden für ein technisches Speichern oder Zugreifen, das zu dem rechtmäßigen Zweck, die vom Endnutzer ausdrücklich gewünschte Nutzung eines bestimmten Dienstes zu ermöglichen, unbedingt notwendig und verhältnismäßig ist. Dazu gehört auch das Speichern von Cookies für die Dauer einer für den Besuch einer Website einmal aufgebauten Sitzung, um die Eingaben des Endnutzers beim Ausfüllen von Online Formularen, die sich über mehrere Seiten erstrecken, mitverfolgen zu können. Cookies können auch ein legitimes und nützliches Hilfsmittel sein, um beispielsweise den Webdatenverkehr zu einer Website zu messen. Konfigurationsprüfungen, die Anbieter von Diensten der Informationsgesellschaft vornehmen, um ihren Dienst entsprechend den Einstellungen des Endnutzers bereitstellen zu können, wie auch das bloße Feststellen der Tatsache, dass das Gerät des Endnutzers die vom Endnutzer angeforderten Inhalte nicht empfangen kann, sollten nicht als Zugriff auf ein Gerät oder als Nutzung der Verarbeitungsfunktionen des Geräts betrachtet werden.

 (22) Die Methoden zur Bereitstellung von Informationen und die Einholung der Einwilligung des Endnutzers sollten so benutzerfreundlich wie möglich sein. Wegen der allgegenwärtigen Verwendung von Verfolgungs-Cookies und anderer Verfolgungstechniken werden die Endnutzer immer häufiger aufgefordert, ihre Einwilligung in die Speicherung solcher Verfolgungs-Cookies in ihren Endeinrichtungen zu geben. Infolge dessen werden die Endnutzer mit Einwilligungsanfragen überhäuft. Mit Hilfe technischer Mittel für die Erteilung der Einwilligung, z. B. durch transparente und benutzerfreundliche Einstellungen, könnte dieses Problem behoben werden. Deshalb sollte diese Verordnung die Möglichkeit vorsehen, dass die Einwilligung durch die entsprechenden Einstellungen in einem Browser oder einer anderen Anwendung erteilt werden kann. Die Auswahl, die Endnutzer bei der Festlegung ihrer allgemeinen Einstellungen zur Privatsphäre in einem Browser oder einer anderen Anwendung getroffen haben, sollte für Dritte verbindlich und ihnen gegenüber auch durchsetzbar sein. Webbrowser sind eine Art von Softwareanwendung, die es ermöglicht, Informationen aus dem Internet abzurufen und darzustellen. Andere Arten von Anwendungen wie solche, die Anrufe und die Nachrichtenübermittlung ermöglichen oder Navigationshilfe bieten, sind dazu ebenfalls in der Lage. Ein Großteil der Vorgänge, die zwischen dem Endnutzer und der Website ablaufen, werden von Webbrowsern abgewickelt. Aus dieser Sicht kommt ihnen eine Sonderstellung zu, wenn es darum geht, den Endnutzern die Kontrolle über den Informationsfluss zu und von ihrer Endeinrichtung zu erleichtern. So können Webbrowser insbesondere als Torwächter dienen und den Endnutzern helfen, ein Speichern von Informationen in ihren Endeinrichtungen (wie Smartphones, Tablets oder Computer) bzw. den Zugriff darauf zu verhindern.

 (23) Die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen wurden in Artikel 25 der Verordnung DE 21 DE (EU) 2016/679 festgeschrieben. Gegenwärtig haben die meisten weitverbreiteten Browser für Cookies die Standardeinstellung „Alle Cookies annehmen“. Deshalb sollten Anbieter von Software, die das Abrufen und Darstellen von Informationen aus dem Internet erlaubt, dazu verpflichtet sein, die Software so zu konfigurieren, dass sie die Möglichkeit bietet zu verhindern, dass Dritte Informationen in der Endeinrichtung speichern; diese Einstellung wird häufig als „Cookies von Drittanbietern zurückweisen“ bezeichnet. Den Endnutzern sollte eine Reihe von Einstellungsmöglichkeiten zur Privatsphäre angeboten werden, die vom höheren Schutz (z. B. „Cookies niemals annehmen“) über einen mittleren Schutz (z. B. „Cookies von Drittanbietern zurückweisen“ oder „Nur Cookies von Erstanbietern annehmen“) bis zum niedrigeren Schutz (z. B. „Cookies immer annehmen“) reicht. Solche Einstellungen zur Privatsphäre sollten in leicht sichtbarer und verständlicher Weise dargestellt werden.

 (24) Damit Webbrowser die in der Verordnung (EU) 2016/679 vorgeschriebene Einwilligung der Endnutzer, z. B. in die Speicherung von Verfolgungs-Cookies von Drittanbietern, einholen können, sollten sie unter anderem eine eindeutige bestätigende Handlung von der Endeinrichtung des Endnutzers verlangen, mit der dieser seine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich erklärte Zustimmung zur Speicherung solcher Cookies in seiner Endeinrichtung und zum Zugriff darauf bekundet. Eine solche Handlung kann als bestätigend verstanden werden, wenn Endnutzer zur Einwilligung beispielsweise die Option „Cookies von Drittanbietern annehmen“ aktiv auswählen müssen und ihnen die dazu notwendigen Informationen gegeben werden. Hierzu müssen die Anbieter von Software, die den Zugang zum Internet ermöglicht, verpflichtet werden, die Endnutzer zum Zeitpunkt der Installation darauf hinzuweisen, dass die Einstellungen zur Privatsphäre unter den verschiedenen Möglichkeiten ausgewählt werden können, und sie aufzufordern, eine Wahl zu treffen. Die gegebenen Informationen sollten die Endnutzer nicht davon abschrecken, höhere Einstellungen zur Privatsphäre zu wählen, und sie sollten alle wichtigen Informationen über die mit der Annahme von Cookies von Drittanbietern verbundenen Risiken enthalten, wozu auch das Anlegen langfristiger Aufzeichnungen über die Browserverläufe des Betroffenen und die Verwendung solcher Aufzeichnungen zur Übermittlung gezielter Werbung gehören. Es sollte gefördert werden, dass Webbrowser den Endnutzern einfache Möglichkeiten bieten, die Einstellungen zur Privatsphäre während der Benutzung jederzeit zu ändern, und dem Nutzer erlauben, Ausnahmen für bestimmte Websites zu machen oder in Listen festzulegen oder anzugeben, von welchen Websites Cookies (auch von Drittanbietern) immer oder niemals angenommen werden sollen.“

Für weitere Informationen lesen Sie unseren bereits erschienenen Beitrag. Es bleibt abzuwarten, wie die finale Fassung der Verordnung wirklich lauten wird.

Programmatic Advertising auf Fake news-Websites gefährdet Markenauftritte im Netz

Geschrieben am von Dr. Lukas Mezger

Die Nutzung von Google AdWords hat sich für viele Unternehmen zum äußerst beliebten Marketing-Instrument entwickelt. Gründe dafür sind die hohe Verbreitung, die einfache Nutzbarkeit, Googles attraktive Preispolitik und die wohl verhältnismäßige große Effektivität dieses Werbemediums. Dabei machen viele Unternehmen keinen Gebrauch von den Möglichkeiten, ihre AdWords-Anzeigen genau auszusteuern. Das führt dazu, dass AdWords-Anzeigen auf Websites erscheinen, die der Marke nachhaltig Schaden zufügen können. Besonders aktuell zeigt sich dieses Problem gerade am Beispiel der „Nachrichtenseite“ Breitbart, die durch ihre fremdenfeindlichen, sexistischen, populistischen und von einem journalistischen Wahrheitsanspruch weit entfernten Beiträge bekannt geworden ist. Breitbart setzt AdWords-Anzeigen an prominenter Stelle ein – nämlich direkt neben der Überschrift eines Beitrags.

Werbung für die deutsche Trivago-Seite auf Breitbart
Werbung für die deutsche Trivago-Seite auf Breitbart.

Die Online-Initiative „Sleeping Giants“ hat sich zum Ziel gesetzt, Unternehmen auf das Problem hinzuweisen, dass sie – in der Regel unbewusst – zur Finanzierung dieser Plattform beitragen. Denn beim Programmatic Advertising legen Werbetreibende nur fest, welcher Zielgruppe Werbung angezeigt werden soll, die konkrete Website wird von den Werbenetzwerken in der Regel selbst bestimmt. Damit Breitbart nicht zum ungewollten Nutznießer sensibler Werbeetats wird, sind aufgrund entsprechender Hinweise bereits hunderte von Unternehmen der Aufforderung gefolgt, Breitbart von ihren AdWords-Kampagnen auszunehmen. Dazu gehören so prominente Namen wie Master Card und Ferrero. Wenn Sie ebenfalls Google AdWords nutzen, sollten Sie ein entsprechendes Blacklisting ebenfalls prüfen. Wie Sie das umsetzen, wird hier erklärt.

Gleichzeitig stellen sich in diesem Zusammenhang natürlich auch rechtliche Fragen, zum Beispiel zur Zulässigkeit eines solchen Boykottaufrufs oder zur Positionierung des eigenen Unternehmens gegenüber Vorwürfen, man unterstütze populistische Positionen. Gern beraten wir Sie auch zu diesen Aspekten des Onlinemarketingsrechts.