Learnings aus der DSGVO für die kommende CCPA

Learnings aus der DSGVO für die kommende CCPA
Mittwoch, Mai 08, 2019
Jenna Watson

Neue Gesetze wie die DSGVO der EU und der US-amerikanische California Consumer Privacy Act of 2018, welcher 2020 in Kraft treten wird, erlauben Nutzern, der Verarbeitung personenbezogener Daten vollständig zu widersprechen beziehungsweise besser zu definieren, in welchem Umfang ihre Daten verwendet werden dürfen.

Die veränderte Gesetzgebung zielt darauf ab, allzu detaillierte Targeting-Optionen einzuschränken und insbesondere die individualisierte Aussteuerung von Kampagnen wieder zur Ausnahme zu machen. Für die künftige Entwicklung von relevanter, personalisierter und gleichzeitig gesetzeskonformer Zielgruppenansprache gilt es deshalb, sich die Intention hinter den aktuellen Regelungen zum Datenschutz zu vergegenwärtigen.

Was bedeutet die DSGVO und wie beeinflusst die Verordnung die Arbeit von Marketern?

Der Einfluss der DSGVO reicht bis nach Nordamerika, obwohl es sich um EU-Recht handelt. Das umfassende Datenschutzgesetz beinhaltet ausdrückliche Bestimmungen hinsichtlich personenbezogener Daten. Dazu zählen alle Informationen, die sich auf eine natürliche Person oder einen Datensatz beziehen, über den eine Person direkt oder indirekt identifiziert werden kann. Das bedeutet, die Verarbeitung jeder personenbezogenen Information – selbst eine auf den ersten Blick so unverfängliche wie die IP-Adresse – unterliegt künftig den Regulierungen der DSGVO.

Alle gesammelten Nutzerdaten müssen demnach auf Anfrage für den Nutzer bereitgestellt werden können, was ein für den Menschen lesbares Format erfordert. Außerdem muss es Nutzern möglich sein, der Erfassung und Verarbeitung ihrer Daten zu widersprechen. Für digitale Marketer bedeutet das eine enorme Herausforderung. Vor der DSGVO existierten all diese Datensätze in einer Form, die nicht hätte ausgelesen und an Nutzer ausgehändigt werden können.

Die drohenden Konsequenzen bei Nichtbeachtung der DSGVO-Bestimmungen sind beachtlich. Mit Strafen ab 20 Millionen Euro – oder mehr, wenn vier Prozent des Umsatzes über dieser Mindestsumme liegen – müssen Unternehmen rechnen. Die umfassenden Kriterien und horrenden Strafen machten es erforderlich, dass sich Marketer noch vor Inkrafttreten der neuen Regelungen um ihre Erfüllung kümmerten. Die Regelungen gelten für die Betreiber jeder Webseite, die von EU-Bürgern besucht wird oder die auf europäische Nutzer abzielt; sogar, wenn die Webseiten-Betreiber ihren Sitz außerhalb der EU haben.

Die DSGVO hat alles verändert – und nichts

Nun könnte man annehmen, dass Unternehmen, die im großen Stil Daten erfassen, schon wenige Tage nach der Einführung der DSGVO mit hohen Strafen belegt würden. Doch obwohl schnell Beschwerden gegen Facebook, Google, WhatsApp und Instagram erhoben worden sind, ist bisher bloß Folgendes passiert: Weltweit nutzt inzwischen nahezu jede Webseite ein “Wir verwenden Cookies”-Pop-up, das über einen Link zu den zwischenzeitlich aktualisierten Datenschutzrichtlinien führt.

Webseiten-Besucher haben in der Regel drei Möglichkeiten, auf das Pop-up-Fenster zu reagieren. Entweder sie stimmen per Klick der Verarbeitung ihrer Daten zu, sie schließen das Pop-up oder sie ignorieren es schlicht. Der Großteil der Nutzer entscheidet sich für eine der ersten beiden Optionen. Jeff Bezos brachte dieses Verhalten 2018 in einem Brief an die Shareholder von Amazon auf den Punkt:

Eine Sache, die ich an Kunden liebe, ist, dass sie wunderbar unzufrieden sind. Ihre Erwartungen sind dynamisch – und werden immer höher. Das liegt in der Natur des Menschen. Wir sind über das Dasein als Jäger und Sammler nicht hinausgewachsen, indem wir zufrieden waren. Menschen haben einen unersättlichen Appetit auf Verbesserungen. Was gestern noch beeindruckt hat, ist der Alltag von morgen.

Inzwischen sind die meisten Nutzer so an die typischen Datenschutzerklärungen mitsamt ihren Bedingungen gewöhnt, dass sie blindlings zustimmen oder ablehnen, einzig mit dem Ziel, weiter ungestört auf der Webseite zu verweilen. One-Click-Bestellungen sollen weiter möglich sein? Teilen in sozialen Medien, sportliche Aktivitäten tracken lassen oder werbebasierten Content konsumieren? Akzeptieren, und weiter geht‘s.

CCPA: Die erste ihrer Art in den USA

Auf die allgegenwärtige Datenerfassung – vielleicht aber auch schlicht aufgrund der Vorstellung, dass jemand Nutzer vor sich selbst und ihren tief verwurzelten Angewohnheiten schützen sollte – reagierte Kalifornien als erster US-Bundesstaat mit einer eigenen Version des Datenschutzgesetzes.

Zwar ist der California Consumer Privacy Act of 2018 nicht ganz so streng verfasst wie das europäische Vorbild. Nutzer haben künftig jedoch das Recht, zu wissen, aus welchen Gründen Informationen über sie gesammelt werden. Außerdem müssen die Nutzer darüber informiert werden, mit welchen Partnern ein Unternehmen diese Informationen gegebenenfalls teilt. Nutzer können verhindern, dass ihre persönlichen Daten an Dritte verkauft werden und Unternehmen anweisen, bereits gesammelte Daten zu löschen. Zudem enthält das Gesetz Vorschriften über die Datensammlung von Kindern unter 16 Jahren.

Drei weiße Überwachungskameras an einer Mauerecke

Auffällig ist die Geschwindigkeit, in der der CCPA entstanden ist: Innerhalb einer Woche wurde der Entwurf bestätigt und damit in Kraft gesetzt. Beim CCPA handelt es sich um eine Reaktion auf einen Gesetzentwurf, der noch restriktiver wäre als der jetzige. Jener hätte das Vorgehen gegen Unternehmen, die nicht gesetzeskonform auf den Datenschutz betreffende Nutzeranfragen reagieren, erleichtert.

Wenig überraschend sind daher die Reaktionen von Amazon, Google, Facebook, Twitter und AT&T die sich gegen den strengeren Gesetzesentwurf aussprachen.

Interessant ist, wie die genannten Unternehmen über Privatsphäre und Datenschutz sprechen. Tim Cook, CEO von Apple und damit einer der Kritiker des Gesetzes, sagte im Oktober 2018:

Wir bei Apple glauben, dass Datenschutz ein grundsätzliches Menschenrecht ist. Wir realisieren allerdings auch, dass nicht jeder die Dinge so sieht wie wir. Natürlich ist der Drang, Profit über Datenschutz zu stellen nicht neu … Diese Datenschnipsel … jeder als einzelner harmlos … werden vorsichtig zusammengesetzt, gehandelt und verkauft … Überspitzt gesagt, dieser Prozess erschafft ein dauerhaftes digitales Profil und sorgt dafür, dass Unternehmen besser über jemanden Bescheid wissen, als dieser über sich selbst …

Wir bei Apple unterstützen ein flächendeckendes staatliches Datenschutzgesetz in den USA. Dieses sollte auf vier essenziellen Rechten wurzeln: Erstens das Recht, den Umfang der von Unternehmen gesammelten persönlichen Daten zu minimieren. Unternehmen sollten den Anspruch haben, Daten zu “de-identifizieren” – oder diese in erster Linie gar nicht erst zu erheben. Zweitens das Recht auf Kenntnis. Nutzer sollten immer wissen, welche Daten zu welchem Zweck gesammelt werden. Das ist der einzige Weg, wie Nutzer darüber entscheiden können, welche Datensammlung legitim ist und welche nicht. Alles andere ist Augenwischerei. Drittens das Recht auf Zugriff. Unternehmen sollten akzeptieren, dass die Daten den Nutzern gehören und gewährleisten, dass diese eine vollständige Kopie der über sie … erhobenen … Daten anfordern oder diese gegebenenfalls auch löschen lassen können. Und viertens das Recht auf Sicherheit. Sicherheit ist die Voraussetzung für Vertrauen und für jedes andere Recht auf Datenschutz.

Verwirrend, oder? Apple befürwortet demnach ein Datenschutzgesetz, setzt sich aber andererseits gegen ein solches Gesetz ein. Wenn sich also selbst Apple nicht klar positioniert, wie soll es einem Marketer möglich sein, einen belastbaren und klugen Umgang zu finden, gleichzeitig aber adressierte Nutzer mit relevanten und personalisierten Erlebnissen zu versorgen?

Wie sich Unternehmen auf den CCPA vorbereiten

Folgende fünf Aspekte sollten Marketer im Auge haben:

  1. Ein Marketer, der individuelle PII (personenbezogene Informationen) sammelt, muss sicherstellen, dass er eine fixe Einverständniserklärung des Endnutzers (z. B. per E-Mail) vorweisen kann. Anzunehmen, kein aktives Widersprechen sei automatisch eine Einverständniserklärung, reicht nicht aus.
  2. Sensible Daten, wie beispielsweise Kreditkarteninformationen oder die medizinische Vorgeschichte, sollten unter keinen Umständen für Targeting oder Zielgruppenansprache genutzt werden, wenn nicht die ausdrückliche Erlaubnis des Nutzers dafür vorliegt.
  3. Marketer, die Kundendaten sammeln, müssen eindeutige Datenschutzrichtlinien vorweisen, die jederzeit einsehbar sind und genau festlegen, wie Daten gesammelt und genutzt werden.
  4. Marketer müssen über eine Data Governance Strategy verfügen, die einen angemessenen Umgang mit den gesammelten Daten sicherstellt. Das bedeutet, dass Nutzer sowohl darüber informiert werden können, wie das Unternehmen Daten nutzt als auch die Handhabe bekommen, einer Sammlung ihrer Daten dauerhaft zu widersprechen.
  5. Unternehmen sollten außerdem penibel darauf achten, dass alle kooperierenden Publisher und Verkäufer die Datenschutzgesetze angemessen einhalten. Falls diese das nicht tun, sollten Unternehmen allein aus Haftungsgründen dort keine Werbeplätze einkaufen oder verkaufen.

Die DSGVO hat zwar bislang noch keine wesentlichen negativen Auswirkungen auf die großen datengetriebenen Unternehmen gehabt und der CCPA wird erst 2020 in Kraft treten. Dennoch sind Marketer gut beraten, die genannten Maßnahmen zu ergreifen.

Und wer weiß? Jetzt, da die größten Unternehmen aktiv in die Gespräche darüber, wie die Privatsphäre der Nutzer geschützt werden kann, eingebunden sind, werden anstehende neue Gesetzgebungen eventuell tatsächlich etwas daran ändern, wie Nutzer künftig mit Marken interagieren.

Sie möchten wissen, wie Sie mit komplexen neuen Datenschutzgesetzen umgehen sollen und Ihre Nutzer auf ethische und verantwortungsbewusste Weise mit Informationen versorgen? Dann treten Sie mit uns in Kontakt!