Remarketing und Datenschutz – „Ich weiß genau, was Du dir letzte Woche angesehen hast!“

Gläserner Mensch

Sie besuchen einen Online-Shop, z. B. eine Plattform für den Kauf von Fahrzeugen, Immobilien, Reisen oder eine Sanitätshaus und haben das Gefühl, dass Sie nun – egal welche Webseite Sie besuchen – Werbung für die zuvor gesuchten Produkte und Dienstleistungen erhalten. Sie haben kürzlich noch nach Tierfutter gesucht und sehen nun beim Surfen überall Werbung für weitere „Angebote“? Ist das Zufall? Nein – natürlich nicht, sondern Remarketing.

Mit Hilfe von Remarketing (auch bekannt unter Retargeting) sollen Besucher einer Webseite über personalisierte Werbeanzeigen wieder auf die bereits besuchte Webseite gelockt werden. Dabei gibt es verschiedene Formen von Remarketing. Es können zum Beispiel Seitenbesucher angesprochen werden,

  • die die Webseite besucht, aber keinen Kauf getätigt haben
  • oder die bestimmte Ware gekauft und nun zum Kauf ergänzender Produkte angeregt werden sollen.

Ihr externer Datenschutzbeauftragter erklärt, wie Remarketing funktioniert, welche Datenschutz-Risiken sich für Seitenbesucher ergeben und was Seitenbetreiber beachten sollten.

Wie funktioniert Remarketing?

Remarketing und DatenschutzFür Remarketing gibt es zahlreiche Anbieter, unter anderem Google, Facebook, Criteo oder Yoondo. Die Funktionsweise unterscheidet sich somit auch je nach Anbieter, wobei Remarketing in den Grundzügen, wie folgt funktioniert:

  1. Der Betroffene besucht den Online-Shop A.
  2. Beim Aufruf der Webseite wird ein Cookie gesetzt, wodurch der Besucher von Online-Shop A gekennzeichnet wird und es wird erfasst, wofür sich der Seitenbesucher interessiert hat.
  3. Gegen Entgelt bindet eine andere Webseite B oder ein anderer Online-Shop B Werbebanner des Online-Shops A ein.
  4. Der Nutzer besucht nun die Webseite B / den Online-Shop B.
  5. Anhand des Cookies wird er erkannt und für bestimmte Produkte/Dienstleistungen angesprochen.
  6. Der Kunde sieht den Werbebanner, ruft die Seite von Online-Shop A erneut auf und kauft das Produkt.

Was sind Cookies?

Ein Cookie ist eine kleine Textdatei, die beim Besuch von Internetseiten vom Internet-Browser lokal im temporären Speicher abgelegt wird. Entwickelt wurden Cookies, um den Internetbesuch eines Nutzers komfortabler zu gestalten. Die von der besuchten Webseite hinterlegten Textdateien enthalten Informationen zum Webserver und werden bei einem erneuten Aufruf von der betreffenden Seite bzw. bei Remarketing von der Seite, die den Werbebanner aufzeigen soll, ausgelesen.

Sofern Sie mehr über Cookies erfahren möchten, lesen Sie doch unseren Beitrag:

Cookies anzeigen, entfernen und löschen – Datenschutz mit Firefox, Safari, Chrome, Internet Explorer und Co.

Remarketing und Datenschutz – Warum Sie bei Remarketing Datenschutz-Anforderungen berücksichtigten sollten?

Das Setzen von Cookies für personalisierte Werbung ist aus Datenschutzsicht kritisch, da mittels Cookie sowohl IP-Adresse als auch die Aktivitäten auf der Webseite gespeichert und später ausgelesen werden können.

Der Hintergrund ist Folgender: Im Datenschutzrecht gilt das Verbot mit Erlaubnisvorbehalt, denn laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) bedarf die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten einer Rechtsgrundlage oder informierter und freiwilliger Einwilligungen, dies dürfte allerdings beim Einsatz von Cookies sehr schwierig sein.

Telemediengesetz und Datenschutzrichtlinie für elektronische Kommunikation

Bisher war fraglich, ob ein Besucher gleich beim Aufruf der Webseite in die Verwendung von Cookies einwilligen muss (Opt-in), oder ob es ausreicht, wenn er nachträglich widersprechen kann (Opt-out).

Grund ist die, im Jahr 2009, durch die Cookie-Richtlinie ergänzte Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy Richtlinie), die bis heute in Deutschland nicht ausreichend umgesetzt ist. Unklarheiten bestehen zum einen bei der Informationspflicht über den Einsatz von Cookies und zum anderen bei der Einwilligung der Seitenbesucher.

Die ePrivacy-Richtlinie (Art. 5 Abs. 3 RL 2002/58/EG) sieht vor, dass der Seitenbesucher bereits bei der Speicherung von Informationen über den Einsatz von Cookies informiert werden muss. Wohingegen laut § 13 Abs. 1 S. 2 des Telemediengesetzes (TMG) eine Informationspflicht erst bei Speicherung personenbezogener Daten bzw. bei Beginn dieses Verfahrens zu erfolgen hat.

Die selbe Problematik existiert in Hinblick auf die Einwilligung des Seitenbesuchers. Die ePrivacy-Richtlinie legt fest, dass die Einwilligung bei einer Speicherung von Informationen erforderlich ist, wobei das Telemediengesetz erst bei Speicherung personenbezogener Daten, auf eine Einwilligung verpflichtet.

Europäische Datenschutz-Grundverordnung und ePrivacy –Verordnung

Nach dem derzeitigen Entwurf der ePrivacy-VO, die die Datenschutzrichtlinie für elektronische Kommunikation im Mai 2018 ablösen und eine Ergänzung zu der – ab Mai 2018 – geltenden Europäischen Datenschutz-Grundverordnung (DS-GVO) darstellen soll, dürften Webseiten-Betreiber von der Informationspflicht, über Cookies, welche den Konfigurationszwecken dienen, befreit werden. Dies betrifft beispielsweise auch die Cookies, welche bei Shopping-Portalen eingesetzt werden, um das Befüllen des Warenkorbes festzustellen.

Bei Tracking-Cookies (Cookies, die eingesetzt werden, um webseitenübergreifende Informationen des Benutzers zu sammeln und an den Webbrowser zu senden) soll nur dann keine Informationspflicht bestehen, wenn durch den Webbrowser eine Zustimmung oder Ablehnung über einen Do-Not-Track-Mechanismus übermittelt werden kann. Um dies zu ermöglichen, müssen die Browser so konfiguriert sein, dass Cookies von der direkt besuchten Seite akzeptiert, während Cookies von Drittseiten zunächst blockiert werden, wodurch die Pflicht zum Einholen von Einwilligungen an den Browser verlagert wird.

Aufgrund der anhaltenden Kritik u. a. durch Datenschutzverbände ist allerdings anzunehmen, dass die EU-Kommission weitere Änderungen vornehmen wird. Wie sich die Lage bis Mai 2018 entwickeln wird, bleibt demnach abzuwarten. Eine entsprechende Vorbereitung durch einen Datenschutzbeauftragten, Datenschutzberater sowie IT-Sicherheitsbeauftragten ist daher dringend anzuraten.

Remarketing – Datenübermittlung an Dritte

Neben dem Problem, dass eine Übermittlung der IP-Adresse an den Anbieter häufig nicht ausgeschlossen werden kann, dürfte –  je nach Anbieter – das Verknüpfen der neuen Informationen mit bereits bestehenden Profilen zu weiteren Problemen und Risiken führen.

Aus diesem Grund wären, da eine Übermittlung personenbezogener Daten (zumindest der IP-Adresse) stattfindet, informierte und freiwillige Einwilligungen einzuholen, was allerdings, wie bereits erläutert, in der Praxis schwierig sein dürfte.

Weitere Regelungen sollten beachtet werden!

Neben den allgemeinen Vorschriften könnten sich zudem – je nach Anbieter – weitere Regelungen ergeben. Zum Beispiel sieht Google eine Richtlinie für personalisierte Werbung vor. Auch werden auf der Webseite von Google Kategorien benannt, die mit personalisierten Anzeigen nicht unterstützt werden sollen, wozu gesundheitsbezogene Inhalte, wie Produkte zur Behandlung oder zur Bewältigung gesundheitlicher Probleme, einschließlich frei verkäuflicher Arzneimittel und medizinischer Geräte, gehören.

Remarketing im Fokus des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA)

Das Marketing-Tool „Facebook Custom Audience“, dass ebenfalls für personalisierte Werbung genutzt wird, steht bereits im Fokus des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA). Das BayLDA berichte in seinem Tätigkeitsbericht für die Jahre 2015/2016, dass das Verfahren als datenschutzrechtlich problematisch einzustufen ist. Das BayLDA teilte in dem Tätigkeitsbericht außerdem mit, dass die Einleitung von Ordnungswidrigkeitsverfahren, deren Ausmaß noch völlig offen sei, nicht ausgeschlossen werden kann.

Planen Sie den Einsatz von Remarketing oder setzen Sie bereits Cookies (von Dritten) für Werbeansprachen ein und sind sich nicht sicher, welche Maßnahmen erforderlich sind, so holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Möchten Sie Cookies löschen oder blockieren und Sie wissen nicht wie? Dann lesen Sie unseren Beitrag „Cookies anzeigen, entfernen und löschen – Datenschutz mit Firefox, Safari, Chrome, Internet Explorer und Co.“.

Brands Consulting steht Ihnen gerne als kompetenter und fachkundiger Ansprechpartner in Sachen Datenschutz zur Seite.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.