Kurs:Digital Marketing/ThemenWS2122/Mit oder ohne Cookies? DSGVO und Digital Marketing

ENTWURF

Einleitung

Bearbeiten

Der digitale Wandel hat die verschiedenen Bereiche des Alltags fest eingenommen und neu geformt. Dabei hat sich unter anderem auch der Handelssektor der stetig fortschreitenden Digitalisierung angepasst und sich mit dieser verändert. Digitale Medien sind zum zentralen Bestandteil von fast allen Produkt- und Dienstleistungsgruppen geworden. Dies verändert das Kauf- und Nutzverhalten von Kunden auf immense Weise wie beispielswiese das bequeme, schnelle Einkaufen in Online-Shops.[1]

Um ein kundengewinnendes Marketing betreiben zu können, kommen dabei verschiedene Methoden wie unter anderem die Nutzung von sozialen Netzwerken zum Tragen. Diese Methoden ermöglichen es den Unternehmen, direkten Kontakt mit Kunden herzustellen. Darüber hinaus profitieren Kunden von Erfahrungsberichten und Vergleichsoptionen.[2] Um effektives Marketing betreiben zu können, verwenden Unternehmen oftmals Cookies, um den potentiellen Kunden z. B. individuell angepasste Angebote oder Werbung anzuzeigen oder Informationen für sie vorzuhalten.[3]

Dabei werden auf digitaler Ebene vom Gesetzgeber strikte Regularien vorgegeben. Dazu zählt die von der Europäischen Union (kurz: EU) erlassene Datenschutz-Grundverordnung (kurz: DS-GVO), dessen gesetzliche Regularien von Unternehmen zu berücksichtigen und einzuhalten sind.[4]

Die zunehmende Bedeutung des Einsatzes von Cookies, um effektives, digitales Marketing realisieren zu können, unter Berücksichtigung gesetzlicher Regularien, ist Motivationsfaktor dieser Ausarbeitung. Aus diesem Grund wird im Rahmen dieser Arbeit zum einen detailliert auf die rechtlichen Anforderungen einschlägiger Gesetztestexte in Bezug auf Cookies und digitales Marketing eingegangen. Zum anderen werden Anwendungsgebiete von Cookies im digitalen Marketing vorgestellt. Anschließend werden die rechtlichen Anforderungen für den Einsatz von Cookies spezifiziert und alternative Lösungen zu Cookies im Sinne des digitalen Marketings diskutiert.

Rechtliche Grundlagen

Bearbeiten

Dieses Kapitel widmet sich der Bildung einer fachlichen Grundlage hinsichtlich der rechtlichen Gegebenheiten. Hierbei wird auf die aktuellen Gesetze und Verordnungen eingegangen, wobei der Fokus auf der DS-GVO liegt.

Nomenklatur
Für die Gewährleistung der Verständlichkeit dieser Arbeit, beginnt dieses Kapitel mit der Erklärung der wichtigsten datenschutzrechtlichen Begrifflichkeiten, die für diese Arbeit von Relevanz sind.

Personenbezogene Daten sind Daten, die einen Bezug zu einer natürlichen Person aufweisen.[5] Dieser Bezug ermöglicht die Identifizierung oder zumindest Identifizierbarkeit dieser Person.[6] Unter einer natürlichen Person ist ein Mensch zu verstehen, der in der DS-GVO häufig unter dem Terminus betroffene Person (kurz: Betroffener) adressiert wird.[7] Viele Daten lassen zunächst keinen Personenbezug vermuten, doch auf Grund des Kriteriums der Identifizierbarkeit, sind sie dennoch als personenbezogene Daten zu klassifizieren.[8] Ein Beispiel für ein solches Datum ist die IP-Adresse, welche zunächst keinen Personenbezug vermuten und einen Schluss auf ein Sachdatum zulässt. Auf Grund der Identifizierbarkeit des Betroffenen über den Internet Provider handelt es sich jedoch bei der IP-Adresse um ein personenbezogenes Datum.

Bei einer Verarbeitung handelt es sich um einen Prozess, bei dem personenbezogene Daten mit oder auch ohne Zuhilfenahme automatisierter Verfahren verarbeitet werden.[9] Damit eine Verarbeitung vorliegt, müssen somit drei Kriterien erfüllt sein.[10] Die verarbeiteten Daten müssen personenbezogene Daten sein, die Ausführung des Prozesses muss mit oder ohne Hilfe von Automatisierung erfolgen[11] und bei dem Prozess muss mit den Daten etwas passieren (z. B. speichern, löschen).[12]

Der Verantwortliche nimmt die Position ein, welche die Verantwortung für die Einhaltung der rechtlichen Anforderung an eine Verarbeitung trägt[13] und über die Mittel und Zwecke selbiger entscheidet.[14] Die Besetzung der Position des Verantwortlichen kann durch eine natürliche sowie juristische Person, eine Behörde, Einrichtung oder anderweitige Stelle erfolgen.[15] Die Geschäftsführung eines Unternehmens könnte somit als Beispiel als Verantwortlicher fungieren, da sie für die Einhaltung der rechtlichen Anforderungen verantwortlich ist und zugleich auch über die Mittel und Zwecke einer Verarbeitung entscheidet.

Genauso wie der Verantwortliche, kann auch ein Auftragsverarbeiter sowohl eine natürliche als auch eine juristische Peron, eine Behörde, Einrichtung oder jedwede andere Stelle sein.[16] Der Auftragsverarbeiter kann durch einen Verantwortlichen mit einer Verarbeitung personenbezogener Daten beauftragt werden.[17] Bei einer Verarbeitung dieser Art handelt es sich um eine Auftragsverarbeitung. Hierbei nimmt der Auftragsverarbeiter die Position des Auftragnehmers und der Verantwortliche die Position des Auftraggebers ein. Diese Abgrenzung verdeutlicht die alleinige Entscheidungsgewalt des Verantwortlichen über die Mittel und Zwecke der Verarbeitung.[18]

Ein Dritter ist eine Person oder Stelle, die weder von einer bestimmten Verarbeitung betroffen noch an ihr beteiligt ist.[19] Der Begriff des Dritten umfasst somit jeden, der weder Betroffener, Verantwortlicher oder Auftragsverarbeiter ist.[20]

Grundsätze einer Verarbeitung
In Artikel 5 der DS-GVO wurden verschiedene Grundsätze definiert, die als obligatorische Prinzipien bei jedweder Verarbeitung personenbezogener Daten zu beachten sind.[21] In dieser Arbeit wird auf Grund der fachlichen Relevanz nur auf einen Ausschnitt dieser Grundsätze näher eingegangen.

Der erste Grundsatz der DS-GVO fordert eine Verarbeitung nach Treu und Glauben, auf rechtmäßige und in einer für den Betroffenen nachvollziehbaren Weise.[22] Der Wortlaut "Treu und Glauben" führt jedoch häufig zu einer Fehlinterpretation, da dieser auch im §242 Bürgerliches Gesetzbuch (kurz: BGB) verwendet wird. Eine Übertragung der Bedeutung des Wortlauts vom BGB auf die DS-GVO wäre jedoch auf Grund der unterschiedlichen Kontexte beider Rechtsvorschriften unpassend.[23] Eine verständlichere Formulierung bringt die englische Fassung der DS-GVO mit dem Wort "fairly" mit sich, welches bereits durch den Anglizimus "fair" in der deutschen Sprache integriert ist und zu einem besseren Verständnis beigetragen hätte.[24] Zumal das Wort "fair" auch in der deutschen Fassung von Artikel 13 Abs. 2 und 14 Abs. 2 DS-GVO verwendet wird und somit der inhaltliche Bezug besser deutlich geworden wäre.[25]

Hinter den Worten "in einer für den Betroffenen nachvollziehbaren Weise" versteckt sich der Begriff der Transparenz.[26] Hinter diesem Terminus verbirgt sich die Anforderung, dass der Betroffene eindeutig über vergangene, aktuelle sowie zukünftige Verarbeitungen seiner personenbezogenen Daten informiert wird und somit eine Kontrolle über diese Verarbeitungen erhält.[27] Zudem fordert die Transparenz die Einhaltung bestimmter Eigenschaften bei einer Information des Betroffenen. So hat diese in einer leicht verständlichen sowie zugänglichen Form und einer klaren sowie einfachen Sprache zu erfolgen. Weitere Anforderungen an die Mindestinhalte einer Information des Betroffenen lassen sich in den Artikel 13 und 14 DS-GVO wiederfinden, auf die auf Grund fehlender Relevanz für diese Arbeit jedoch nicht weiter eingegangen wird.[28]

Die Forderung nach Rechtmäßigkeit ist das letzte Bruchstück des ersten Grundsatzes, welches mit dem Verbot mit Erlaubnisvorbehalt korreliert. Entsprechend dieses Verbots ist eine Verarbeitung personenbezogener Daten grundsätzlich untersagt und nur bei Vorliegen eines Erlaubnistatbestandes zulässig.[29]

Die Zweckbindung stellt den zweiten Grundsatz der DS-GVO dar und fordert, dass eine Verarbeitung immer an einen Zweck gebunden ist. Diese Bindung setzt die Erfüllung von vier Kriterien voraus. Somit muss sie festgelegt, eindeutig sowie legitim sein[30] und bereits zur Erhebung der personenbezogenen Daten erfolgen.[31] Besonders die Bedeutung des Worts "eindeutig" ist in diesem Kontext schwierig zu verstehen. Gemeint ist hiermit, dass der Zweck nicht vage umschrieben werden darf und nur eine präzise Formulierung als eindeutige Festlegung und somit als legitim verstanden wird.[32] Die Präzision ergibt sich indirekt auch bereits aus der Forderung nach Transparenz, welche präzise Formulierungen voraussetzt, um die Verständlichkeit des Kontextes für den Betroffenen zu ermöglichen.[33]

Die Pflicht zum Nachweis der Einhaltung der anderen Grundsätze erklärt die Anforderung des Grundsatzes der Rechenschaftspflicht.[34] In Artikel 24 DS-GVO werden die Anforderungen spezifiziert. So hat der Verantwortliche technische und organisatorische Maßnahmen zu treffen und stetig auf ihre Aktualität zu prüfen sowie ggf. zu aktualisieren, um nachweisen zu können, dass eine Verarbeitung entsprechend dieser Verordnung erfolgt.[35] Hinsichtlich der Dokumentation stellt die DS-GVO grundsätzlich keine Formforderung, eine Nachweisbarkeit der Erfüllung der rechtlichen Anforderungen auf Nachfrage einer zuständigen Aufsichtsbehörde zeigt jedoch, dass eine rein mündliche Dokumentation nicht zielführend ist.[36]

Erlaubnistatbestände für die Verarbeitung personenbezogener Daten
In Artikel 6 DS-GVO ist eine Auflistung möglicher Erlaubnistatbestände, für die Verarbeitung personenbezogener Daten zu finden. Diese Auflistung ist keines Falls vollumfänglich und im Folgenden wird nur auf einen Ausschnitt dieser Erlaubnistatbestände, auf Grund ihrer Relevanz für diese Arbeit, näher eingegangen. So können auch andere Rechtsvorschriften wie der §23 Kunsturhebergesetz als Erlaubnistatbestand bei bestimmten Verarbeitungen herangezogen werden.[37] Zudem definiert der Verordnungsgeber in Artikel 9 DS-GVO noch weitere mögliche Erlaubnistatbestände für sogenannte besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten)[38], auf die ebenfalls auf Grund fehlender Relevanz für diese Arbeit jedoch nicht näher eingegangen wird.

Die Einwilligung des Betroffenen kann als Erlaubnistatbestand für eine Verarbeitung fungieren.[39] Bei der Einholung einer Einwilligung ist besonders auf dessen Charakter zu achten. Es sollte für den Betroffenen unmissverständlich klar werden, dass er die Einwilligung jederzeit widerrufen kann.[40] Zudem lassen sich auch bei einer Einwilligung die Transparenzanforderungen wiederfinden und stellen die Voraussetzung für eine wirksame sowie rechtmäßige Einwilligung dar.[41]

Die Rechtmäßigkeit einer Verarbeitung kann sich auch aus der Erfüllung, Abwicklung bzw. Beendigung eines Vertrags oder der Durchführung einer vorvertraglichen Maßnahme ergeben, wenn die Verarbeitung hierfür erforderlich ist.[42] Das Stichwort hier ist das Kriterium der Erforderlichkeit, welches immer in Verbindung zum Zweck steht. Kann der Zweck eines Vertrags ohne die betrachtete Verarbeitung nur unter Hinnahme eines wirtschaftlichen Nachteils erreicht werden, ist die Verarbeitung als erforderlich zu betrachten.[43]

In manchen Situationen kann sich die Rechtmäßigkeit einer Verarbeitung auch aus einer rechtlichen Verpflichtung ergeben.[44] Eine solche rechtliche Verpflichtung ergibt sich aus dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Verantwortliche unterliegt.[45] Ein gängiges Beispiel für eine solche rechtliche Verpflichtung für einen Verantwortlichen geht aus §14 Umsatzsteuergesetz hervor. Dieser Paragraph verpflichtet den Verantwortlichen zur Aufbewahrung von Rechnungen für zehn Jahre. Diese Aufbewahrung stellt eine Verarbeitung dar, da die Rechnungen personenbezogene Daten (z. B. Adresse und Namen) enthalten.

Der letzte Erlaubnistatbestand, den der Verordnungsgeber in Artikel 6 definiert hat, ist das berechtigte Interesse des Verantwortlichen. Bei diesem Erlaubnistatbestand gilt es die Interessen des Betroffenen gegenüber denen des Verantwortlichen abzuwägen, um festzustellen, ob das berechtigte Interesse des Verantwortlichen überwiegt und somit als Erlaubnistatbestand herangezogen werden kann.[46] Eine derartige Interessenabwägung muss im Einzelfall für jede Verarbeitung erfolgen, die auf das berechtigte Interesse gestützt werden soll.[47] Im Rahmen dieser Abwägung werden die Interessen des Verantwortlichen, welche sowohl ideeller als auch wirtschaftlicher Natur sein dürfen,[48] den schutzwürdigen Interessen des Betroffenen, also dessen Erwartungen und Grundrechten sowie Grundfreiheiten gegenübergestellt.[49] Eine Interessenabwägung fällt dann zugunsten des Verantwortlichen aus, wenn die Interessen beider Parteien zumindest als gleichwertig eingestuft worden sind.[50]

Auftragsverarbeitungen
Bei der Auftragsverarbeitung handelt es sich um eine Art der Verarbeitung zwischen dem Verantwortlichen und ein oder mehreren Auftragsverarbeitern.[51] Für die Reglementierung einer solchen Verarbeitung sieht der Verordnungsgeber ein Rechtsinstrument vor, bei welchem es sich in der Regel um einen Vertrag - Auftragsverarbeitungsvertrag - handelt. Dieser Vertrag legt unter anderem auch die Abgrenzung der Verantwortlichkeiten und Befugnisse fest, so wird unter anderem definiert, dass der Auftragsverarbeiter die übermittelten personenbezogenen Daten ausschließlich gemäß der Weisungen des Verantwortlichen verarbeiten darf.[52] Ein gängiges Beispiel für eine Auftragsverarbeitung ist die Wartung von Informationstechnik. Beauftragt ein Unternehmen (hier: Verantwortlicher) einen IT-Dienstleister (hier: Auftragsverarbeiter) mit der Bereitstellung und Wartung eines IT-Systems, so erhält der Auftragsverarbeiter beispielsweise beim Einspielen von Updates rein theoretisch die Möglichkeit auf den Zugriff der personenbezogenen Daten des Verantwortlichen. Diese auch wenn nur theoretische vorliegende Möglichkeit des Zugriffs ist ausreichend, um diese Art der Verarbeitung als Auftragsverarbeitung zu klassifizieren.[53]

Drittlandübermittlung
Bei einer Drittlandübermittlung geht es um die Übermittlung personenbezogener Daten von einer Stelle (z. B. ein Unternehmen) mit Sitz innerhalb der Europäischen Union (kurz: EU) bzw. dem Europäischen Wirtschaftsraum (kurz: EWR) an eine andere Stelle außerhalb der EU bzw. dem EWR.[54] Liegt eine Drittlandübermittlung vor, so müssen sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter entsprechende Anforderungen eingehalten werden, damit diese Art der Verarbeitung zulässig ist.[55] Einerseits muss die Verarbeitung die grundsätzlichen Rechtsanforderungen wie das Vorliegen eines Erlaubnistatbestands (z. B. eine Einwilligung) erfüllen und andererseits muss für die Übermittlung in ein Drittland sichergestellt werden, dass das Schutzniveau der DS-GVO auch in dem Drittland gewahrt wird. [56] Für die Wahrung des Schutznievaus gibt es verschiedene Optionen. Zum einen kann für das Drittland ein Angemessenheitsbeschluss der EU-Komission vorliegen, welcher festlegt, dass das Schutznievau in dem Land angemessen ist.[57] Falls dieser Angemessenheitsbeschluss nicht vorliegt, können geeignete Garantien für die Drittlandübermittlung bestimmt werden. In der Praxis handelt es sich hierbei in der Regel entweder um sogenannte Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften.[58] Für den Fall, dass weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestimmt werden können, ist eine Übermittlung unter entsprechenden Bedingungen, wie beispielsweise nach Erhalt einer ausdrücklichen Einwilligung des Betroffenen, zulässig und möglich.[59]

Das Telekommunikation-Telemedien-Datenschutz-Gesetz
Zur Beseitigung von Rechtsunsicherheiten, die seit Geltungsbeginn der DS-GVO in Bezug zu dem Telekommunikations- und dem Telemediengesetz bestehen, wurde das Telekommunikation-Telemedien-Datenschutz-Gesetz (kurz: TTDSG) verabschiedet.[60] In Zusammenhang mit dieser Arbeit sind insbesondere die Paragraphen 25 und 26 des TTDSG von Bedeutung, die als bislang fehlende Umsetzung des Art. 5 Abs. 3 ePrivacy-Richtlinie verstanden werden können.[61] Der Aufgriff des Paragraphen 26 erfolgt auf Grund der thematischen Zuordnung in Kapitel 4.1. Im Folgenden wird jedoch kurz auf den Paragraphen 25 eingegangen. Entsprechend dieses Paragraphen sind die Speicherung von Daten auf einem Endgerät wie beispielsweise einem Smartphone sowie der Zugriff auf diese Daten nur erlaubt, wenn der Endnutzer seine Einwilligung im Sinne der DS-GVO hierfür erteilt hat.[62] Ausgenommen hiervon sind Speicherungen und Zugriffe, die ausschließlich für die Zustellung einer Nachricht oder die Bereistellung eines Telemediendienstes dienen und hierfür zwingend erforderlich sind.[63]

Digitales Marketing und Cookies

Bearbeiten

Digitales Marketing

Bearbeiten

Bevor im weiteren Verlauf auf digitales Marketing eingegangen wird, soll zunächst ein kurzer Einblick in den Begriff Marketing allgemein gegeben werden. Hierunter versteht sich die marktorientierte Auslegung des gesamten Unternehmens. Dafür muss das Unternehmen die Kundenbedürfnisse in den Mittelpunkt stellen und Markt- sowie Bedürfnisänderungen rechtzeitig erkennen und auf diese reagieren, um sich so gegenüber Wettbewerbern Vorteile sichern zu können.[64]

Gemäß Griese und Bröring handelt es sich bei Marketing um den Austauschprozess zwischen Anbietern und Nachfragern. In diesem Sinne existieren fünf Orientierungspunkte, die jeweils im Fokus des Marketings stehen können. Diese definieren sie als Wertorientierung, hier steht die Feststellung, inwieweit der Markt einen Wert für die Konsumenten bildet. Daneben kann die Unternehmensorientierung im Schwerpunkt in der Auslegung des Marketings liegen. Dabei wird vom Unternehmen analysiert, wie die vorhandenen Ressourcen und Qualifikationen den Markt befriedigen und an welchen Stellen im Unternehmen an Ressourcen und Qualifikationen gearbeitet bzw. verbessert werden muss. Eine weitere Perspektive stellt die Kundenorientierung dar. Unter dieser wird die Orientierung des Marketings und des gesamten Unternehmens, samt ihrer Prozesse an den Bedürfnissen, Interessen und Wünschen der Nachfrager verstanden. Dieser Punkt steht im starken Kontext zur Wertorientierung, denn der Wert des Marktes für Kunden impliziert die nutzbringende Leistung des Unternehmens. Des Weiteren kann die Wettbewerbsorientierung im Mittelpunkt stehen. Hier bildet der Vergleich des Unternehmens zu den Wettbewerbern die Grundlage für die Marktauslegung des Unternehmens. Den letzten Orientierungspunkt bildet die Stakeholderorientierung bei welcher der Schwerpunkt bei den Einflussfaktoren liegt, die das Unternehmen direkt oder indirekt beeinflussen, wie z. B. Verbrauchsverbände oder Politiker.[65]

Griese und Bröring beschreiben außerdem, dass sich die weiteren Eigenschaften des Marketings an der Definition der American Marketing Association (AMA) orientieren. Diese lautet „Marketing is the activity, set of institutions, and processes for creating, communicating, delivering, and exchanging offerings that have value for customers, clients, partners, and society at large. (Approved October 2007)“.[66] Marketing ist damit ein Instrument bzw. Prozess des Unternehmens zur Kommunikation, Erstellung und Verbreitung von nützlichen Angeboten an Nachfrager, Konsumenten, Partner und der Gesellschaft als Ganzes. [67]

Durch die Digitalisierung hat sich eben dieser Marketingprozess bzw. -gedanke ebenfalls gewandelt und hat neue Formen angenommen. Darunter wie bspw. schon beschrieben durch soziale Medien. In diesem Zusammenhang impliziert digitales Marketing jegliche Marketingaktivitäten, die digital bzw. mithilfe elektronischer Geräte, meist über das Internet, durchgeführt werden.[68]

Online Marketing ist dabei eine Unterart des digitalen Marketings, dieses bezieht sich rein auf das Marketing im Internet. Während beim digitalen Marketing auch z. B. digitale Werbetafeln unter diese Kategorie fallen.[69]

Einen Großteil ihrer Zeit verbringen die Nutzer mittlerweile online. Daher ist es nur schlüssig, dass sich der vorher erläuterte Austausch zwischen Anbietern und Nachfragern auf diese Ebene ausweitet, um sie auch dort anzutreffen, wo sie ihre Zeit verbringen.[70] Das digitale Marketing muss dabei alle Kontaktpunkte zwischen diesen umfassen. Alle drei Phasen der Customer Journey bzw. der Kundenerfahrung (Pre-Purchase, Purchase, Post-Purchase) müssen entsprechend erfasst und angesprochen werden.[71]

Dabei gibt es verschiedene Methoden und Materialien, die für diesen Zweck genutzt werden können. Neben sozialen Medien sind dies z. B. E-Mails, eigene oder auch fremde Webseiten und Online-Suchmaschinen.[72] Auf diese Methoden und Materialien soll im Folgenden kurz eingegangen werden.

Inbound- vs. Outbound-Marketing

Zunächst kann an dieser Stelle zwischen Inbound- und Outbound-Marketing differenziert werden. Beim Inbound-Marketing werden relevante und nützliche Inhalte verwendet, um den Nutzer zu begeistern und diesen auf diesem Wege anzuziehen und mit ihm weiter zu interagieren und ihn so zur Geschäftsabwicklung zu bringen. Dahingegen stellt das Outbound-Marketing eine Methode dar, um von einer möglichst hohen Anzahl an Personen gesehen zu werden, ungeachtet von ihrer Relevanz oder ob dies gewünscht ist.[73]

Suchmaschinenoptimierung (kurz: SEO)

Eine Methode ist SEO. Online-Suchmaschinen wie Google, Bing und Yahoo sind wichtiger Bestandteil des Internets und der Konsumenten. Durch Optimierung der eigenen Webseite mit dem Ziel in solchen Suchmaschinen einen höheren Rang zu erhalten und damit eine höhere Besucher- bzw. Aufruferanzahl zu generieren.[74] Ansätze um dies zu erreichen, werden von den Anbietern teilweise selbst gestellt (siehe Google: SEO Guide). Darunter fallen bspw. die Nutzung von Keywords oder das Verfassen von Beschreibungen für jede einzelne Seite.

Content-Marketing

Durch Content-Marketing sollen ebenfalls die Aufruferanzahl und die Bekanntheit der Marke gesteigert und damit eine Steigerung der Kundenanzahl erzielt werden. Hierzu werden für eine bestimmte Zielgruppe relevante Inhalte entwickelt und eingesetzt. Dies können bspw. nützliche Tutorials oder Ratgeber sein.[75][76]

Social-Media-Marketing

Eine weitere Methode stellt das bereits vorgestellte Social-Media-Marketing dar. Soziale Medien wie Instagram, Facebook und TikTok werden von den Unternehmen genutzt, um mehr Bekanntheit und mehr Aufrufe zu erlangen. [77]

Partner-Marketing

Beim Partner-Marketing wirbt ein Dritter für ein Produkt oder eine Dienstleistung eines Unternehmens und erhält je nach erzielter Leistung eine Vergütung. Diese Form findet sich ebenfalls im Social-Media-Marketing wieder und spiegelt die Abrechnungsmethode der nachfolgend beschriebenen Pay-per-Click Methode wieder. [78]

Pay-per-Click (kurz: PPC)

PPC ist eine Abrechnungsmethode für bezahlte Online-Anzeigen. Hier wird von Dritten nicht die Bereitstellung von digitaler Werbung auf ihren Webseiten abgerechnet, sondern die Reaktion auf eine solche Anzeige durch den Besucher. Google bietet mit Google AdWords eine solche Methode an. [79]

Native Advertising

Die Methode des Native Advertisings charakterisiert Anzeigen bzw. Werbung, die nicht direkt als solche zu identifizieren ist. Das sind z. B. angepasste und interessant dargestellte Inhalte in Nachrichtenseiten oder sozialen Netzwerken, die der Unterhaltung dienen.[80]

Marketing-Automatisierung

Auch im Marketingbereich werden mittels Automatisierungssoftware wiederkehrende Prozesse und Aufgaben automatisiert. Dies nennt sich Marketing-Automatisierung und beinhaltet zum Beispiel E-Mails, Beiträge in sozialen Medien oder auch sonstige Aktionen.

E-Mail-Marketing

Das E-Mail-Marketing ist zeitgleich eine weitere Methode, die gezielte Kontaktaufnahme mit Konsumenten mit bspw. Rabatten, anderen Aktionen oder verschiedenen Neuigkeiten zu realisieren.

Online-PR

Mittels Online-PR, welches klassische PR auf digitaler Ebene um Online-Aktivitäten ergänzt, die das eigene Unternehmen nutzt, wird versucht, dass Unternehmensimage in den digitalen Medien, Blogs etc. zu fördern und auszuweiten.

Werkzeuge

In diesen verschiedenen und teilweise zusammenhängenden bzw. sich ähnelnden Methoden bedienen sich die Anbieter verschiedener Materialien bzw. Werkzeuge. Das sind Branding-Materialien wie Logos und eine ansprechende Schriftart, interaktive Tools, Grafiken und E-Books, Beiträge in Blogs oder den sozialen Medien, ihre eigene Webseite oder Online-Broschüren. [81]

Digital vs. Analog

Die Unterschiede zwischen dem analogen Marketing und dem digitalen Marketing liegen in der höheren Transparenz für die Konsumenten im digitalen Bereich. Digitales Marketing eröffnet die Möglichkeit, an Unternehmensaktivitäten teilzunehmen und sofortigen Kontakt aufnehmen zu können. Zusammenfassen lassen sich die Nutzungsunterschiede des Internets für das digitale Marketing ebenfalls in drei Kategorien. Zum einen zur Selbstdarstellung und Meinungsäußerung, daneben als Such- und Entscheidungshilfe und als Informationsquelle.[82]

Cookies und Digital Marketing

Die zuvor vorgestellten Methoden, zielen oft ein interessenbasiertes und relevantes Interagieren mit den Konsumenten ab. Damit dies möglich ist, muss das Unternehmen wissen, wofür sich der Kunde interessiert und wo die individuellen Bedürfnisse des Kunden liegen. Ein Mittel hierfür sind z. B. Cookies. Auf die genaue Funktionsweise und die verschiedenen Arten von Cookies wird im weiteren Verlauf dieser Ausarbeitung eingegangen. An dieser Stelle sollen Cookies als Werkzeug des digitalen Marketings betrachtet werden.

Cookies dienen den Unternehmen als Tracking-Werkzeug zur systematischen Sammlung von Nutzerdaten und damit der Erstellung von Nutzerprofilen.[83]

Das gesammelte Verhalten der Nutzer im Internet wird anschließend ausgewertet. Durch dies wird Aufschluss über die Bewegungen der Nutzer auf jeweiligen Webseiten gegeben. Dadurch werden den Betreibern Informationen wie der Standort, die Aufenthaltszeit auf einer Webseite und Aktionen der Besucher, wie das Klicken auf einen anderen Link oder die Anmeldung für Newsletter, bekannt. Aus diesen Informationen lässt sich schließen, wo die Interessen und die Aufmerksamkeit des Besuchers liegt.[84]

Diese gesammelten Informationen befinden sich im Webbrowser des Besuchers und ermöglichen den Unternehmen das gezielte und für den Besucher relevante digitale Marketing. Dies lässt sich im Internet häufig und auf verschiedener Weise in den bereits vorgestellten Methoden wiederfinden. Die Unternehmen blenden bspw. bereits ehemals angesehene Produkte oder auch Produkte, die damit in direkter Verbindung stehen, ein. Werbeanzeigen, die dem Nutzer angezeigt werden, die eine Dienstleistung oder ein Produkt enthalten, nach dem vor kurzem in einer Online-Suchmaschine wie Google gesucht wurde, sind eine weitere gängige Einsatzmöglichkeit für Cookies. Auch das Übersenden von E-Mails mit Produktwerbung, basierend auf der vom Besucher ermittelten IP-Adresse, ist möglich. Die Sammlung und Erstellung der Nutzerdaten und -aktivitäten dient den Betreibern als Möglichkeit neue Potenziale zu erkennen und diese gezielt anzugehen.[85] Dabei spielen auch die Cookies in sozialen Medien wie Instagram eine wichtige Rolle. Aus diesen Cookies gehen genauere Interessen hervor, durch z. B. Beiträge die geliked und gespeichert werden oder Beiträge, die mit anderen (Freunde und Familie) geteilt werden.[86]

Cookies und rechtliche Anforderungen

Bearbeiten

Im Rahmen dieses Kapitels wird vertiefend auf Cookies, die verschiedenen Funktionen dieser und die damit verbunden rechtlichen Anforderungen eingegangen.

Ein Cookie ist eine auf einem Endgerät lokal gespeicherte Datei einer Webseite, in welcher Informationen über das Verhalten des Webseitenbesuchers gespeichert werden können. Dies ermöglicht es Webseitenbetreibenden, Inhalte und Informationen für die jeweiligen Besucher zwischen zu speichern.[87] Anwendung finden Cookies dabei auf Webseiten unter anderem zur Speicherung von Formulardaten und Suchbegriffen, aber auch vermehrt zur Erstellung von umfangreichen Nutzungs- bzw. Nutzerprofilen.[88]

Daraus lässt sich schließen, dass Cookies auf Webseiten zu verschiedenen Zwecken bzw. Absichten eingesetzt werden. Diese Zwecke sind ausschlaggebend dafür, inwieweit die rechtlichen Anforderungen an den Webseitenbetreibenden hinsichtlich der Nutzung von Cookies divergieren. Für die Einteilung der Cookies in verschiedene Kategorien wird sich nicht nur an den Zwecken, sondern ebenfalls an den in Kapitel 2 definierten Erlaubnistatbeständen für die Verarbeitung personenbezogener Daten orientiert.

Technisch-notwendige Cookies

Unter technisch-notwendigen Cookies werden Cookies verstanden, welche für die Bereitstellung der notwendigen Funktionen einer Webseite verwendet werden. Diese Cookies werden meist direkt vom Webseitenbetreibenden eingebunden und somit als sogenannte First-Party-Cookies bezeichnet.[89] Als Beispiele können hier Cookies genannt werden, welche eindeutige Identifikationsnummern (hier: Session-IDs) speichern, damit der Besucher sich in einem definierten Zeitintervall nicht erneut anmelden muss.

Für technisch-notwendige Cookies ist der Zweck somit klar definiert. Sie dienen zur Bereitstellung der Webseite bzw. einer grundlegend notwendigen Funktion dieser. Als Erlaubnistatbestand gemäß der DS-GVO fungiert hierbei das berechtigte Interesse des Webseitenbetreibenden.[90]

Optionale Cookies

Optionale Cookies können auf einer Webseite zu vielerlei Zwecken eingesetzt werden, weshalb diese Kategorie im weiteren Verlauf dieser Arbeit zusammengefasst betrachtet wird. Allgemein finden sich in dieser Kategorie oft sogenannte Third-Party-Cookies wieder, welche von extern eingebundenen Diensten auf der Webseite des Betreibenden eingebunden werden.[91] Hierbei werden die in den Cookies gespeicherten Daten somit an die Anbieter der externen Dienste übermittelt. Ein gängiges Beispiel hierfür sind diverse Google-Dienste wie Google Analytics. Werden Third-Party-Cookies von Anbietern außerhalb des EWR bereitgestellt bzw. verarbeitet, handelt es sich gemäß der DS-GVO um eine Übermittlung personenbezogener Daten in ein Drittland.[92] Wie bereits in Kapitel 2 thematisiert, offenbart die Übermittlung personenbezogener Daten in ein Drittland weiterreichende Anforderungen an den Webseitenbetreibenden, um die personenbezogenen Daten der Nutzer zu schützen.

Eine Unterscheidung von technisch-notwendigen und optionalen Cookies aus datenschutzrechtlicher Sicht resultiert hierbei somit aus zweierlei Faktoren:

Zum einen verfolgen optionale Cookies einen Zweck, der nicht zwangsweise notwendig für die Funktion der Webseite des Betreibenden ist. Beispiele hierfür sind Auswertungen des Nutzerverhaltens oder das Anzeigen von personalisierter Werbung sowie die Personalisierung der Inhalte der Webseite (z. B. Zoom-Einstellungen, Sprachen, etc.).

Zum anderen wurde durch ein Urteil des Europäischen Gerichtshofes (kurz: EuGH) im Jahre 2019 entschieden, dass eine aktive Einwilligung für die Nutzung von optionalen Cookies durch die Webseitenbesuchenden notwendig ist.[93] Dieses Urteil des EuGHs wurde nun durch den §25 TTDSG bestärkt und dort gesetzlich verankert.[94] Es ist dabei ebenfalls zu beachten, dass eine Einwilligung stets freiwillig ist und jederzeit durch den Einwilligenden ohne Angabe von spezifischen Gründen widerrufen werden kann.[95]

Sowohl bei technisch-notwendigen als auch optionalen Cookies können personenbezogene Daten erhoben werden, welches zur Folge hat, dass der Verantwortliche (hier: Webseitenbetreibender) den Betroffenen über diese Erhebung zu informieren hat. So muss der Webseitenbetreibende beispielsweise die Zwecke und Erlaubnistatbestände der Verarbeitung, die Empfänger der personenbezogenen Daten und ggf. über eine Übermittlung in ein Drittland informieren.[96]

Ein weiterer, wichtiger Aspekt bei der Kategorisierung von Cookies ist, dass die Einteilung von spezifischen Cookies und die damit verbundene Bestimmung des Erlaubnistatbestandes gemäß der DS-GVO und des Zweckes den Webseitenbetreibenden obliegt.

Zusammenfassend resultieren somit folgende Pflichten für Webseitenbetreibende beim Einsatz von Cookies:

Der Webseitenbetreibende ist in der Pflicht, eingesetzte Cookies selbst zu kategorisieren und muss die Betroffenen im Sinne der Transparenz über die obenstehenden Absichten der Verarbeitung (z. B. Zweck, Erlaubnistatbestand, etc.) informieren.

Für optionale Cookies ist darüber hinaus eine aktive Einwilligung der Nutzer einzuholen, bevor eine Verarbeitung ihrer personenbezogenen Daten stattfinden darf. Der Nutzer muss ebenfalls die Option haben, seine Einwilligung nachträglich zu widerrufen. Darüber hinaus muss geprüft werden, ob eine Übermittlung der personenbezogenen Daten in ein Drittland vorliegt. Sollte dies der Fall sein, müssen dementsprechend in Form von Einzelfallentscheidungen Maßnahmen getroffen werden, um die personenbezogenen Daten zu schützen.

Im Rahmen des nächsten Kapitels werden die oben beschriebenen Pflichten aufgegriffen und Optionen für eine rechtskonforme Lösung aufgezeigt.

Cookies im Kontext des Datenschutzrechtes

Bearbeiten

Möglichkeiten zur rechtskonformen Umsetzung

Bearbeiten

In diesem Kapitel wird vertieft darauf eingegangen, wie die rechtlichen Anforderungen an Cookies in der Praxis gehandhabt werden können und welche Möglichkeiten es hierfür zukünftig geben könnte.

In Kapitel 3.2 wurden bereits Cookies selbst sowie die rechtlichen Anforderungen, die es bei dem Einsatz von Cookies zu beachten gilt, näher erläutert. Somit gibt es verschiedene Arten von Cookies, die entweder auf Grundlage eines berechtigten Interesses des Verantwortlichen, weil sie für den reinen technischen Betrieb der Webseite erforderlich sind, gesetzt werden dürfen oder Cookies, die eine Einwilligung erfordern, weil sie anderen Zwecken (z. B. Tracking) dienen.

Cookie Banner und Consent-Management-Tools/Consent-Layer

In der Vergangenheit, vor der DS-GVO, waren Cookie-Banner auf Webseiten stark verteten. Diese Banner dienten jedoch in der Regel lediglich dazu, den Besucher der Webseite über den Einsatz von Cookies zu informieren. Eine rechtskonforme Einwilligung wurde hier jedoch grundsätzlich nicht eingeholt.[97] Seit Geltungsbeginn der DS-GVO lässt sich auf viele Webseiten hingegen ein sogenannter Consent-Layer wiederfinden, also eine Art Fenster, welches den Besucher der Webseite zum einen über den Einsatz von Cookies informiert, um Transparenz zu schaffen und andererseits ihm die Möglichkeit offeriert, seine Zustimmung für den Einsatz von Cookies zu verwalten.[98] Die Implementierung dieser Consent Layer erfolgt vermehrt über Consent-Management-Tools, die von Unternehmen vermarktet werden.[99] Die simple Implementierung eines solchen Tools genügt jedoch in der Regel nicht, um den rechtlichen Anforderungen gerecht zu werden. Hierfür sind häufig Konfigurationen an dem entsprechenden Tool vorzunehmen.[100] Die Anforderungen für diese Konfigurationen ergeben sich grundsätzlich aus dem Artikel 4 Nr. 11 DS-GVO, in welchem die Begriffsbestimmung für eine Einwilligung und zugleich auch ihre geforderten Eigenschaften definiert werden.[101] Im weiteren Verlauf dieses Kapitels wird näher auf diese geforderten Eigenschaften eingegangen und beschrieben was diese Eigenschaften für die Konfiguration eines Consent-Management-Tools in der Praxis bedeuten.

Anforderungen an die Konfiguration eines Consent-Management-Tools

Zum einen ist der Zeitpunkt, zu dem die Einwilligung eingeholt wird relevant. Somit sollte dies in jedem Fall vor dem Setzen der Cookies erfolgen. Dafür ist es erforderlich, dass der Consent-Layer direkt beim erstmaligen Aufruf einer Webseite geladen wird und die Setzung von Cookies, die eine Einwilligung erfordern, bis zu dessen vorliegen, unterbunden wird.[102]

Der Inhalt einer Einwilligungserklärung ist ebenfalls von Bedeutung, um dem Anspruch nach Transparenz zu genügen. Demnach sind Angaben wie die Identität des Verantwortlichen, die Verarbeitungszwecke, die zu verarbeitenden personenbezogenen Daten, das Recht auf Widerruf der Einwilligung, ggf. Informationen hinsichtlich einer automatisierten Entscheidungsfindung und Informationen zu möglichen Drittlandübermittlungen sowie damit einhergehenden Risiken und dafür getroffene Vorkehrungen erforderlich, um dem Wortlaut des Verordnungsgebers "in informierter Weise" zu genügen.[103]

Der Verordnungsgeber fordert zudem, dass die Einholung der Einwilligung über eine eindeutig bestätigende Handlung erfolgt. Dies kann z. B. mit einer Checkbox oder auch mit Hilfe eines Buttons realisiert werden.[104] Es ist jedoch wichtig, dass die Informationen für die Einwilligung grundsätzlich bereits auf der ersten Ebene des Consent-Layers einsehbar sind und der Besucher nicht zunächst ein weiteres Fenster öffnen muss, um diese Informationen zu erhalten.[105] Hinzu kommt, dass von sogenanntem Nudging abgesehen werden sollte. Hierbei handelt es sich um die Manipulation des Besuchers hinsichtlich seiner Entscheidung bei der Bekundung seiner Einwilligung durch beispielsweise farbliche Hervorhebung des Buttons, mit dem er seine Einwilligung abgibt. Eine andere Form des Nudgings, die ebenfalls vermieden werden sollte, ist das Fehlen eines Buttons auf der ersten Ebene des Consent-Layers, über den der Besucher direkt alle Cookies, die eine Einwilligung erfordern, ablehnen kann.[106]

Des Weiteren ist das Kriterium der Freiwilligkeit zu beachten. Somit darf der Zugang zu einer Webseite nicht von einer Einwilligung in die Setzung von Cookies abhängig sein.[107] Hinzu kommt, dass die Granularität der Einwilligung gewahrt werden sollte. Hierunter ist zu verstehen, dass der Besucher für jeden Verarbeitungsvorgang einzeln einwilligen können muss, damit die Einwilligung als freiwillig gelten kann.[108] Werden beispielsweise ein Karten-Dienst wie Google Maps und ein Tracking-Dienst wie LinkedIn Conversion Tracking verwendet, so muss der Besucher der Webseite seine Einwilligung für beide, einen von beiden oder gar keinen Dienst abgeben können. Eine Einwilligung die nur für beide Dienste zusammen möglich ist, würde dem Anspruch der Granularität und somit auch der Freiwilligkeit nicht genügen.

Die DS-GVO sieht vor, dass eine gegebene Einwilligung jederzeit ohne die Angabe von Gründen widerrufen werden kann.[109] Damit dies auch auf einer Webseite, die ein Consent-Management-Tool einsetzt, umgesetzt werden kann, sollte der Besucher der Webseite nach der Abgabe der Einwilligung oder auch der Ablehnung die Möglichkeit haben, seine Entscheidung zu ändern. Hierfür empfiehlt sich im Footer oder Header der Webseite einen Button einzubinden, über den der Besucher den Consent-Layer wieder öffnen und seine Einwilligung verwalten kann.[110]

Eine Verarbeitung personenbezogener Daten von Kindern sollte mit besonderer Obacht begegnet werden, da hier davon auszugehen ist, dass diesen mögliche Risiken und Folgen einer Verarbeitung weniger bewusst sind.[111] Daher solle auf Webseiten, die sich an Kinder richtgen grundsätzlich auf Cookies verzichtet werden, die einer Einwilligung bedürfen.[112] Andernfalls wird bei Kindern unter 16 Jahren eine Einwilligung des Elternteils benötigt. Hier ist es jedoch nicht ausreichend, wenn die Person vor dem Besuch der Webseite lediglich bestätigen muss, dass sie älter als 16 Jahre ist. Viel mehr sollte ein Verfahren zur Online-Identitätsprüfung herangezogen werden, um die Identität des Besuchers und somit dessen Alter und ggf. dessen Familienzugehörigkeit zu bestimmen.[113]

Ausblick: Zukünftige Lösung für das Einwilligungsmanagement

Mit dem TTDSG kam die Anforderung nach einer neuen einheitlichen Lösung für das Einwilligungsmanagement im Internet auf. Für die Verwaltung und das Management des Einwilligungsprozesses sieht der Gesetzgeber somit anerkannte Dienste, sogenannte Personal Information Management-Systeme (kurz: PIMS) vor, die es den Nutzern ermöglichen, selbstständig Ihre Einwilligung für Zugriffe und Speicherungen zu verwalten. Eine Einwilligung oder Ablehnung, die über einen solchen anerkannten Dienst abgegeben wird, ist dann für alle Telemedienanbieter (z. B. den Anbieter eines Webbrowsers) zwingend zu berücksichtigen.[114] Die weitere Gestaltung der Anforderungen an einen anerkannten Dienst ist jedoch zu diesem Zeitpunkt noch offen und wird durch eine zukünftige Rechtsverordnung erfolgen.[115]

Alternative Lösungen zu Cookies

Bearbeiten

Wie bereits zuvor beschrieben, ergeben sich aus den einschlägigen Gesetzgebungen umfangreiche Anforderungen für Anbieter, welche insbesondere Third-Party-Cookies einsetzen. Darüber hinaus hat Google bekannt gegeben, bis 2023 keine Third-Party-Cookies in Google Chrome mehr zu akzeptieren.[116]

Allgemein zeigen aktuelle Erhebungen aus dem Jahr 2021 der Marketingabteilung von AT&T Xandr in Kooperation mit der IAB Europe, dass ca. 60% der Befragten angeben, besorgt hinsichtlich der Verarbeitung personenbezogener Daten durch Unternehmen zu sein. Des Weiteren zeigt besagte Erhebung ebenfalls, dass zurzeit 80% der Werbetranskationen in Form von Third-Party-Cookies realisiert werden.[117]

Aus diesem Grund werden im Rahmen dieses Kapitels Alternativen zu dem Einsatz von Cookies (hier: insbesondere Third-Party-Cookies) diskutiert.

Entfernen von Third-Party-Cookies

Eine offensichtliche Option für Webseitenbetreibende ist es, die Nutzung von Third-Party-Cookies zu unterlassen. Hierbei würde für die Betreibenden ebenfalls Aufwand hinsichtlich der Einhaltung datenschutzrechtlicher Pflichten entfallen. Jedoch ist diese Lösung oftmals nicht praktikabel, da eine Finanzierung mittels Werbung oder Weiterverkauf von Tracking-Daten für viele Webseiten essentiell ist.

Contextual Marketing

Eine Alternative zu Third-Party-Cookies ist der Einsatz von Contextual Marketing. Als Contextual Marketing wird das Anzeigen von Werbeanzeigen auf einer Webseite, basierend auf dem redaktionellen Kontext und Schlagwörtern verstanden.[118]

Hierbei möchten, gemäß der Erhebung von Xandr und der IAB Europe, die Unternehmen vor Allem auf Contextual Targeting bzw. Marketing setzen. Sie wollen nicht nur Schlagwörter, sondern ebenfalls Aspekte wie Wetter, Viewability und geographische Position miteinbeziehen.[119]

Beim Einsatz dieser Methode bleiben die Nutzer anonym, was aus datenschutzrechtlicher Sicht zu begrüßen ist. Jedoch sei dazu gesagt, dass es sich hierbei um ein auf Kategorien basierendes Verfahren handelt, wodurch jedoch Aussagen zur Genauigkeit im Vorfeld schwer zu treffen sind.[120]

First-Party-Daten

Eine weitere Alternative zu Third-Party-Cookies stellen sogenannte First-Party-Daten dar. Hierbei erheben Unternehmen selbstständig, mit der freiwilligen Einwilligung der Besucher, Daten, um darauf basierend Informationen wie Kaufabsichten und Interessen abzuleiten.[121] Gemäß der Erhebung von Xandr sehen ca. 60% der Befragten die Umstellung auf First-Party-Daten als zukünftige Alternative zu Third-Party-Cookies.[122]

Digitale Fingerprints / Browser-Fingerprints

Bei den sogenannten Browser-Fingerprints werden beim Aufruf einer Webseite folgende Parameter miteinbezogen, um einen eindeutigen Fingerabdruck des Nutzers zu erzeugen:

  • IP-Adresse
  • Browser
  • Zeitzone
  • Schriftart
  • Betriebssystem
  • Auflösung[123]

Anhand dieses digitalen Fingerprints haben Webseitenbetreibende dann die Möglichkeit, den Besucher zu erkennen.[124] Basierend auf dieser Option ist es dann für die Webseitenbetreibende machbar, weiterhin Tracking zu realisieren oder personalisierte Werbung anzuzeigen, ohne Cookies einzusetzen.

Abseits der vorgestellten Methoden bestehen weitere Ansätze, um den Wegfall von Third-Party-Cookies zukünftig zu kompensieren. Hierzu zählen beispielsweise die Nutzung von ID-Lösungen oder branchenweiten ID-Lösungen.[125]

Inwiefern die oben vorgestellten Methoden eine vergleichbare, datenschutzkonforme Alternative zu Third-Party-Cookies darstellen, kann zum jetzigen Zeitpunkt nicht abschließend definiert werden. Gegebenenfalls ist sogar eine Kombination aus mehreren Verfahren eine geeignete Vorgehensweise in der Praxis, um weiterhin auf die Nutzer spezifisch eingehen zu können.

Fazit und Ausblick

Bearbeiten

Im Rahmen dieser Ausarbeitung wurden Cookies, die einschlägigen datenschutzrechtlichen Gesetze und die damit verbundenen Vorgaben an die Nutzung von Cookies thematisiert. Des Weiteren wurde aufgezeigt, welche Anwendungsgebiete Cookies im Bereich des digitalen Marketings haben.

Insgesamt zeigt die Ausarbeitung, dass der Einsatz von Cookies auf einer Webseite seit Inkrafttreten der DS-GVO und dem TTDSG mit weitreichenden Verpflichtungen und Aufgaben für Webseitenbetreibende einhergeht. So sind Webseitenbetreibende aller Branchen angehalten, sich selbstständig mit den datenschutzrechtlichen Themen auseinander zu setzen und die rechtlichen Vorgaben umzusetzen.

Zudem sind Webseitenbetreibende bei Nutzung von optionalen Third-Party-Cookies in der Pflicht, den Besuchern ihrer Webseite die Möglichkeit zu eröffnen, in die Nutzung von optionalen Cookies einzuwilligen und diese Einwilligung jederzeit zu widerrufen. Hierfür wird in der Regel eine Consent-Management-Lösung benötigt, bei dessen Konfiguration die zuvor beschriebenen rechtlichen Anforderungen zu berücksichtigen sind.

Darüber hinaus wurde deutlich, dass Cookies oder alternative Technologien heut zu Tage aus dem digitalen Handel bzw. der Online-Präsenz von Unternehmen kaum mehr wegzudenken sind. Sie werden für diverse technisch-notwendige Funktionen einer Webseite benötigt, aber darüber hinaus noch viel mehr für Aspekte wie Tracking, Personalisierung und Werbezwecke genutzt. Auch basieren einige Finanzierungsmodelle von Unternehmen bzw. deren Webseiten auf solchen personalisierten Werbemaßnahmen.

Für die Zukunft lässt die Ausarbeitung darauf schließen, dass die Verwaltung von Einwilligungen für Cookies (insb. optionalen Third-Party-Cookies) bedingt durch die jüngsten rechtlichen Veränderungen durch das TTDSG nicht mehr über gängige Consent-Management-Lösungen, sondern vielmehr über Personal-Information-Management-Systems erfolgen wird, welche eine eine zentrale Einwilligungsmöglichkeit für Nutzer offerieren sollen.

Auch das vorantreiben von alternativen Lösungen zu Cookies und das damit verbundene Ende des Supports von Third-Party-Cookies in Browsern zeigt, dass neben den rechtlichen Vorgaben auch Veränderungsimpulse von großen Unternehmen wie Google die zukünftige Nutzung bzw. das Finden neuer Alternativen beeinflussen.

Abschließend lässt sich somit sagen, dass die Nutzung bzw. die Einsatzzwecke von Cookies im Bereich des digitalen Marketings zukünftig bedingt durch die rechtlichen Vorgaben und die entwickelten Alternativen einen Wandel erfahren werden. Wie effektiv die vorgestellten Alternativlösungen zu Cookies funktionieren, wird sich erst mit wachsendem Einsatz dieser zeigen.

Nachweise und Anmerkungen

Bearbeiten
  1. Vgl. Zimmermann, S. 3f.
  2. Vgl. Zimmermann, S. 4ff.
  3. Vgl. Lackes et al. (2018).
  4. Vgl. Behrens, S. 29f.
  5. Vgl. Arning und Rothkegel (2019), Art. 4 Rn. 8.
  6. Vgl. Arning und Rothkegel (2019), Art. 4 Rn. 9.
  7. Vgl. Arning und Rothkegel (2019), Art. 4 Rn. 15.
  8. Vgl. Arning und Rothkegel (2019), Art. 4 Rn. 12.
  9. Vgl. Art. 4 Nr. 2 DS-GVO (2016).
  10. Vgl. Arning und Rothkegel (2019), Art. 4 Rn. 61.
  11. Vgl. Arning und Rothkegel (2019), Art. 4 Rn. 61.
  12. Vgl. Arning und Rothkegel (2019), Art. 4 Rn. 62.
  13. Vgl. Arning und Rothkegel (2019), Art. 4 Rn. 160.
  14. Vgl. Arning und Rothkegel (2019), Art. 4 Rn. 168.
  15. Vgl. Art. 4 Nr. 7 DS-GVO (2016).
  16. Vgl. Art. 4 Nr. 8 DS-GVO (2016).
  17. Vgl. Arning und Rothkegel (2019), Art. 4 Rn. 204.
  18. Vgl. Arning und Rothkegel (2019), Art. 4 Rn. 209.
  19. Vgl. Arning und Rothkegel (2019), Art. 4 Rn. 15.
  20. Vgl. Art. 4 Nr. 10 DS-GVO (2016).
  21. Vgl. Voigt (2019), Art. 5 Rn. 1.
  22. Vgl. Art. 5 Abs. 1 lit. a DS-GVO (2016).
  23. Vgl. Herbst (2017), Art. 5 Rn. 13.
  24. Vgl. Herbst (2017), Art. 5 Rn. 14.
  25. Vgl. Voigt (2019), Art. 5 Rn. 15.
  26. Vgl. Art. 5 Abs. 1 lit. a DS-GVO (2016).
  27. Vgl. Voigt (2019), Art. 5 Rn. 16.
  28. Vgl. Art. 12 Abs. 1 DS-GVO (2016).
  29. Vgl. Voigt (2019), Art. 5 Rn. 10.
  30. Vgl. Art. 5 Abs. 1 lit. b DS-GVO (2016).
  31. Vgl. ErwG. 39 Satz 6 DS-GVO (2016).
  32. Vgl. Pötters (2018), Art. 5 Rn. 14.
  33. Vgl. Kramer (2018), Art. 5 Rn. 20.
  34. Vgl. Art. 5 Abs. 2 DS-GVO (2016).
  35. Vgl. Pötters (2018), Art. 5 Rn. 31.
  36. Vgl. Art. 58 Abs. 1 lit. a DS-GVO (2016).
  37. Vgl. Taeger (2019), Art. 6 Rn. 2.
  38. Vgl. Art. 9 Abs. 1 DS-GVO (2016).
  39. Vgl. Art. 6 Abs. 1 lit. a DS-GVO (2016).
  40. Vgl. Taeger (2019), Art. 6 Rn. 29.
  41. Vgl. Taeger (2019), Art. 6 Rn. 32.
  42. Vgl. Art. 6 Abs. 1 lit. b DS-GVO (2016).
  43. Vgl. Taeger (2019), Art. 6 Rn. 49.
  44. Vgl. Art. 6 Abs. 1 lit. c DS-GVO (2016).
  45. Vgl. Art. 6 Abs. 3 DS-GVO (2016).
  46. Vgl. Art. 6 Abs. 1 lit. f DS-GVO (2016).
  47. Vgl. Kremer (2019), § 2 Rn. 38.
  48. Vgl. Kremer (2019), § 2 Rn. 39.
  49. Vgl. ErwG. 47 Satz 1 DS-GVO (2016).
  50. Vgl. Kremer (2019), § 2 Rn. 40.
  51. Vgl. Art. 28 Abs. 1 DS-GVO (2016).
  52. Vgl. Art. 28 Abs. 3 DS-GVO (2016).
  53. Vgl. Seiter (2019), S. 130.
  54. Vgl. Schulte und Schmale (2021), S. 47.
  55. Vgl. Art. 44 Satz 1 DS-GVO (2016).
  56. Vgl. Schulte und Schmale (2021), S. 48.
  57. Vgl. Art. 45 Satz 1 DS-GVO (2016).
  58. Vgl. Schulte und Schmale (2021), S. 48.
  59. Vgl. Art. 49 Abs. 1 lit. a DS-GVO (2016).
  60. Vgl. Schnebbe (2021), S. 404.
  61. Vgl. Schwartmann und Benedikt (2021), S. 811.
  62. Vgl. § 25 Abs. 1 TTDSG.
  63. Vgl. § 25 Abs. 2 TTDSG.
  64. Vgl. Kirchgeorg (2018).
  65. Vgl. Griese (2011), S.6ff.
  66. Vgl. Griese (2011), S.9.
  67. Vgl. Griese (2011), S.9f.
  68. Vgl. Stoll (2021).
  69. Vgl. Digitalmarketing: Definition und Maßnahmen. (2021).
  70. Vgl. Stoll (2021).
  71. Vgl. Zimmermann (2020), S. 5ff.
  72. Vgl. Stoll (2021).
  73. Vgl. Stoll (2021).
  74. Vgl. Stoll (2021).
  75. Vgl. Definition: Content Marketing (o.J.).
  76. Vgl. Stoll (2021).
  77. Vgl. Stoll (2021).
  78. Vgl. Stoll (2021).
  79. Vgl. Stoll (2021).
  80. Vgl. Definition: Native Advertising (o.J.).
  81. Vgl. Stoll (2021).
  82. Vgl. Bergemann (2019), S. 302, 312.
  83. Vgl. Faber (2019), S.22.
  84. Vgl. Tracking (o.J.).
  85. Vgl. The digital marketing guide to web cookies (2016).
  86. Vgl. Holl (2018).
  87. Vgl. Lackes et al. (2018).
  88. Vgl. Bundesamt für Sicherheit in der Informationstechnik.
  89. Vgl. Lindner (2021).
  90. Vgl. Art. 6 Abs. 1 lit. f DS-GVO (2016).
  91. Vgl. Lindner (2021).
  92. Vgl. Art 44 Abs. 1 DS-GVO (2016).
  93. Vgl. Europäischer Gerichtshof (2019).
  94. Vgl. §25 Abs. 1 TTDSG.
  95. Vgl. Art. 7 Abs. 3 DS-GVO (2016).
  96. Vgl. Art. 13 Abs. 1 DS-GVO (2016).
  97. Vgl. Handreichung: Datenschutzkonforme Einwilligungen auf Webseite - Anforderungen an Consent Layer (2020), S. 1.
  98. Vgl. Handreichung: Datenschutzkonforme Einwilligungen auf Webseite - Anforderungen an Consent Layer (2020), S. 1.
  99. Vgl. Handreichung: Datenschutzkonforme Einwilligungen auf Webseite - Anforderungen an Consent Layer (2020), S. 1.
  100. Vgl. Handreichung: Datenschutzkonforme Einwilligungen auf Webseite - Anforderungen an Consent Layer (2020), S. 1.
  101. Vgl. Art. 4 Nr. 11 DS-GVO (2016).
  102. Vgl. Handreichung: Datenschutzkonforme Einwilligungen auf Webseite - Anforderungen an Consent Layer (2020), S. 2.
  103. Vgl. Der Europäische Datenschutzausschuss (2020), S. 17-18.
  104. Vgl. Handreichung: Datenschutzkonforme Einwilligungen auf Webseite - Anforderungen an Consent Layer (2020), S. 3-4.
  105. Vgl. Handreichung: Datenschutzkonforme Einwilligungen auf Webseite - Anforderungen an Consent Layer (2020), S. 4.
  106. Vgl. Handreichung: Datenschutzkonforme Einwilligungen auf Webseite - Anforderungen an Consent Layer (2020), S. 5-6.
  107. Vgl. Der Europäische Datenschutzausschuss (2020), S. 13.
  108. Vgl. Der Europäische Datenschutzausschuss (2020), S. 14.
  109. Art. 7 Abs. 3 DS-GVO (2016).
  110. Vgl. Handreichung: Datenschutzkonforme Einwilligungen auf Webseite - Anforderungen an Consent Layer (2020), S. 8.
  111. Vgl. ErwG. 36 Satz 1 DS-GVO (2016).
  112. Vgl. Handreichung: Datenschutzkonforme Einwilligungen auf Webseite - Anforderungen an Consent Layer (2020), S. 8.
  113. Vgl. Handreichung: Datenschutzkonforme Einwilligungen auf Webseite - Anforderungen an Consent Layer (2020), S. 9.
  114. Vgl. Schwartmann und Benedikt (2021), S. 813.
  115. Vgl. Schwartmann und Benedikt (2021), S. 815.
  116. Vgl. Weiß (2021).
  117. Vgl. Lewanczik (2021).
  118. Vgl. onlinemarketing praxis.
  119. Vgl. Lewanczik (2021).
  120. Vgl. Lewanczik (2021).
  121. Vgl. Stingl (2021).
  122. Vgl. Lewanczik (2021).
  123. Vgl. SEO AG.
  124. Vgl. SEO AG.
  125. Vgl. Lewanczik (2021).

Literaturverzeichnis

Bearbeiten

Arning, M. A., Rothkegel, T. (2019) Art. 4 Begriffsbestimmungen, in: Taeger, J., Gabel, D. (Hrsg.), DSGVO – BDSG Kommentar, 3 Aufl., Deutscher Fachverlag: Frankfurt am Main, S. 88-201.

Behrens, J. (2020). DSGVO im Digitalen Marketing – heutige und künftige Herausforderungen für den CMO. In Digitales Marketing – Erfolgsmodelle aus der Praxis (pp. 17–42). Springer Fachmedien Wiesbaden.

Bergemann, B. (2019). Marketing 4.0. In Management 4.0 – Unternehmensführung im digitalen Zeitalter (pp. 295–347). Springer Berlin Heidelberg.

Bundesamt für Sicherheit in der Informationstechnik (o. J.) Cookies und Fingerprints verhindern, in: Internet https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Updates-Browser-Open-Source-Software/Der-Browser/JavaScript-Cookies-Fingerprints/javascript-cookies-fingerprints.html Zugriff am 2021-12-21.

Definition: Content Marketing (o.J.) Online Marketing; in: https://onlinemarketing.de/lexikon/definition-content-marketing Zugriff am 2022-01-07.

Definition: Native Advertising (o.J.) Online Marketing; in: https://onlinemarketing.de/lexikon/definition-native-advertising Zugriff am 2022-01-07.

Der Europäische Datenschutzausschuss (2020) Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679; in: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf Zugriff am 2021-12-23.

Digitalmarketing: Definition und Maßnahmen. (2021) suxeedo; in: https://suxeedo.de/leistungen/content-marketing/digitalmarketing/ Zugriff am 2021-12-29.

Europäischer Gerichtshof (2019) Urteil vom 1. Oktober 2019, C‑673/17, ECLI:EU:C:2019:801, in: Internet https://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=1399125 Zugriff am 2021-12-21.

Faber, O. (2019) Digitalisierung – ein Megatrend: Treiber & Technologische Grundlagen. In Management 4.0 – Unternehmensführung im digitalen Zeitalter (pp. 3–42). Springer Berlin Heidelberg.

Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien vom 23. Juni 2021 (Telekommunikation-Telemedien-Datenschutz-Gesetz - TTDSG)(2021) in der Fassung vom 23.06.2021; in: https://www.gesetze-im-internet.de/ttdsg/BJNR198210021.html Zugriff am 2021-12-23.

Griese, K.-M., & Bröring, S. (2011). Marketing-Grundlagen: Eine fallstudienbasierte Einführung (2011th ed.). Betriebswirtschaftlicher Verlag Gabler.

Handreichung: Datenschutzkonforme Einwilligungen auf Webseite - Anforderungen an Consent Layer (2020); in: https://lfd.niedersachsen.de/download/161158/Datenschutzkonforme_Einwilligungen_auf_Webseiten_-_Anforderungen_an_Consent-Layer.pdf.

Herbst, T. (2017) Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten, in: Kühling, J., Buchner, B. (Hrsg.), Datenschutz-Grundverordnung Kommentar, C.H.Beck: München, S. 196.

Holl, A. (2018, May 18) Cookies: Definitionen, Einsatzgebiete und Unterschiede zwischen First- und Third Party Cookies. 121Watt.de; in: https://www.121watt.de/analyse-optimierung/cookies-alles-was-du-darueber-wissen-musst/ Zugriff am 2022-01-07.

Kirchgeorg, M. (2018) Definition: Marketing, Gabler Wirtschaftslexikon; in: https://wirtschaftslexikon.gabler.de/definition/marketing-39435/version-262843 Zugriff am 2021-12-23.

Kramer, P. (2018) Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten, in: Eßer, M., Kramer, P., von Lewinski, K. (Hrsg.), Auernhammer DSGVO BDSG Kommentar, 6 Aufl., Carl Heymanns Verlag: Köln, S. 119-128.

Kremer, S. (2019) § 2 Zulässigkeit der Verarbeitung, in: Laue, P., Kremer, S. (Hrsg.), Das neue Datenschutzrecht in der betrieblichen Praxis, Nomos Verlagsgesellschaft: Baden-Baden, S. 108-111.

Lackes, R., Siepermann, M., Kollmann, T. (2018) Cookie, Gabler Wirtschaftslexikon; in: Internet https://wirtschaftslexikon.gabler.de/definition/cookie-27577/version-251226 Zugriff am 2021-12-21.

Lewanczik, N. (2021) Keine Cookies, kein Problem? Das sind die bevorzugten Alternativen, in: Internet https://onlinemarketing.de/performance-marketing/keine-cookies-kein-problem-alternativen-bevorzugt/ Zugriff am 2021-12-27.

Lindner, O. (2021) Third Party Cookies, in: Internet https://www.seo-kueche.de/lexikon/third-party-cookies/ Zugriff am 2021-12-21.

Onlinemarketing praxis (o. J.) Definition Contextual Targeting (Kontext-Targeting, Contextual Advertising), in: Internet https://www.onlinemarketing-praxis.de/glossar/contextual-targeting-kontext-targeting-contextual-advertising Zugriff am 2021-12-27.

Pötters, S. (2018) Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten, in: Gola, P. (Hrsg.), Datenschutz-Grundverordnung Kommentar, 2 Aufl., C.H.Beck: München, S. 220-224.

Seiter, S. R. (2019) Auftragsverarbeitung nach der Datenschutz-Grundverordnung, in: Datenschutz und Datensicherheit, Bd. 43, Nr. 3, S. 127-133.

SEO AG (o. J.) Browser-Fingerprinting: Definition, in: Internet https://seo-ag.de/browser-fingerprinting-definition Zugriff am 2021-12-26.

Schnebbe, M. (2021) TTDSG, in: Datenschutz und Datensicherheit, Bd. 45, Nr. 6, S. 404.

Schulte, L., Schmale, J. (2021) Vertragliche Absicherung internationaler Datentransfers, in: Datenschutz und Datensicherheit, Bd. 45, Nr. 1, S. 46-54.

Schwartmann, R., Benedikt, K. (2021) Anerkannte Dienste der Einwilligungsverwaltung, in: Datenschutz und Datensicherheit, Bd. 45, Nr. 12, S. 811-815.

Stingl, C. (2021) Vom Aus der Third-Party-Cookies: Alternativen zur Datengenerierung, in: Internet https://www.deloittedigital.at/third-party-cookies-alternativen-datengenerierung/ Zugriff am 2021-12-27.

Stoll, X. (2021) Was ist digitales Marketing? HubSpot Blog; in: https://blog.hubspot.de/marketing/digitales-marketing Zugriff am 2022-01-07.

Taeger, J. (2019) Art. 6 Rechtmäßigkeit der Verarbeitung, in: Taeger, J., Gabel, D. (Hrsg.), DSGVO – BDSG Kommentar, 3 Aufl., Deutscher Fachverlag: Frankfurt am Main, S. 237-261.

The digital marketing guide to web cookies. (2016) Target Internet; in: https://www.targetinternet.com/digital-marketing-guide-to-cookies/ Zugriff am 2022-01-07.

Tracking. (o.J.) Ryte.com; in: https://de.ryte.com/wiki/Tracking Zugriff am 2022-01-07.

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) DS-GVO (2016) in der Fassung vom 27.04.2016; Das Europäische Parlament und der Rat der Europäischen Union; in: Internet: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R0679, Zugriff am 2021-12-18.

Voigt, P. (2019) Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten, in: Taeger, J., Gabel, D. (Hrsg.), DSGVO – BDSG Kommentar, 3 Aufl., Deutscher Fachverlag: Frankfurt am Main, S. 213-226.

Weiß, E-M. (2021) Kommentar: Google ersetzt Cookies, will den Werbemarkt aber weiter dominieren, in: Internet https://www.heise.de/meinung/Kommentar-Google-ersetzt-Cookies-will-den-Werbemarkt-aber-weiter-dominieren-5071774.html Zugriff am 2021-12-26.

Zimmermann, R., & Westermann, A. (2020). Omnichannel-Retailing – Kundenorientierte Verknüpfung der Online- und Offline-Kanäle. In Digitales Marketing – Erfolgsmodelle aus der Praxis (pp. 3–16). Springer Fachmedien Wiesbaden.