Datenschutz

Wie das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) das Tracking blockieren wird

Deutschland plant mit dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) die Aktualisierung von zwei in die Jahre gekommenen Gesetzen. Für die Branche bedeutet das nichts Gutes. Unverhoffter Rückenwind für Marketer kommt aus der EU. 

André Koegler
Performance Consultant
veröffentlicht am 03.03.2021

Der folgende Text ist Teil 1 / 3 aus unserer easy.MARKETING-Reihe zum Entwurf des  Telekommunikation-Telemedien-Datenschutzgesetz in Deutschland. In dieser Reihe bearbeiten wir den Ursprung, die Auswirkungen und mögliche Lösungsansätze für Affiliate- und Online-Marketer. Teil 2 und 3 erscheinen im Nachgang des Workshops zum TTDSG auf der Affiliate Conference DIGITAL 2021 am 8. und 9. März

Die Europäische Union und die Bundesregierung haben sich 2021 erneut das Thema Datenschutz weit oben auf die Agenda geschrieben. Unter der Ratspräsidentschaft von Portugal prischt die EU seit Jahresbeginn bei der lange liegen gebliebenen ePrivacy-Verordnung vor. Zuvor schafften es weder Finnland, noch Österreich oder Deutschland, während ihres Vorsitzes die bisherige ePrivacy-Richtlinie in eine Verordnung zu überführen und auszuformulieren. 

Was die Bundesregierung in der Ratspräsidentschaft hat liegen lassen, holt sie im eigenen Land nach: Das neu entworfene Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) bündelt das in die Jahre gekommene Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG). In diesem Entwurf des TTDSG soll der User für alle Cookies und für alle Zwecke sein Einverständnis geben, die nicht absolut notwendig sind. Cookies oder auch andere Informationen dürfen also nur auf das Device des Endbenutzer geschrieben werden, wenn explizit ein Zweck da ist, der auch vom Endverbraucher zu erwarten oder gewünscht ist. Das wäre z.B. in einem Onlineshop beim Befüllen und temporären Speichern des Warenkorbs der Fall. Das legitime Interesse, das wir z.B. aus der Datenschutzgrundverordnung (DSGVO) kennen, wird im Referentenentwurf des TTDSG nicht mehr erwähnt. 

Wenn das TTDSG in dieser aktuell geplanten Form (Stand 1.3.2021) verabschiedet wird, wird das gravierende Folgen für die Branche haben. Sämtliche Trackings müssten dahingehend überprüft werden. Betroffen wäre durch §22 TTDSG nicht nur das Affiliate-Marketing, sondern sämtliche Trackings, Attributionen und Analysen, die im Internet durchgeführt werden. Paragraph 22 lässt sich hier einsehen.

Funkturm bei Nacht

Woher das TTDSG kommt

Das geplante TTDSG ist von der Grundidee nichts neues. Der Oberbegriff “Datenschutz” lässt sich in zwei Bausteine zu zerlegen: Den klassischen Datenschutz, also den wirklichen Schutz von gespeicherten Daten (wo, wie und durch wen werden diese gespeichert und weiterverarbeitet) und den “Userschutz”.

Der Datenschutz fällt unter die Datenschutzgrundverordnung (DSGVO), die die EU im Jahr 2016 ins Leben gerufen hat und Ende Mai 2018 dann wirksam wurde. Um den Userschutz ging es schon viel früher: 2009 und 2013 wurde der Schutz des Users mit der ePrivacy-Richtlinie der EU vorgegeben. Die Richtlinie ist in allen Mitgliedsstaaten der EU durchgesetzt worden – nur in Deutschland nicht, weil es hier bereits das Telemediengesetz sowie das Telekommunikationsgesetz gab. 

Tatsächlich haben diese Gesetze aber eine andere Regelung vorgesehen als die ePrivacy-Richtlinie. Sie haben kein Opt-In – also das pro-aktive Einverständnis der Nutzer – beinhaltet, sondern ein Opt-Out. Man konnte also ablehnen. Während in der EU also in vielen Ländern die Consent-Banner entstanden sind, reichten in Deutschland 2013 noch einfache Hinweise in der Datenschutzerklärung.

2021 hingegen ist das nun genau anders herum: Während die anderen EU-Staaten Regelungenen besitzen, in denen auch wirtschaftliche Interessen berücksichtigt werden, scheint die Bundesregierung mit ihrem Referentenentwurf diese gar nicht zu würdigen. Der Gesetzgeber sieht das TTDSG als autarkes Gesetz, müsste es aber im Zusammenspiel mit der DSGVO betrachten, deren Standards sich über die letzten Jahre etabliert haben.

Der Bundesverband Digitale Wirtschaft (BVDW) versucht gerade beim Wirtschaftsministerium Einluss auf die Gesetzesentwicklung zu nehmen und besondere Ausnahmen zu erwirken, wie sie auch in der DSGVO über das legitime Interesse verankert sind, damit auch wirtschaftliche Interessen im TTDSG Berücksichtigung finden. Der Zweck von Cookies im Affiliate-Marketing ist ausschließlich die faire Vergütung der Publisher, also der Vertriebspartner. Mit diesen Cookies wird kein Einfluss darauf genommen, was die Endverbraucher sehen. Sie werden nicht für Werbung oder Marketing genutzt.

Ausnahmen im TTDSG gelten bisher ausschließlich für die Übermittlung von Nachrichten über öffentliche Telekommunikationsnetze sowie solche Cookies, die für die Erbringung des vom Nutzer ausdrücklich gewünschten Telemediendienstes erforderlich sind. 

Portugals Vorstoß kontert das TTDSG der Bundesregierung

Das nationale TTDSG würde allerdings durch die ePrivacy-Verordnung der Europäischen Union überschrieben werden, an der Portugal gerade arbeitet. Und diese Verordnung sieht für Online-Marketer bessere Arbeitsvoraussetzungen vor. Als "wichtigste Änderung" bezeichnet die portugiesische Regierung ihren Vorschlag, dass Firmen und Behörden Metadaten wie Verbindungsinformationen für andere Zwecke als die ursprünglich vorgesehenen und vom Nutzer gestatteten verwenden können sollen. Wichtigste Voraussetzung dafür ist, dass die Verarbeitung "kompatibel" ist zur zunächst freigegebenen Absicht. Dies soll auch für Eingriffe in "Terminal-Ausrüstung" wie Browser, etwa durch das Setzen von Cookies und das Auslesen damit verknüpfter Nutzerinformationen, gelten.

Fahnen der Europäischen Union in Brüssel

Im neuen Artikel 6c und dem Erwägungsgrund 17aa sowie dem erweiterten Artikel 8 und zugehörigen Erläuterungen knüpfen die Portugiesen diese Zweckentfremdung an einige Bedingungen. "Gegebenenfalls" sollen Diensteanbieter die Aufsichtsbehörde kontaktieren, eine Datenschutz-Folgenabschätzung durchführen und persönliche Informationen pseudonymisieren sowie verschlüsseln. Dazu kommt die Anforderung, das Ergebnis einer Analyse zu anonymisieren, bevor Informationen an Dritte weitergegeben werden. Dieser Gesetzesentwurf lässt also Lücken, derer sich die Wirtschaft bedienen kann. Ob dieser Entwurf tatsächlich so umgesetzt wird entscheiden die Trilog-Gespräche, in denen sich der Entwurf seit dem 10.02.2021 befindet.

Was das für das Online-Marketing in Deutschland heißt

In aktuellen TTDSG-Entwurf soll der User für alle Cookies und für alle Zwecke sein Einverständnis geben, die nicht absolut notwendig sind. Der Einsatz von Cookies oder anderen Tracking-Technologien setzt damit künftig eine informierte Einwilligung voraus. Wichtig ist, dass sich flächendeckend auf das TTDSG vorbereitet und nach Lösungen und Optionen gesucht wird. Da davon auszugehen ist, dass der Entwurf das TTDSG vorerst nicht angepasst wird, sollte der aktuell sehr harte TTDSG-Entwurf als Grundlage für sämtliche Planungen herangezogen werden.

Die ePrivacy-Verordnung hingegen würde die strengen Regularien des TTDSG wieder lockern. Womöglich kommen beide Gesetze, nur das nationale TTDSG ist in der Verabschiedung wohl schneller als die europäische ePrivacy-Verordnung. Das heißt: Alle Dienste, die bisher unter dem “legitimen Interesse” laufen, müssen hinter dem Consent verschwinden. Nach einer Überbrückungszeit würde dann die ePrivacy-Verordnung greifen und das nationale TTDSG überschreiben. Dann dürfen die ganzen Änderungen, die durch das TTDSG entstanden sind, wieder rückgängig gemacht werden. 

Der Einfluss auf die Online-Branche

Im Display-Marketing hat man sich bereits darauf eingestellt, dass vor der dynamischen Ausspielung von Werbebannern auf Basis von User-Daten dieser ein Einverständnis über die Verarbeitung seiner Daten geben muss. Gibt er dieses Einverständnis nicht, so darf nicht auf den einzelnen User getargetet oder dessen Surfverhalten zu einem Nutzerprofil zusammengefasst werden. 

Laptop-Grafik

Für einige Arten des Trackings und der “anonymen” Analyse konnte man aber noch das vorwiegend berechtigte Interesse des Werbetreibenden annehmen. Dann reichte es aus, dem User ein Opt-Out anzubieten. Mit dem Entwurf der TTDSG ist damit Schluss, denn um das Tracking, z.B. für die eindeutige Zuordnung von Transaktionen im Affiliate-Marketing zu gewährleisten, muss auf das Endgerät des Users zugegriffen werden. Hierzu zählen neben Cookies auch alle anderen technischen Arten, die etwas auf das Device des Users schreiben, wie zum Beispiel der “local Storage”.

Das Tracking im Affiliate-Marketing muss deshalb zukünftig hinter das Einverständnis des Users gerückt werden und es wird vorerst keine 100% eindeutige Zuweisung der Provisionen mehr geben. Dazu sind die aktuell gültigen technischen Prozesse zu hinterfragen und entsprechend umzubauen. Ansonsten läuft der Advertiser Gefahr, Geldbußen bis zu dreihunderttausend Euro zahlen zu müssen.

Welche dieser Prozesse nicht mehr gültig sein werden und wie zukünftig das Tracking funktionieren sollte erfahrt ihr im 2. Teil, den wir im Nachgang zur Affiliate Conference DIGITAL 2021 am 8. und 9. März veröffentlichen werden.