Ich erinnere mich noch gut an das Jahr 2009. Damals verfasste ich einen Artikel zum Thema "Cookie-Gefahr durch EU-Gesetzentwurf". Es ging um einen Reformvorschlag zum EU-Telekom-Paket und einen Textentwurf zur Neufassung des Artikels 5 der Richtlinie zur Privatsphäre und Elektronischer Kommunikation (ePrivacy-Richtlinie). Schon damals war die Gefahr, dass der Internet User bei jeder Aktion, bei der ein Cookie gesetzt wird, zustimmen soll. Auch der BVDW und der IAB Europe sah damals die Wettbewerbsfähigkeit der Internetwirtschaft als massiv gefährdet an.

Mein Appell an die Branche war damals, sensibler mit Tracking-Technologien, Cookie-Setzung und aggressiver Displaywerbung umzugehen. Doch den Warnungen wurden schon 2009 mit großer Ignoranz begegnet und das einhellige Kredo war "So ein Quatsch, da kommt eh nichts".

2012 hatte ich meinen Appell gemeinsam mit dem Augsburger Medienanwalt Christian Röhl erneuert und die Affiliate-Branche auf eine Selbstregulierung hingewiesen. Der Hintergrund war, dass der BVDW mit dem DDOW ein Programm für "Online Behavioral Advertising" (OBA) installierte, bei dem die Teilnehmer ein Piktogramm in ihre Werbung einbinden konnten, mit dem die Online User Targeting-Werbung deaktivieren können.

Doch auch zu diesem Zeitpunkt schien eine Selbstregulierung für die Affiliate-Teilnehmer keine Relevanz zu besitzen und so kam es dann letztendlich auch, dass der Europa-Abgeordnete Jan Philipp Albrecht (Bündnis 90/Die Grünen) getragen durch zahlreiche Datenschutzaktivisten die Neuordnung der Datenschutzgrundverordnung (DSGVO) vorantreiben konnte.

Letztendlich fühlten sich einfach zu viele Menschen von Werbung, Cookies und Tracking "verfolgt" und der Datenskandal um "PRISM" sorgte dann auch für den großen Durchbruch für den Schutz personenbezogener Daten. Es wäre müßig, jetzt noch zu bewerten, warum es überhaupt soweit kommen musste und ob man nicht mit einer Selbstregulierung und dem sensibleren Umgang mit Daten hätte rechtzeitig gegenlenken können.

Die Folgen der DSGVO

Nun fast zwei Monate nach Ablauf der Umsetzungsfrist am 25. Mai 2018 ist die Verunsicherung beim Thema DSGVO noch immer spürbar. Der BVDW hatte jüngst eine Mitgliederbefragung durchgeführt. 56 Prozent der Digitalfirmen rechnen mit Umsatzeinbußen als Folge der EU-Datenschutzgrundverordnung.

Speziell im Affiliate Marketing gibt es noch keine validen Zahlen zu den Auswirkungen. Derzeit spüren es am ehesten noch die E-Mail Publisher, sowie Display Publisher die mit Google GDN Traffic generieren, denn hier ist die Regulierung am Strengsten ausgelegt.

Ein großes Problem ist derzeit vor allem noch die Unklarheit darüber, wie oftmals offen gehaltene Vorgaben konkret auszulegen und anzuwenden sind. Hierzu bedarf es zukünftig mehr Klarheit durch eindeutige Rechtssprechungen. Derzeit berufen sich viele Markteilnehmer auf den Art. 6 Abs. 1 f in der DSGVO, dass die Verarbeitung personenbezogener Daten auch ohne Einwilligung des Users zulässig ist, wenn der Zweck für die Datenverarbeitung legitime Interessen des Datenverarbeiters erfordert.

Die Gefahr durch die ePrivacy-Verordnung

Doch die große Gefahr für die Affiliate-Branche könnte erst noch kommen. Nämlich dann, wenn der Europäische Rat dem Entwurf in der aktuellen Fassung zustimmt. Bereits im Oktober 2017 hat hierzu der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments (LIBE) über den Neuentwurf der in die Jahre gekommenen ePrivacy-Richtlinie 2002/58/EG abgestimmt und den Entwurf vom 10. Januar 2017 angenommen. Diese neue Verordnung soll die Datenschutzgrundverordnung flankieren.

Im Oktober 2017 folgte dann die nächste Niederlage für die digitale Werbebranche. Überraschenderweise votierten die Parlamentsmitglieder mit einer großen Mehrheit für die ePrivacy-Verordnung und somit für die geplanten hohen Datenschutz-Standards für elektronische Kommunikation.

Die Folgen für die Online-Marketing-Branche wären gravierend, denn Nutzerdaten die beim Tracking der Affiliate-Netzwerke verwendet werden, dürften zukünftig nur noch genutzt werden, wenn der Nutzer explizit ein "Opt-in", also seine Einwilligung dafür gegeben hat.

Zudem dürfen Daten nur noch verarbeitet werden, wenn sie "streng erforderlich" oder "streng technisch notwendig" sind, um einen Dienst zu erbringen. Dabei sollen vor allem "Cookie Walls" und "Cookie-Banner" verhindert werden, wenn sie den Nutzern nicht dabei helfen, die Kontrolle über ihre persönlichen Daten und ihre Privatsphäre zu behalten oder sich über ihre Rechte zu informieren. Auch "Privacy by default" soll ein Standard werden. Das bedeutet, dass die Browser bereits in der Grundeinstellung die beschriebenen Datenschutzstandards gewährleisten.

Keine echte Wahl bezüglich der Abgabe einer Einwilligung

Die bisher diskutierten Lösungsmöglichkeiten, etwa die derzeit gebräuchlichen Hinweistexte in Bannern oder Popups mit dem Inhalt "Mit dem Besuch dieser Website akzeptieren sie die Verwendung von Cookies" oder dem Hinweis "Wir benutzen Cookies" und einem OK-Button werden durch die neue ePrivacy-Verordnung nicht mehr zulässig sein, da der User hierbei keine echte Wahl bezüglich der Abgabe einer Einwilligung hat. Es reicht auch nicht mehr aus, darauf hinzuweisen, dass der betroffene Nutzer in seinem Browser bestimmte Datenschutzeinstellungen vornehmen kann.

Das heißt, zukünftig würde jedem Internetnutzer beim ersten Aufruf einer Affiliate Website noch vor der ersten Platzierung eines Cookies ein Hinweis auf die Verwendung von Cookies dargestellt werden, bei dem der User dann die Wahl hat, dem zuzustimmen oder es abzulehnen. Die Zustimmung muss dann per Opt-In abgefragt werden. Opt-In bedeutet dabei, dass im Fall einer Checkbox diese nicht bereits mit einem Häkchen versehen sein darf. Falls der User das Opt-In ablehnt, darf er für die Website auch nicht gesperrt sein, wie es aktuell bei Adblockern bereits einige Verlagshäuser durchführen.

Es stellt sich also die große Frage, wie Affiliates zukünftig Geld verdienen wollen, wenn gegebenenfalls aus einer gewissen Unsicherheit ein großer Anteil der Internet User kein Werbeeinverständnis per Opt-In gewährt und sogar die Browser per Default-Einstellung 3rd-Party-Cookies deaktivieren. Selbiges gilt dann übrigens nicht nur für Cookies, sondern auch für Fingerprinting und andere Tracking-Methoden.

Wo bleibt der Lobbyismus?

Wie bereits eingangs erwähnt, fühle ich mich in vielen Gesprächen und Diskussionen zurückversetzt ins Jahr 2009. Man merkt auch jetzt wieder die große Ignoranz zur ePrivacy-Verordnung und viele Marktteilnehmer sind fest davon überzeugt, dass nichts passieren wird. Doch anstatt sich mit der Situation intensiv auseinanderzusetzen, versteckt man sich hinter der Hoffnung, dass nichts passiert.

Doch würde es doch viele Möglichkeiten geben, dagegen anzukämpfen. Präsenz zeigen und an öffentlichen Diskussionen über die möglichen Folgen auch für die Nutzer aufzuklären. Affiliates und Affiliate-Netzwerke könnten Aufklärungskampagnen schalten und anstatt der langweiligen Cookie-Banner auch einmal Werbung und Anzeigen über möglichen Folgen der ePrivacy-Verordnung durchführen.

Nur wenn der großen Masse an Internet Usern und auch Politikern bewusst wird, welche Auswirkungen durch eine strenge ePrivacy-Verordnung entstehen, besteht die Möglichkeit dass sich die Bundesregierung im EU-Rat gegen den aktuellen Entwurf ausspricht.

Und die Folgen wären ja auch für die Nutzer gravierend, denn kostenloser Qualitätsjournalismus wäre durch fehlende Werbeinnahmen nicht mehr finanzierbar. Viele hilfreiche Blogs und Foren würden ihren Betrieb einstellen. Werbung wäre nicht mehr zielgerichtet möglich, sondern würde die User sogar durch unausgesteuerte Werbung noch wesentlich mehr nerven. Es würde zur Benachteiligung der europäischen Datenwirtschaft kommen und einer Gefährdung für die Entwicklung europäischer Start-ups, innovativer Unternehmen und der Online-Werbesektors sowie von Telekommunikationsbetreibern.

Es kann nicht das Ziel sein, die Internetnutzer in ihrer eigenen Verantwortung und Nutzerorientierung einzuschränken und zu bevormunden. Es sollte weiterhin die Souveränität der Nutzer und der Branche gewährleistet werden, aber natürlich mit einem effektiven und nachhaltigem Datenschutz.

Wo bleibt die öffentliche Forderung der tausenden von Affiliates und der Affiliate-Netzwerke gegenüber europäischen und nationalen politischen Entscheidungsträgern, den ePrivacy-Verordnungsentwurf zu revidieren? Der europäische digitale Binnenmarkt verdient mehr als eine Regulierung mit massiven und unvorhersehbaren Nebenwirkungen. Er benötigt klare und praktikable Definitionen, eine Unterscheidung von persönlichen und nicht-persönlichen Daten, bei einer konsequenten und horizontalen Umsetzung, um den Schutz des Einzelnen und die Entwicklung des europäischen digitalen Ökosystems zugleich zu gewährleisten.

Natürlich hilft eine allgemeine Panikmache niemanden weiter, aber gerade die Online-Branche hat es in den vergangenen Jahren verpasst, Lobbyarbeit in eigener Sache zu machen und ist nun kurz davor, dies bei der ePrivacy-Verordnung wieder zu verpassen. Denn: "Es wird schon nichts passieren…"