Solche und ähnliche Überschriften begleiten uns in den letzten Wochen als Schlaglichter zu den immer neuen und strengeren Datenschutzanforderungen im digitalen Marketing. In den Unternehmen der Digitalbranche herrscht große Unsicherheit über die Fortsetzung der bisherigen Modelle des digitalen Marketings. #Programmatic war gerade so schön und in real time auf die Spitze (bzw. in die spitze Nische) getrieben worden, und jetzt soll das alles vorbei sein? Der Cookie: einst vielseitiger und treuer Bote zwischen Sitebetreiber und Nutzer; nun ein Schmuddelkind? Es scheint so.
Von Dr. Kai Kuhlmann
„Cookie go home!“
Am Rande reiben sich die Kriegsgewinnler (die es ja schon immer gewusst haben), die Hände und halten ihre alternativen Modelle so hoch wie nur eben möglich. In ein zwei Jahren wissen wir, welche der Modelle, jedes angepriesen als „der neue Weg“, noch am Markt existieren.
Veranstaltungen rund um das Thema „Wie geht´s nun weiter, liebe Branche?“ haben Hochkonjunktur. Tapfer beißt man dort dann die Zähne zusammen und verständigt sich auf die Formel, dass das doch im Grunde eine wunderbare Chance sei und #Datenschutz der neue Boden ist, auf dem alles wachsen und gedeihen wird, und zwar gesund, endlich.
Datenschutz in aller Munde…wer hätte das vor zehn, fünfzehn Jahren gedacht?
Ein kurzer Blick zurück:
Vom Mauerblümchen zum Botanischen Garten oder: „Mensch, bist du aber groß geworden!“
Nur wenig andere gesellschaftlich-technologische Themen haben eine ähnlich rasante Entwicklung wie der Datenschutz hinter sich. Er fristete lange ein Nischendasein, das bei vielen gerade mal für ein müdes Augenverdrehen reichte („Wie hoch ist das Risiko für unser Unternehmen? Prima, dann kümmern wir uns später mal da drum, irgendwann, wenn wirklich gar nichts anderes mehr zu tun ist.“).
Noch 2007 berichtet ein ausführlicher Artikel im „Spiegel“ süffisant von einem Interviewbesuch beim damaligen obersten Berliner Datenschützer:
Wenn ein Bürger befürchtet, dass nicht ordnungsgemäß mit seinen persönlichen Daten umgegangen wird, kann er sich an Dix‘ Behörde wenden, die dann vermittelnd eingreift. „Ich habe einen spannenden Job“, sagt er und guckt dazu ein bisschen traurig. „Er macht mir jeden Tag neu Spaß.“ Vor allem scheint der Job ruhig zu sein. Auf der gesamten Etage herrscht an diesem Nachmittag die schläfrige Atmosphäre zu Hause verbrachter Sommerferien.
Wen und was kann und soll einer wie Dix überhaupt noch schützen? Hasst er eigentlich das Internet? Fühlt er sich wie ein Schäfer, dem seine Herde abhandengekommen ist?
Und der Bericht schließt mit dem tristen Bild: „Ein Dorfbahnhof, an dem der Zug gerade vorbeifährt.“
Noch nicht einmal das Potential als Spielplatz für Nerds hatte das Thema Datenschutz über viele Jahre – heute ist es ganz selbstverständlich ein Bestandteil des Erwartungsportfolios einer breiten gesellschaftlichen Mitte.
Eine ähnliche Aufwertung war in den letzten Jahrzehnten nur bei drei anderen „…“-schutz-Themen zu beobachten: Umweltschutz, Tierschutz, Verbraucherschutz. Gemeinsam mit diesen Themen hat der Datenschutz übrigens vor allem eines: Die mitunter alles andere als hilfreiche ideologische Aufladung und Überhöhung der Auseinandersetzung bei denen, die sich gegenüberstehen im Ringen um das richtige Maß. Also auf Seiten der Datenschutzkämpfer ebenso wie auf der Seite derjenigen, die sich durch die Anforderungen bekämpft sehen.
Was ist da passiert, in all den Jahren, fragt man sich?
Ihr da oben, wir hier unten
Noch in den späten achtziger Jahren des letzten Jahrhunderts wurde der Datenschutz vertikal gedacht. Heißt: Dem Datenschutz verpflichtet werden sollte der Staat (in den hitzigen Debatten üblicherweise bezeichnet als „der Überwachungsstaat“), Schutzsubjekt war der einzelne Bürger (in den hitzigen Debatten üblicherweise dargestellt als „der gläserne Bürger“). Orwell´sche Überwachungsszenarien wurden bemüht (das passte in den 80er Jahren ja so schön), das Bild der „Datenkrake“ wurde aus der Taufe gehoben, an Volkszählung, Rasterfahndung und dem technischen Vehikel Videokamera (damals noch in etwa so groß und schwer wie eine Bazooka) entzündeten sich die Gemüter, später an der „Vorratsdatenspeicherung“.
Die Gegner von hohen Datenschutzanforderungen postulierten: „Datenschutz ist Tatenschutz“ und sahen Datenschutz als sachfremdes Hindernis bei der Ermittlung und Prävention von Straftaten. Die Befürworter hingegen kämpften gegen willkürliche Einblicke des Staates in die Privatsphäre seiner Bürger (sog. „Rumschnüffelei“).
Trivia: Daneben gab es damals übrigens auch schon den „betrieblichen Datenschutz“ – ein Arbeitsfeld, das seinerzeit in etwa die aufregende Aura eines Gummibaums in der Pförtnerloge hatte. Es gehört leider durchaus nicht ins Reich der Legende, dass bis in die 90er Jahre hinein manchem besonders unliebsamen und unfähigen Arbeitnehmern nicht gekündigt, sondern feierlich das Amt des „betrieblichen Datenschutzbeauftragten“ übergeben wurde, um ihn in eine Art berufliches Wachkoma zu versetzen. Bewegen konnte er dort kaum etwas, Schaden anrichten aber genauso wenig. „Ach, den lassen wir jetzt mal machen in seinem Kämmerchen.“, so dachte man sich.
Tür zu und ab.
Kopernikanische Wende
Die Debatten aus der Welt des vertikalen Datenschutzes sind, von der Öffentlichkeit kaum bemerkt, weit in den Hintergrund getreten. Stattdessen wird der Datenschutz jetzt vor allem horizontal gedacht. Heißt: Dem Datenschutz verpflichtet werden sollen alle Unternehmen und Plattformen, die das Internet als Kommunikationskanal zum Menschen nutzen. Schutzsubjekt sind die User des WWW, deren Daten die Unternehmen und Plattformen aufnehmen und mit denen sie umgehen. Die „Datenkraken“ sind nun die Unternehmen, der User ist bei seinen Aktivitäten im WWW nicht gläsern, sondern es ist viel schlimmer: er ist nämlich sichtbar geworden – und seine Spuren im Netz sollen daher einem „Recht auf Vergessen“ unterliegen.
Das Thema Datenschutz hat Hochkonjunktur. Es ist nicht mehr zu übersehen, Datenschutz hat sogar einen gewissen Glamourfaktor erreicht. Aus dem bürokratisch oder behördlich anmutenden „Datenschutz“ wurde „Privacy“. Das klingt moderner, und irgendwie auch wertiger. In den zahllosen Abstimmungscalls und Webmeetings zu CMP und TCF 2.0 findet sich nicht mehr ein Fußvolk zusammen, dem eine unliebsame Aufgabe weit nach unten durchgereicht worden ist, sondern die, die Denker, Lenker, Macher sein wollen, stecken nun ihre Köpfe zusammen. Im #Compliance-Katalog der Unternehmen steht der Datenschutz weit oben und der Vorstand achtet sorgsam darauf, einen grünen Haken dahinter setzen zu können. Die Zahl der hochspezialisierten Juristen hat stetig zugenommen, Datenschutzrecht gehört aber auch zum selbstverständlichen Know-How der anwaltlichen Generalisten.
Datenschutz als Aushängeschild, Datenschutz als Differenzierungsmerkmal, Datenschutz als Verkaufsargument. Datenschutz ist heute jedermanns Angelegenheit – ausgenommen vielleicht die der wenigen Menschen, die sich gar nicht erst im Netz bewegen. Weil sie erst zwei, drei Jahre alt, oder aber schon in den gesegneten Neunzigern (und keine silver surfer) sind.
Auf den ersten Blick besteht ein gravierender Unterschied zwischen der früheren, vertikalen Diskussion und der heutigen, horizontalen Perspektive (oder etwa doch nicht?): Während früher der Vorwurf war, der Staat besorge sich die Daten ohne Wissen oder sogar gegen den Willen des Bürgers („Ausspähen“), geben in unserer täglichen, ja stündlichen Wirklichkeit die User ihre Daten mehr oder weniger wissentlich preis – und nicht selten auch willentlich, in dem sie die attraktiven digitalen Dienste und Plattformen kontinuierlich nutzen.
(Dem zweiten Blick will diese simple Gegenüberstellung nicht so recht standhalten, aber das wäre Stoff für ein anderes, eigenes Thema.)
„Besuche machen immer Freude: Wenn nicht beim Kommen, dann beim Gehen.“
(Rheinisches Sprichwort)
Die IVW erfasst, prüft und veröffentlicht zwei schlichte Zahlen zu den Websites und Apps ihrer Mitglieder: Die „Visits“, und die „PageImpressions“.
„Visits“, wohlgemerkt, nicht aber „Visitors“!
Sie winken ab: Das sind doch lediglich terminologische Feinheiten? Keinesfalls, es macht datenschutzrechtlich einen großen Unterschied – den entscheidenden Unterschied.
Die IVW-Zahl gibt Auskunft über die Anzahl der Besuche. Nicht über die Anzahl der Besucher, und erst recht nicht darüber, wer eine Website besucht hat. Und die IVW-Zahl gibt Auskunft über die Nutzung, nicht aber über die Nutzer. Und das in täglich bzw. monatlich aggregierter Form.
Ein Beispiel aus der aktuellen Ausweisung der IVW-Zahlen: Für das Nachrichtenportal „DER SPIEGEL“ wurden im Monat August insgesamt 266.056.770 Visits und 732.424.632 PageImpressions erfasst.
Wie entstehen diese beiden Zahlen?
Das Ganze lässt sich gut nachvollziehen, wenn Sie sich das Nachrichtenportal „DER SPIEGEL“, das schon seit Jahren seine Nutzung von der IVW prüfen und ausweisen lässt, im Internet wie ein Haus vorstellen. An der Eingangstür des Hauses befindet sich eine Lichtschranke. Sonst nichts. Also kein Pförtner, keine Videokamera, kein Türsteher. Und jedes Mal, wenn irgendjemand durch die Tür das Haus betritt, registriert die Lichtschranke, dass ein Besuch, ein „Visit“ stattfindet
Danach geht es dann noch ein bisschen weiter, denn der Besuch bezieht sich ja oft auf mehrere unterschiedliche Zimmer des Hauses (also Artikel oder Bereiche der Website oder App), sagen wir: vier Stück. Auch das wird vom Mess-System erfasst, jeweils als „PageImpression“. In die aggregierte IVW-Zahl, wie stark das Haus „DER SPIEGEL“ genutzt worden ist, geht dementsprechend 1 Visit mit 4 PageImpressions ein.
Theoretisch und zur Veranschaulichung der Aggregation: Die 266.056.770 Visits könnten auf genauso viele Personen zurückzuführen sein, die jeweils lediglich einen Visit erzeugt haben. Oder sie könnten auch nur auf 10 Personen zurückzuführen sein, die jeweils 26.605.677 Visits erzeugt haben. Beides ist in der Tat sehr theoretisch und wird selbstverständlich nicht der Fall sein, die wirkliche Zahl der Besucher liegt natürlich immer irgendwo dazwischen. Aus den IVW-Zahlen lässt sich aber diese Vereinzelung der Besuchsanzahl auf eine bestimmte Anzahl von Besuchern erst gar nicht herausdestillieren. Wie viele Besucher es waren? Wir wissen es nicht.
Weiß die IVW denn, wer den Visit gemacht hat, wann der Besuch genau stattgefunden hat und wie lange er gedauert hat?
Die Antwort darauf und wie die IVW mit der Situation umgeht oder ob sie überhaupt davon betroffen ist, finden Sie in Teil 2.
