„Cookie go home!“ Solche und ähnliche Überschriften begleiten uns in den letzten Wochen als Schlaglichter zu den immer neuen und strengeren Datenschutzanforderungen im digitalen Marketing. In Teil 1 dieses Beitrags ging es bereits um die Geschichte des Datenschutzes in Deutschland und wie es zur heutigen Situation kam. Im zweiten Teil erfahren Sie nun, wie die IVW mit der Situation umgeht und ob sie überhaupt davon betroffen ist.
Von Dr. Kai Kuhlmann
Lieschen Müller, ein paar Sandkörner und der Weg der Flip-Flops im Netz
Weiß die IVW denn, wer den Visit gemacht hat, wann der Besuch genau stattgefunden hat und wie lange er gedauert hat? Nein. Darüber wissen wir erst recht nichts, dazu geben die IVW-Zahlen keinerlei Auskunft und wir wollen das alles auch gar nicht wissen.
Wir haben noch nie etwas damit zu tun gehabt, dass das Paar Havaianas-FlipFlops, für das Sie sich auf irgendeiner Website interessiert haben (vor ein paar Tagen bei einer Tasse Kaffee und in den Gedanken an den nächsten Sommerurlaub), Ihnen hartnäckig wie ein seniler Dackel, der sein Herrchen sucht, über die Seiten des WWW hinterher trottet.
Und die IVW-Messung führt auch nicht dazu, dass Sie aufgrund Ihres Surfverhaltens im Netz bei Ihren späteren Websitebesuchen als Hausfrau aus Baden-Württemberg eingeordnet werden, mit Interesse an Fashion, DIY und Esoterik, einem Haushalt von vier Personen (mit Haustier), dessen Nettoeinkommen unter 3000 Euro liegt.
Denn: Bei der IVW geht es nicht um Daten für #Targeting, Re-Targeting, #Conversion-Rate, #Tracking, Profiling, Zielgruppenbildung etc. Es geht einzig und allein um die Stärke eines digitalen Werbeträgers, definiert über seine Nutzungsintensität. Und um die Stärke des Werbeträgers im Werbemarkt darzustellen, bedarf es …: genau, es bedarf der aggregierten Gesamtzahl von Visits und PageImpressions für einen bestimmten Zeitraum.
Waren Sie im Monat August mal unterwegs auf der Website „Spiegel online“? Falls ja, dann ist Ihr Besuch als ein Visit in die IVW Zahl „266.056.770 Visits“ für „DER SPIGEL“ eingegangen. Kennen wir Sie deswegen? Natürlich nicht. Die IVW weiß nichts über die Nutzer der Werbeträger.
Aber könnte die IVW denn wissen, dass Sie einer der Besucher waren, wann und wie lange Sie dort auf der Website waren? Diese Frage ist wichtig, denn im Datenschutzrecht sind nicht nur die personenbezogenen Daten geschützt, sondern auch die personenbeziehbaren Daten. Also solche Daten, die nicht aus sich heraus, sondern erst im Zusammenspiel mit weiteren Daten Rückschlüsse auf eine bestimmte Person zulassen.
Auch bei dieser Frage ist die Antwort aber ein klares: Nein. Aus den 266.056.770 (in Worten: zweihundertsechsundsechzigmillionensechsundfünzigtausendsiebenhundertsiebzig) Visits können wir nicht nachträglich Martina Mustermann oder Lieschen Müller „herauslesen“, es gibt keine Puzzlestücke, die wir bloß zusammentragen und zusammensetzen müssten, damit wir in der Summe von 266.056.770 Visits einzelne Personen identifizieren können. Es bleibt bei anonymen Nutzungsvorgängen. Und das ist gut so.
Aggregierte Zahlen, schön und gut…aber die Zahlen kommen ja nicht schon aggregiert auf die Welt, sondern fangen mal ganz klein an? Ein findiger Kopf (mit Vergnügen am Disput) mag also einwenden:
„Zu Beginn des Messmonats, also ganz am Anfang der Aggregation, da sind die erfassten Zahlen doch noch sehr klein? Also um 00:01 Uhr des Monatsersten, da sind es vielleicht nur überschaubare 1234 Visits? Also ähnlich wie bei einer Sanduhr, die man umdreht, dort kommen (in Zeitlupe gesehen) ja auch in der ersten Millisekunde zunächst nur drei oder vier Sandkörner auf dem Boden des unteren Glases an, bevor daraus rasch ein Sandhäufchen, ein Sandhaufen, das volle Glas wird?“
Ja, das stimmt. Wir machen es uns jetzt nicht so leicht einfach darauf zu verweisen, wie rasant aus den wenigen Visits und PIs eine immer größere Summe wird und die Anonymisierung jedes einzelnen Besuchs damit unaufhaltsam fortschreitet, wie schnell „1 Besuch“ in der Masse der Besuche buchstäblich untergeht.
Stattdessen werfen wir einen Blick auf das Thema „IP-Adresse“,
denn diese ist das einzige, was bei der Erfassung des Besuchs zum Besucher führen könnte.
Kann sie das?
Mit der #IP-Adresse blitzt, ganz zu Beginn der Messung, eine Verbindung zu einer einzelnen, erst einmal unbestimmten Entität (Einheit) auf. Das ist nie ein bestimmter User, sondern allenfalls ein technischer Client (Endgerät), oft sogar nur die Zugehörigkeit zu einem Proxy-Client, dem beliebig viele Clients angehören könnten.
Nichtsdestotrotz: Bei der Messung wird die IP-Adresse nicht vollständig erfasst, sondern, um den Schutz zu erhöhen, um ein Oktett gekürzt, dann wird sie in der Verarbeitungskette rasch verworfen. Die IVW hat diese IP-„Adressreste“ nicht. Und sogar wenn die IP-Adresse noch vollständig wäre, würde es zahlreicher weiterer Daten benötigen, um eine IP-Adresse einem User zuzuordnen. Wer hat diese Daten? Die IVW zumindest hat sie nicht. Internetprovider können so etwas haben. Deshalb sind die Provider dem #Datenschutz zu Recht strengstens verpflichtet. Und wer könnte diese Daten von den Providern bekommen? Unter engen Voraussetzungen: Eine Staatsanwaltschaft. Könnte die IVW also Puzzleteile zusammenbekommen, aus denen sich das Bild des Besuchers einer Website ergibt? Wiederum klares „Nein“. Das kann sie nicht. Und damit ist die IVW sehr einverstanden.
In Zeiten der schwindenden Sichtbarkeit
Sichtbar waren Sie, liebe Leserin und Sie, lieber Leser, für uns, die IVW, also noch nie. Wir konnten Sie noch nie in den IVW-Zahlen erkennen. Und Sie werden auch weiterhin nicht sichtbar sein – in keiner Weise. Nehmen Sie bitte nicht als Zeichen einer Geringschätzung Ihrer Person, dass wir Sie nicht durch die Nutzung einer Website kennenlernen wollen, denn es ist genau das Gegenteil: Es ist die Achtung Ihrer Privatsphäre.
Ja, Datenschutz ist für die digitale Branche alles andere als bequem. Und ebenso ja: Datenschutz ist wichtig, letztlich auch alternativlos.
„Good-bye Cookies!“
„Cookie go home!“
Auch in der IVW geht die Ära des 3rd Party #Cookies nun vorüber, gut 17 Jahre hat sie gedauert.
Dass das 3rd-Party-Cookie, das im Mess-System der IVW-Mitglieder verwendet wird, nicht zu datenschutzrechtlichen Beeinträchtigungen oder Gefährdungen führt, ist oben von vielen Seiten beleuchtet worden. In den vielen Debatten, die es in Berlin und Brüssel gab, mit Fachleuten und Politikern, in Anhörungen und auf Panels, ist es uns daher nicht schwer gefallen, uns aufrecht hinzustellen und zu erklären: „Wir sind die Guten“. Geduldig haben wir wieder und wieder erklärt, worin der Unterschied zwischen #Reichweitenmessung einerseits, Profiling, Tracking & Co. andererseits liegt. Haben erläutert, dass es um ganz andere Zwecke geht, um eine andere Technik, und vor allem auch um andere datenschutzrechtliche Implikationen.
Mittlerweile ist das an vielen Stellen nicht nur verstanden, sondern auch anerkannt worden. So sehen insbesondere die Entwürfe für eine europäische Datenschutzverordnung vor, Reichweitenmessungen („audience measurement“) zu privilegieren.
Ein neues Mess-System wird für die IVW-Mitglieder ab Oktober gleichwohl angeboten. Das neue Mess-System ist zukunftsfest, flexibel, und es arbeitet ohne 3rd-Party-Cookie und daher, das ist essentiell, auch ohne das Erfordernis der Einwilligung.
Finders keepers, losers weepers
Exkurs zur Einwilligung: Das Erfordernis einer Einwilligung beim Aufrufen einer beliebigen Website, das der Gesetzgeber zu Ihrem Schutz geschaffen hat, entpuppt sich schnell als eine sehr zweischneidige Angelegenheit. Sie sind Ihrer neuen „Einwilligungsmacht“ in den letzten Wochen sicher hundertfach begegnet. Wie viele Male haben Sie in den letzten Wochen den Button „Ich stimme zu“ oder „Alle akzeptieren“ so schnell wie möglich gedrückt, um dorthin zu kommen, wo Sie eigentlich hinwollten: Zum Content der Seite? Haben auch Sie schon Consent – Fatigue? Also ich hab davon jede Menge… und es ging auch bei vielen anderen sehr schnell, wie man rundherum beobachten kann.
Tragen auch Sie jeden Tag zur #Consent-Inflation bei? Oder suchen Sie brav auf jeder Website zunächst genau aus, welche Cookies für welchen Zweck Sie akzeptieren und hinterlegen das in Ihrem Browser? Also ich allemal nicht, da müsste der Tag schon 25 Stunden haben, mindestens.
Das Problem: Lassen Sie sich als derjenige, der nach seiner Einwilligung gefragt werden muss, nicht von dem Gefühl täuschen, Sie säßen als Einwilligender am Steuer. Lassen Sie sich nicht von dem Gefühl blenden, der Seitenbetreiber sei ja auf Ihre Einwilligung angewiesen, und Ihre Einwilligung würde sie schützen.
Ihre Einwilligung schirmt Sie nicht ab, sondern macht Sie als Nutzer erst richtig sichtbar. Sichtbarer als zuvor. Gedacht war das Einwilligungserfordernis, damit der User eine Steuerungsmöglichkeit hat, die Macht über den Verbleib seiner Daten bekommt. Doch der User übergibt genau diese Macht in der täglichen Praxis des WWW durch seine Einwilligung sogleich an der Türe dem Hausherrn (Websiteowner), weil er möglichst unkompliziert eintreten möchte (um bei dem oben verwendeten Bild des Hauses zu bleiben). Und ab da sind die Kameras, die im Haus installiert sind, auf den User gerichtet – mit seinem Einverständnis.
Übrigens: Google, Facebook und Co. haben es schon immer so gemacht. Und haben daher schon seit Jahren Datenbestände über Sie, deren Größe, Granularität und vor allem deren Vernetztheit immer noch alles weit hinter sich lässt, was die Publisher, denen Sie nun Ihre Einwilligung geben, noch je aufnehmen könnten.
Sie möchten mehr über die Geschichte des Datenschutzes in Deutschland erfahren? Lesen Sie in Teil 1, wie es zur heutigen Situation kam.
