Das Aus für Cookies droht

Zu den größten Herausforderungen beim Performance-Marketing entwickelt sich das Datenschutzrecht. 2020 will die EU mit der ePrivacy-Verordnung (ePVO) die DSGVO erweitern und vorhandene Regelungslücken in der Datenwirtschaft schließen. Die Verordnung soll die E-Privacy-Richtlinie ablösen, deren Bestimmungen der deutsche Gesetzgeber in Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) hatte einfließen lassen. Die ePVO bedarf keiner solchen Umsetzung in nationales Recht; sie ist sofort nach Inkrafttreten in allen Mitgliedsstaaten wirksam. Noch steht der finale Wortlaut der Verordnung nicht fest. Der EU-Kommissar Thierry Breton musste einräumen, dass die Gespräche zwischen den Mitgliedsstaaten bislang keinen Konsens gebracht haben. Doch hat die Kommission angekündigt, im Lauf des Jahres einen neuen Anlauf zu nehmen.

„Bei der DSGVO ist das Aufwand-Nutzen-Verhältnis vollkommen unausgewogen“, moniert Marco Zingler, Vizepräsident beim BVDW. Während einerseits der Verbraucherdatenschutz nicht nennenswert gestärkt worden sei, werde andererseits eine rechtskonforme Datenverarbeitung aus Sicht der Wirtschaft immer komplexer. Immerhin setze sich offenbar die Erkenntnis durch, dass das Prinzip „Einwilligung aus beiden Perspektiven“ an den Anforderungen der Realität vorbeigehe und dem Datenschutz an sich nicht im Ansatz zuträglich sei, argumentiert er weiter. Bei der Ausgestaltung der ePrivacy-Verordnung müsse dies dringend hinterfragt werden. Denn die Verfügbarkeit und Nutzbarkeit von Daten würden „zunehmend essenziell für den wirtschaftlichen Erfolg Europas“. Das schwerwiegendste Problem mit der DSGVO seien aber nicht zu strenge Datenschutzregelungen, sondern es sei vielmehr die Rechtsunsicherheit durch widersprüchliche und unklare Formulierungen der Verordnung, so Zingler. 

Dasselbe könnte der Wirtschaft mit der ePrivacy-Verordnung blühen. Laut Beobachtern ist ein konkreter Entwurf der ePrivacy-Verordnung frühestens zu Beginn der deutschen Ratspräsidentschaft im Juni 2020 zu erwarten. In der Zwischenzeit sitzen MarTech-Anbieter und digitale Marketer wie auf heißen Kohlen. Angesichts der Möglichkeit noch strengerer Datenschutzregelungen in einer unbekannten Ausprägung macht sich Verunsicherung breit. Durch eine zu restriktive Rechtslage könnten ganze Wirtschaftszweige „zugrunde gehen“, kritisiert die auf Datenschutz und IT-Sachverständigenwesen spezialisierte bITs GmbH aus Paderborn.

Wie der europäische Gesetzgeber den regulatorischen Rahmen letztendlich auslegen möchte, weiß er offenbar selbst noch nicht. Eines aber steht fest: Cookies, der wichtigste Grundpfeiler von
Performance-Marketing in digitalen Medien, stehen vor dem Aus. Diese Meinung vertreten Lobbyisten wie Sven Bornemann, Vorstandsvorsitzender der European netID Foundation. Die Organisation entstand vor knapp zwei Jahren aus einer Initiative der Mediengruppe RTL, ProSiebenSat.1 und United Internet. Sie will mit einer Internet-Identitätsplattform ein europäisches Gegengewicht zu GAFA (Google, Amazon, Facebook, Apple) bilden. Ihre netID soll den Marketern das Tracking und die kanalübergreifende Attribution erleichtern. Das digitale Marketing, das in den vergangenen Jahren „zum erfolgreichen Werbeumsatztreiber“ geworden sei, werde demnächst mit dem Wegfall von Cookies „seine bisher stärkste Waffe“ verlieren, warnt Bornemann.

Die Rechtslage ist klar. Im EuGH-Urteil vom 29. Juli 2019 (AZ C-40/17 „Fashion ID GmbH & Co. KG gegen Verbraucherzentrale NRW e. V.“) entschied das Gericht, dass ohne informierte Einwilligung des Nutzers keine Tracking-Cookies zulässig sind. Auch dass Social Plug-ins einer informierten Einwilligung bedürfen, hat das Urteil bestätigt. Codes zum Tracking oder zur Integration von Social Plug-ins dürfen demnach erst dann geladen werden, wenn der Nutzer seine Zustimmung via Cookie-Consent-Banner wirksam erteilt hat. Ein bloßer Hinweis auf Cookies genügt nicht. Sollte der Nutzer seine informierte Einwilligung verweigern, dürfe ihm der Anbieter den Zugang zu seinen Diensten dennoch nicht versperren. Cookies verlieren also ihre Existenzberechtigung.

Mit dem Wegfall von Cookies müssten die Nutzer ihre Einwilligungen und Präferenzen jedem Anbieter gegenüber stets aufs Neue mitteilen, folgert Bornemann. Die passgenaue Werbeaussteuerung via Cookie stehe damit vor dem Aus. Letzteres hätte aus seiner Sicht nur bedingt direkte Auswirkungen auf die Nutzer, dafür aber weitreichende Folgen für Werbetreibende. Cookie-Verbote bedrohen den Werbemarkt, glaubt er. Abhilfe könnten neue Login-Lösungen für DSGVO-konforme föderierte Identitäten mit Single Sign-on wie netID schaffen. Für solche datenschutzkonformen Identitäten setzt sich die European netID Foundation ein. 

Die Partner von Login-Allianzen zur Nutzung föderierter Identitäten könnten dann die Daten plattformübergreifend als Schlüssel für die gezielte Aussteuerung von Inhalten, Produkten oder Werbung nutzen, hofft Bornemann. Eine „starke europäische Login-Allianz“ sei damit nicht nur ein Gegengewicht zu GAFA, sondern auch „eine Antwort auf die Regularien der Internetnutzung“.

Für den Mittelstand dürfte das Ende der Cookie-Ära auf eine umfassende Neuorientierung hinauslaufen. Denn mit der Androhung scharfer Sanktionen für Datenschutzverletzungen entstehen kurzfristig wirtschaftliche Anreize, zur Benutzerauthentifizierung auf eine externe DSGVO-konforme Datenverwaltungsplattform zu setzen. Langfristig mündet die Umstellung von Cookies auf digitale Identitäten in einer unausweichlichen Abhängigkeit von spezialisierten Authentifizierungsdienstleistern. Dieser schleichende Verlust an Datensouveränität dürfte sich auf die Wettbewerbsfähigkeit negativ auswirken. Und ob die Konzentration der Authentifizierungs- und Nutzungsdaten in den Händen spezialisierter Anbieter dem Datenschutz dient, ist fraglich.