Die Cookiecalypse ist erst der Anfang

Weltweit steht die Werbebranche durch das bevorstehende Ende der Drittanbieter Cookies vor einem gigantischen Umbruch. Dramatisiert wird diese Entwicklung oft als „Cookiecalypse“ bezeichnet und suggeriert damit das große Finale einer Ära. Werfen wir aber einen Blick auf aktuelle Veränderungen im Datenschutz auf dem gesamten Globus, so wird schnell klar, dass die Cookiecalypse erst der Anfang ist.

Auch wenn die EU lange als Vorreiter in Sachen Datenschutz galt, so zeigt eine aktuelle Bestandsaufnahme, dass auf der ganzen Welt Länder das Thema ebenfalls vermehrt priorisieren. In den USA beschränken sich die Regelwerke zumeist noch auf einzelne Bundesstaaten, je mehr Staaten jedoch nachziehen, desto wahrscheinlicher wird auch eine bundesweite Regelung. Aber auch in anderen Regionen und Märkten auf der Welt steht Datenschutz längst auf der Tagesordnung von Gesetzgebern, wie zum Beispiel in Indien. Auch wenn der ausschlaggebende Punkt für den strenger werdenden Datenschutz geopolitisch ist, insbesondere geprägt durch die Sorge vor Wahlbeeinflussung und dem Schutz der nationalen Sicherheit, haben die dafür in Kraft tretenden Gesetze dennoch das Potential einen maßgeblichen Effekt auf die Werbebranche zu haben. Zwei Entwicklungen in den großen westlichen Märkten zeigen dies gerade besonders.

Was Browsing- und Standortdaten über uns verraten

Vor dem Hintergrund mehrerer Durchsetzungsmaßnahmen gegen drei große  Massendatensammler, veröffentlichte die amerikanische Wettbewerbs- und Verbraucherschutzbehörde FTC eine Stellungnahme. In dieser wird eine klare Aussage getroffen: Sowohl Browsing- als auch Standortdaten sollten laut der FTC als sensible Daten eingestuft werden. Dies begründet die Behörde damit, dass die Erkenntnisse, die aus den Daten gezogen werden können, auf bestimmte Personen zurückgeführt werden können und dass diese Rückschlüsse mit Leichtigkeit gemacht werden können. Es wurden Fälle aufgeführt, in denen Nutzer:innen für Werbetreibenden in erschreckend spezifische und sensible  Zielgruppensegmente aufgeteilt wurden, wie etwa „Eltern von Vorschulkindern“, „Christen, die zur Kirche gehen“ oder „wohlhabend und nicht gesund“.

Die FTC fasst aus diesem Grund zusammen, dass Browsing- und Standortdaten ein intimes Bild vom Leben einer Person, einschließlich ihrer religiösen Zugehörigkeit, ihres Gesundheitszustands, ihrer finanziellen Situation und ihrer sexuellen Orientierung zeichnen können. Daher ist es für die Behörde unzweifelhaft, dass Daten, die solche Rückschlüsse ermöglichen, als eben so sensibel eingestuft werden müssen, wie konkrete Daten über diese Informationen an sich. Darüber hinaus schreibt die FTC in ihrem Statement, dass Unternehmen keinen Freifahrtschein haben sollten, die Daten von Menschen zu vermarkten, zu verkaufen und zu Geld zu machen, wenn sie nicht dazu dienen, das gewünschte Produkt oder die gewünschte Dienstleistung des Unternehmens zu liefern.

Consent ist ein personenbezogenes Datum

Auf unserer Seite des Atlantiks beschloss der Europäische Gerichtshof zuletzt in einem Urteil, dass der TC-String, der dem Consentverfahren wie es derzeit zum Einsatz kommt zu Grunde liegt, als ein personenbezogenes Datum gilt. Damit wird die Funktionsweise sowie die Rechtmäßigkeit der jahrelangen Verarbeitung des TC-Strings in Frage gestellt. Diese Entscheidung begründet der EuGH damit, dass der TC-String die Präferenzen der Zustimmung  der Internetnutzer:innen enthält und es sich somit um Informationen, die sich im Sinne von Artikel 4 Absatz 1 „auf eine natürliche Person beziehen“, handelt. Wenn diese Informationen dann noch mit einer IP-Adresse verknüpft sind, können sie die Identifizierung der betreffenden Person ermöglichen.

Schon 2019 prognostizierte Gartner, dass bis 2024 75 Prozent der Weltbevölkerung ihre persönlichen Daten durch Datenschutzbestimmungen geschützt haben werden – diese Entwicklung sehen wir gerade in Aktion. Gleichzeitig sehen wir, dass bereits bestehende Datenschutzbestimmungen immer strenger werden und das Bewusstsein unter den User:innen um den Schutz ihrer Daten wächst. Als Branche müssen wir also davon ausgehen, dass sich diese Trends in Zukunft fortsetzen werden. Daher sollten wir uns die Frage stellen, ob groß angepriesene cookieless Alternativen wie First-Party Daten, Universal IDs oder auch Data Clean Rooms die aktuelle Datenschutzherausforderung wirklich nachhaltig und zukunftsträchtig meistern oder nur ein momentanes Pflaster sind.