Wahrschein­lich habt ihr es schon mitbe­kom­men, dass zum 25. Mai 2018 eine europa­weite Daten­schutz­re­form ihre Wirkung entfal­tet, die sich u.a. auf Social Media- und Online­mar­ke­ting-Aktivi­tä­ten auswirkt. Wahrschein­lich habt ihr euch auch schon gefragt, wie ihr den Überblick behal­ten und alle Vorga­ben umset­zen sollt. Den nötigen Überblick verschaffe ich euch in diesem Beitrag.

Was die Umset­zung angeht, werden zumin­dest Unter­neh­men auf Profis zurück­grei­fen müssen. Denn der Daten­schutz wird mit hohen Bußgel­dern und Forma­lis­mus zu einer der wichtigs­ten Compli­ance-Säulen. Aber auch Freelan­cer oder private Seiten­be­trei­ber werden die neuen Regelun­gen beach­ten müssen. Das vor allem, weil die Bußgel­der auf bis zu vier Prozent des Weltjah­res­um­sat­zes erhöht werden und Unter­neh­mens­in­ha­ber sowie Geschäfts­füh­rer für sie mithaf­ten. Zudem steigt mit einem Schadens­er­satz­an­spruch bei Daten­schutz­ver­let­zun­gen für Nutzer, die Wahrschein­lich­keit von Abmah­nun­gen.

In diesem Beitrag erfahrt ihr zum einen, wann ihr perso­nen­be­zo­gene Daten grund­sätz­lich verar­bei­ten dürft und was ihr spezi­ell beim Online- und Social Media-Marke­ting sowie auf Unter­neh­mens­ebene beach­ten müsst. Angesichts der erhöh­ten Haftung und Bußgel­dern bis zu 20 Millio­nen Euro und vier Prozent des Weltjah­res­um­sat­zes müsst ihr zunächst die Daten­schutz­grund­la­gen kennen.

 

Pflicht­wis­sen: Neue Gesetze Ab 25. Mai 2018

  • Daten­schutz­grund­ver­ord­nung (DSGVO) – Ein einheit­li­ches Daten­schutz­ge­setz für alle EU-Mitglieds­staa­ten.
  • ePrivacy-Verord­nung (ePrivacy-VO) – Ein Gesetz, welches u.a. Cookies sowie Nutzer­tracking online und offline betrifft, aber wahrschein­lich erst 2019 relevant wird.
  • Bundes­da­ten­schutz­ge­setz (BDSG) – Das bishe­rige BDSG (man spricht vom BDSG-Alt) wird aufge­ho­ben. Das neue BDSG (BDSG-Neu) ist kein selbst­stän­di­ges Daten­schutz­ge­setz, sondern enthält ledig­lich ergän­zende und erläu­ternde Regelun­gen zur DSGVO (z.B. zur Video­über­wa­chung oder zu Beschäf­tig­ten).

Verbot und Erlaub­nis der Daten­ver­ar­bei­tung

Die Daten­schutz­re­form zwingt alle zum Handeln: Anbie­ter von Websites, Shops, Apps, Unter­neh­men, Freibe­ruf­ler oder auch Anbie­ter kosten­lo­ser Online­an­ge­bote.

Jeder verar­bei­tet perso­nen­be­zo­ge­nen Daten

Die DSGVO kommt nur dann zur Anwen­dung, wenn perso­nen­be­zo­gene, d.h. identi­fi­zie­rende Daten verar­bei­tet werden. Dazu gehören aber nicht nur Namen, Telefon­num­mern, E‑Mail-Adres­sen oder Bildauf­nah­men. Auch IP-Adres­sen, Cookies oder digitale Finger­prints sind als so genannte Online­ken­nun­gen perso­nen­be­zo­gen. Denn mit ihrer Hilfe können Nutzer als Adres­sa­ten von Remar­ke­ting-Anzei­gen identi­fi­ziert werden, beispiels­weise wenn Nutzer auf anderen Seiten Anzei­gen für Produkte sehen, die sie zuvor in einem Online­shop betrach­tet haben.

Die Verar­bei­tung umfasst praktisch jeden mögli­chen Umgang mit den Daten, sei es Speiche­rung, Auswer­tung oder ledig­lich die Gewäh­rung einer Zugriffs­mög­lich­keit gegen­über Dritten (z.B. dem Webhos­ter auf dem Server mit Kunden­da­ten).

D.h. schon der Umgang mit Daten von Mitar­bei­tern, Nutzern, Kunden, Liefe­ran­ten oder der Betrieb einer Website stellen erlaub­nis­pflich­tige Verar­bei­tun­gen dar.

Verar­bei­tungs­ver­bot mit Erlaub­nis­vor­be­halt

Angesichts des heuti­gen Umfangs der Daten­ver­ar­bei­tun­gen mutet das wohl wichtigste Daten­schutz­prin­zip als unmög­lich an. Es bestimmt, dass die Verar­bei­tung perso­nen­be­zo­ge­ner Daten grund­sätz­lich verbo­ten ist. Außer es liegt eine gesetz­li­che Erlaub­nis bzw. eine Einwil­li­gung der betrof­fe­nen Person vor.

Zur Vertrags­er­fül­lung erfor­der­li­che Verar­bei­tung ist erlaubt

Die Verar­bei­tung ist erlaubt, wenn sie zur Beant­wor­tung von Auskünf­ten oder Erfül­lung von Verträ­gen erfor­der­lich ist. So dürfen z.B. E‑Shops Daten der Kunden für Zwecke der Zahlung und Liefe­rung an Finanz­dienst­leis­ter und Trans­port­un­ter­neh­men weiter­lei­ten.

Online­mar­ke­ting­maß­nah­men wie z.B. Reich­wei­ten­mes­sung via Google Analy­tics oder Remar­ke­ting, sind dagegen für die Erfül­lung von Verträ­gen im Regel­fall nicht erfor­der­lich. Sie können jedoch auf Grund­lage spezi­el­ler Erlaub­nis­grund­la­gen, wie der berech­tig­ten Inter­es­sen oder Einwil­li­gun­gen zuläs­sig sein. Diese Erlaub­nis­grund­la­gen werden im zweiten Teil des Beitrags vorge­stellt.

Pflicht­wis­sen: Wann Verar­bei­tung perso­nen­be­zo­ge­ner Daten erlaubt ist

Diese Verar­bei­tung ist grund­sätz­lich verbo­ten und nur ausnahms­weise erlaubt, u.a. wenn

  • Betrof­fene einge­wil­ligt haben (Art. 6 Abs. 1 lit. (a), 7 DSGVO)
  • Es für die Vertrags­er­fül­lung oder um Anfra­gen zu beant­wor­ten erfor­der­lich ist (Art. 6 Abs. 1 lit. (b) DSGVO)
  • Wenn das Gesetz es vorsieht (z.B. wenn Kunden­da­ten für die Steuer gespei­chert werden) (Art. 6 Abs. 1 lit. (b) DSGVO)
  • Wenn ein berech­tig­tes Inter­esse an der Verar­bei­tung besteht, z.B. am Online­mar­ke­ting (Art. 6 Abs. 1 lit. (f) DSGVO)

Änderun­gen im Online­mar­ke­ting und Social Media

Die Daten­schutz­re­form wird erheb­li­che Auswir­kun­gen auf das Online­mar­ke­ting haben. Zum einen werden in der ersten Stufe der Reform Erleich­te­run­gen geschaf­fen, die dann jedoch in deren zweiter Stufe in Frage gestellt werden könnten.

Dabei ist auch die Nutzung von Social Media schon deswe­gen betrof­fen, weil die Geschäfts­mo­delle vieler Platt­for­men auf Online­mar­ke­ting aufbauen. Das gilt erst recht, wenn deren Tracking-Tools (z.B. Facebook-Pixel), Werbe- und Marke­ting-Tools einge­setzt oder Werbe­an­zei­gen geschal­tet werden (z.B. Facebook-Ads, Social Plugins).

Erste Reform­stufe bringt mit „berech­tig­ten Inter­es­sen“ Erleich­te­rung für Online­mar­ke­ting

Beispiel eines Opt-Outs, hier des Anbie­ters Outbrain (https://www.outbrain.com/legal/privacy). Proble­ma­tisch ist, dass viele US-Anbie­ter ihre Opt-Outs nur in engli­scher Sprache anbie­ten. Daher müssen Website­an­bie­ter die Nutzer über die Opt-Out-Funktion zusätz­lich in der eigenen Daten­schutz­er­klä­rung unter­rich­ten.

Die DSGVO erlaubt ausdrück­lich die Verar­bei­tung von Daten zur Reich­wei­ten­mes­sung oder Online­mar­ke­ting­zwe­cken (bezeich­net als „Direkt­mar­ke­ting“) auf Grund­lage berech­tig­ter Inter­es­sen der Online­an­bie­ter. Aller­dings dürfen die schutz­wür­di­gen Inter­es­sen der Nutzer (d.h. der Schutz ihrer Privat­sphäre und Schutz vor Manipu­la­tion) die in der Regel wirtschaft­li­chen Inter­es­sen am Online­mar­ke­ting nicht überwie­gen.

Es muss also eine Abwägung zwischen den Inter­es­sen der Nutzer und der Online­an­bie­ter vorge­nom­men werden. Dabei müssen viele Fakto­ren beach­tet und zudem gewich­tet werden.

Pflicht­wis­sen: Krite­rien für zuläs­si­ges Online­mar­ke­ting ohne Einwil­li­gung der Nutzer

Folgende Krite­rien sprechen dafür, dass das berech­tigte Inter­esse am Online­mar­ke­ting die Schutz­in­ter­es­sen der Nutzer überwiegt:

  • Erwar­tungs­hal­tung – Wenn es sich um Online­mar­ke­ting­maß­nah­men handelt, die von Nutzern als erwar­tet, d.h. als üblich, betrach­tet werden können.
  • Infor­ma­tion – Eine verständ­li­che und trans­pa­rente Unter­rich­tung der Nutzer in der Daten­schutz­er­klä­rung.
  • Pseud­ony­mi­sie­rung – Wenn keine Namen, E‑Mail-Adres­sen, IP-Adres­sen oder andere die Identi­tät einer Person spezi­fi­zie­rende Daten verar­bei­tet werden.
  • Opt-Out – Die Möglich­keit, der Daten­ver­ar­bei­tung durch Wider­spruch zu entge­hen (sog. Opt-Out). Das Opt-Out muss effek­tiv sein und nicht erst die Nutzung für Werbe­zwe­cke, sondern bereits die Daten­ver­ar­bei­tung verhin­dern. Geringe Beein­träch­ti­gung der Nutzer – Das berech­tigte Inter­esse am Online­mar­ke­ting nimmt mit dem Detail­grad der Nutzer-Profile und deren mögli­chen Beein­träch­ti­gung der Nutzer ab. Wenn z.B. nur Produkt-Remar­ke­ting betrie­ben wird, so wirkt dies weitaus weniger beein­träch­ti­gend als ein zentra­les Inter­es­sens­pro­fil der Nutzer.
    Beim Remar­ke­ting kann eine auf sie zugeschnit­tene Werbung gar willkom­men sein. Umgekehrt können zu Zwecken der dynami­schen Preis­be­stim­mung für Produkte oder Bonitäts­ein­schät­zung einge­setzte Profile konkrete wirtschaft­li­che Auswir­kun­gen für die Nutzer haben.

Geset­zes­aus­le­gung mit vielen Unbekann­ten

Wie diese Krite­rien zu gewich­ten sind, muss leider im Einzel­fall bestimmt werden und gehört zu den vielen Unbekann­ten der Daten­schutz­re­form.

Aller­dings kann davon ausge­gan­gen werden, dass Reich­wei­ten­mes­sung oder Remar­ke­ting sowie Teile des Online Behavio­ral Adver­ti­sing erlaubt sein werden. Voraus­ge­setzt, diese erfol­gen pseud­onym (d.h. IP-Adres­sen werden gekürzt und keine E‑Mail-Adres­sen o.ä. identi­fi­zie­rende Daten werden gespei­chert), Nutzer werden in der Daten­schutz­er­klä­rung aufge­klärt und erhal­ten eine Opt-Out-Möglich­keit.

Auf berech­tigte Inter­es­sen dürften sich Unter­neh­men z.B. beim Einsatz von Google Analy­tics oder sogar des Facebook-Pixels berufen (zumin­dest nach der Ansicht der bayeri­schen Daten­schutz­be­hörde). Aller­dings gilt das nicht, wenn z.B. E‑Mail-Adres­sen von Newslet­ter-Empfän­gern zwecks Bildung von Custom Audien­ces an Facebook übermit­telt werden. In diesen Fällen sowie bei Profiling zur Bonitäts­be­stim­mung und Cross-Device-Tracking werden überwie­gend Einwil­li­gun­gen gefor­dert.

Einschrän­kun­gen für Einwil­li­gun­gen

Einwil­li­gun­gen können erst ab einem Alter von 16 Jahren erteilt werden. Das würde praktisch bedeu­ten, dass Websei­ten, die sich z.B. an Minder­jäh­rige richten, weitaus einge­schränk­ter im Online­mar­ke­ting wären. Hier wäre u.U. schon der Einsatz von Remar­ke­ting-Maßnah­men fraglich.

Ferner verbie­tet das so genannte „Kopplungs­ver­bot“, die Erfül­lung eines Vertra­ges von einer Einwil­li­gung abhän­gig zu machen. Darin sehen vor allem Verbrau­cher­schüt­zer Einschrän­kun­gen der Möglich­keit, überhaupt Einwil­li­gun­gen für Marke­ting­maß­nah­men einzu­ho­len. Diese Meinung stößt jedoch auf großen Wider­spruch. Dann wären Geschäfts­mo­delle, die Nutzern kosten­lose Dienste im Tausch gegen die Nutzung ihrer Daten anbie­ten (u.a. soziale Netzwerke oder Online­ma­ga­zine) praktisch unter­sagt. Damit müssten Online­an­bie­ter oder Verlage immer alter­na­tive (und faire) Zahlungs­mo­delle anbie­ten. Diese radikale staat­li­che Zwangs­re­gu­lie­rung der globa­len Inter­net­wirt­schaft kann kaum gewollt und zuläs­sig sein. Hier sollte nach Ansicht des Autors zumin­dest großen Netzwer­ken mit monopol­ar­ti­ger Stellung und kleinen Nischen­platt­for­men unter­schie­den werden.

Zumal die zweite Stufe der Daten­schutz­re­form eine Einwil­li­gungs­pflicht für Online­mar­ke­ting­maß­nah­men zur Pflicht erheben will.

Für die zweite Reform­stufe ist eine Einwil­li­gungs­pflicht geplant…oder besteht gar bereits?

Schon 2009 verpflich­tete die EU die Mitglieds­län­der zu einer Einwil­li­gung (Opt-In), bevor Third-Party-Cookies auf den Geräten der Nutzer gesetzt werden. Ohne Einwil­li­gung sollten nur eigene und notwen­dige Cookies wie z.B. für die Waren­korb­funk­tion eines E‑Shops oder Opt-Out-Cookies zuläs­sig sein.

Nach einem Mix aus dem Unwil­len der Indus­trie, unter­schied­li­cher Ausle­gung der einzel­nen EU-Länder und der Weige­rung der US-Anbie­ter mündete diese „Cookie“-Richtlinie in der Erfin­dung des Cookie-Banners der praktisch ein Opt-Out ist („Wenn Sie weiter­sur­fen, stimmen Sie zu, können aber wider­spre­chen“).

Nunmehr will die EU die Cookies direkt und zwingend als Opt-In regeln. Dabei werden Compu­ter und Smart­pho­nes als Privat­sphäre der Nutzer definiert. Jegli­che Auslese- und Speiche­rungs­vor­gänge auf den Geräten bedür­fen damit einer Einwil­li­gung.

Das bedeu­tet: Obwohl der Einsatz von Google Analy­tics als ein erwart­ba­rer und zumut­ba­rer Dienst nach der DSGVO ohne Einwil­li­gung zuläs­sig ist, wird er nach der ePrivacy-Verord­nung einwil­li­gungs­pflich­tig.

Ob damit das Ziel, die Nutzer zu schüt­zen, erreicht wird, oder eher das Gegen­teil eintritt, gehört zu den weite­ren Unbekann­ten der Daten­schutz­re­form.

Tod der Cookie-Banner und Schutz der Nutzer?

Die bisher kaum beach­tete Do-Not-Track-Funktion (z.B. in den Einstel­lun­gen des Browsers Chrome) könnte mit der ePrivacy-VO zu einer der zentra­len Browser­ein­stel­lun­gen werden.

Ein ausdrück­li­ches Ziel der ePrivacy-VO ist es, die Cookie-Banner abzuschaf­fen. Statt in Bannern auf Websei­ten sollte die Einwil­li­gung der Nutzer mit Hilfe von Browser­ein­stel­lun­gen abgefragt werden.

Hier kommt z.B. die bisher vernach­läs­sigte „Do-Not-Track”-Funktion in Browsern in Frage. Browser­an­bie­ter sollen verpflich­tet sein, die Funktion standard­mä­ßig zu aktivie­ren und das Tracking so zu verbie­ten. Erst wenn Nutzer die „Do-Not-Track”-Funktion deakti­vie­ren, können Cookies gesetzt oder ausge­le­sen werden (was genauso für Finger­prints gilt).

Demnach wird ein Wunsch nach Einwil­li­gungs­mo­del­len bestehen und entwe­der wird sich die Zahl der Cookie-Banner poten­zie­ren oder Anbie­ter schaf­fen komfor­ta­ble Single-Sign-On-Modelle. So könnte z.B. Facebook von den Nutzern eine Einwil­li­gung einho­len, die auch zu Gunsten aller Verwen­der des Facebook-Pixels auf allen Websei­ten gilt.

Ob und wann die ePrivacy-VO in Kraft tritt, steht derzeit noch in den Sternen. Geplant war auch der 25. Mail 2018, Realis­ten zweifeln jedoch bereits, dass es 2019 noch was wird. Unabhän­gig von den künfti­gen Entwick­lun­gen müssen Unter­neh­men jedoch schon jetzt ihre Verar­bei­tungs­pro­zesse prüfen und dokumen­tie­ren.

Und ohnehin, die Daten­schutz­be­hör­den sind der Ansicht, dass die Opt-In-Pflicht für Cookies bereits ab dem 25.05.2018 gilt. Das weil dann die „Cookie-Richt­li­nie“ neben der DSGVO gilt, d.h. gilt auch deren ursprüng­li­ches Ansin­nen eines ausdrück­li­chen Opt-Ins beim Tracking. Ander­seits sind die Daten­schutz­be­hör­den dieser Ansicht schon seit vielen Jahren, ohne dass es dabei zu Schwie­rig­kei­ten im prakti­schen Einsatz des Online­mar­ke­tings kam. Ferner vertre­ten Daten­schutz­be­hör­den auch Ansich­ten, das Gesetz wird von Gerich­ten ausge­legt. Auch wenn deren Ansicht nicht völlig abwegig ist.

Verfah­rens­prü­fung und Verfah­rens­ver­zeich­nis

Beispiel einer verein­fach­ten Darstel­lung einer Verar­bei­tungs­tä­tig­keit, hier eines Newslet­ter-Versands.

Die vorste­hen­den Vorga­ben für das Online­mar­ke­ting sind nur ein Teil der notwen­di­gen Prüfungs­schritte, die Unter­neh­men vor dem Mai 2018 durch­füh­ren müssen.

Denn praktisch alle online aktiven Unter­neh­men müssen ein Verzeich­nis führen, in dem alle Verar­bei­tun­gen perso­nen­be­zo­ge­ner Daten samt Quellen, Weiter­ga­ben, Zwecken, Rechts­grund­la­gen (d.h. Erlaub­nisse und Einwil­li­gun­gen) der Verar­bei­tung und Lösch­fris­ten aufge­führt werden. Diese umfas­sen nicht nur Online­mar­ke­ting sowie Social Media-Aktivi­tä­ten, sondern auch Perso­nal­ma­nage­ment oder Kunden­ver­wal­tung.

Die Pflicht, ein Verzeich­nis der Verar­bei­tungs­tä­tig­kei­ten zu führen, ist jedoch nur ein Teil des Bündels von verpflich­ten­den Umset­zungs­maß­nah­men zur Daten­schutz­re­form:

Pflicht­wis­sen: Maßnah­men zur Umset­zung der DSGVO in Unter­neh­men

  • Verzeich­nis der Verar­bei­tungs­tä­tig­kei­ten – Übersicht und Zuläs­sig­keits­prü­fung aller Verar­bei­tun­gen perso­nen­be­zo­ge­ner Daten.
  • Sicher­heits­kon­zept – Prüfung und Dokumen­tie­rung von Schutz­maß­nah­men (z.B. Berech­ti­gungs­kon­zept, Verschlüs­se­lung, Backups, Software­up­dates etc.). Bei risiko­rei­chen Verar­bei­tun­gen (z.B. bei umfang­rei­cher Verar­bei­tung von Gesund­heits­da­ten) muss eine zusätz­li­che Daten­schutz-Folgen­ab­schät­zung erfol­gen.
  • Daten­schutz­be­auf­trag­ter – Prüfung, ob ein Daten­schutz­be­auf­trag­ter benannt werden muss (u.a. ab zehn Beschäf­tig­ten).
  • Daten­trans­fers – Abschluss von so genann­ten Auftrags­ver­ar­bei­tungs­ver­trä­gen mit Subun­ter­neh­mern und sonsti­gen Dienst­leis­tern.
    Beleh­rung und Verpflich­tung von Mitar­bei­tern – Schulun­gen und Vertrau­lich­keits­ver­pflich­tungs­er­klä­run­gen.
    Rechte Betrof­fe­ner – Einrich­tung von Verfah­ren zur schnel­len Reaktion auf Auskünfte, Daten­trans­fers oder Wünsche nach Löschung oder Berich­ti­gung von Daten.
  • Daten­pan­nen – Ebenso müssen Prozesse für die Meldung von etwai­gen Daten­pan­nen an Behör­den und Betrof­fene vorlie­gen. Dabei sinkt die Schwelle der Melde­pflicht erheb­lich und gilt für alle und nicht nur sensi­ble Daten wie solche, die Gesund­heit oder Bankin­for­ma­tio­nen betref­fen.
    Update Daten­schutz­er­klä­rung – Trans­pa­rent, vollstän­dig und verständ­lich
  • Audits und Aktua­li­sie­run­gen – Es muss gesichert sein, dass die Verar­bei­tun­gen überwacht und bei Änderun­gen sowie turnus­mä­ßig (z.B. halbjähr­lich) geprüft werden.

Praxis­emp­feh­lung

Wenn Sie sich mit der DSGVO nicht beschäf­tigt haben, wird es höchste Zeit. Auch wenn vielleicht nicht alles rund laufen wird, sollten Sie sich daten­schutz­recht­lich so gut wie möglich aufstel­len. Die erste Prüfung ist je nach Betriebs­größe mit einem Initi­al­auf­wand verbun­den, aber eher zu empfeh­len als gegen die mit hohen Bußgel­dern bewehr­ten Daten­schutz­vor­ga­ben zu versto­ßen.

Auch Freelan­cer sollten ihre Daten­schutz­pro­zesse überprü­fen, Daten­schutz­er­klä­run­gen aktua­li­sie­ren und prüfen ob deren AGB eine Haftung für den Daten­schutz ausschlie­ßen.

Was das Online­mar­ke­ting und damit letzt­end­lich die unter­neh­me­ri­sche Nutzung von Social Media angeht, bleibt die Entwick­lung spannend und deren Ende offen. Derzeit sieht es so aus, als ob es hier in nächs­ter Zeit sogar Erleich­te­run­gen geben könnte.

Linktipps:

Geset­zes­text der DSGVO: https://dsgvo-gesetz.de
Frage­bo­gen zur Umset­zung der DSGVO der bayeri­schen Daten­schutz­be­hörde: https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf
Kurzpa­piere der Daten­schutz­kon­fe­renz (DSK): https://www.lda.bayern.de/de/datenschutz_eu.html
Vertie­fende White­pa­per und Muster bei der BITKOM: https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html

Website: https://drschwenke.de
Podcast https://Rechtsbelehrung.com

Basis­wis­sen: Daten­schutz­recht­li­che Pflicht­be­griffe für Online­mar­ke­ter

  • Reich­wei­ten­ana­lyse – Dient der Auswer­tung der Besucher­ströme, z.B. via Google Analy­tics.
  • Remar­ke­ting – Wenn Nutzer auf anderen Seiten Anzei­gen für Produkte sehen, die sie zuvor in einem Online­shop betrach­tet haben, spricht man vom Remar­ke­ting (oder auch vom Retar­ge­ting).
  • Profiling – Profiling bedeu­tet die Auswer­tung und Voraus­be­stim­mung der Inter­es­sen oder des Verhal­tens von Nutzern aufgrund der über sie gesam­mel­ten Daten. Je nach Art des Profilings gehören dazu Infor­ma­tio­nen bezüg­lich Alter, Geschlecht, Stand­ort­da­ten und Bewegungs­da­ten, soziale Inter­ak­tio­nen mit anderen Menschen oder Produk­ten, Einga­ben in Online­for­mu­lare etc.
  • Online Behavio­ral Adver­ti­sing – Wenn Profiling einge­setzt wird, um das poten­zi­elle Inter­esse von Nutzern an Werbe­an­zei­gen zu bestim­men, spricht man vom Online Behavio­ral Adver­ti­sing, kurz OBA (zu Deutsch in etwa „Inter­es­sens- und/oder Verhal­tens­be­zo­gene Werbung“).
  • Cookies – Kleine Dateien, die auf Rechnern der Nutzer gespei­chert werden. Darin können auch ohne Kennt­nis der wahren Identi­tät der Nutzer Daten zu den von ihnen gesehe­nen Produk­ten für Zwecke des Remar­ke­tings oder deren Profile für Zwecke des OBA gespei­chert und beim Besuch von Websei­ten ausge­wer­tet werden.
  • Finger­prints und andere Online­ken­nun­gen – Statt Cookies werden zuneh­mend so genannte „Finger­prints“ einge­setzt. Diese digita­len Finger­ab­drü­cke können z.B. als Quersum­men aus indivi­du­el­len Fakto­ren von Geräten wie z.B. Rechen­leis­tung oder Browser­plugins für Geräte indivi­du­ell erstellt und so für Remar­ke­ting oder OBA einge­setzt werden.
  • Tracking – Vom Tracking spricht man, wenn das Verhal­ten von Nutzern über mehrere Online­an­ge­bote hinweg „verfolgt“ wird. Die im Hinblick auf die genutz­ten Online­an­ge­bote gesam­mel­ten Verhal­tens- und Inter­es­sens­in­for­ma­tio­nen werden als Nutzer-Profile in Cookies oder auf Servern der Marke­ting­dienst­leis­ter (z.B. Google oder Facebook) gespei­chert.
  • Cross-Device-Tracking – Cookies und Finger­prints sind geräte­be­zo­gen. Um die Inter­es­sen der Nutzer im Rahmen der Smart­phone-Nutzung für Werbe­an­zei­gen auf Desktop-PCs auswer­ten zu können, ist das Cross-Device-Tracking erfor­der­lich. Dazu können z.B. Logins in sozia­len Netzwer­ken wie Facebook dienen. Alter­na­tiv werden Stand­ort-Daten, IP-Adres­sen und Nutzer­ver­hal­ten einge­setzt, um bis zu 98 Prozent genauere Nutzer­ein­gren­zung zu errei­chen.
  • Custom Audien­ces – Von Custom Audien­ces spricht man, wenn Zielgrup­pen für Werbe­zwe­cke bestimmt werden. Dies kann z.B. gesche­hen, wenn das Inter­esse der Nutzer beim Besuch von Produk­ten in einem Online­shop dazu verwen­det wird, sie als Zielgruppe von Facebook-Ads für dieses Produkt auszu­wäh­len. Um Zielper­so­nen für Anzei­gen genau zu bestim­men, können deren E‑Mailadressen, Telefon­num­mern oder Platt­form-IDs an Anbie­ter wie Facebook weiter­ge­ge­ben werden.
  • Looka­like Audien­ces – Wenn z.B. Facebook als Zielgruppe für Anzei­gen Mitglie­der bestimmt, deren Inter­es­sens- und Verhal­tens-Profile den Profi­len der Website­be­su­cher, Kunden oder Newslet­ter­emp­fän­ger entspre­chen, dann spricht man von Looka­like Audien­ces.
  • Perso­nen­be­zug – Perso­nen­be­zo­gen sind praktisch alle im Direkt­mar­ke­ting invol­vier­ten Daten. Dazu gehören vor allem IP-Adres­sen und Daten, die auf Cookies gespei­chert werden. Denn sie dienen zumin­dest dazu, Perso­nen als Zielob­jekte von Werbung zu identi­fi­zie­ren.
  • Pseud­ony­mi­sie­rung – Wenn Daten zwar dazu dienen, eine Person als Zielob­jekt von Werbe­maß­nah­men zu bestim­men, aber keine sie spezi­fisch identi­fi­zie­rende Daten gespei­chert werden, spricht man von Pseud­ony­mi­sie­rung. D.h. wenn in einem Cookie zwar ein genaues Inter­es­sens­pro­fil des Compu­ter­nut­zers gespei­chert wird (quasi ein „Marke­ting-Avatar“), aber nicht der Name des Nutzers, dann werden seine Daten pseud­onym verar­bei­tet. Werden sein Name, z.B. als Teil seiner E‑Mail-Adresse oder seine IP-Adresse gespei­chert, dann ist es nicht mehr pseud­onym.
  • Anony­mi­sie­rung – Wenn Daten nicht perso­nen­be­zo­gen sind, sind sie anonym, z.B. aggre­gierte Daten zu Website­be­su­chern (Gesamt­zahl in einem Zeitraum), die alleine der Reich­wei­ten­mes­sung dienen, ohne jedoch Profile der Nutzer anzule­gen oder diese auszu­wer­ten. Ein rein anony­mes Online­mar­ke­ting ist schon wegen der Erhebung von IP-Adres­sen selten möglich.

Quellen:
https://blog.socialhub.io
https://drschwenke.de