Targeting und Remarketing: Wo liegt das rechtliche Problem?

Beitrag aus Ausgabe 68 / Oktober 2017
Recht
Martin Schirmbacher

ist Partner bei HÄRTING Rechtsanwälte, Berlin.

Retargeting kennt jeder Internetnutzer aus der Praxis und viele Unternehmen setzen auch darauf, einmal gewonnene Besucher gezielt erneut anzusprechen. Die Rechtslage ist unklar und das bessert sich mit der neuen Datenschutzgrundverordnung, die im Mai 2018 wirksam werden wird, leider nicht. Im Beitrag wird der Versuch unternommen, ein bisschen Licht ins Dunkel zu bringen und die wesentlichen rechtlichen Probleme darzustellen. Eine Einordnung nach BDSG, TMG und DSGVO.

Einführung und rechtliche Grundlagen

Allgemein gesprochen, wird beim Targeting die Werbung in Abhängigkeit von über den Nutzer bekannten Informationen ausgeliefert. Die Art des Targetings variiert dabei entsprechend eben dieser Informationen. Auch die rechtliche Einschätzung hängt davon ab, welche Daten konkret erhoben und verarbeitet werden.

Die verschiedenen Targeting-Formen können natürlich miteinander kombiniert werden. Aus rechtlicher Sicht sollte man dennoch folgende Spielarten unterscheiden:

  • Die einfachste Variante ist die Aussteuerung von Werbung in Abhängigkeit von den Inhalten der Website, in die die Werbung integriert werden soll, also inhaltsbezogenes Targeting.
  • Beim technischen Targeting hängt die angezeigte Werbung dagegen von den Informationen ab, die über die vom Nutzer verwendete Soft- und Hardware bekannt sind.
  • Geo-Targeting bezieht die Informationen über den Standort des Nutzers ein.
  • Bei der verhaltensbezogenen Werbung werden (ggf. zusätzlich) die Informationen über vorheriges Nutzerverhalten verwendet (Online Behavorial Advertising (OBA)).
  • Retargeting ist letztlich ein OBA-Spezialfall, weil die wesentliche Information ein Kaufabbruch ist, der Nutzer aber innerhalb des Werbenetzwerks wiedergefunden wird.
  • Eine Besonderheit ist das CRM-Targeting, weil hier nicht mit pseudonymen Informationen gearbeitet wird, sondern konkrete Personen zielgenau beworben werden.
  • Nur bedingt in diese Liste passt die Versendung von Remarketing-E-Mails an Kaufabbrecher. Während es bei den anderen genannten Targeting-Formen um die Auslieferung von Werbung im Browser oder in einer App geht, wird bei Kaufabbrecher-Mails der potenzielle Kunde direkt angeschrieben.

Je nach konkreter Erscheinungsform liegen die rechtlichen Probleme beim Targeting im Datenschutz- und/oder im Wettbewerbsrecht. Letzteres spielt nur beim Versand von werbenden E-Mails eine wirkliche Rolle. Der Hauptpunkt ist aber die Verarbeitung personenbezogener Daten.

Verbotsprinzip

Im Datenschutz gilt das Verbotsprinzip: Werden personenbezogene Daten genutzt, setzt dies eine Rechtfertigung voraus. Diese kann sich aus einer gesetzlichen Vorschrift oder einer Einwilligung ergeben.

Personenbezug

Personenbezogen sind alle Daten, die sich mittelbar oder unmittelbar einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen. Das heißt, jedwede noch so belanglose Information (z. B. IP-Adresse, Besuchsdauer, geklickter Werbebanner, (vermutete) Interessen), die zu einem Kunden gespeichert wird, hat Personenbezug. Auch die bloße Erhebung der Information ist die Erhebung personenbezogener Daten, weil eine Zuordnung zu dem Kunden möglich ist.

Nicht so eindeutig ist das, wenn die Information nicht einem Namen, sondern nur einer Kennung, einem Pseudonym, zugeordnet wird. Bisher ist umstritten, ob das für den Personenbezug genügt, wenn die dahinter stehende Person nicht oder nicht ohne Weiteres ermittelt werden kann. Mit der neuen Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union gelten wird, gibt es hier keine zwei Meinungen mehr. Für den Personenbezug nach neuem Recht genügt es, wenn eine Zuordnung zu einer Online-Kennung erfolgen kann und eine Information so einem Profil zugeordnet wird (oder werden kann).

Daher muss man davon ausgehen, dass auch pseudonyme Informationen als personenbezogene Daten gelten. Damit ist nicht das Ende jedes Trackings oder Targetings verbunden, aber jede Verarbeitung solcher Daten ist nur rechtmäßig, wenn eine gesetzliche Rechtfertigung besteht.

Gesetzliche Grundlagen als Rechtfertigung

Eine gesetzliche Gestattung existiert für die Profilbildung für Marketingzwecke nach geltendem Recht nur für die pseudonyme Nutzung von Daten (§ 15 Abs. 3 Telemediengesetz – TMG). Wer also personenbezogene Daten speichern möchte, muss eine Einwilligung des Nutzers einholen; zum Zwecke der Werbung im Netz in vielen Fällen ein aussichtsloses Unterfangen.

Nach Wirksamwerden der DSGVO im Mai nächsten Jahres werden die bisher gültigen rechtlichen Grundsätze zum Targeting so nicht mehr gelten. Für jede einzelne Targeting-Variante muss jeweils geschaut werden, ob eine Rechtfertigung möglich ist. Ein möglicher Rettungsanker ist Art. 6 Abs. 1 lit. f DSGVO. Nach dieser – unter Unternehmensjuristen derzeit sehr beliebten – Vorschrift ist die Datenverarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist und die Interessen der betroffenen Person nicht überwiegen. Es muss sich also um „berechtigte Interessen“ handeln. Die Datenverarbeitung muss für eine Verfolgung dieses schutzwürdigen Interesses „erforderlich“ sein (bloße Zweckmäßigkeit genügt nicht) und die Interessen des Betroffenen dürfen die Interessen des Unternehmens nicht überwiegen. Wann das der Fall ist, soll von den vernünftigen Erwartungen des Nutzers abhängen. Ergebnis offen.

Immerhin erklärt die DSGVO das Direktmarketing ausdrücklich zum berechtigten Interesse. Insofern kann man sich auf den Standpunkt stellen, dass auch die gezielte direkte Werbung ein berechtigtes Interesse der Werbenden darstellt. Geringere Streuverluste machen die Werbung effektiver. Auch den Nutzern ist geholfen, wenn die Werbung ihren Interessen entspricht. Ob eine einzelne Targeting-Maßnahme für den zu erreichenden Zweck notwendig ist, muss man anhand der Maßnahme im Einzelfall prüfen. Häufig ist eine Zuordnung der Profile zu einer natürlichen Person nicht notwendig, dann darf diese auch nicht ohne Einwilligung erfolgen.

Letztlich kommt es auf die einzelne Targeting-Maßnahme an. Dass es zum Beispiel ein zielgruppenspezifisches Targeting gibt, dürfte den meisten Nutzern bekannt sein. Zudem erfolgt bei allen großen Netzwerken eine Aufklärung in allen Bannern. Die Guidelines des IAB Europe sehen das beispielsweise explizit vor. Das herkömmliche Targeting ist daher auch nach der DSGVO zulässig. Schwierig wird es, wenn neue Wege beschritten werden und Nutzer getrackt und auf eine Art gezielt angesprochen werden, wie sie dies nicht erwarten (können). Ein Cross-Device-Tracking gehört derzeit nicht zu den vernünftigen Erwartungen der Nutzer.

Insofern wird es auch nach der DSGVO dabei bleiben, dass eine ausdrückliche Einwilligung für einzelne Targeting-Formen erforderlich ist. Zudem wird unabhängig von allem anderen stets ein Opt-out anzubieten sein.

Einwilligung als Rechtfertigung

Ob das Targeting eine Einwilligung des Nutzers erfordert, hängt also davon ab, ob Daten erhoben werden, aus denen sich ein Rückschluss auf einen konkreten Nutzer ziehen lässt. Dabei kommt es nicht darauf an, ob die Daten lokal in Cookies abgelegt und dann mit anderen Informationen zusammengeführt oder zentral bei einem Dienstleister gespeichert werden. Kann ein Bezug zu einem konkreten Kunden hergestellt werden (etwa weil dieser im Shop eingeloggt ist), bedarf die Datenverarbeitung der Einwilligung.

Werden IP-Adressen für das Targeting verwendet, ist für die Einwilligungsdiskussion entscheidend, ob die IP-Adresse für den Website-Betreiber, den Werbenden oder den Targeting-Dienstleister ein Datum mit Personenbezug ist. Das haben Bundesgerichtshof und Europäischer Gerichtshof in der Vergangenheit so entschieden. Wer sichergehen will, aber eine Einwilligung nicht einholen möchte, sollte daher die IP-Adresse vor der Speicherung um das letzte Oktett kürzen. Dann ist ein Personenbezug ausgeschlossen.

Die Anforderungen der DSGVO an eine wirksame Einwilligung sind hoch, insbesondere höher als bisher. Die Einwilligung muss freiwillig erteilt werden, was nur der Fall sein soll, wenn eine echte Alternative besteht. Unter der DSGVO nur schwer möglich ist auch eine Verbindung zwischen einem Vertragsschluss und der Einwilligungserteilung. Die Einwilligung in das Retargeting in den AGB zu verstecken, wäre in jedem Falle unwirksam. Außerdem gelten Transparenz- und Informationspflichten. Es ist fraglich, ob man eine solche Einwilligung in einer Cookie-Bar erreichen kann.

Profilbildung

Wesentlicher Inhalt des Targetings ist die Bildung von Profilen. Dies ist nach den Grundsätzen des geltenden Telemedienrechts auch gestattet, setzt aber die Einhaltung einiger Regeln voraus:

  • Pseudonyme Erstellung der Nutzungsprofile
  • Opt-out-Möglichkeit
  • Hinweis des Nutzers auf sein Widerspruchsrecht (z. B. im Rahmen der Datenschutzerklärung)
  • Kein Widerspruch des Nutzers
  • Keine Zusammenführung der pseudonymen Nutzungsprofile mit Daten über den Träger des Pseudonyms

Die Voraussetzungen müssen kumulativ vorliegen. Die wichtigste Regel ist aber sicher, dass die Profile pseudonym erstellt und nicht mit personenbezogenen Daten über den Nutzer zusammengeführt werden. Außerdem ist ein Widerspruchsrecht, letztlich also eine Opt-out-Möglichkeit, vorzusehen. Dies bedeutet, dass jedem Nutzer die Möglichkeit gegeben sein muss, der Profilbildung zu widersprechen. Alle größeren Targeting-Anbieter setzen dies durch ein Stop-Cookie oder ein Opt-out-Cookie um. Wird dieses Cookie gelöscht, wird mit der Profilbildung erneut begonnen. Wichtig ist auch, dass der Nutzer auf die Möglichkeit des Opt-out hingewiesen wird. Diese Information darf nicht irgendwo in den AGB versteckt sein, sondern muss deutlich erkennbar – am besten in einer übersichtlich gestalteten Datenschutzerklärung – in die Website integriert werden. Dabei ist die Verfahrensweise zum Opt-out zu beschreiben und möglichst zu verlinken.

Die Belehrungspflicht trifft nicht nur den Targeting-Anbieter, sondern jeden, auf dessen Seite Targeting eingesetzt wird, und zwar sowohl Publisher als auch Advertiser. Die Belehrungspflicht trifft damit z. B. jeden Webmaster, der Google-AdSense einsetzt. Hier kann es genügen, für die Erklärung des Opt-out bei Googles Interest Based Advertising auf die entsprechende Anleitung bei Google zu verweisen. Wird auf andere Websites verwiesen, sollte die Erläuterung dort in der gleichen Sprache vorliegen wie auf der Website des Unternehmens.

Auch bei der Profilbildung hält die DSGVO neue Regeln bereit. Art. 22 sieht Sonderregeln vor, von denen derzeit noch nicht absehbar ist, ob sie nur für automatisierte vertragsrelevante Entscheidungen gelten sollen (Scoring) oder auch für bloß interessenbasierte Werbung. Viel spricht dafür, dass ein Targeting damit nicht gemeint ist.

Datenschutzerklärung

Die Datenschutzerklärung des Website-Betreibers, der verhaltensbezogene Werbung auf seinen Seiten zulässt, muss neben der Belehrung über die Opt-out-Möglichkeit auch erläutern, dass Cookies eingesetzt werden, welche Daten dort gespeichert und an wen diese Daten weitergegeben werden.

Die Datenschutzerklärung des Website-Betreibers sollte daher mindestens folgende Zusatzinformationen enthalten:

  • Der Website-Betreiber und Drittanbieter verwenden dauerhaft gespeicherte Cookies.
  • Werbeeinblendungen erfolgen durch Werbenetzwerke.
  • Werbeeinblendungen erfolgen in Abhängigkeit vorheriger Besuche des Nutzers auf der Website und auf Partnerwebsites im Internet.
  • In Abhängigkeit von welchen Kriterien wird Werbung ausgeliefert (besuchte Webseiten, Anzahl der Besuche, Besuchszeiten, Verweildauer auf einzelnen Seiten, geklickte Werbung etc.)
  • Die Profilbildung kann – einschließlich der Erläuterung, auf welche Weise (mit Link) – deaktiviert werden.

Die Anforderungen der DSGVO an eine transparente Nutzerinformation sind höher als nach geltendem Recht. Datenschutzerklärungen werden ab Mai deutlich länger werden (müssen). Es ist eine rechtliche und gestalterische Herausforderung, bei der Vielzahl an Informationen dem Transparenzgebot hinreichend Genüge zu tun.

Einzelne Targeting-Maßnahmen

Auf einzelne Targeting- und Remarketing-Maßnahmen soll in der Folge kurz eingegangen werden.

Inhaltsbezogenes Targeting

Wenn Werbung in einem inhaltlich passenden Umfeld geschaltet wird und die Zuordnung etwa über Keywords geschieht, die aus dem Text der Seite ausgelesen werden, ist das rechtlich vergleichsweise unproblematisch. Personenbezogene Daten werden nicht verarbeitet, Profile nicht gebildet. Dies gilt selbst dann, wenn die inhaltliche Aussteuerung bis ins Detail geht und etwa Verweildauer des Nutzers bei bestimmten Passagen oder Bildern berücksichtigt wird. Wichtig ist, dass eine spätere Zuordnung etwa zu einem Log-in nicht geschieht.

Technisches Targeting

Wenn sich das Targeting auf die Responsiveness einer Website beschränkt, liegt kein Datenschutzproblem vor. Wird etwa der eingesetzte Browser erkannt und ein Werbemittel entsprechend angepasst, werden personenbezogene Daten nicht erhoben. Allerdings dürfen die Daten auch hier nicht ohne Weiteres mit einem Log-In des Nutzers verbunden werden.

Geo-Targeting

Beim reinen Geo-Targeting bestehen keine datenschutzrechtlichen Bedenken. Personenbezogene Daten werden nicht unzulässig verwendet. Insbesondere werden die IP-Daten nicht gespeichert, verändert oder an Dritte übermittelt. Die Nutzung beschränkt sich auf die jeweils aktuelle Internetkommunikation.

Deutlich weiter geht die Auswertung des konkreten Aufenthaltsortes des Nutzers etwa über verfügbare WLAN-Netze oder andere auch kombinierte Methoden. Hierbei lassen sich Anzeigen deutlich genauer ausliefern, etwa an Besucher eines Kaufhauses, einer Mall oder eines Konzerts. Sofern dabei die Daten ebenfalls nur zur temporären Bestimmung des Aufenthaltsortes genutzt und nicht gespeichert werden, ist das nicht zu beanstanden. Auch hierbei darf eine Zusammenführung mit personenbezogenen Daten des Nutzers, etwa durch ein Log-in, nicht erfolgen.

Behavioral Targeting

Bei der verhaltensbezogenen Werbung werden nicht nur die technischen Daten ausgelesen, sondern wird versucht, Rückschlüsse auf ein potenzielles Kaufverhalten eines Users zu ziehen. Das Surfverhalten des Nutzers wird protokolliert und zu einem dynamischen Verhaltensprofil, das kontinuierlich wächst und angepasst wird, verdichtet. Nicht nur das aktuelle, sondern auch das längerfristige Interesse von Surfern kann beim Behavioral Targeting berücksichtigt werden.

Die Werbeauslieferung geschieht dabei anonymisiert und ohne Bezug zu konkreten Daten des Nutzers. Letztlich ist dies eine Zielgruppenansprache. Die Vorteile dieser Targetingform liegen auf der Hand: Die Zielgruppen lassen sich deutlich besser ansprechen und Streuverluste können minimiert werden.

Es geht also um die Bildung von Zielgruppen und die Aussteuerung von Werbung an diese Zielgruppen. Eine Zuordnung zu einer natürlichen Person ist grundsätzlich nicht möglich. Führt man die Informationen, die die Aussteuerung des Werbemittels auslösten, mit den vorhandenen Informationen über den Nutzer zusammen, ist Personenbezug dagegen zweifellos gegeben. Wird etwa die Tatsache, dass der Nutzer zwischen 25 und 35 Jahre alt ist und sich für Autos interessiert, im Anschluss an ein Log-in des Nutzers zu dessen CRM-Profil gespeichert, hätte dies einen klaren Personenbezug und wäre einwilligungsbedürftig.

Anders ist das nach der neuen DSGVO. Danach haben auch unter Pseudonym gespeicherte Nutzerprofile Personenbezug, sodass eine Rechtfertigung erforderlich ist. Auf eine Einwilligung kann man nur verzichten, wenn man OBA als von den berechtigten Interessen des Werbenden gedeckt ansieht und davon ausgeht, dass die Interessen des Nutzers am Unterbleiben der Profilbildung nicht überwiegen. Das kann man für einfache Auswertungen durchaus so sehen. Werden dagegen netzwerkübergreifend Profile gebildet und womöglich mit weiteren Daten über den Nutzer zusammengeführt, ist eine Einwilligung erforderlich.

Ungeachtet der Einordnung sind jedenfalls derzeit die Voraussetzungen von § 15 Abs. 3 TMG einzuhalten, sodass die Daten pseudonym sein müssen, der Nutzer über die Datenerhebung informiert und eine Opt-out-Möglichkeit angeboten werden muss. Die Information muss auf jeder Website erfolgen, auf der verhaltensbezogene Werbung zum Einsatz kommt. Dies kann in der Datenschutzerklärung geschehen. Sinnvoll ist, gegebenenfalls zusätzlich, auch im Werbemittel selbst einen entsprechenden Hinweis anzubringen. Dort sollte dann auch die Opt-out-Möglichkeit verlinkt werden.

Retargeting

Beim Retargeting werden Nutzer auf Grundlage vorangegangener Interaktionen auf einer Website anderenorts im Internet erneut angesprochen. Die Wiedererkennung erfolgt dabei in der Regel über Cookies. Die wiederholte Ansprache ermöglicht eine Reduktion der Ansprache auf die kleine Zielgruppe interessierter Personen, die bereits Interesse an einem Produkt oder dem Werbenden bekundet haben. Standardbeispiel ist der Abbruch eines Online-Kaufs, nachdem die Ware schon in den virtuellen Warenkorb gelegt wurde.

Die Rechtslage beim Retargeting unterscheidet sich nicht von anderen Targeting-Verfahren. Werden personenbezogene Daten erhoben oder verarbeitet, darf dies nur bei Vorliegen einer Einwilligung geschehen. Dabei ist die Tatsache, dass sich eine konkrete Person für ein konkretes Produkt interessiert, personenbezogen. Ist der Kunde eingeloggt oder erfolgt eine Identifikation des Kunden später, wenn er wieder auf die Seite gelangt, ist Personenbezug gegeben. Wenn diese Information mitgeliefert werden soll, muss vorab eine transparente Einwilligung eingeholt werden. Es bedarf also einer Zustimmung zur Verarbeitung des Surf- und Kaufverhaltens im Shop zu Werbezwecken.

Liegt eine Einwilligung nicht vor, dürfen die zunächst anonymen oder pseudonymen Informationen über den Nutzer nicht mit seinen Echtdaten oder seinem Profil zusammengeführt werden. Es muss also eine Löschung erfolgen, sobald der Kunde wieder auf der Website ist.

Dass pseudonyme Nutzerprofile zulässig sind, ergibt sich aus § 15 Abs. 3 TMG. Nutzungsprofile zu Werbezwecken dürfen erstellt werden, wenn sie pseudonym sind und keinen Schluss auf die Person zulassen. Außerdem muss ein Widerspruchsrecht des Kunden angeboten und auch beachtet werden. Dazu bedarf es eines transparenten Hinweises in der Datenschutzerklärung.

Auch nach DSGVO dürfte jedenfalls das pseudonyme Retargeting auch ohne Einwilligung zulässig sein, weil es seit Jahren geübte Praxis ist und zu den vernünftigen Erwartungen des Nutzers gehört, dass Remarketing-Kampagnen gefahren wurden.

CRM-Targeting oder internes Targeting

Targeting lässt sich nicht nur außerhalb der eigenen Website vornehmen. Auch die Auslieferung von gezielten Informationen innerhalb der eigenen Plattform kann sinnvoll sein. Ist der Nutzer eingeloggt, liegt auch die Auswertung bekannter Daten aus dem eigenen Customer-Relationship-Management-System (CRM) nahe. Auch die Wiedererkennung über E-Mail-Adressen ist möglich.

Rechtlich ist die Situation grundsätzlich anders als bei anderen Targeting-Verfahren. Hier werden ohne Zweifel personenbezogene Daten genutzt. Die Targeting-Daten kommen jedenfalls teilweise unmittelbar aus dem CRM des Unternehmens. Werden solche Daten für die Personalisierung der Seite genutzt, setzt das in der Regel eine Einwilligung des Nutzers voraus. Diese muss dann bei Anlegen des Benutzerkontos eingeholt werden.

E-Mails an Kaufabbrecher

Remarketing funktioniert erfahrungsgemäß besonders gut, wenn der Kunde direkt angesprochen wird. Solche E-Mails mögen effektiv sein. Rechtlich zulässig können solche Werbenachrichten nur versendet werden, wenn zuvor eine Einwilligung der (potenziellen) Kunden in die Werbung per E-Mail eingeholt wurde.

Es handelt sich bei derartigen Mails ohne Zweifel um Werbung. Es geht schließlich um direkte Absatzwerbung. Es ist daher eine Einwilligung in die Werbung per E-Mail erforderlich. Dies ergibt sich aus § 7 Abs. 2 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG). Außerdem wird auch das Nutzerverhalten im Shop aufgezeichnet, ausgewertet und zu Werbezwecken genutzt. Auch hierfür bedarf es einer Einwilligung. Die bloße Aufnahme in die Datenschutzerklärung genügt normalerweise nicht. Besser ist, die Einwilligung bei der Eröffnung des Kundenkontos noch explizit abzufragen und dabei an die entsprechende Stelle in der Datenschutzerklärung zu verweisen.

Damoklesschwert ePrivacy-Verordnung

In Brüssel wird derzeit eine Überarbeitung der auch als Cookie-Richtlinie bekannten ePrivacy-Richtlinie verhandelt. Das Regelwerk beschäftigt sich allgemein mit der elektronischen Kommunikation – ohne Rücksicht auf Personenbezug. In der aktuellen Richtlinie findet sich eine Opt-in-Verpflichtung für Cookies, die in Deutschland mehr schlecht als recht in § 15 TMG umgesetzt ist. Eine ausdrückliche Opt-in-Verpflichtung für Cookies gilt in Deutschland derzeit nicht. Umso gespannter darf man sein, was die neue Verordnung bringt.

Als gesichert darf nämlich gelten, dass das Nachfolgemodell eine EU-Verordnung wird, die unmittelbar in den Mitgliedstaaten gelten wird, ohne dass es – wie bei einer Richtlinie – einer Umsetzung durch nationale Gesetze bedarf. Alles andere, insbesondere Zeitpunkt des Inkrafttretens und genauer Inhalt, sind derzeit noch offen.

Spannend? Jetzt Artikel zu Ende lesen!

Lesen Sie den Artikel weiter in unserer suchradar Ausgabe 68 von Oktober 2017 mit dem Titelthema „Remarketing / Retargeting: aus Besuchern Kunden machen“.

Kostenloses PDF-Magazin bestellen Online weiterlesen? Einfach kostenlos für den Newsletter anmelden. Kostenpflichtiges Print-Abo bestellen