Wenn die aktueller Stand des Datenschutzes sich für Sie wie ein Zugwrack anfühlt, sind Sie nicht allein. In den USA scheinen wir auf dem Weg zu sein, 50 Bundesstaaten zu haben, die alle ihre eigenen Datenschutzgesetze haben, bevor etwas auf Bundesebene verabschiedet wird. Dieser Mangel an Entscheidungen wirkt sich auf die Anpassung und Innovation in der Werbetechnikbranche aus. Viele Unternehmen in der Technologiebranche sind frustriert, weil zu viel Unsicherheit herrscht und es ohne genaue Regeln und Parameter keinen klaren Weg nach vorn gibt.
In diesem Artikel wird erläutert, was in Bezug auf die Datenschutzbestimmungen auf uns zukommen könnte, welche Änderungen Technologieunternehmen vornehmen und was Werbetreibende tun können, um in den nächsten Jahren der Unsicherheit konform zu bleiben.
Was verunsichert die Datenschutzbestimmungen?
Es gibt fünf Hauptfaktoren, die für Unsicherheit in Bezug auf den Datenschutz sorgen.
- Neue Datenschutzbestimmungendie für Unternehmen, die in verschiedenen US-Bundesstaaten und Regionen der Welt tätig sind, eine unübersichtliche Situation schaffen. Beispiel: Ebbie Yazdani, Direktorin für Bundespolitik bei TechNet, erläuterte den Datenschutzbeauftragten der National Press die Kosten der staatlichen Vorschriften. "Wenn wir zulassen, dass ein Flickenteppich von einzelstaatlichen Gesetzen entsteht, und/oder wenn der Kongress nicht in der Lage ist, einzelstaatlichen Gesetzen vollständig vorzugreifen, wird dies enorme Kosten für Amerikas Wirtschaft und Technologieführerschaft mit sich bringen", sagte Yazdani und zitierte eine Studie die besagt, dass, wenn 50 Staaten ihre eigenen Datenschutzgesetze erlassen würden, dies die Wirtschaft über 10 Jahre hinweg 1 Billion Dollar kosten würde.
- Bestehende Verordnungen werden geändert, um weitere Einschränkungen hinzuzufügen. Kalifornien hat das CCPA bereits mit dem CPRA geändert, und die bestehenden Bundesbehörden erweitern ihren Geltungsbereich. In ähnlicher Weise fügen Gerichtsverfahren neue Definitionen zu den Vorschriften hinzu, wie dies bei den Schrems-Klagen in der EU der Fall war. Beispiel: Das HHS (das den HIPAA regelt) hat Leitlinien, die pseudonyme Daten zu PHI im Sinne des HIPAA machen würden wenn sie auf Websites gesammelt werden, die von betroffenen Einrichtungen betrieben werden.
- Die Rechtsstreitigkeiten führen zu einer zusätzlichen Debatte darüber, wie die Vorschriften weltweit durchgesetzt werden können. Außerdem erhöht das private Klagerecht in bestimmten staatlichen Datenschutzgesetzen die Wahrscheinlichkeit von Sammelklagen. Beispiel: Klagen und Geldstrafen sind nicht nur eine Reaktion auf Datenschutzverletzungen. Im September 2022, Irlands Datenschutzbeauftragter (DPC) verhängt Geldstrafe gegen Instagram wegen Verletzung des Schutzes der Privatsphäre von Kindern im Sinne der Datenschutz-Grundverordnung. Die seit langem andauernde Klage betraf Daten von Minderjährigen, die öffentlich gemacht wurden, als Nutzer ihre Profile zu Geschäftskonten aufwerteten, um Zugang zu Analysetools zu erhalten. Meta wehrt sich gegen die Klage, da sie nicht damit einverstanden ist, wie die Geldstrafe berechnet wurde.
- Die US-Bundesregierung tut sich schwer damit, ihre Rolle zu klären. Es gab zwar Versuche, auf Bundesebene Rechtsvorschriften zum Schutz der Privatsphäre zu erlassen, aber sie waren nicht erfolgreich. Und die bestehenden Bundesbehörden weiten ihre Befugnisse aus, um diese Lücke zu schließen. Beispiel: Die Bundesregierung hat mehrere Versuche unternommen, Bundesgesetze zum Datenschutz zu verabschieden. Der bemerkenswerteste ist der Amerikanisches Gesetz zum Schutz der Privatsphäre und der Daten (ADPPA) das aufgrund von Bedenken wegen eines Konflikts mit dem California Privacy Act (CPA) nicht verabschiedet werden konnte.
- Die Technologie hat keinen klaren Weg in die Zukunft. Unternehmen, die digitale Daten sammeln und Produkte auf der Grundlage von Daten entwickeln, sind sich uneins über den richtigen Weg, da es keine klare Zukunftsperspektive für Datenschutzbestimmungen gibt. Beispiel: Google Chrome verzögert weiterhin die Abschaffung von Cookies und verbessert seinen Themenansatz in der Sandbox, auch wenn es Bedenken von außen gibt.
In all dieser Ungewissheit wird die Datennutzung von den Generalstaatsanwälten der Bundesstaaten und den EU-Datenschutzbehörden unter die Lupe genommen. Jedes Unternehmen, das Daten sammelt, analysiert und nutzt, ist anfällig für Klagen und Gebühren bei Nichteinhaltung der Vorschriften.
Wird ein US-Bundesgesetz bald die Vorschriften der Bundesstaaten verdrängen?
Am Ende des ersten Quartals 2023 gab es fünf Staaten mit unterzeichneten Datenschutzgesetzen und weitere 19 sind in Arbeit - einige davon mit mehreren aktiven Gesetzesentwürfen. Es wird erwartet, dass etwa vier oder fünf dieser Gesetze im Jahr 2023 verabschiedet werden und der Rest im Jahr 2024 und in den kommenden Jahren folgen wird.
Auf Bundesebene hat es einige Versuche gegeben, neue Datenschutzbestimmungen zu erlassen. Mehrere führende Politiker auf Bundesebene, darunter Senatorin Amy Klobuchar (D-Minn.), haben erfolglos Bundesdatenschutzgesetze eingebracht. Sen. Suzan DelBene (D-Wash.) schlug vor Rechtsvorschriften zum Datenschutz im Internet die den Verbrauchern die Kontrolle über ihre Daten und der Federal Trade Commission das Recht geben würde, diese durchzusetzen.
Der bekannteste jüngste Versuch war der American Data Privacy and Protection Act (ADPPA). Das ADPPA war ein US-amerikanischer Gesetzesentwurf zum Schutz der Privatsphäre im Internet, der im Falle seiner Verabschiedung geregelt hätte, wie Unternehmen Verbraucherdaten speichern und verwenden. Leider waren die Befürworter des kalifornischen CCPA der Meinung, dass das ADPPA nicht stark genug sei, um die Kalifornier zu schützen. Die Sprecherin des Repräsentantenhauses Pelosi stellte sich auf die Seite der kalifornischen Befürworter, eine Erklärung abgebend dass das ADPPA "weiterhin die Kalifornier schützen muss - und dass die Staaten die Möglichkeit haben müssen, sich mit dem raschen technologischen Wandel auseinanderzusetzen".
Das amerikanische Datenschutzgesetz (American Data Privacy Protection Act, ADPPA) wird von beiden Parteien unterstützt und ist der Verabschiedung eines umfassenden Gesetzes zum Schutz der Verbraucherdaten am nächsten gekommen. Aber es ist noch nicht verabschiedet. Es wird erwartet, dass die Abgeordnete Kathy McMorris Rogers im Jahr 2023 den Gesetzentwurf erneut einbringen wird.
Sollte das ADPPA irgendwann in Kraft treten, ist es wichtig, die Unterschiede zwischen ihm und dem CCPA zu verstehen. Das ADPPA geht deutlich über das CCPA hinaus, indem es die Verantwortung für den Schutz von Informationen denjenigen auferlegt, die sie verarbeiten, und nicht den Personen, die sie erzeugen. Hier sind einige der Hauptunterschiede:
- Sie legt die zulässige Verwendung von Daten fest und schränkt sie ein.
- Sie erfordert Folgenabschätzungen zum Datenschutz und zu Algorithmen.
- Sie erweitert den Schutz der Bürgerrechte im Internet und schützt vor Manipulationen.
- Der Einzelne erhält ein viel breiteres Klagerecht.
Das ADPPA wäre das erste umfassende Datenschutzgesetz, das den Schutz der Bürgerrechte auf die Diskriminierung bei der Nutzung personenbezogener Daten ausdehnt und von allen Unternehmen und gemeinnützigen Organisationen verlangt, bei der Bewertung ihrer Nutzung von Algorithmen den "eingebauten Datenschutz" einzubeziehen.
Aber wird sie in absehbarer Zeit vorübergehen?
Bei diesem Thema gibt es eine erhebliche Polarisierung, die zu einer Lähmung führt. Da in naher Zukunft weitere Bundesstaaten ihre Vorschriften in Kraft setzen werden, scheint es, als ob die Bundesregierung die Erfahrungen der Bundesstaaten als Vorlage für eine Regelung auf nationaler Ebene heranziehen wird. Das bedeutet, dass wir möglicherweise noch Jahre von einer nationalen Regelung zur Klärung und Vereinfachung der Einhaltung von Datenschutzbestimmungen entfernt sind.
Was ist die ePrivacy-Verordnung im Vergleich zur GDPR?
Der Allgemeine Datenschutzverordnung (GDPR)ist die Datenschutzverordnung der Europäischen Union, die seit 2018 in Kraft ist und weithin als die strengste Verordnung weltweit gilt.
Vor kurzem wurde in der EU auch die ePrivacy-Verordnung vorgeschlagen. Diese Verordnung schafft einen Zustimmungsstandard für Cookies. Die Verordnung bietet auch einige Grundregeln dafür, wann Daten verarbeitet werden dürfen, z. B. durch die Verwendung pseudonymisierter oder anonymisierter Daten. Diese Verordnung wird für herkömmliche Anbieter elektronischer Kommunikationsdienste wie Mobilfunk- und Festnetzbetreiber gelten, aber auch für Internet-Sofortnachrichten und VOIP-Apps (E-Mail, Apps usw.) sowie für die Maschine-zu-Maschine-Kommunikation wie das IoT.
Während die Datenschutz-Grundverordnung nur für die Verarbeitung personenbezogener Daten gilt, regelt die ePrivacy-Verordnung die elektronische Kommunikation auch dann, wenn sie nicht personenbezogene Daten betrifft. Auch im Falle von Cookies hat die ePrivacy-Verordnung generell Vorrang. Es wird erwartet, dass die ePrivacy-Verordnung irgendwann im Jahr 2023 in Kraft treten wird, und es wird eine 24-monatige Übergangszeit geben.
Die USA und die EU haben Ende 2022 ein Abkommen unterzeichnet, das die Sammlung von Daten über die Bürgerinnen und Bürger der USA und der EU regelt. EU-US-Datenschutzrahmen. Es ersetzt frühere Abkommen (Privacy Shield und Safe Harbor), die vom Gerichtshof der Europäischen Union (EuGH) aufgrund von Bedenken hinsichtlich der unkontrollierten Überwachung von EU-Bürgern durch EU-Regierungen gekippt worden waren. Das neue Abkommen sieht Beschränkungen und Sicherheitsvorkehrungen für den Zugriff auf Daten durch US-Geheimdienste vor und schafft einen unabhängigen und unparteiischen Rechtsbehelfsmechanismus, der Beschwerden von Europäern über die Erhebung ihrer Daten zu Zwecken der nationalen Sicherheit bearbeiten und schlichten soll.
Nutzen Sie globale digitale Daten für Ihren zukünftigen Marketingerfolg
Nutzen Sie Echtzeit-Interessendaten, um die Kundenbindung zu vertiefen und die Ergebnisse für Planung, Targeting, Messung und mehr zu maximieren.
Wie verändert sich die Werbetechnik, um dem Datenschutz Rechnung zu tragen?
Google setzt die Abschaffung der Cookies von Drittanbietern in Chrome fort. Es hat jetzt gewesen auf die zweite Hälfte des Jahres 2024 verschoben. Google versucht, den Anschein zu erwecken, dass die Privacy Sandbox praktikabel ist, damit es seine Verpflichtungen gegenüber der britischen CMA erfüllen kann.
Der Das World Wide Web Consortium (W3C) erklärte kürzlich, dass Googles Anzeigenplattform Topics nicht gut ist für den Datenschutz, so dass sie nicht daran arbeiten. Die W3C-Gruppe für technische Architektur (TAG) eine Reihe von Bedenken geäußert aus ihrer frühen Entwurfsprüfung der Topics-API. Der TAG-Vertreter schrieb, dass die von Google vorgeschlagene Topics-API die Nutzer nicht vor "unerwünschtem Tracking und Profiling" schützt und den Status quo der "unangemessenen Überwachung im Web" beibehält. Ihr Vertreter kommentierte: "Wir wollen nicht, dass es weitergeht".
Die Entwickler der Browser-Engine Webkit und Mozilla haben sich ebenfalls negativ über Googles Ansatz geäußert und vor Datenschutzmängeln gewarnt. Mozilla ging sogar so weit zu sagen, dass Topics "eher den Nutzen der Informationen für Werbetreibende reduziert, als dass es einen sinnvollen Schutz der Privatsphäre bietet".
Während Google an einer praktikablen Lösung arbeitet, können Unternehmen weiterhin Cookies von Drittanbietern von Chrome-Nutzern verwenden. Während dies für einige eine gute Nachricht ist, verzögert die Verzögerung auch die Entwicklung alternativer Lösungen und sorgt dafür, dass der Datenschutz für Werbetreibende, die mit diesen Daten arbeiten, weiterhin ein Problem darstellt.
TrustPid
Inzwischen haben große europäische Telekommunikationsunternehmen die Erlaubnis erhalten, ihre eigenen Werbeplattformen zu gründen, um das Geschäft nicht an Big Tech zu verlieren. Orange, Vodafone, Telefonica und Deutsche Telecom gründen TrustPid, eine gemeinsame Werbeplattform. Die Entwicklung einer eigenen Werbeplattform, die den Schutz der Privatsphäre in den Vordergrund stellt, ist seit zwei Jahren in Arbeit. Sie wird es den vier Unternehmen ermöglichen, einen Konkurrenten zu großen Technologieunternehmen wie Amazon, Apple, Google und Meta zu entwickeln. Die Entwicklung erfolgt im Einklang mit der Datenschutz-Grundverordnung (GDPR) und der bevorstehenden ePrivacy-Verordnung, so dass sie sehr wohl zu einer Datenschutzvorlage für künftige Werbeplattformen werden könnte.
Die US-Unternehmen verfolgen dies aufmerksam, da die EU-Regulierungsbehörden seit Jahren darauf hinweisen, dass die einzige Möglichkeit, Daten von den Endgeräten eines Nutzers für das Ad-Targeting abzurufen, in der Zustimmung besteht. Aber die Vorschriften machen es unglaublich schwierig, eine Zustimmung zu erhalten. Wenn TrustPid einen Weg gefunden hat, dies zu bewerkstelligen, wird die Welt gespannt sein, was sie tun, das den EU-Behörden gefällt.
Universelle IDs (UID)
Die EU-Datenschutzaufsichtsbehörden ermutigen Technologieunternehmen dazu, für jede UID eine Zustimmung zu verlangen. Sie haben jedoch ein großes Problem mit der Art und Weise, wie Apple dies umsetzt. Die App-Tracking-Transparenz-Richtlinie von Apple zwingt App-Entwickler dazu, eine zusätzliche (von Apple gestaltete) Aufforderung anzuzeigen, um die Endnutzer um Erlaubnis zu bitten, dass der Entwickler den Nutzer "tracken" darf, selbst wenn der Nutzer der Weitergabe seiner Daten über das eigene Einwilligungstool des Entwicklers bereits zugestimmt hat. Bedenken, dass dies den datenbasierten Wettbewerb und die Wahlmöglichkeiten der Verbraucher im gesamten Apple-Ökosystem aufhebt, haben Ermittlungen durch mehrere europäische Behörden ausgelöst.
Und das Fazit? Im Moment ist die Einholung der Zustimmung das A und O. Aber es gibt noch keinen klaren Weg für die Zukunft.
Was können Werbetreibende tun, um sich vor der Ungewissheit zu schützen?
Irgendwann wird die US-Bundesregierung ein Gesetz erlassen, das die Verwirrung zwischen den einzelstaatlichen Gesetzen beseitigt. Und irgendwann wird Google endlich die Cookies von Drittanbietern abschaffen. Diese beiden wichtigen Änderungen werden jedoch wahrscheinlich erst in einigen Jahren eintreten.
In der Zwischenzeit müssen die Werbetreibenden sicherstellen, dass sie mit Datenanbietern zusammenarbeiten, die die folgenden Anforderungen erfüllen aktive Datenschutzbestimmungen. Die Kenntnis der wichtigsten Aspekte der Vorschriften auf der Ebene der US-Bundesstaaten ist hilfreich, um zu überprüfen, ob Drittanbieter von Daten die Datenschutzbestimmungen einhalten. Achten Sie auf Datenpartner, die mehrere Optionen für die Handhabung der Zustimmung haben (sowohl Opt-out als auch Opt-in). Sie verfügen auch über Pläne für den Umgang mit Datenanfragen und Datenschutzklagen.
Schlüsselaspekte von datenschutzkonformen Drittanbietern:
- Sie haben eine breite Definition von persönlichen Informationen, die auch pseudonyme IDs einschließt. Die Verordnungen enthalten eine weit gefasste Definition von personenbezogenen Daten, die nun auch pseudonyme IDs einschließt. Hinweis: Jedes Ad-Tech-Unternehmen hat eine eindeutige ID, die nach wie vor personenbezogene Daten verarbeitet; stellen Sie also sicher, dass sie damit angemessen umgehen.
- Sie verfügen über eine klare Opt-out- und Opt-ins-Möglichkeit. Ein Anbieter, der den Datenschutz einhält, bietet eine klare Opt-out-Möglichkeit und eine Opt-in-Möglichkeit für sensible Daten wie Gesundheit, Religion usw.
- Sie haben eine Möglichkeit, Anträge auf Zugang zu Daten zu bearbeiten. Pseudonymisierte Daten sind schwer zu überprüfen, wenn eine Anfrage eingeht. Ein Anbieter, der den Datenschutz einhält, hat bereits herausgefunden, wie er das macht.
- Sie haben einen Plan für den Umgang mit einer Privatklage. Generalstaatsanwälte können klagen, um Gesetze durchzusetzen, und es ist wichtig zu wissen, dass Ihr Datenanbieter einen Plan hat, um die Einhaltung der Vorschriften zu klären und nachzuweisen, bevor eine formelle Klage eingereicht wird.
Es ist von entscheidender Bedeutung, dass sich Ihre Datenpartner heute und in Zukunft an die Datenschutzbestimmungen halten. Es ist besser, jetzt für die höchsten Einschränkungen zu planen, bevor es zu spät ist, und der einzige Weg, dies zu tun, ist, es nicht allein zu tun, sondern mit einem datenschutzfreundlicher Partner wie ShareThis.
