Wie sich die EU-Datenschutz-Grundverordnung auf US-Marketer auswirken wird

Wir sind nur noch 12 Monate von der vollständigen Umsetzung der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) entfernt. Yay! (Oder vielleicht nicht yay.)

Wenn Sie ein Vermarkter sind, der Anzeigen für globale Kampagnen erstellt (Seien Sie ehrlich, jede Kampagne ist jetzt global), kann ein mangelndes Bewusstsein für einige wichtige Regeländerungen, die auf Sie zukommen, kostspielig sein, insbesondere wenn Sie sich mit der Datenerfassung beschäftigen und was Sie tun , als Sammler dieser Daten, mit diesen Daten in Europa umgehen.

Die EU-DSGVO wird das Leben von mehr als 500 Millionen Menschen in 28 Ländern beeinflussen und versuchen, den Verbrauchern die verbesserte Privatsphäre und den Schutz zu bieten, die sie fordern, ohne die Fähigkeit eines Unternehmens zu Innovation und Selbstvermarktung zu unterdrücken.

Einige der äußerst folgenreichen Grundsätze dieser Vorschriften (paraphrasiert) sind:

• Personenbezogene Daten dürfen nur unter strengen Bedingungen und für einen rechtmäßigen Zweck legal erhoben werden.
• Personen oder Organisationen, die personenbezogene Daten erheben und verwalten, müssen diese vor Missbrauch schützen und bestimmte Rechte der Dateneigentümer respektieren, die durch das EU-Recht garantiert werden.
• Unternehmen, Behörden und Einzelpersonen, die große Mengen personenbezogener Daten grenzüberschreitend mit widersprüchlichen Datenschutzbestimmungen übertragen, müssen sich an internationale Richtlinien zum Informationsaustausch halten.
• Die Übermittlung personenbezogener Daten ins Ausland ist verboten, wenn Unsicherheit über das Schutzniveau besteht, das ein anderes Land dem Verbraucher bieten kann.
• Datenverantwortliche müssen Datenschutzverletzungen ihrer Datenschutzbehörde melden (es sei denn, es ist unwahrscheinlich, dass dies ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt).
• Die Benachrichtigung muss innerhalb von 72 Stunden erfolgen, nachdem die Datenverantwortlichen von einer Verletzung Kenntnis erlangt haben, es sei denn, es liegen außergewöhnliche Umstände vor, die gerechtfertigt werden müssen.
• Betroffene Personen haben das „Recht auf Vergessenwerden“.

Wie Věra Jourová, Kommissarin für Justiz, Verbraucher und Gleichstellung, feststellte, gibt es in der EU enorme Möglichkeiten:

…der Wert der personenbezogenen Daten der europäischen Bürger kann bis 2020 auf fast 1 Billion Euro jährlich anwachsen. Die Stärkung der hohen Datenschutzstandards in Europa bedeutet daher Geschäfte – keine Belastung für Innovationen.

In Europa ist und war dies eine große Sache. Es gibt Websites mit Countdown-Timern, die die Sekunden verstreichen lassen, bis die DSGVO vollständig in Kraft tritt. Wenn sie es noch nicht getan haben, nehmen Unternehmen die notwendigen betrieblichen Änderungen vor, die erforderlich sind, um sicherzustellen, dass sie die Vorschriften einhalten. Und vom „There'll Be No Excuses“-Büro der Europäischen Kommission (kein echtes Büro) ist eine Bibliothek mit Factsheets in 23 Sprachen gekommen, die ausführlich erklären, was die DSGVO für alle bedeutet, die irgendetwas im Internet tun.

Datenschutz-Grundverordnung: Rücksichtslos oder zahnlos?

Die EU-DSGVO wird tiefgreifende Auswirkungen auf Unternehmen haben, unabhängig von der Größe einer Organisation. Facebook, Alphabet, Apple und möglicherweise Sie müssen sich an die Wünsche der Verbraucher halten und garantieren, dass sie die ultimative Kontrolle darüber haben, wie sie ihre Daten verwenden möchten.

Wenn Sie dies nicht tun, sind das Information Commissioner's Office (ICO), die Vollstreckungsbehörde der EU, und/oder nationale Datenschutzbehörden, auch bekannt als Datenschutzbehörden (DPAs), befugt, jeden, der gegen die DSGVO verstößt, mit einer Geldstrafe zu belegen. Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro (21,1 Millionen US-Dollar) betragen – je nachdem, welcher Betrag höher ist. Bis heute hat das ICO noch nie eine Strafe von mehr als 512.000 US-Dollar verhängt. Selbst für Tech-Giganten wie Facebook oder Google könnten mehrere 20-Millionen-Euro-Bußgelder teuer werden. (Natürlich nicht, dass sie die Regeln missachten würden.)

Eines von mehreren Amercements, die die Grenzen dieser Regeln testen, läuft derzeit in Frankreich. Die französische Datenschutzbehörde Commission nationale de l'informatique et des libertés (CNIL) hat Facebook mit einer Geldstrafe von 150.000 € (161.000 US-Dollar) belegt und erklärt:

...die Facebook-Gruppe keine Rechtsgrundlage hat, um alle Informationen, die sie über Kontoinhaber hat, zu kombinieren, um zielgerichtete Werbung anzuzeigen. Es stellt auch fest, dass die Facebook-Gruppe rechtswidriges Tracking betreibt … [und] den Benutzern nicht klar macht, dass ihre personenbezogenen Daten systematisch erfasst werden, sobald sie auf einer Website eines Drittanbieters navigieren, die ein soziales Plugin enthält.

Facebook wird wegen der gleichen Vergehen auch von Belgiern, Niederländern, Deutschen und Spaniern verfolgt.

Die von der CNIL verhängte Geldbuße von 150.000 € war die maximal zulässige Geldbuße, als sie 2014 ihre Ermittlungen begann. Künftig kann die CNIL Geldbußen von bis zu 3 Mio. € (3,31 Mio. US-Dollar) verhängen. Die Höhe dieser Bußgelder ist Kleingeld für Unternehmen, die in bar und mit Bataillone von Anwälten schwimmen, wie Facebook. Unabhängig davon werden die langfristigen Auswirkungen dieser Art von hektischem Rechtsstreit und der daraus resultierenden Presse die Akteure in der EU-Zone zweifellos dazu zwingen, ihre Herangehensweise an die Datenerfassung und die Art und Weise, wie sie diese Daten kommerzialisieren, zu überdenken.

Tod durch 1.000 Vorschriften?

Seit 1980 sucht die Europäische Kommission (EC) aktiv nach Wegen, um ein Gleichgewicht zwischen dem Schutz der Privatsphäre eines Benutzers und der Gewährleistung zu finden, dass die unzähligen Online-Dienste, die an Einzelpersonen vermarkten möchten, dies auf angemessene Weise tun können.

Diese frühen Bemühungen führten zum Abkommen über die automatische Verarbeitung personenbezogener Daten, das in Straßburg, Frankreich, unterzeichnet wurde und dessen Änderungen 1988, 1995 und 2003 vorgenommen wurden Tage des Internets, in denen Menschen unerschrocken alle Arten von persönlichen Informationen preisgaben und Praktiken wie Identitätsdiebstahl oder sogar Retargeting weitgehend unbekannt waren.

Im Jahr 2012 hat die Europäische Kommission die Vorschriften auf Hochtouren gebracht und weiter kodifiziert, was Suchmaschinen, Websites für soziale Netzwerke und E-Mail-Dienste, insbesondere Facebook und Google, mit den Daten tun können, die sie aus der Verfolgung von Benutzern sammeln, und wie weit sie bei der Ausrichtung von Anzeigen gehen können. Die Datenschutzaktualisierungen gingen über die Grundlagen von Geschlecht, Alter und Standort hinaus und umfassten Elemente, die zur Identifizierung einer Person verwendet werden könnten, wie z. B. ihre genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität.

Neben den verschiedenen Schutzmaßnahmen, die zum Schutz der europäischen Verbraucher geschaffen wurden, können Sie Folgendes hinzufügen:

• Artikel 8 der Europäischen Menschenrechtskonvention
• OECD „Empfehlungen des Rates zu Leitlinien zum Schutz der Privatsphäre und zum grenzüberschreitenden Datenverkehr“
• EU-Datenschutzrichtlinie (Richtlinie 95/46/EG)
• Artikel 15 der Datenschutzrichtlinie für elektronische Kommunikation
• Artikel-29-Datenschutzgruppe
• Artikel 30 der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

Dies ist eindeutig ein Kontinent, der seine Privatsphäre schätzt.

Unterdessen in den USA…

In den USA könnte der (scheinbare) Mangel an Aufmerksamkeit, der der Privatsphäre der Verbraucher beigemessen wird, nicht auffälliger sein, oder die Ehrerbietung, die Unternehmen und Vermarktern entgegengebracht wird, könnte nicht offensichtlicher sein. Das soll nicht heißen, dass die USA keine Datenschutzregeln haben (und es scheint, als würden sie systematisch außer Kraft gesetzt, wie die jüngste Aufhebung der Breitband-Datenschutzregeln zu bestätigen scheint). Tatsache bleibt, dass es Vorschriften gibt, nur dass sie eher das Geschäft begünstigen.

Ohne politisch oder unnötig philosophisch zu werden, die Gründe dafür, dass in den USA das Gegenteil des Tages ist, haben alles mit Geld, der Verfassung und der amerikanischen Kultur zu tun.

Es geht nur ums Geld

Die digitale Marketingbranche hat einen Wert von mehr als 60 Milliarden US-Dollar. Es wird erwartet, dass dieser Betrag bis 2020 80 Milliarden US-Dollar erreichen wird. Wann immer so viel Geld im Spiel ist, können Sie sicher sein, dass es da draußen Organisationen gibt, die nach den „Interessen“ anderer Organisationen Ausschau halten.

Große Stücke des sehr großen Kuchens für digitales Marketing wurden von den großen Akteuren der Branche wie Google und Facebook herausgeschnitten, und einige haben beschlossen, einen Teil dieses Geldes für die Gestaltung der Politik auszugeben. Diese Ausgaben gehen oft an Unternehmenslobbyisten, und diese Influencer-Hausierer haben im Namen ihrer Kunden dafür gekämpft, Vorschriften zu erlassen und zu verabschieden, die die Last, sich für oder gegen die Erfassung personenbezogener Daten zu entscheiden, direkt auf die Schultern der Verbraucher legen – anstatt Unternehmen zu verpflichten um die Zustimmung des Benutzers im Voraus einzuholen.

Das ist nicht so ruchlos, wie es klingt.

Seit vielen Jahren fordern Verbraucherschutzgruppen und die vielen Bundesbehörden, deren Aufgabe es ist, die Verbraucherrechte zu schützen, den Kongress nach grundlegenden bundesstaatlichen Datenschutzgesetzen. In den meisten Fällen hat die Öffentlichkeit bekommen, wonach sie gefragt hat. Einige der hochkarätigen Vorschriften, die geschaffen wurden, sind:

• Computer Fraud and Abuse Act (CFAA), der es zu einem Bundesverbrechen macht, auf geschützte Informationen zuzugreifen und diese weiterzugeben.
• Der Federal Trade Commission Act (FTC Act), der unfaire oder irreführende Praktiken verbietet und auf Offline- und Online-Datenschutz- und Datensicherheitsrichtlinien angewendet wurde.
• Der Health Insurance Portability and Accountability Act (HIPAA), der medizinische Informationen regelt.
• Die Children's Online Privacy Protection Rule (COPPA) stellt bestimmte Anforderungen an Betreiber von Websites oder Online-Diensten, die sich an Kinder unter 13 Jahren richten.

(Sie können selbst entscheiden, ob diese Regeln zu schwach, angemessen oder zu weit gehen.)

In einem Fall legte die FTC Empfehlungen vor, die auf Bedenken hinsichtlich des Mangels an Transparenz in Bezug auf die Datenerfassungspraktiken bestimmter Organisationen und des Mangels an sinnvoller Kontrolle der Verbraucher über personenbezogene Daten basierten.

In ihrem Datenschutzbericht 2012 räumte die Federal Trade Commission (FTC) ein, dass Unternehmen nicht gezwungen werden sollten, vor der Erfassung und Verwendung von Verbraucherdaten für Praktiken, die mit dem Kontext einer Transaktion oder der Beziehung des Unternehmens zum Verbraucher vereinbar sind, eine Auswahl zu treffen. Weil die Datenverwendung im Allgemeinen mit den vernünftigen Erwartungen der Verbraucher übereinstimmt. Sie kamen auch zu dem Schluss, dass die Verpflichtung von Unternehmen, jeden Benutzer um seine Zustimmung zur Datenerfassung zu bitten, dazu führen würde, dass diese Kosten auf den Verbraucher abgewälzt würden. Außerdem, wie lange würde jemand von uns Opt-in-Anfragen ertragen, bevor wir fordern würden, dass sie aufhören?

"Wir die Leute…"

Der erste Verfassungszusatz garantiert die Meinungsfreiheit; Sie kennen die Meinungsfreiheit. Nirgendwo in den US-Online-Datenschutzbestimmungen gibt es Regeln, die es einer Person erlauben, Informationen über sich selbst online zu löschen oder zu entfernen. Ja, es gibt Verfahren, um dies zu ermöglichen; keiner von ihnen ist gesetzlich vorgeschrieben. Dieser scheinbare Mangel ist verständlich, wenn man ihn durch das Prisma der Verfassungsmäßigkeit betrachtet.

Daher läuft die Anfechtung der heutigen Datenschutzregeln letztlich auf die Anfechtung des Ersten Verfassungszusatzes hinaus. Dies ist ein Rechtsstreit, für den niemand die nötigen Mittel besitzt. Dies ist auch eine riesige Verallgemeinerung, aber eine genaue Zusammenfassung dessen, wie sich die Verfassung auf die Schaffung von Datenschutzregeln auswirkt.

Amerikanische Kultur: Kein Oxymoron

„Das Geschäft Amerikas ist Geschäft.“ Das sagte Calvin Coolidge 1925.

Auch wenn uns dieser Satz falsch überliefert ist und Coolidges Bemerkung im Kontext eher eine Anklage als ein Lob auf die Anhäufung von Reichtum war, fasst er dennoch viel über die amerikanische Kultur zusammen.

Als Nation sind Amerikaner gegenüber Großunternehmen weniger misstrauisch als Bürger anderer Länder. Außerdem sind die meisten Amerikaner bekennende Kapitalisten des freien Marktes, robuste Individualisten, aufstrebende Tycoons, Serienunternehmer usw. In einem Land voller Menschen, die darauf aus sind, „das nächste große Ding“ zu schaffen, ist es keine Überraschung, dass die Privatsphäre weniger wichtig ist oder ist nicht so weit oben auf ihrer Prioritätenliste.

Europäer haben höhere Erwartungen an die Privatsphäre als Amerikaner. Das mag daran liegen, dass die Europäer turbulente Zeiten durchlebt haben oder dass sie seit Jahrhunderten nahe beieinander leben. Oder vielleicht ist es so einfach wie die europäische kulturelle Prädisposition für Privatsphäre.

Was ist wertvoller: Ihre Privatsphäre oder Ihre Daten?

Niemand fühlt sich gern beobachtet, geschweige denn verfolgt. Aber auf der Benutzerebene passiert genau das; und wir wissen es, wir akzeptieren es (irgendwie) und die meisten von uns verstehen, dass es nicht immer vorteilhaft ist. Zwei Statistiken sprechen dafür vielleicht besser als alles andere:

• 54 % der App-Nutzer haben sich gegen die Installation einer Handy-App entschieden, als sie feststellten, wie viele persönliche Informationen sie für ihre Nutzung preisgeben müssten.
• 30 % der App-Nutzer haben eine App deinstalliert, die sich bereits auf ihrem Handy befand, weil sie erfahren haben, dass sie persönliche Informationen sammelt, die sie nicht teilen wollten.

Wenn der Preis stimmt, öffnen wir unsere Geräte für den Meistbietenden. Und offensichtlich muss der Bieter für einige nicht höher als 8 $ gehen.

In der EU ist die Antwort auf die Frage „Daten vs. Datenschutz“ eindeutig: Datenschutz. Von „Cookies“ bis hin zu Drohnen – die Europäische Kommission hat sich die Stimmung von Continental zu Herzen genommen und die Privatsphäre der Verbraucher zu ihrer Priorität gemacht. Mit der vollständigen Einführung dieser Verbraucherschutzpläne bis zum Jahresende hat die EU erklärt, die persönlichen Daten der Menschen zu schützen, und dass es nun den Unternehmen obliegt, dafür zu sorgen, dass die Privatsphäre ihrer Kunden geschützt ist.

Auf welcher Seite bist Du?

Die Countdown-Uhr für eine stärkere Datenschutzregulierung in Europa tickt lauter. Und mit jeder Sekunde, die verstreicht, müssen sich Vermarkter mehr und mehr damit auseinandersetzen, wie sie ihre Fähigkeit zur Personalisierung ihrer Werbekampagnen aufrechterhalten und gleichzeitig die Privatsphäre ihrer Zielgruppe und ihr „Recht auf Vergessenwerden“ wahren können.

In dieser Ära der zunehmenden Personalisierung von Werbung muss Ihre Agentur oder Marke sicherstellen, dass Ihre Datenerfassungstaktiken innerhalb der neuen gesetzlichen Grenzen bleiben oder mit strengen EU-Strafen rechnen müssen. Eine Möglichkeit zu messen, ob Ihre Werbung die gesetzliche Grenze überschreitet, ist das Werbeklassifizierungssystem. Weitere Informationen zu diesem System finden Sie hier.

Verbinden Sie immer alle Ihre Anzeigen mit personalisierten Post-Click-Zielseiten, um Ihre Kosten pro Kundenakquise zu senken. Beginnen Sie mit der Erstellung Ihrer dedizierten Post-Click-Seiten, indem Sie sich noch heute für eine Instapage Enterprise-Demo anmelden.