You are currently viewing CONSENT-BANNER VERSTOSSEN GEGEN EU-RECHT

CONSENT-BANNER VERSTOSSEN GEGEN EU-RECHT

  • Beitrags-Autor:
  • Beitrags-Kategorie:Recht

Der technische Standard, mit dem Werbefirmen DSGVO-konforme Einwilligungen von Website-Besuchern einholen, ist rechtswidrig. Die belgische Datenschutzbehörde neutralisiert damit einen zentralen Mechanismus des digitalen Werbe-Ökosystems.

Einer der wichtigsten Standards des Ökosystems für Online-Werbung verstößt in vielen Punkten gegen die DSGVO. Zu diesem Schluss kommt die belgische Datenschutzbehörde „Autorité de protection des données“ (APD) in einer Entscheidung zum sog. „Transparency and Consent Framework“ (TCF). Das System, mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising einsammeln, entspreche nicht den Grundsätzen von Rechtmäßigkeit und Fairness.

Die Entscheidung ist mit den anderen europäischen Datenschutzbehörden abgestimmt und hat Konsequenzen für Cookie-Banner und verhaltensbasierte Online-Werbung in der gesamten EU. Der Werbeverband „Interactive Advertising Bureau“ (IAB), der den TCF-Mechanismus entwickelt hat und betreibt, muss nun die gesammelten personenbezogenen Daten löschen und eine Strafe von 250.000 Euro zahlen. Weitaus bedeutender sind jedoch die Auflagen, die der Werbebranche auferlegt werden, damit sie das TCF überhaupt weiter nutzen darf.

Zentraler Baustein für Targeting und Cookie-Banner sind illegal

Tausende Website-Betreiber, fast alle Online-Medien sowie große Werbefirmen (u.a. Google und Amazon) nutzen den Mechanismus, um das vermeintliche Einverständnis von Nutzern in die Verarbeitung ihrer persönlichen Daten für Werbezwecke weiterzugeben. Allerdings wissen die meisten Menschen nicht, dass ihre Profile vielfach am Tag verkauft werden, damit personalisierter Werbung an sie ausgespielt werden kann.

Vereinfach gesagt funktioniert das System von zielgerichteter Online-Werbung so: Jeder Besuch bei einer teilnehmenden Website löst eine Auktion unter den Anbietern von Werbeanzeigen aus. Unter anderem anhand der offerierten Preise und des Datenprofils des Nutzers entscheidet sich innerhalb von Millisekunden, welche Werbung er zu sehen bekommt. Damit dieses sog. „Real Time Bidding“ (RTB) in Echtzeit funktioniert, müssen die Werbefirmen wissen, mit wem sie es zu tun haben: Alter, Geschlecht, Standort, Interessen, besuchte Websites, Interessen, Kaufkraft etc. sind wichtige Kriterien, nach denen die Werbezielgruppen zusammengestellt werden.

Und an dieser Stelle kommt das TCF von IAB Europe ins Spiel. Wenn Nutzer auf „Cookies akzeptieren“ klicken oder nicht widersprechen, dass die Nutzung ihrer Daten einem legitimen Interesse des Anbieters entspricht, erzeugt das TCF einen sog. „TC-String“. Dieser Identifier bildet die Grundlage für die Erstellung von individuellen Profilen und wird für die Auktionen, in denen zielgruppenspezifische Werbeplätze versteigert werden, an hunderte Partner im OpenRTB-System weitergeleitet.

Den belgischen Datenschützer zufolge sind es insbes. zwei Probleme, die das Consent Framework in der aktuellen Form praktisch unbenutzbar machen.

  • Bereits die erzeugten TC-Strings stellen personenbezogene Daten dar. Gemeinsam mit der IP-Adresse und den vom TCF gesetzen Cookies ermöglichen sie es, Nutzer exakt zu identifizieren.
  • Der Werbeverband IAB Europe ist für jede Datenverarbeitung über das Framework rechtlich mitverantwortlich. Bislang hatte sich der Verband als neutraler Anbieter eines technischen Standards inszeniert und eine Rolle als Datenverarbeiter von sich gewiesen; und damit auch die Verantwortung dafür, dass die Prozesse auch wirklich DSGVO-konform sind.

Rechtlicher Schlagabtausch

Der TCF-Mechanismus verstoße gegen maßgebliche Vorgaben der DSGVO; z.B. gegen die Grundsätze von „Privacy by Design“ und „Privacy by Default“. Dass Werbetreibende sich in ihren Cookie-Bannern versteckt auf ein „legitimes Interesse“ an der Datensammlung berufen, anstatt um Einwilligung zu bitten, müsste das Framework ebenfalls grundsätzlich untersagen, um rechtskonform zu sein.

IAB Europe hat nun zwei Monate Zeit, um einen Aktionsplan vorzulegen, wie es die Mängel beheben will. Der Werbeverband widerspricht der Darstellung der und hat angekündigt, die Entscheidung gerichtlich prüfen zu lassen. Zudem wird betont, dass die Behörde das TCF nicht grundsätzlich verboten habe und dass man in der Lage sei, die Mängel innerhalb von sechs Monaten zu beheben.

Für die Online-Werbeindustrie und auch für viele Online-Händler und Medienhäuser ist die Entscheidung ein herber Schlag. Das eingesetzte Ökosystem des Targeted Advertising ist an einer entscheidenden Stelle illegal: Bei der Einwilligungen der Nutzer und damit der Rechtmäßigkeit der Datenverarbeitung.

Datenschützer bezweifeln grundsätzlich, dass es überhaupt möglich ist, das System des Targeted Advertising und des Real-Time-Bidding datenschutzkonform zu betreiben. Die Datenflüsse zwischen hunderten von Playern im System sind für Nutzer weder nachvollziehbar, noch können sie sinnvoll intervenieren, um Einwilligungen zurückzuziehen; ganz abgesehen von unlauteren Design-Tricks, um sich Einwilligungen zu erschleichen.

07.02.2022

Photo by Vyshnavi Bisani on Unsplash