Immer, wenn wir zum ersten Mal eine Website besuchen, poppen sie auf: Fenster, die fragen, ob wir zustimmen, dass die Seite Cookies auf unserem Endgerät setzt. Man kann zwar manuell einstellen, welchen Arten von Datenverarbeitung und -weitergabe man zustimmt, das machen aber nur die wenigsten Nutzer. Viele klicken bei diesen sogenannten Cookie-Bannern einfach auf die oft auch farblich hervorgehobene Schaltfläche "Alle Akzeptieren". Das ist den Seitenbetreibern am liebsten, denn dann dürfen Sie die Nutzerdaten für eine ganze Reihe von Zwecken verwenden, unter anderem für das Ausspielen von personalisierten Anzeigen. Auch für werbetreibende Unternehmen ist die Zustimmung elementar wichtig.
Cookie-Banner-Baustein verstößt gegen die DSGVO
Nun hat die belgische Datenschutzbehörde APD entschieden, dass ein zentraler Mechanismus für Cookie-Banner gegen die europäische Datenschutzgrundverordnung DSGVO verstößt. Die Entscheidung wurde im so genannten One-Stop-Verfahren getroffen, gilt also für die gesamte EU. Das Verfahren geht auf eine Beschwerde des Irish Council for Civil Liberties und anderer europäischer Bürgerrechtsorganisationen zurück.
TCF speichert Nutzerpräferenzen für personalisierte Werbung
Konkret geht es um das so genannte Transparency & Consent Framework (TCF), das der IAB Europe, ein europäischer Verband für digitales Marketing und Werbung, entwickelt hat. Das TCF ist ein Mechanismus, der die Verwaltung der Nutzerpräferenzen für personalisierte Online-Werbung erleichtert. Also zum Beispiel, ob ein Nutzer zustimmt, dass Werbefirmen seine Nutzungsdaten auswerten dürfen, um ihm personalisierte Werbung anzeigen zu dürfen.
Online-Werbeplätze werden in Echtzeit-Auktionen versteigert
Das TCF spielt eine zentrale Rolle beim sogenannten Real Time Bidding: Wenn Nutzer eine Webseite besuchen, werden die Werbeplätze auf dieser Seite in einer Echtzeitauktion verkauft. Die Drittanbieter, die von Unternehmen beauftragt werden, Online-Werbung zu platzieren, bieten mit Hilfe von Algorithmen einen Geldbetrag, um gezielte, speziell auf das Profil dieser Person zugeschnittene Werbung anzeigen zu dürfen.
Online-Werbung wird auf Nutzerprofil zugeschnitten
Das geht aber nur, wenn wir zugestimmt haben, dass wir personalisierte Werbung sehen wollen. Diese Entscheidung ist in einer Nutzer-Identifikationsnummer, dem sogenannten TC-String, gespeichert. Auf Basis des TC-Strings erstellen die Drittanbieter individuelle Nutzerprofile, die wiederum die Grundlage für die Echtzeitauktionen von Werbeanzeigen bilden. In diese Nutzerprofile fließen übrigens auch Daten aus unseren anderen Netz-Aktivitäten ein, wenn wir den Drittanbietern (also den Werbefirmen) in den Cookie-Bannern erlauben, uns zu tracken.
In Pop-Up-Fenstern wird nicht klar, was mit den Daten passiert
Die belgische Datenschutzbehörde APD hat nun entschieden, dass der TCF-Mechanismus gegen die Datenschutz-Grundverordnung der EU verstößt. Unter anderem, weil die Informationen in den Cookie-Bannern zu allgemein und vage seien, damit Nutzer verstehen könnten, auf welche Art und in welchem Umfang ihre Daten verarbeitet würden.
"Die Menschen werden aufgefordert, ihre Zustimmung zu geben, während die meisten von ihnen nicht wissen, dass ihre Profile mehrmals täglich verkauft werden, um sie mit personalisierter Werbung zu konfrontieren." Hielke Hijmans, Vorsitzender der Kammer für Rechtsstreitigkeiten der belgischen Datenschutzbehörde
250.000 Euro Strafe für europäischen Marketing-Verband
Die belgischen Datenschützer verhängten wegen dieser Datenschutzverstöße eine Geldbuße von 250.000 EUR gegen IAB Europe und gaben dem Verband zwei Monate Zeit, um einen Aktionsplan vorzulegen, der die Mängel beheben soll.
GAU für Werbeindustrie
Für die digitale Werbeindustrie ist die Entscheidung ein Super-GAU. Speziell für die rund 1.200 Marketing-Firmen, die in der IAB Europe zusammengeschlossen sind. Auch Google, Microsoft und Amazon haben solche Anzeigen- oder Ad-Tech-Dienste.
Der IAB Europe betonte auf seiner Website, dass die belgische Datenschutzbehörde das Transparency and Consent Framework (TCF) nicht grundsätzlich verboten habe. Man behalte sich zwar alle rechtlichen Optionen vor - auch eine Anfechtung - arbeite aber an dem von den Datenschützern geforderten Aktionsplan, um das TCF-System mit der Datenschutz-Grundverordnung in Einklang zu bringen.
Gute Nachricht für datenschutzbewusste Nutzer
Für Netznutzer, die Wert auf Datenschutz legen, ist die Entscheidung eine gute Nachricht. Zum einen, weil die Ad-Tech-Firmen die Nutzerdaten, die sie durch den TCF-Mechanismus gesammelt haben, löschen müssen.
Im Extremfall könnte die Entscheidung der belgischen Datenschützer dazu führen, dass das ganze System der personalisierten Werbeanzeigen ("targeted advertising") gekippt werden könnte. Jan Lehmann, Sprecher für Digitalisierung, Datenschutz und Verfassungsschutz der SPD im Berliner Abgeordnetenhaus, hält das für möglich. Lehmann fragt sich auf Twitter, ob die Entscheidung der belgischen Datenschützer, "der Anfang vom Ende des Targeted Advertising" sei? "Das #TCF scheint jedenfalls nicht #dsgvo konform zu sein. Gut für uns. Schlecht für die Datenindustrie."
IAB muss transparenter machen, was mit Nutzerdaten passiert
Aber selbst, wenn das Targeted Advertising nicht generell gekippt werden sollte, so muss zumindest das dahinter liegende System zur Speicherung der Nutzerpräferenzen transparenter gestaltet werden.
Hilke Hijmans von der APD geht davon aus, dass “unsere heutige Entscheidung erhebliche Auswirkungen auf den Schutz der personenbezogenen Daten der Internetnutzer haben wird.” Die Ordnung im TCF-System müsse wiederhergestellt werden, damit die Nutzer wieder die Kontrolle über ihre Daten erlangen könnten.
Der auf Datenschutz spezialisierte Rechtsanwalt Thomas Schwenke könnte sich eine transparentere Ausgestaltung der Einwilligungsprozesse vorstellen: "Ich wäre z.B. nicht über klärende Schaubilder oder gar Videos in Cookie-Bannern überrascht", schreibt er auf LinkedIn.
Johnny Ryan von der klagenden NGO Irish Council for Civil Liberties empfiehlt dagegen einen viel weitergehenden Schritt: Die Echtzeit-Auktionen sollten nur noch mit nicht-personenbezogenen Daten arbeiten.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!