Der belgische Werbeverband IAB Europe hat ein Einwilligungssystem für die Verarbeitung von personenbezogenen Daten entwickelt. Die Praxis verstößt laut dem Europäischen Gerichtshof allerdings gegen die EU-Datenschutzgrundverordnung (DSGVO).
Das Interactive Advertising Bureau Europe (IAB Europe) ist ein Branchenverband für digitale Werbung mit Sitz in Belgien. Der Verband hat ein eigenes System entwickelt, um personenbezogene Daten für Werbezwecke zu versteigern. Das System wurde hierbei als Lösung angepriesen, um solche Versteigerungen mit der DSGVO in Einklang zu bringen.
IAB Europe verwendet ein Zustimmungssystem namens „Transparency & Consent Framework“ (TCF), das Werbetreibende nutzen, um Nutzerpräferenzen zu sammeln. Google, Amazon, Microsoft, TikTok und viele andere auf Tracking basierende Online-Werbeunternehmen sind auf das Einwilligungssystem von IAB Europe angewiesen, das von anderen europäischen Datenschutzbehörden bereits als Verstoß gegen die DSGVO eingestuft wurde.
Am Donnerstag (7. März) stellte nun auch der Europäische Gerichtshof – das höchste Gericht der EU in Fragen des Unionsrechts – fest, dass IAB Europe gegen die DSGVO verstößt.
„IAB Europe hat versucht, sich aus der Verantwortung für diese Farce zu stehlen. Aber der Europäische Gerichtshof hat für Klarheit gesorgt“, sagte Johnny Ryan vom Irischen Rat für Bürgerrechte (Irish Council for Civil Liberties – ICCL).
TC-String, DSGVO und Datenverantwortliche
Der Transparency and Consent String (TC-String) enthält Daten darüber, was ein Nutzer in Bezug auf die Verwendung seiner Daten zugestimmt oder abgelehnt hat. Er enthält Details zu den Zwecken, Funktionen und Unternehmen, denen der Nutzer die Verwendung seiner Daten erlaubt oder untersagt hat. Der TC-String wird mit Datenbrokern und Werbeplattformen geteilt, damit diese die Präferenzen des Nutzers kennen.
Zuvor werden die Nutzer durch das Framework aufgefordert, ihre Präferenzen über ein Pop-up-Banner beim Besuch einer Website zu äußern. Kritiker bemängeln jedoch, dass die Nutzer nicht immer wissen, worauf sie sich einlassen.
„Die Menschen werden eingeladen, ihre Zustimmung zu geben, obwohl die meisten von ihnen nicht wissen, dass ihre Profile viele Male am Tag verkauft werden, um sie personalisierter Werbung auszusetzen“, sagte Hielke Hijmans, Vorsitzender der Streitkammer der belgischen Datenschutzbehörde, gegenüber Euractiv im Jahr 2022.
„Seit fast sechs Jahren, seit der Einführung der DSGVO, werden die Menschen in Europa täglich mit gefälschten ‚Einwilligungs‘-Popups auf fast jeder Website und App belästigt“, sagte nun Ryan.
Neben einer TC-String werden die Präferenzen des Nutzers auch in einem Cookie gespeichert und beide können mit der IP-Adresse des Nutzers verknüpft werden, wie das Gericht feststellt.
Bereits 2022 entschied die belgische Datenschutzbehörde, dass der TC-String als personenbezogene Daten im Sinne der DSGVO gilt. Da IAB Europe diese Technologie verwendet, handelte es als Datenverantwortlicher, ohne die Anforderungen der DSGVO vollständig zu erfüllen.
Die belgische Datenschutzbehörde verhängte Abhilfemaßnahmen und eine Geldbuße gegen den Verband, gegen die IAB Europe Einspruch erhob und Klage beim Berufungsgericht Brüssel einreichte, das den Gerichtshof um Vorabentscheidung ersuchte.
IAB Europe argumentierte, dass es nicht als Datenverantwortlicher angesehen werden sollte, da es nur Richtlinien zur Datennutzung festlegt, anstatt Daten direkt zu verarbeiten.
Nach der neuen Entscheidung des Europäischen Gerichtshofs ist IAB Europe jedoch als „gemeinsam Verantwortlicher“ im Sinne der DSGVO anzusehen.
Wenn zwei oder mehr Verantwortliche gemeinsam über die Gründe und Methoden der Datenverarbeitung entscheiden, werden sie zu gemeinsam Verantwortlichen und müssen ihre Verantwortlichkeiten transparent festlegen – einschließlich der Wahrung der Rechte der betroffenen Personen und der Bereitstellung von Informationen.
Entgegen der Auffassung von IAB Europe ist das höchste europäische Gericht der Ansicht, dass IAB Europe zusammen mit seinen Mitgliedern eine Rolle bei der Entscheidung über die Datenverarbeitung spielt, wenn Nutzerpräferenzen in einem TC-String erfasst werden.
Das EU-Gericht stimmte jedoch zu, dass IAB Europe nicht als Verantwortlicher im Sinne der DSGVO für die Datenverarbeitung angesehen werden kann, die nach der Erfassung der Nutzerpräferenzen in einem TC-String stattfindet. Es sei denn, es kann nachgewiesen werden, dass der Verband die Art und Weise, wie diese Vorgänge durchgeführt werden, einschließlich ihrer Zwecke und Methoden, beeinflusst hat.
Echtzeit-Auktionen
TC-Strings sind relevant für Echtzeit-Auktionen (RTB), den sofortigen Kauf und Verkauf von Daten zu Werbezwecken.
Diese Technologie überträgt sensible Informationen über Personen, wenn diese das Internet nutzen, z. B. das verwendete Gerät oder den Standort.
Die Auktion ist ein automatisierter Prozess, bei dem mehrere Werbetreibende auf ein Stück Nutzerinformation bieten. Dieser Vorgang dauert in der Regel nur Bruchteile einer Sekunde.
Die Werbung mit dem höchsten Gebot gewinnt und wird dem Nutzer angezeigt. Es ist jedoch notwendig, die Zustimmung des Nutzers einzuholen, um seine Daten zu sammeln und zu verwenden, bevor zielgerichtete Werbung angezeigt wird. Die meisten Anwendungen und Websites verwenden dieses System, und die Datenerfassung kann sogar erfolgen, wenn der Nutzer ein sicheres Gerät verwendet.
Im vergangenen November forderte eine parteiübergreifende Koalition von Europaabgeordneten die Kommission auf, die Praxis der Echtzeitauktionen zu untersuchen, nachdem bekannt geworden war, dass sensible Daten versteigert wurden. Unter diesen Daten befanden sich auch Daten von EU-Spitzenpolitikern, die an den höchsten Bieter versteigert worden waren.
Laut Ryan wird die neue Entscheidung des EU-Gerichts „nicht nur die größte Spam-Aktion der Geschichte beenden. Sie wird der auf Online-Tracking basierenden Werbeindustrie einen tödlichen Schlag versetzen.“
[Bearbeitet von Nathalie Weatherald]