Online Werbung: Erfassung von Nutzerpräferenzen verstößt gegen DSGVO

Die belgische Datenschutzbehörde (DPA) stellte fest, dass der Branchenstandard für die Verwaltung von Nutzerpräferenzen in Europa gegen mehrere Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verstößt, und forderte Werbetreibende auf, die gesammelten Daten zu löschen.

Die DPA veröffentlichte am Mittwoch (2. Februar) eine lang erwartete Entscheidung auf der Grundlage einer Reihe von Beschwerden, die 2019 gegen das Interactive Advertising Bureau Europe (IAB), den Fachverband für digitale Werbung, eingereicht wurden.

Die Beschwerden bezogen sich auf das Transparency & Consent Framework (TCF) des IAB Europe, das Werbetreibende nutzen, um Nutzerpräferenzen zu erfassen. Diese Präferenzen werden in Echtzeit-Auktionen weitergegeben, die in Sekundenbruchteilen stattfinden, um Werbeplätze zuzuweisen.

„Die Verarbeitung personenbezogener Daten (zum Beispiel die Erfassung von Nutzerpräferenzen) im Rahmen der aktuellen Version des TCF ist nicht mit der Datenschutz-Grundverordnung vereinbar, da sie gegen den Grundsatz der Fairness und Rechtmäßigkeit verstößt“, sagte Hielke Hijmans, der Vorsitzende der Prozesskammer der Behörde.

Durch den Rahmen werden die Nutzer aufgefordert, ihre Präferenzen über ein Pop-up-Banner beim Besuch einer Website zu äußern. Die TCF speichert diese Präferenzen und stellt sie den an der Online-Auktion teilnehmenden Organisationen zur Verfügung.

„Die Menschen werden aufgefordert, ihre Zustimmung zu geben, während die meisten von ihnen nicht wissen, dass ihre Profile mehrmals täglich verkauft werden, um ihnen personalisierte Werbung zu zeigen“, fügte Hijmans hinzu.

Die Präferenzen der Nutzer werden auch über einen Cookie auf dem Gerät gespeichert, der zusammen mit den von der TCF gespeicherten Daten mit der IP-Adresse verknüpft wird – ein eindeutiger Code, der den Nutzer identifizieren kann.

Die belgische Behörde hielt den IAB Europe für einen Datenverantwortlichen, der für Verstöße gegen die DSGVO verantwortlich ist. Der Verband bestreitet dies mit dem Argument, die Branche lediglich bei der Entwicklung eines gemeinsamen Standards unterstützt zu haben.

„Die Verantwortung für die Datenverarbeitung scheint auf IAB ausgedehnt worden zu sein, weil sie das System entwickelt haben, nicht weil sie Daten verarbeiten“, sagte Otto Lindholm, Leiter der Abteilung für Daten und Datenschutz bei Dottir Attorneys.

„Jetzt werden sich die Anbieter den Kopf zerbrechen und sich fragen, wie weit sie ihr Fachwissen bei der Empfehlung von Systemen und Lösungen für ihre Kunden bringen können, ohne die unscharfe Grenze der Kontrollbefugnis zu überschreiten“, so Lindholm.

Für Charles-Albert Helleputte, Leiter der Datenschutzpraxis bei Steptoe, bestätigt die Entscheidung „einen Trend, nämlich dass die Aufsichtsbehörden darauf hinarbeiten, eine breite Ausweitung grundlegender Konzepte der DSGVO zu untersuchen“.

Helleputte argumentiert, dass der Grund in diesem Fall opportunistisch war, da es wahrscheinlich bequemer ist, die standardsetzende Organisation ins Visier zu nehmen, als gegen das gesamte Ökosystem vorzugehen.

Die belgische Behörde stellte fest, dass IAB Europe über keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügte und die Rechtsgrundlage für die Weitergabe dieser Daten an Anbieter „unzureichend“ war.

„Die DPA hat deutlich gemacht, was viele Beobachter schon seit einiger Zeit sagen: dass ‚legitime Interessen‘ keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten sind, die über nicht-essentielle Cookies erhoben wurden“, erklärte Robert Bateman, Forschungsdirektor bei den GRC World Forums, gegenüber EURACTIV.

Bateman merkte an, dass die Nutzer nicht aufgefordert werden sollten, sich gegen nicht-essentielle Cookies zu entscheiden, und dass dies das Ende der langen Dropdown-Listen von Anbietern sein könnte, die auf vielen Websites automatisch aktiviert sind.

Der Branchenverband kam auch nicht den Verpflichtungen eines Datenverarbeiters nach, wie etwa dem Betreiben eines Datenregisters oder der Durchführung von Folgenabschätzungen.

Darüber hinaus war die Behörde der Ansicht, dass die Nutzer nicht ausreichend über die Funktionsweise des TCF informiert wurden. Sie stellten fest, dass das System die Daten nicht sicher und vertraulich hält und damit gegen die Anforderung des „eingebauten Datenschutzes“ verstößt.

„Die heutige Entscheidung befreit Hunderte Millionen Europäer von lästigen und irreführenden Genehmigungsanfragen. Die Entscheidung sollte sie auch vor unerlaubter Überwachung durch Tech-Unternehmen schützen“, sagte Johnny Ryan, ein leitender Mitarbeiter des Irish Council for Civil Liberties (ICCL) und einer der Architekten der Beschwerden.

Der ICCL schätzt, dass auf die TCF 80 Prozent der europäischen Internetnutzung entfallen, darunter über 1.000 Unternehmen und bedeutende Werbetreibende wie Google, Amazon und Microsoft. Die Entscheidung hat zur Folge, dass alle über die TCF gesammelten Daten gelöscht werden.

Die DPA verhängte gegen IAB Europe eine Strafe in Höhe von 250.000 € und mehrere Abhilfemaßnahmen, um sicherzustellen, dass die TCF mit der DSGVO konform ist.

Zu diesen Abhilfemaßnahmen gehören die Schaffung einer Rechtsgrundlage und die Überprüfung der teilnehmenden Organisationen, um sicherzustellen, dass sie auch die EU-Datenschutzvorschriften einhalten.

„Dies könnte einen großen Einfluss auf die digitale Werbelandschaft haben, aber es bleibt abzuwarten, wie effektiv das IAB sicherstellen kann, dass die TCF-Teilnehmer DSGVO-konform sind“, so Bateman weiter.

IAB Europe hat nun zwei Monate Zeit, um einen Aktionsplan vorzulegen, der zeigt, wie es der Entscheidung der Behörde nachkommen wird, und sechs Monate, um diesen auszuführen.

In einer Erklärung verpflichtete sich IAB Europe, in den kommenden Monaten mit der belgischen Behörde zusammenzuarbeiten und begrüßte, dass die Entscheidung die TCF nicht gänzlich verbietet, wie es die Beschwerdeführer gefordert hatten.

„Wir erwägen alle Optionen im Hinblick auf eine rechtliche Herausforderung“, heißt es in der Erklärung weiter.

[Bearbeitet von Alice Taylor]