Der Europäische Gerichtshof hat am Donnerstag (7. März) festgestellt, dass das Einwilligungssystem des belgischen Verbandes IAB Europe zur Versteigerung personenbezogener Daten gegen die Datenschutz-Grundverordnung der EU verstößt.
Interactive Advertising Bureau Europe (IAB Europe), ein in Belgien ansässiger Handelsverband für digitale Werbung, hat eine Lösung entwickelt, mit der das System der Versteigerung personenbezogener Daten zu Werbezwecken mit der Datenschutz-Grundverordnung (DSGVO) der EU in Einklang gebracht werden kann.
IAB Europe verwendet ein Einwilligungssystem namens Transparency & Consent Framework (TCF), mit dem Werbetreibende Benutzerpräferenzen erfassen. Google, Amazon, Microsoft, TikTok und zahlreiche andere Tracking-basierte Online-Werbeunternehmen verlassen sich auf das Einwilligungssystem von IAB Europe, das bereits von anderen europäischen Datenschutzbehörden als Verstoß gegen die DSGVO eingestuft wurde.
Am Donnerstag tagte auch der Europäische Gerichtshof – das höchste Gericht der EU in Fragen des Unionsrechts gefunden dass IAB Europe gegen die DSGVO verstößt.
„IAB Europe hat versucht, sich seiner Verantwortung für diese Farce zu entziehen. Aber der Europäische Gerichtshof hat es klargestellt“, sagte Johnny Ryan vom Irish Council for Civil Liberties (ICCL).
TC-String, DSGVO und Datenverantwortliche
Der Transparency and Consent String (TC-String) enthält Daten darüber, was ein Benutzer hinsichtlich der Verwendung seiner Daten zugestimmt oder womit er nicht einverstanden ist. Es enthält Einzelheiten zu den Zwecken, Funktionen und Unternehmen, denen der Benutzer die Verwendung seiner Daten gestattet oder verweigert hat. Der TC-String wird an persönliche Datenbroker und Werbeplattformen weitergegeben, damit diese über die Präferenzen des Benutzers Bescheid wissen.
Zuvor werden Nutzer durch das Framework dazu aufgefordert, beim Besuch einer Website über ein Pop-up-Banner ihre Präferenzen zum Ausdruck zu bringen, allerdings sei ihnen laut Kritikern nicht immer bewusst, womit sie einverstanden sind.
„Menschen werden aufgefordert, ihre Einwilligung zu geben, während die meisten von ihnen nicht wissen, dass ihre Profile mehrmals am Tag verkauft werden, um sie personalisierter Werbung auszusetzen“, sagte Hielke Hijmans, Vorsitzender der Prozesskammer der belgischen Datenschutzbehörde Euractiv im Jahr 2022.
„Menschen in ganz Europa werden seit der Einführung der DSGVO vor fast sechs Jahren täglich von gefälschten ‚Einwilligungs‘-Popups auf fast jeder Website und App geplagt“, sagte Ryan jetzt.
Neben einem TC-String werden auch Benutzereinstellungen in einem Cookie gespeichert, und beide zusammen können mit der IP-Adresse dieses Benutzers verknüpft werden, so das Gericht weist darauf hin.
Im Jahr 2022 stellte die belgische Datenschutzbehörde bereits fest, dass der TC String als personenbezogene Daten im Sinne der DSGVO gilt, und da IAB Europe diese Technologie verwendet, fungierte es als Datenverantwortlicher, ohne die Anforderungen vollständig zu erfüllen DSGVO-Anforderungen.
Die belgische Aufsichtsbehörde verhängte gegen den Verein Abhilfemaßnahmen und eine Verwaltungsstrafe, die IAB Europe anfechtet, und hat ein Gerichtsverfahren vor dem Brüsseler Berufungsgericht eingeleitet, das den Gerichtshof durch vorläufige Fragen um Klärung ersucht hat.
IAB Europe argumentierte, dass es nicht als Datenverantwortlicher betrachtet werden sollte, da es nur die Richtlinien für die Verwendung von Daten festlegt, anstatt die Daten selbst direkt zu verarbeiten.
Nach der neuen Entscheidung des Europäischen Gerichtshofs muss IAB Europe jedoch als „gemeinsamer Verantwortlicher“ im Sinne der DSGVO angesehen werden.
Wenn zwei oder mehr Verantwortliche gemeinsam über die Gründe und Methoden der Datenverarbeitung entscheiden, werden sie zu gemeinsamen Verantwortlichen und müssen ihre Verantwortlichkeiten, einschließlich der Wahrung der Rechte der betroffenen Personen und der Bereitstellung von Informationen, transparent darlegen.
Entgegen der Aussage von IAB Europe ist Europas höchstes Gericht der Ansicht, dass bei der Aufzeichnung von Benutzerpräferenzen in einem TC String das IAB Europe zusammen mit seinen Mitgliedern eine Rolle bei der Entscheidung über den Umgang mit Daten spielt.
Der EU-Gerichtshof stimmte jedoch zu, dass IAB Europe gemäß der DSGVO nicht als Verantwortlicher für die Datenverarbeitung gilt, die erfolgt, nachdem die Einwilligungspräferenzen der Nutzer in einem TC-String aufgezeichnet wurden, es sei denn, es ist nachgewiesen, dass die Verbindung die Art und Weise beeinflusst hat, wie diese Vorgänge ausgeführt werden, einschließlich ihrer Zwecke und Methoden.
Entsprechend eine Stellungnahme von IAB EuropeDer Verband „erkennt das heute ergangene Urteil an“ und „begrüßt das EuGH-Urteil, das die dringend benötigte Klarheit über die Konzepte personenbezogener Daten und (gemeinsame) Verantwortlichkeit schafft und einen ruhigen Abschluss der verbleibenden Gerichtsverfahren ermöglicht.“
Echtzeit bieten
TC-Strings sind relevant für Real-Time Bidding (RTB), den sofortigen Verkauf und Kauf von Daten für Werbezwecke.
Diese Technologie überträgt vertrauliche Informationen über Personen, während sie das Internet nutzen, beispielsweise das von ihnen verwendete Gerät oder ihren Standort.
Beim Bieten handelt es sich um einen automatischen Prozess, bei dem mehrere Werbetreibende auf eine Nutzerinformation bieten. Dieser Vorgang dauert in der Regel Sekundenbruchteile.
Die Gewinneranzeige mit dem höchsten Gebot ist diejenige, die der Nutzer sieht. Bevor jedoch gezielte Werbung angezeigt wird, ist es notwendig, die Erlaubnis des Nutzers zur Erhebung und Nutzung seiner Daten einzuholen. Die meisten Anwendungen und Websites nutzen dieses System; Eine solche Datenerfassung kann auch dann erfolgen, wenn Benutzer über ein sicheres Gerät verfügen.
Im vergangenen November forderte eine parteiübergreifende Koalition von Europaabgeordneten die Kommission auf, sich mit Echtzeit-Gebotspraktiken zu befassen, nachdem bekannt wurde, dass sensible Daten, unter anderem von europäischen Staats- und Regierungschefs, an den Meistbietenden versteigert würden.
Laut Ryan wird die neue Entscheidung des EU-Gerichtshofs „nicht nur die größte Spam-Aktion der Geschichte beenden“. Es wird der Online-Tracking-basierten Werbebranche eine tödliche Wunde zufügen.“
[Edited by Nathalie Weatherald]
