Urteil zu Werbe-Einwilligungen: Ringen um Deutungshoheit

5 days ago 15
Politik Rentenreform
Artikel Bild

Das juristische Tauziehen um den Einwilligungsstandard TCF für Online-Werbung hat vorerst ein Ende. Ob die Entscheidung eines belgischen Gerichts das intransparente Online-Tracking beenden wird, ist trotzdem unklar. Sowohl Datenschützer:innen als auch die Werbeindustrie verbuchen das Urteil als Erfolg.

Ein altmodisches Blechschild mit der Aufschrift "Cookies" – Gemeinfrei-ähnlich freigegeben durch unsplash.com Jon Tyson

Ein belgisches Berufungsgericht hat gestern im langjährigen Streit um einen technischen Standard zum Einholen von Einwilligungen ein Urteil gesprochen. Bereits vor der Veröffentlichung der Entscheidung hat das Ringen darum begonnen, welche Konsequenzen sie haben soll. Sowohl die belgische Datenschutzbehörde als auch die Werbeorganisation IAB Europe begrüßen das Urteil.

Für die Werbeindustrie steht viel auf dem Spiel: Das Transparency and Consent Framework (TCF) wird von den meisten Websites mit zielgerichteter Online-Werbung genutzt, um vermeintlich rechtssichere Einwilligungen ihrer Nutzer:innen zur Datenverarbeitung einzuholen. Bereitgestellt wird der Standard von der Branchenorganisation IAB Europe. 2022 hatte die belgische Datenschutzaufsicht mit dem Segen der anderen europäischen Datenschutzbehörden entschieden, dass das Framework gegen die Datenschutzgrundverordnung (DSGVO) verstößt.

IAB Europe wehrte sich vor Gericht gegen die Entscheidung. Unter anderem ging es um die Frage, ob die Organisation nur Anbieter eines technischen Standards sei, oder für Datenverarbeitungen mitverantwortlich ist, die durch den TCF-Einwilligungsmechanismus ermöglicht werden. Außerdem ging es um die Frage, ob dieser Datenschutzgrundsätze wie Privacy by Design und by Default verletze. Auch der Europäische Gerichtshof befasste sich im Zuge des Verfahrens mit Auslegungsfragen und folgte der Datenschutzbehörde in entscheidenden Fragen.

Kontrollverlust statt informierter Einwilligung

Die Entscheidung aus Belgien war einer der wenigen Versuche europäischer Datenschutzbehörden, die komplexe und undurchsichtige Infrastruktur hinter dem Online-Tracking ins Visier zu nehmen. Damit Werbetreibende möglichst genaue Zielgruppen für ihre Werbung auswählen können, sammelt die Branche im großen Stil Daten über die Online-Aktivitäten aller Nutzer:innen. Jedes Mal, wenn Menschen Websites mit Werbung aufrufen, werden Daten über sie mithilfe von Cookies und anderen Tracking-Techniken an hunderte Firmen verschickt, zum Beispiel ihre IP-Adressen, Standorte und Interessen.

In Millisekunden finden dann Auktionen darum statt, welche Firmen welchen Nutzer:innen ihre Werbung zeigen dürfen. Aufgrund der Geschwindigkeit wird des Verfahren Real-Time-Bidding genannt, Echtzeit-Bieten. Erlaubt ist das nur, wenn Nutzer:innen ihre informierte und freiwillige Einwilligung geben. Datenschützer:innen betonen jedoch seit langem, dass es praktisch nicht möglich sei, dieses System datenschutzkonform zu betreiben. Die Datenflüsse zwischen den hunderten Playern des Systems sind für Nutzer:innen weder nachvollziehbar, noch können sie sinnvoll intervenieren und Einwilligungen zurückziehen.

Erst im vergangenen Jahr hatte netzpolitik.org gemeinsam mit weiteren Medien aufgedeckt, wie einfach umfassende Standortdaten von Millionen Smartphones bei Datenhändlern zu erhalten sind. Dabei geriet auch eine litauische Firma in den Fokus, die von IAB Europe als Partner im Transparency and Consent Framework gelistet wird. Sie soll nach Angaben eines US-Databrokers die Quelle für die Daten aus dem System der Onlinewerbung sein.

Werbeorganisation begrüßt Urteil

Welche praktischen Auswirkungen das noch nicht veröffentlichte Urteil haben wird, ist gerade noch nicht abzusehen. Alle Beteiligten versuchen, die Entscheidung als Erfolg für sich zu verkaufen.

Das Transparency and Consent Framework, das auf 80 Prozent aller Websites eingesetzt werde, sei für „illegal“ erklärt worden, schreibt beispielsweise Johnny Ryan von der Bürgerrechtsorganisation Irish Council for Civil Liberties (ICCL). „Die heutige Entscheidung des Gerichts zeigt, dass das von Google, Amazon, X und Microsoft verwendete Einwilligungssystem Hunderte Millionen Europäer hinters Licht führt“, so Ryan in einer Pressemitteilung. Der Datenschützer, der früher selber in der Werbeindustrie gearbeitet hat, hatte mit strategischen Beschwerden die Untersuchung der belgischen Datenschutzbehörde angestoßen.

Die Tech-Branche habe versucht, „ihre massiven Datenschutzverletzungen hinter Schein-Einwilligungserklärungen zu verstecken“, so Ryan weiter. „Tech-Unternehmen haben die DSGVO zu einer täglichen Belästigung gemacht, anstatt sie als Schutzschild für die Menschen zu nutzen.“

Ganz anders legt IAB Europe die Entscheidung aus. In einer Pressemitteilung ist die Organisation bemüht, die Reichweite des Urteils herunterzuspielen und begrüßt es sogar. Sie betont, dass das Gericht der belgischen Datenschutzbehörde nur teilweise Recht gegeben habe. Anders als von dieser gefordert, sei IAB Europe nicht gemeinsamer Verantwortlicher für alle Daten, die in Zusammenhang mit dem TC-String für Werbezwecke erhoben würden. Der TC-String ist eine Kombination aus Buchstaben und Zahlen, in dem die Einwilligungspräferenzen der Nutzer:innen maschinenlesbar festgehalten werden.

Datenschutzbehörde freut sich über „Klarstellung“

IAB Europe betont, dass es dem Urteil zufolge nur für eben diesen TC-String mitverantwortlich ist, nicht alle damit zusammenhängenden Daten. Eine leicht angepasste Version des TC-Frameworks, die der Entscheidung des Gerichts Rechnung trägt, habe man der belgischen Behörde bereits 2023 zur Prüfung vorgelegt.

Tatsächlich hat das Gericht die ursprüngliche Entscheidung der belgischen Behörde nun aus formalen Gründen annulliert, wie auch die Datenschutzbehörde selbst bestätigt. Das verhängte Bußgeld in Höhe von 250.000 Euro muss IAB Europe dem Urteil zufolge trotzdem zahlen. Auch in einem anderen Punkt sieht sich die Behörde bestätigt: Wie zuvor der Europäische Gerichtshof habe auch das Berufungsgericht festgestellt, dass der TC-String grundsätzlich ein personenbezogenes Datum darstellt. IAB Europe hatte dies lange abgestritten.

Darauf aufbauend habe das Gericht festgestellt, „dass IAB Europe als gemeinsamer Datenverantwortlicher für die Verarbeitung der Nutzerpräferenzen innerhalb des TCF fungiert“, schreibt die Datenschutzbehörde. Das ist deutlich enger gefasst, als sie es ursprünglich wollte, entspricht im Kern aber ihrer Argumentation, dass die Werbeorganisation mitverantwortlich ist. Entsprechend begrüßt die Datenschutzbehörde die „Klarstellung wichtiger Konzepte der DSGVO“ und erwartet „nachhaltig positive Auswirkungen auf alle Beteiligten in der EU“.

„Branche muss sich von gefährlichem Tracking verabschieden“

Was daraus jetzt für die konkrete Praxis folgt, scheint allerdings auch der Datenschutzbehörde noch nicht klar zu sein. Sie müsse das Urteil zunächst im Detail analysieren, heißt es im Pressestatement.

Für Johnny Ryan und die ICCL ist klar, dass es nun an der Werbeindustrie liege, weitreichende Konsequenzen aus dem Urteil zu ziehen: „Diese Entscheidung (…) macht deutlich, dass die Branche innovativ werden und sich von der gefährlichen, ineffektiven und betrugsanfälligen Tracking-basierten Werbung verabschieden muss.“

Danach allerdings klingt es bei IAB Europe nicht. „Wir hoffen, dass dies den Beginn einer Rückkehr zu einem sinnvollen und konstruktiven Dialog mit den Regulierungsbehörden markiert, in dem technische und praktische Realitäten berücksichtigt werden“, schreibt die Chefin der Organisation, Townsend Feehan, über das Urteil. Nur so können man „umsetzbare und sinnvolle Weiterentwicklungen des TCF vorantreiben“, die sowohl Nutzer:innen als auch Werbefirmen dienen. Fortsetzung folgt.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Teilen:
Gesamten Artikel lesen

Ähnliche Artikel

Skurriler Fehler: Warum Sie auf dem iPhone nicht über Ben & Jerry's sprechen sollten

Skurriler Fehler: Warum Sie auf dem iPhone nicht über Ben & Jerry's sprechen sollten

Mehr lesen
Meta-KI: Jetzt widersprechen oder für immer schweigen

Meta-KI: Jetzt widersprechen oder für immer schweigen

Mehr lesen
Notizen im Alltag: Einfach ohne Apps mit der Nextcloud

Notizen im Alltag: Einfach ohne Apps mit der Nextcloud

Mehr lesen
Spenden, Spenden, Spenden

Spenden, Spenden, Spenden

Mehr lesen
Unterschätzte Gefahr: Netzteil von Temu-Schnäppchen explodiert – wer haftet nun?

Unterschätzte Gefahr: Netzteil von Temu-Schnäppchen explodiert – wer haftet nun?

Mehr lesen
Offener Brief: Zivilgesellschaft gegen Verhandlungen über europäischen Datenschutz

Offener Brief: Zivilgesellschaft gegen Verhandlungen über europäischen Datenschutz

Mehr lesen