Onlinewerbung: Belgisches Gericht beendet Cookiebanner-Streit mit klarem Urteil

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Ein Berufungsgericht in Belgien hat im Streit um den wichtigsten Standard für Echtzeit-Werbung im Internet nun Klarheit geschaffen: Die über Jahre genutzte Version verstößt massiv gegen das Datenschutzrecht. Das könnte Folgen für den gesamten Markt der Onlinewerbung in der Europäischen Union haben.

Bereits im vergangenen Jahr hatte der Europäische Gerichtshof in einer Grundsatzentscheidung festgestellt, dass es sich bei dem sogenannten Transparency- und Consent-String, um ein personenbezogenes Datum im Sinne der Datenschutzgrundverordnung handelt. Dieser Transparenz- und Einwilligungsstring ermöglicht seitenübergreifend eine Identifikation der Nutzer. Das Framework wird vom Verband der Onlinewerbeindustrie IAB Europe entwickelt. In einem 2019 angestoßenen Verfahren der belgischen Datenschutzaufsicht APD wurde seit Jahren um Klarheit gerungen.

Gibt ein Nutzer auf einer der vielen Webseiten, die das TCF-Framework der IAB Europe verwenden, seine Präferenzen zu Werbung an, wird das per Cookie vermerkt und auch allen anderen Websites zur Verfügung gestellt, die auf diesem Framework basierend im Rahmen des sogenannten OpenRTB-Protokolls in Echtzeit Anzeigenplätze vermarkten. Für diesen Prozess wird durch IAB Europe der TC-String erzeugt, um die Angaben einem Nutzerprofil zuordnen zu können. Nach Vorlagefragen durch das belgische Berufungsgericht für Wirtschaftsfragen erklärten die Richter EuGH bereits, dass es sich beim TC-String um personenbezogene Daten im Sinne der DSGVO handele – die belgischen Richter mussten nun allerdings die konkreten Folgen dieser Einschätzung in ihrem Urteil ausdefinieren.

Werbeverband bleibt optimistisch

In einer ersten Reaktion sieht Hielke Hijmnans von der belgischen Datenschutzaufsichtsbehörde APD vor allem zwei Kernpunkte: "Dass diese Entscheidung des Marktgerichts, ebenso wie die Entscheidung des EuGH 2024, unsere Position bestätigt, dass der TC String ein personenbezogenes Datum ist und dass IAB Europe als Verantwortlicher für die Verarbeitung der Nutzerpräferenzen im Rahmen des TCF fungiert." Für alles Weitere müsse der Urteilsspruch, der auf flämisch heute von der ICCL veröffentlicht wurde, jetzt gründlich analysiert werden.

Die Entscheidung zeige, "dass das von Google, Amazon, X und Microsoft verwendete Einwilligungssystem Hunderte Millionen Europäer täuscht", sagt Johnny Ryan vom Irish Council for Civil Liberties. Ryan kämpft seit Jahren gegen aus seiner Sicht unzulässige Datenverarbeitungen und ist gemeinsam mit anderen europäischen Datenschutzaktivisten als Nebenkläger am Verfahren beteiligt. Es sei die Schuld der Unternehmen, dass die Datenschutzgrundverordnung in ein "tägliches Ärgernis verwandelt" worden sei, statt die Menschen zu schützen. Für Ryan ist klar: "Die Tech-Industrie hat versucht, ihre riesigen Datenschutzverstöße hinter unechten Einwilligungs-Popups zu verstecken."

Neue Version des TC-Strings

Auch beim Verband der Onlinewerbeindustrie IAB Europe gibt man sich mit dem gestrigen Urteil des belgischen Gerichts zufrieden – allerdings aus ganz anderen Gründen. Zum einen, weil die Richter den Bescheid der belgischen Datenschutzaufsichtsbehörde APD aus formalen Gründen aufhoben. Der hätte eine Bußgeldzahlung von 250.000 Euro bedeutet. Zum anderen atmet IAB Europe aber auch deshalb auf, weil mit dem Urteil festgestellt wird, dass der Verband nicht verantwortlicher Datenverarbeiter über den TC-String hinaus ist – dies seien die einsetzenden Unternehmen. Außerdem, so IAB Europe, habe man bereits eine neue Version 2.2 des Standards entwickelt, die dem Urteil aus Verbandssicht bereits Rechnung trage – auf das "legitime Interesse" nach DSGVO können sich die Firmen für Profiling-Zwecke nun nicht mehr berufen.

Der Bußgeldbescheid der APD wird nun durch das Gerichtsurteil ersetzt. Dass nun diejenigen Unternehmen, die jahrelang auf das TCF als Standard gesetzt haben und dabei unrechtmäßig mit personenbezogenen Daten gearbeitet haben, ebenfalls mit Bescheiden durch zuständige Behörden rechnen dürfen, ist aber nur ein Aspekt. Durch die fehlende Rechtsgrundlage für die Verarbeitung könnten sowohl auf IAB Europe als auch auf die den TCF-Standard nutzenden Werbemarktbetreiber Schadenersatzforderungen zukommen. Diese könnten eine mögliche Bußgeldstrafhöhe überschreiten, denn immerhin war von der unrechtmäßigen Verarbeitung wohl fast jeder Internetnutzer in der EU betroffen. Selbst eine individuell geringe Entschädigung könnte hier also große Summen nach sich ziehen.

(nie)