Belgische Datenschutzaufsicht: Zentraler Standard für Cookie-Banner rechtswidrig

Die belgische APD hat mit dem Transparency & Consent Framework die wichtigste Schaltstelle für personalisierte Werbung für unzulässig erklärt – das hat Folgen.

In Pocket speichern vorlesen Druckansicht 89 Kommentare lesen

(Bild: Datenschutz-Stockfoto/Shutterstock.com)

Lesezeit: 4 Min.
Von
  • Torsten Kleinz
Inhaltsverzeichnis

Die belgische Datenschutzbehörde Autorité de protection des données (APD) hat einen für die Onlinewerbung zentralen Standard für datenschutzrechtlich unzulässig erklärt und der Werbe-Organisation IAB Europe ein Bußgeld von 250.000 Euro aufgebürdet. Zudem wurden die IAB aufgefordert, alle gesammelten Daten zu löschen. Da die Entscheidung nach dem "One Stop Shop"-Prinzip der Datenschutz-Grundverordnung gefallen ist, gilt sie für die gesamte EU – und könnte enorme Auswirkungen auf die Werbe- und Medienbranche haben.

Das Transparency & Consent Framework (TCF) ist der zentrale Standard hinter Cookie-Bannern und personalisierter Werbung. Kernaufgabe des TCF ist die Weitergabe des Einverständnisses in die Datenverarbeitung zu Werbezwecken. Sobald Nutzer bei einem Cookie-Banner auf "Akzeptieren" klicken, wird ein sogenannter TC-String erzeugt und an alle Partner geschickt, die am sogenannten OpenRTB-System teilnehmen. Aufgrund dieses TC-Strings werden Nutzerprofile zusammengestellt, die dann die Grundlage für Echtzeit-Werbeauktionen bilden, mit denen einzelne Werbeplätze unter oft Hunderten Firmen versteigert werden.

In ihrer mit europäischen Kollegen abgestimmten Entscheidung halten die belgischen Datenschützer fest, dass nicht nur die Werbeprofile, sondern bereits der TC String als personenbezogenes Datum gelten muss, da der String mit der IP-Adresse kombiniert werden kann, um die Nutzer identifizierbar zu machen.

Allein diese Feststellung ist ein Debakel für die Werbeindustrie, da diese TC Strings nun selbst nach den Regeln der DSGVO behandelt werden müssen. Das bedeutet nicht nur, dass Nutzer informiert zustimmen müssen, damit diese Daten problemlos übertragen werden können – benötigt wird auch ein offizieller Verantwortlicher, der für die Datenweiterverarbeitung Tausender Firmen geradesteht.

Die IAB Europe hatte bereits in den vergangenen Monaten klargemacht, dass sie diese Rolle nicht einnehmen will. Das TCF wurde gerade deshalb als "freiwilliger Standard" konstruiert, um eine solche Haftung zu vermeiden. Doch wer an dem System nicht teilnimmt, muss im Werbegeschäft mit erheblichen Verlusten rechnen.

Auch mit der konkreten Ausgestaltung des TCF haben die Datenschützer Probleme. Die Kategorien, denen die Nutzer bei Cookie-Bannern zustimmen sollen, sind laut der Entscheidung viel zu vage, als dass den Nutzern klar werden könnte, welchen Umfang die Datenweitergabe im Hintergrund habe. Auch bestehe keine Möglichkeit für die Nutzer, die verarbeiteten Daten effektiv nachzuvollziehen.

"Menschen werden aufgefordert, ihre Zustimmung zu geben, aber die meisten von ihnen wissen nicht, dass ihre Profile viele Male am Tag verkauft werden, um ihnen personalisierte Werbung zuzuteilen", erklärt der für das Verfahren zuständige Datenschützer Hielke Hijmans. Die IAB Europe habe nun zwei Monate Zeit, zu erklären, wie sie das System auf eine legale Basis stellen will.

Die IAB Europe will rechtliche Schritte gegen diese Entscheidung einleiten. Insbesondere wendet sich die Organisation gegen die Feststellung, dass sie als "Controller" für die Daten verantwortlich sein soll. Darüber hinaus betont IAB Europe, dass nicht das TCF an sich, sondern die konkrete Ausgestaltung für unzulässig befunden wurde. Man sei optimistisch, innerhalb eines halben Jahres mit der Behörde eine für beide Seiten zufriedenstellende Lösung zu finden.

Das Verfahren geht auf eine Beschwerde des Irish Council for Civil Liberties (ICCL) und anderer europäischer Bürgerrechtsorganisationen zurück. "Die heutige Entscheidung befreit Hunderte Millionen Europäer von dem Konsens-Spam und von der tieferen Gefahr, dass ihre persönlichsten Daten unter Tausenden von Firmen herumgereicht werden", erklärte ICCL-Vertreter Johnny Ryan. Das Milliardengeschäft mit personalisierter Werbung könne nach der Entscheidung der belgischen Datenschützer nicht wie bisher funktionieren.

Unterdessen arbeitet die Werbebranche bereits daran, das Geschäftsmodell zu retten. Bereits im Vorfeld der Entscheidung hatte die IAB Europe begonnen, sich auf die neuen Gegebenheiten einzustellen. So wurde ein Programm zur "Vendor Compliance" aufgelegt, das die Bedenken gegen die Weitergabe von Werbeprofilen an Hunderte Bieter ausräumen soll. Kritiker wie Ryan halten diesen Versuch allerdings für aussichtslos, da die Daten viel zu weit gestreut würden, um eine wirkungsvolle Kontrolle auszuüben.

(vbr)