Sie gelten als eine der wichtigsten Standards im Online-Werbesystem und dennoch verstoßen sie scheinbar gegen die Datenschutzgrundverordnung (DSGVO). Die Rede ist von den sogenannten Cookie Bannern. Diese sollen anscheinend mit der aktuellen Datenschutzgrundverordnung kollidieren. Doch um welche Datenschutzverstöße handelt es sich? Und sind tatsächlich alle personenbezogenen Daten betroffen?
APD-Entscheidung zum TCF
Es ist die Datenschutzbehörde APD (Autorité de protection des données) in Belgien, die jetzt konsequent eingreift. Sie hat den für die Onlinewerbung geltenden Standard TCF (Transparency & Consent Framework) allgemeinhin für unzulässig bestimmt. Aus diesem Grund soll die Werbeorganisation IAB Europe nun ein Bußgeld von rund 250.000 Euro aufbringen. Gleichzeitig sind alle gesammelten Daten zu löschen.
Diese Entscheidung erfolgte nach dem One-Stop-Shop Prinzip der derzeit geltenden Datenschutzgrundverordnung. Demzufolge gilt diese Maßgabe für die ganze EU. Denn: Nicht nur die Werbeprofile, sondern auch der TC-String sind für das Debakel verantwortlich. Der String lässt sich nämlich mit der jeweils verwendeten IP-Adresse kombinieren, so dass sich jeder Nutzen klar identifizieren lässt. Ein klarer Verstoß gegen die gültige Datenschutzgrundverordnung.
Elementarer Baustein für Targeting und Cookie-Banner illegal
Die TCF gilt als zentraler Standard für alle bekannten und allseits geächteten Cookie Banner. In diesem Zusammenhang hat die TCF bereits in der Vergangenheit immer mal wieder Kritik einstecken müssen. Hier hat es sich vorrangig um datenschutzbehördliche Entscheidungen gehandelt. Dabei hat die TCF eigentlich die Aufgabe, das Einverständnis zur Weitergabe der Datenverarbeitung hinsichtlich Werbezwecke einzuholen. Dies geschieht mitunter mit Cookie-Bannern. Diese werden immer wieder weiterentwickelt, gab es bereits Vorgehensweise, die Verstöße der Datenschutzgrundverordnung erkennen ließen. Klicken Nutzer bei einem Cookie-Banner auf den Text „Akzeptieren“, erfolgt ein sogenannter TC-String. Dieser stellt Nutzerprofile, die in Echtzeit an gesonderte Werbepartner weitergeleitet oder versteigert werden.
Doch damit soll nun Schluss sein. Datenschützer sind dagegen nun vorgegangen. Diese TC-Strings enthalten schließlich personenbezogenen Daten, die jedoch gemäß der Datenschutzgrundverordnung zu behandeln sind. Demzufolge ist die Einverständniserklärung des jeweiligen Nutzers erforderlich. Gleichwohl ist ein Verantwortlicher zu bestimmen, der für die Verarbeitung persönlicher Daten zahlreicher Firmen weltweit in Haftung geht. Dieser kann wie ein Datenschutzbeauftragter auftreten und als Ansprechpartner fungieren. Denn: Zahlreiche Nutzern ist nicht bewusst, welche Wirkung die Datenweitergabe konkret für sie hat – von der Datenschutzgrundverordnung ganz zu schweigen.
IAB Europe fechtet Entscheidung an
Natürlich sind mit diesem Vorwurf nicht alle Parteien einverstanden. So hat IAB Europe bereits verkündet, gegen die Vorwürfe und Maßnahmen rechtliche Schritte einzuleiten. Dabei sieht sich IAB Europe im Vorteil und blickt frohschaffend in die Zukunft. So solle es für alle Seiten eine zufriedenstellende Lösung geben. Anhand von Prüfungen und Datenschutzberatung soll ermittelt werden, ob die Cookie-Banner tatsächlich gegen die Datenschutzgrundverordnung verstoßen.
Werden Cookie Banner bald illegal?
Einige Webseiten lassen Besuchern gar keine andere Wahl. Bevor sie Zugriff auf den Inhalt der Webseite haben, müssen sie die Cookie Banner „akzeptieren“. Was das genau bedeutet, ist vielen Nutzern oftmals gar nicht bewusst. Dabei fungiert der Banner wie ein digitaler Türsteher. Entweder akzeptieren Besucher die Bedingungen oder ziehen ihrer Wege. Ziel der Cookie-Banner ist es dabei, so viele Daten des Besuchers zu sammeln, wie nur möglich. Mit diesen Daten erstellen Systeme wiederum separate Profile, die an Dritte weitergeleitet weiterverkauft werden.
Webseitenbetreiber sehen sich in dieser Hinsicht im Vorteil, ist eine Webseite schließlich auch irgendwie zu finanzieren. Doch das geht oftmals zulasten der Besucher. Bei den Cookies handelt es sich oftmals um Statistiken- und Marketing-Cookies sowie notwendige Cookies.
Hier sieht die APD jedoch ein Problem. Gemäß der Datenschutzgrundverordnung sollen nämlich die Besucher die Wahl haben, ob ihre Daten zur Verfügung stehen oder nicht. Solange diese Maßgabe nicht vollzogen ist, gelten Cookie-Banner als illegal. Durch ihren Einsatz gelangen Webseitenbetreiber durch eine „unterbewusste“ Einwilligung der Besucher an Daten. Gemäß der DSGVO muss jedoch jede Einwilligung freiwillig, konkret und eindeutig sein. Jeder Webseitenbenutzer muss sich also klar für die Verwendung seiner Daten aussprechen. Gleichzeitig muss er aktiv seine Zustimmung zur Weiterverarbeitung seiner Daten an Dritte geben. Das passive Konstrukt, der bereits voreingestellten Maßnahmen ist ungültig und illegal. Eine gültige Einwilligung lässt sich durch dieses Verhalten nicht erzielen.
Ob die Cookie Banner nun verschwinden oder eine spezielle Cookie Banner Pflicht Einzug hält, bleibt abzuwarten. Es bleibt auf jeden Fall interessant und spannend.
Wir haben außerdem zwei Beiträge zum Bundesdatenschutzgesetz, der in dem Zusammenhang interessant sein könnte. Hier geht es zu: Bundesdatenschutzgrundgesetz Teil 1 und Bundesdatenschutzgrundgesetz Teil 2
Bild: AdobeStock_400159408, DatenschutzStockfoto
