Müssen Webseitenbetreiber jetzt das Verbot der Cookies und der Echtzeitwerbung fürchten? Die Entscheidung der belgischen Datenschutzbehörde (APD) ist ein großer Rückschlag für die Internetwerbung. Das neue Gesetz bedeutet im Wesentlichen, dass alle Websites, auf denen die Nutzerinnen und Nutzer der Anzeige von Werbung zustimmen können, ungültig sind. Für diese Echtzeitwerbung werden Cookies eingesetzt — meist ohne eine korrekte Rechtsgrundlage.
Der Aufschrei ist riesig. Kein Wunder — laut einer Meldung der INTERNET WORLD AUSTRIA werden die weltweiten Ausgaben im Jahr 2021 für digitale Werbung auf knapp 400 Milliarden US-Dollar steigen. Die Webseitenbetreiber und die dahinterliegende Werbebranche haben ein natürliches Interesse an einer zielgenauen Bewerbung ihrer Zielgruppen.
HINTERGRUND ZUr REAL-TIME-Werbung?
Der europäische Verband für digitales Marketing und Werbung (IAB Europe) hat ca. 1.200 Mitglieder, wie z.B. Google und legt die Regeln für ein Verfahren fest, mit dem die Einwilligungen von Webseitenbesuchern eingeholt werden. Dabei geht es im Grunde genommen darum, die Einwilligung in ein Profiling für Werbezwecke zu erhalten. Dazu wurde ein Rahmen festgelegt, den alle Mitglieder nutzen müssen („Transparency & Consent Framework (TCF)“).
Das Konzept des Real-Time Bidding gibt es schon seit Jahren und wurde erstmals im Jahr 2000 eingeführt. Das Protokoll OpenRTB ermöglicht diese Art von Anzeigensystem in Echtzeit, wenn Nutzerinnen und Nutzer Websites mit Anzeigen besuchen. Auf diese Weise können die Mitglieder des IAB Europe miteinander konkurrieren, während sie noch online aktiv sind. Statistiken geben Auskunft, wie viel Traffic bestimmte Websites aus verschiedenen Regionen oder Ländern auf der ganzen Welt erhalten.
So funktioniert es: Wenn ein Benutzer eine Website aufruft, wir ihmn eine ID-Nummer zugewiesen. Der Webserver protokolliert die Besuche der vorherigen Webseiten und erstellt dadurch ein Profil des Benutzers. Diese Informationen führen zu einer passgenauen Werbung auf jeder Website, was zu höheren Einnahmen in zukünftigen Werbekampagnen führen kann.
Was SAGt die Belgische Aufsichtsbehörde?
Die Aufsichtsbehörde in Belgien hat entschieden, dass diese Nutzeridentifikationsnummern personenbezogene Daten sind, die auch für die Nutzerprofile und den gesamten Prozess gelten. Die Verarbeitung des TC-Strings ist nach der DSGVO rechtswidrig.
- Die eingeholten Einwilligungen sind ungültig, weil die Nutzerinnen und Nutzer nicht wissen, wozu sie ihre Zustimmung geben, und es keine Möglichkeit gibt, dies herauszufinden, da dies ohne Transparenz durchgeführt wird. Die Webseitenbetreiber müssen vorab transparent darüber informieren, wie die Daten der Besucher verwendet werden. Aufgrund der Komplexität der Datenverarbeitung ist dies nur sehr schwer möglich.
- Auch andere Rechtsgrundlagen, wie z.B. die Interessenabwägung können nicht verwendet werden, weil die Rechte und Freiheiten der Webseitenbesucher bei einer Profilbildung für Werbezwecke meist überwiegen.
- Zu allem Erstaunen wird die IAP Europe als Gemeinsam Verantwortlicher mit den Mitgliedern angesehen. Damit ergeben sich mannigfaltige Pflichten für das Unternehmen und die Pflicht für die Mitgliedsunternehmen, die entsprechenden Pflichten der DSGVO umzusetzen.
- Es wurde ein Bußgeld von 250.000 EUR verhängt.
- IAP Europe hat sechs Monate Zeit, um das bestehende Verfahren gesetzeskonform zu gestalten — sonst drohen Bußgelder gem. Art. 83 DSGVO
Einschätzung zum Verfahren gegen IAB Europe
Die Entscheidung der belgischen Behörde hinterlässt den Eindruck, dass Echtzeitgebotsverfahren nicht nur unbequem, sondern auch gesetzlich verboten sind. In Europa scheint es keinen Weg an diesem Problem vorbei zu geben, denn die EU-Aufsichtsbehörden halten sie für zu kompliziert, um von den Nutzern verstanden zu werden. Einwilligungen können nicht erteilt werden, ohne vorher zu verstehen, was in der Datenverarbeitung vor sich geht!
Bislang konnte das IAB Europe die persönliche Haftung vermeiden, indem es sich selbst als zentrale Kontrollinstanz für die Datenverarbeitung bezeichnete. Aber jetzt, wo sie — nach Auffassung in der Aufsichtsbehörde in der Haftung ist , muss sie sicherstellen, dass die Zustimmungsverfahren transparent sind und alle beteiligten Unternehmen die lokalen Gesetze einhalten.
Alle beteiligten Unternehmen tragen ebenfalls eine Mitverantwortung. Sie sind darauf angewiesen, dass das IAB Europe den Anforderungen einer Datenschutzaufsichtsbehörde nachkommt.
Es ist wahrscheinlich, dass die IAB Europe gegen die Entscheidung rechtlich vorgeht — auch mit ungewissem Ausgang. Die Einwilligungsbanner sind aktuell so intransparent und benutzerunfreundlich gestaltet, dass ein “Weiter so” nicht möglich ist. Die Banner sind aktuell so gestaltet, dass möglichst viele Benutzer ihre Einwilligung geben.
Was müssen Unternehmen jetzt tun?
Die belgische Behörde hat eine Entscheidung getroffen, die sich auf die gesamte Werbung in Europa auswirken wird. Damit die neuen Regeln in Kraft treten können, müssen sie von anderen nationalen Behörden in den Mitgliedsstaaten genehmigt und grenzüberschreitend durch Gesetze oder Verordnungen umgesetzt werden.
Aktuell besteht das Risiko für Mitgliedsunternehmen, dass die Werbung nach dem TCF auf der Webseite nicht gesetzeskonform und für alle sichtbar erfolgt. Aufsichtsbehörden in Deutschland werden sich gut überlegen, in das laufende Verfahren einzugreifen — zumindest in den nächsten 6 Monaten. Ob das für Verbraucherzentralen oder für LegalTech-Firmen genauso gilt, bleibt abzuwarten.
Fazit
Im Jahr 2022 wird es spannend sein zu sehen, ob und wie die wirtschaftlichen Interessen der Website-Besucher/innen von den Aufsichtsbehörden beurteilt werden. Ich unterstütze Sie in diesem dymischen Umfeld. Buchen Sie jetzt ein kostenloses Erstgespräch, in dem ich Ihre ersten Fragen beantworte.
