Einwilligung: Europäischer Gerichtshof urteilt gegen Baustein der Werbeindustrie

Nach einem Urteil des Europäischen Gerichtshof müssen große Teile der Werbewirtschaft reagieren. Ein verbreitetes System zur Einwilligung steht in Frage, was Datenschützer:innen freut.

Der Europäische Gerichtshof (EuGH) hat zu einem zentralen Baustein bei der personalisierten Online-Werbung und seiner Vereinbarkeit mit der Datenschutzgrundverordnung geurteilt. Das hatte im Jahr 2022 schon die belgische Datenschutzbehörde festgestellt und den für diesen Baustein verantwortlichen Verband IAB Europe mit Auflagen und Geldbußen belegt. Der Verband hatte sich dagegen teilweise gerichtlich gewehrt, doch der EuGH urteilte jetzt in einer Vorabentscheidung im Sinne der belgischen Datenschutzbehörde.

Konkret geht es um den sogenannten TC-String, das TC steht für „Transparency and Consent“. In einer Zeichenkette steht, welche Datenschutzeinstellungen ein Nutzer gewählt hat. Also etwa welcher Verarbeitung er zustimmt oder ob er sie ablehnt. Mit seinem Urteil bestätigt der Gerichtshof, „dass der TC-String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne der [Datenschutzgrundverordnung] DSGVO darstellt“, heißt es in der Pressemitteilung des Gerichts (PDF).

Anhand der in einem TC-String enthaltenen Informationen könne nämlich, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und die betreffende Person identifiziert werden, so das Gericht weiter. Das Gericht bestätigte auch, dass IAB Europe als „gemeinsam Verantwortlicher“ anzusehen ist.

Wie funktioniert das Werbesystem?

Eine der Funktionsweisen von personalisierter Werbung im Internet ist die Echtzeit-Versteigerung, bei der Werbetreibende darum bieten, bei bestimmten Nutzer:innen-Profilen Werbung anzeigen zu können. Wie wir hier ausführlicher erklären, funktioniert das System von zielgerichteter Werbung im Netz so:

Jeder Besuch bei einer teilnehmenden Website löst eine Auktion unter den Anbietern von Werbeanzeigen aus. Unter anderem anhand der gewünschten Preise und des Datenprofils der Nutzerin entscheidet sich in Millisekundenschnelle, welche Werbung sie zu sehen bekommt. Damit dieses Real-Time-Bidding (RTB), also das Bieten in Echtzeit, funktioniert, müssen die Werbefirmen wissen, mit wem sie es zu tun haben: Alter, Geschlecht, Interessen, besuchte Websites, Wohnort, Kaufkraft und so weiter sind wichtige Kriterien, nach denen die Zielgruppen für Anzeigen zusammengestellt werden.

Wegen der Datenschutzgrundverordnung braucht es aber die Einwilligung der betroffeneren Personen zur Datenverarbeitung. Und hier kommen die Cookie-Banner ins Spiel, bei der Menschen zum Beispiel „Akzeptieren“ geklickt haben. Denn dieser Klick wird auch gespeichert – und zwar vom Transparency and Consent Framework (TCF) von IAB Europe, einem Verband in Belgien. Dieser erzeugt den oben schon genannten TC-String.

IAB Europe hat also ein technisches System entwickelt, welches das Versteigerungssystem mit der DSGVO in Einklang bringen können soll. Wie der EuGH beschreibt, werden die Nutzerpräferenzen in einem aus einer Kombination von Buchstaben und Zeichen bestehenden String kodiert und gespeichert. Dieser werde mit Brokern für personenbezogene Daten und Werbeplattformen geteilt wird, damit diese wissen, worin der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Auf dem Gerät der Nutzer:innen wird dabei auch  ein Cookie gespeichert. „Miteinander kombiniert, können der TC-String und das Cookie der IP-Adresse dieses Nutzers zugeordnet werden“, so das Gericht weiter.

„Tödliche Wunde“ für Online-Werbeindustrie

Aufgrund dieser technischen Konstruktion hält das Gericht den TC-String für ein personenbezogenes Datum. Seit der Einführung der Datenschutz-Grundverordnung vor fast sechs Jahren seien die Menschen in ganz Europa täglich auf fast jeder Website und App von Zustimmungs-Popups geplagt worden, sagt Johnny Ryan vom Irish Council for Civil Liberties.

Der Verband IAB Europe habe versucht, sich seiner Verantwortung für diese Scharade zu entziehen. „Aber der Europäische Gerichtshof hat es richtig gestellt. Diese Entscheidung wird nicht nur die größte Spam-Operation der Geschichte beenden. Sie wird der auf Tracking basierenden Online-Werbebranche eine tödliche Wunde zufügen“, so Ryan weiter.

Katarzyna Szymielewicz von der polnischen Panoptycon Foundation und eine der Beschwerdeführerinnen, bezeichnete die Entscheidung als „wichtiges Urteil“ im Kampf um die Online-Privatsphäre.

Der Online-Werbeexperte Wolfie Christl ist erfreut darüber, dass endlich geklärt sei, wer für die flächendeckende Belästigung mit den manipulativen, sinnlosen und nervigen Einwilligungs-Bannern verantwortlich ist. „Das muss nun Konsequenzen haben. Das TCF-System hat eine Pseudo-Rechtfertigung für die massenhafte illegale Weitergabe persönlicher Daten geliefert. Die DSGVO-Aufsichtsbehörden in ganz Europa müssen den Verzögerungstaktiken der Tracking-Lobby ein Ende machen und jetzt entschlossen gegen illegales digitales Profiling im Netz vorgehen“, so Christl weiter.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.