Original-URL des Artikels: https://www.golem.de/news/gefahr-fuer-werbenetzwerke-wie-legal-ist-das-tracking-von-online-nutzern-1812-138244.html    Veröffentlicht: 14.12.2018 09:35    Kurz-URL: https://glm.io/138244

Gefahr für Werbenetzwerke

Wie legal ist das Tracking von Online-Nutzern?

Dürfen Websites ohne weiteres Daten von Websurfern an Werbenetzwerke weiterreichen? Die französische Datenschutzaufsicht CNIL weist einen französischen Werbenetzbetreiber in die Schranken und versetzt damit die internationale Online-Werbewirtschaft in Aufregung.

Welche Auswirkungen hat die EU-Datenschutzgrundverordnung (DSGVO) auf das Tracking von Internetnutzern? Eine erste Entscheidung, mit möglicherweise weitreichenden Folgen, hat inzwischen die französische Datenschutzaufsicht CNIL in dieser Frage getroffen. Demnach muss das französische Werbenetzwerk Vectaury sein System, mit dem es die Einwilligungen von Nutzern einholt und an Werbetreibende weiterreicht, gründlich überholen. Die CNIL hält das System nicht für DSGVO-konform. Vectaury betreibt ein Werbenetzwerk, das im Auftrag von Werbetreibenden Online-Werbeflächen auf verschiedenen Websites und Plattformen bucht.

Das Unternehmen bietet seinen Werbekunden ein Software Development Kit (SDK) an, mit dem diese über ihre Apps Informationen über das Gerät, den Browser und den Aufenthaltsort des Nutzers erheben können. Auf Basis der Daten werden Nutzerprofile erstellt, auf die Werbekampagnen zugeschnitten werden können. Die Datenerhebung soll dabei so genau sein, dass die Bewegungen von Nutzern in Ladenlokalen gemessen werden können, um zu überprüfen, wie die Online-Kampagnen erfolgreich sind.

Unzulässige Vermischung von App- und Werbefunktionen

Die Kritikpunkte der CNIL sorgen in der Werbewirtschaft für Aufsehen. Die Datenschutzaufsicht verlangt nämlich nicht nur eine konsistente Handhabung beim Einholen und Durchreichen von Einwilligungen an Dritte, sondern auch deutlich mehr Transparenz für den Nutzer. Sie fordert von Vectaury nun, die rechtswidrig erhobenen Daten zu löschen und innerhalb von drei Monaten folgende Mängel zu beseitigen:

Information über Standortdaten kommt zu spät: Die CNIL kritisiert, dass die Geodaten von der App standardmäßig erfasst werden. Nutzer, die dies über die Einstellungen ändern wollten, würden zu vorab angekreuzten Optionen geleitet. Doch genau dies beschreibt die DSGVO in Erwägungsgrund 32 des Artikel 7 als ungültige Einwilligung. Die CNIL bemängelt deshalb, dass die Nutzer "nicht systematisch" bereits beim Herunterladen der App darüber informiert werden, dass ein SDK ihre Standortdaten sammelt.

Appfunktionen und Datenweiterleitungen für Werbezwecke müssen getrennt werden: Die CNIL kritisiert, dass Nutzer die App nicht verwenden können, ohne dass das SDK deaktiviert ist. Die untrennbare Verbindung von App und SDK führe automatisch zur Übertragung der Daten an Vectaury. Werbetreibende müssen Nutzer aufklären: Die CNIL verlangt, dass die Unternehmen, die gezielt Werbung über das Werbenetzwerk schalten wollen, den Nutzer darüber informieren, welche weiteren Empfänger seine Daten erhalten.

Transparenz über AGB reicht nicht: Die Nutzer werden "zum Zeitpunkt der Installation" nicht über den Werbezweck sowie über die Identität der verantwortlichen Datenverarbeiter informiert. Laut CNIL genügt es nicht, den Nutzer über die AGB zu informieren. Eine informierte Einwilligung erfordere eine vorhergehende Information.

Entscheidung mit internationaler Sprengkraft

Die Entscheidung zieht inzwischen international Kreise: Vectaury hatte als Lösung des Einwilligungsproblems die Consent-Management-Plattform des internationalen Dachverbands Interactive Advertising Bureau (IAB) vorgeschlagen und implementiert. Mit der Lösung wird die Einwilligung an jeden im Werbenetzwerk beteiligten Werbetreibenden durchgereicht. Doch auch damit zeigte sich die CNIL nicht zufrieden, da die Informationen an den Nutzer immer noch "unzureichend" seien.

Werbewirtschaft steht vor Problemen

Der IAB reagierte darauf umgehend: Nicht seine Framework-Lösung sei das Problem, sondern die Implementierung durch Vectaury. Entscheiden sei, dass der Nutzer nicht ausreichend darüber informiert wurde, für wen welche Daten erhoben werden. Vectaury hätte selbst überprüfen müssen, ob eine rechtmäßige Einwilligung vorliegt. Die Firma hatte sich jedoch lediglich auf die mit den Werbekunden und App-Betreibern geschlossenen Verträge verlassen. Daher wurde das Unternehmen vorübergehend vom IAB-Consent-Framework ausgeschlossen.

Michael Neuber, Justiziar des Bundesverbands Digitale Wirtschaft (BVDW), erklärt das Problem gegenüber Golem.de so: "Werbetreibende und ihre Partner brauchen eine eigene Nachweismöglichkeit für die vom Nutzer erteilte Einwilligung. Nach Ansicht der CNIL kann man sich hier nicht nur auf Verträge verlassen, sondern man muss sich selbst davon überzeugen." Im Rahmen der IAB-Europe-Framework-Lösung werde an einem entsprechenden Verfahren gearbeitet, um die Nachweismöglichkeit auf technischer Ebene durch eine eindeutige Signalkette bieten zu können. "Die Voraussetzungen für rechtswirksame Einwilligungen muss aber jede verantwortliche Stelle nach wie vor selbst erfüllen," sagte Neuber auf Anfrage von Golem.de.

Wie belastbar sind die Einwilligungen?

Das Online-Fachmagazin Adzine sieht "einiges an Sprengkraft" in der CNIL-Entscheidung. Viele Werbetreibende müssten nun ihre Einwilligungen samt Einholungsmechanismen "ernsthaft hinterfragen". Eine von der IAB zertifizierte Lösung sei keine Garantie dafür, tatsächlich gültige Einwilligungen zu generieren, schreibt dort die Juristin Lisa Gradow. Mit der Entscheidung über Vectaury sei der Fall nicht abgeschlossen. Denn die britische Bürgerrechtsorganisation Privacy International legte der CNIL erst vor kurzem eine Beschwerde über mehrere große Adtech-Unternehmen und deren Nutzerprofil-bezogene Werbepraxis vor.

Die Schlagkräftigkeit der CNIL ist mit den deutschen Aufsichtsbehörden nicht zu vergleichen: Die zentrale Behörde verfügte 2017 über knapp 200 Mitarbeiter, unter anderem eine eigene Technikabteilung, die sich mit technischen Innovationen befasst. In der Artikel-29-Gruppe, der Vorgängerorganisation des Europäischen Datenschutzausschusses, spielte die CNIL neben der britischen Aufsichtsbehörde CIO eine prominente Rolle. Es ist daher zu erwarten, dass ihre Entscheidung auch auf europäischer Ebene Wirkung zeigen wird.

Folgen für die deutsche Werbewirtschaft

Die Datenschutzkonferenz der 18 deutschen Aufsichtsbehörden stellte in einer Orientierungshilfe zur Direktwerbung (PDF) bereits klar, dass auf die Einwilligung der Betroffenen nicht verzichtet werden kann, wenn Nutzerprofile oder Verhaltensprognosen erstellt werden. In der Auslegung der Datenschutzgrundverordnung gibt es damit zwischen der Datenschutzaufsicht in Deutschland und Frankreich keine erkennbaren Unterschiede. Für die hiesige Werbebranche, die sich in vielen Fällen bisher auf das "berechtigte Interesse" als Rechtfertigungsgrund verlässt und in diesen Fällen keine Einwilligung einholt, wird sich damit einiges ändern.

Rebekka Weiß, Bereichsleiterin Datenschutz des IT-Branchenverbandes Bitkom findet die Auffassung der CNIL jedenfalls "nicht überraschend". Weiß sagte Golem.de, dass es "in jedem Fall für eine wirksame Einwilligung eine Benennung der Zwecke der Datenverarbeitung braucht". Wichtig sei, dass jedoch die Einwilligung "praxisnah einholbar bleibt". Würden die Voraussetzung dafür immer höher angesetzt, müssten sehr lange Infotexte um die Einwilligung gebaut werden. Ob dies dann aber zu einer wirklich "transparenten, übersichtlichen Datenverarbeitung führen kann, ist doch wenigstens zweifelhaft."  (csh)


Verwandte Artikel:
E-Privacy-Verordnung: Verleger und Startups wollen mehr Daten verarbeiten dürfen   
(07.03.2018, https://glm.io/133201 )
ePrivacy-Richtlinie: Stillstand bei der Cookie-Bändigung   
(30.08.2013, https://glm.io/101273 )
Machine Learning: Gesichter auf Taylor-Swift-Konzert unbemerkt gescannt   
(13.12.2018, https://glm.io/138238 )
EU-Zertifizierung: Neues Gesetz soll das Internet sicherer machen   
(11.12.2018, https://glm.io/138190 )
TK-Kodex beschlossen: EU deckelt Telefongebühren für Auslandsanrufe   
(14.11.2018, https://glm.io/137707 )

© 1997–2020 Golem.de, https://www.golem.de/