Grundsatzfrage geklärt, Problem gelöst oder gar der Todesstoß? — Der EuGH zu Cookies und dem Datenschutz
So oder so ähnlich wird das aktuelle EuGH-Urteil (Az. C‑604/22 IAB Europe) zum Thema Datenverarbeitung bei personalisierter Werbung in der hiesigen Presse kommentiert.
Die Verquickung von Cookies und Datenschutz ist oft ein Grund dafür, dass noch immer gebetsmühlenartig wiederholt wird, der Datenschutz trägt Schuld an diesen nervigen Cookie-Bannern. Doch dazu später mehr…
Um was geht’s bei dem Urteil genau?
Schon 2022 kam die belgische Datenschutzbehörde zu dem Schluss, dass das System des Transparency and Consent framework (TCF), mit dem der Werbeverband Interactive Advertising Bureau Europe (IAB), bzw. Werbetreibende im Internet Einwilligungen von Nutzer:innen für ihre personalisierte Werbung sammelt, gegen die Datenschutzgrundverordnung verstößt.
Ein Bestandteil der personalisierten Werbung im Internet ist das Real Time Bidding. Dazu werden in Echtzeit Gebote für Werbeplätze auf Websites oder Anwendungen von Werbetreibenden abgegeben. Diese Werbeplätze werden versteigert, um dort Werbung anzuzeigen, die genau auf die jeweiligen Nutzer:innen und deren Vorlieben zugeschnitten sind.
Damit dies funktionieren kann, müssen die Präferenzen der jeweiligen Nutzer:innen irgendwo hinterlegt werden. Hier kommt das oben erwähnte TCF, konkret der sogenannte TC-String ins Spiel. Das TC steht auch hier für „Transparency and Consent“. Eine Kombination aus Zahlen und Buchstaben in denen „gespeichert“ wird, in welche Datenverarbeitung ihrer spezifischen personenbezogenen Daten die Nutzer:innen eingewilligt haben und in welche nicht. Das IAB Europe teilt diesen TC-String mit seinen Partnern, damit diese auch wissen welche Werbung sie zielgerecht ausspielen können. Auf den Geräten der Nutzer:innen wird für diesen Zweck ein Cookie gespeichert, damit die Zuordnung erfolgen kann welcher TC-String zu welchen Nutzer:innen gehört.
Belgien verhängte Bußgeld gegen IAB Europe
Die belgische Datenschutzbehörde kam zu dem Schluss, dass dieser verwendete TC-String in Kombination mit dem Cookie der IP-Adresse der Nutzer:innen zugeordnet werden kann und somit ein personenbezogenes Datum darstellt. Des Weiteren befand die Behörde, dass das IAB Europe als Verantwortlicher auftritt, jedoch die DSGVO-Regelungen nicht vollständig einhält. Im Zuge dessen verhängte die Behörde diverse Maßnahmen und eine Geldbuße in Höhe von 250.000 Euro.
IAB Europe wehrt sich, der EuGH ist am Zug
Das IAB Europe wehrte sich natürlich dagegen, doch nun urteilte der Europäische Gerichtshof und bestätigte die Entscheidungen der belgischen Aufsichtsbehörde. Der TC-String ist als personenbezogenes Datum und das IAB Europe als gemeinsamer Verantwortlicher anzusehen, so die Pressemitteilung des EuGH.
Es bleibt also spannend, vor allem wie nun die Werbewirtschaft im Internet damit umgehen wird. Bisher wiegelt das IAB Europe das Urteil als technische Formalie ab, jedoch bedeutet die Einstufung als gemeinsamer Verantwortlicher eine Haftbarkeit für das IAB Europe, die empfindliche Strafen nach sich ziehen kann.
Der Datenschutz ist schuld, wie immer
Aber wie war das denn nun mit der Schuld des Datenschutzes an unleidlichen Cookie-Bannern? Wie so oft, wenn es heißt der Datenschutz ist schuld, liegt es nicht am Datenschutz. 😉
Die „Schuld“ liegt doch in erster Linie in der ePrivacy-Richtlinie, der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, diese wurde nicht umsonst mehr oder weniger liebevoll Cookie-Richtlinie genannt.
Do you like Cookies?
Und wer mehr über das Thema Cookies auf unserer Website erfahren möchte, hier entlang!