Für die Zuschauenden Das langsame Aufheben von Überwachungswerbung in der Europäischen Union Hier ist eine neue Entwicklung auf dem langen und kurvenreichen Weg zu einer längst überfälligen rechtlichen Abrechnung: Mehrere Beschwerdegründe, die von der Branchenorganisation IAB Europe gegen eine Anfang dieses Jahres festgestellte Verletzung eingelegt wurden sein selbsternannter „Best-Practice“-Rahmen zur Einholung der Zustimmung von Webbenutzern zur Verarbeitung ihrer Daten für verhaltensbasierte Werbung wurden vom Brüsseler Marktberufungsgericht abgelehnt.
Gleichzeitig wurden rechtliche Fragen im Zusammenhang mit einer Reihe anderer Berufungsgründe an Europas oberstes Gericht verwiesen – was bedeutet, dass in den kommenden Jahren ein hartes Urteil für eine Flaggschiffkomponente der ausgeklügelten Überwachungs-Adtech-Maschinerie kommen wird.
Ein besonderes Problem ist hier ein „branchenübergreifendes“ Framework, das vom IAB Europe entwickelt und gefördert wird und von zahlreichen Publishern und Werbetreibenden aufgegriffen wird, um zu behaupten, dass sie die „Einwilligung“ der Webnutzer zur Anzeigenverfolgung einholen, worauf Kritiker jedoch hinauslaufen ausgeklügeltes „Compliance-Theater“ – eine Pantomime der Zustimmung zur Umgehung der Datenschutzgesetze der EU.
Dieses Zustimmungstool, auch bekannt als Transparency and Consent Framework (TCF), liegt den meisten irritierenden Pop-ups zur Werbeeinwilligung zugrunde, die Webnutzer in der Region plagen – doch es wurde bereits früher als Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) des Blocks befunden Jahr, nach einer langwierigen Untersuchung durch die belgische Datenschutzbehörde, die bestätigt, was Datenschutz- und Rechtsexperten seit Jahren warnen: Diese Mehrheitszustimmung zur Verfolgung von Anzeigen ist eine große, fette Lüge.
DSGVO-Verstöße, die in der Entscheidung der belgischen Behörde zum TCF im Februar bestätigt wurden, betreffen wichtige Grundsätze wie die Rechtmäßigkeit der Verarbeitung; Fairness und Transparenz; Sicherheit der Verarbeitung; Integrität personenbezogener Daten; und Datenschutz durch Design und Voreinstellungen, unter anderem.
Auch das IAB Europe selbst hat einen Verstoß gegen die DSGVO festgestellt. Und dem Gremium der Online-Werbebranche wurde eine strenge Frist von sechs Monaten gesetzt, um eine lange Liste von Verstößen zu beheben – obwohl der TCF in der Zwischenzeit bestehen bleiben durfte (so dass die lästigen Pop-ups noch nicht verschwunden sind).
Das IAB Europe reagierte auf den regulatorischen Schlag, indem es seine Anwälte entließ und Berufung einlegte – um die Entscheidung der belgischen Datenschutzbehörde rückgängig zu machen, indem es aus mehreren Blickwinkeln gegen sie argumentierte, von Behauptungen der Verfahrensungerechtigkeit bis hin zur kategorischen Leugnung ihrer Rolle oder der Technologien Ochsen verstoßen gegen EU-Gesetze.
Gleichzeitig, in einer weiteren Leugnung eines existenziellen Datenschutzproblems mit Tracking-Anzeigen, sagte die Stelle, sie plane, den TCF als „transnationalen Verhaltenskodex“ voranzutreiben und vorzulegen, offenbar mit Augenmaß. Aufpfropfen auf „Compliance“ mit US-Regulierungsanforderungen (wie dem kalifornischen CCPA). (Ein assoziiertes, in den USA ansässiges Adtech-Gremium, das IAB Tech Lab, veröffentlichte diesen Sommer einen Entwurf als Ersatz für ein „globales“ Rahmenwerk mit dem Namen „Globale Datenschutzplattform“, die es behauptet „streamlin[es] technische Datenschutz- und Datenschutz-Signalisierungsstandards in ein einheitliches Schema und eine Reihe von Tools, die sich kanalübergreifend an regulatorische und kommerzielle Marktanforderungen anpassen können“ – aber welche Kritiker warnen davor, dass es viele der gleichen eklatanten Fehler wiederholt, die die TCF in legales heißes Wasser gelandet haben in Europa, da ist der fehlende Reformeifer spürbar.)
Aber wie weit das IAB aus der Leugnung der Rechtswirklichkeit in der EU herauskommen kann – wo der Datenschutz (zumindest auf dem Papier) umfassend und die Privatsphäre ein Grundrecht ist – ist die große Frage.
In einem ersten Schlag gegen ihre Berufung gegen den Streik der TCF gegen die DSGVO wurde nun eine Reihe ihrer verfahrensrechtlichen Beanstandungen aus dem Weg geräumt.
Berufungsgründe?
Von acht Gründen, die das Brüsseler Gericht zu diesem Zeitpunkt in der Berufung entschied, wurden fünf als völlig unbegründet befunden – wobei nur zwei der letzten Gründe als „teilweise begründet“ angesehen wurden, wie die des Gerichts Urteil bringt es. (Diejenigen bezogen sich auf die Feststellung, dass zusätzliche Vorwürfe und Beschwerden – die sich darauf konzentrierten, ob ein Mechanismus im Rahmen des IAB personenbezogene Daten darstellt – nach der Anhörung ohne „ausreichende Sorgfalt“ in die Entscheidung aufgenommen wurden. Obwohl das Gericht betont, dass die Behörde dies nicht getan hätte eine ganz neue Untersuchung einzuleiten, wie das IAB argumentiert hatte, also sieht dies nach einem ziemlich geringen Verfahrensgewinn aus.)
Die anderen fünf Gründe, über die das Gericht zu diesem Zeitpunkt entschieden hat – wie die Behauptung des IAB, die Beschwerden seien unzulässig oder der Inspektionsbericht der Behörde sei „unvollständig und einseitig“ – wurden alle zurückgewiesen.
Es gibt jedoch noch weitere Gründe, die vom IAB eingereicht wurden (das Urteil listet insgesamt neunzehn auf). Und die Berufung ist nun ausgesetzt, bis der Gerichtshof (EuGH) auf rechtliche Fragen im Zusammenhang mit diesen Gründen geantwortet hat.
Die vorgelegten Fragen konzentrieren sich darauf, ob eine über die TCF übermittelte Einwilligungszeichenfolge pro Benutzer personenbezogene Daten darstellt oder nicht (das IAB argumentiert nicht, aber die belgische Datenschutzbehörde hat entschieden, dass dies der Fall ist, wie die Beschwerdeführer ebenfalls argumentieren); und ob das IAB, das sich als bescheidenes Industrienormungsgremium ausgibt, ein gemeinsamer Datenverantwortlicher für die Zwecke des TCF und des sogenannten „TC-Strings“ ist (wieder argumentiert es nicht, wurde aber von der Behörde festgestellt ein gemeinsamer Verantwortlicher zu sein).
„Dass das Brüsseler Berufungsgericht unsere Fragen an den Europäischen Gerichtshof verwiesen hat, zeigt die Bedeutung dieses Falls“, sagte einer der ursprünglichen Beschwerdeführer, Dr. Johnny Ryan, Senior Fellow am Irischer Rat für bürgerliche Freiheiten, in einer Stellungnahme. „Das heutige Urteil ist der nächste Schritt in unserem Bemühen, den Einwilligungs-Popups, die Internetnutzer in Europa seit Jahren belästigen, ein Ende zu bereiten. Wir freuen uns nun auf die Antworten des Europäischen Gerichtshofs und anschließend auf ein Urteil zur Hauptsache des Brüsseler Berufungsgerichts.“
Der EuGH könnte einige Jahre brauchen, um eine Entscheidung zu diesen Fragen zu treffen, aber es gibt keinen Rechtsmittelweg gegen seine Entscheidung. Der Zug hat also den Bahnhof verlassen.
Es wird – in ziemlich kurzer Zeit – ein hartes Urteil des Gerichts zu Kernpunkten geben, wie z EU-Datenschutzgesetz, indem Sie behaupten, es sei nur ein Standardisierungsgremium! Und auf dem Flaggschiff-Taschenspiel des IAB – wenn es behauptet, dass TC-Strings keine personenbezogenen Daten sind und nicht mit Einzelpersonen verknüpft sind, ist für ihre Verarbeitung sowieso keine Rechtsgrundlage erforderlich – was ein ziemlicher Ausweg wäre – Klausel für verhaltensbezogene Werbung aus dem EU-Datenschutzrecht, wenn sie vom Gericht zugelassen wird.
(Die belgische Datenschutzbehörde antwortete auf dieses Argument mit dem Hinweis, dass der TCF die Einwilligungszeichenfolge mit der IP-Adresse des Benutzers verknüpft, die gemäß GDPR absolut als personenbezogene Daten gilt; und dass Benutzer des Tools Benutzer auch anhand anderer Daten identifizieren können; und dass der ganze Zweck des TC-Strings tatsächlich darin besteht, den Benutzer zu identifizieren.)
An dieser Stelle lohnt es sich, die Erinnerung daran aufzufrischen, wie die DSGVO personenbezogene Daten definiert [with added emphasis ours]:
„personenbezogene Daten“ bedeutet irgendwelche Informationen in Zusammenhang mit ein erkannt bzw identifizierbar natürliche Person („betroffene Person“); eine identifizierbare natürliche Person ist eine wer identifiziert werden kanndirekt oder indirektim Speziellen durch Bezugnahme auf eine Kennung wie zum Beispiel ein Name, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind;
Nun müssen EU-Bürger, genervt von unzähligen illegalen Pop-Ups, den Atem auf ein EuGH-Urteil anhalten. (Aber die klügsten Juristen in Europa werden sicher nicht lange überlegen müssen, um diesen Mulligan auszurufen.)
Nächster Halt, Durchsetzung?
In der Zwischenzeit könnte – und sollte – die belgische Datenschutzbehörde die Durchsetzung der ursprünglichen Anordnung wieder aufnehmen, angesichts des enormen Ausmaßes der Verletzungen und Risiken für die Grundrechte der Europäer, die ungesetzliche Massenüberwachung durch außer Kontrolle geratene Adtech-Technologie ungehindert fortsetzen zu lassen.
Auf die Frage nach seinen Erwartungen an die Durchsetzung sagte Ryan gegenüber Tech, er prüfe, ob die Entscheidung der Behörde nun endlich angewendet werden könne (ein vorläufiges belgisches Urteil zum TCF, das ebenfalls einen Verstoß gegen die DSGVO feststellte, liegt zu diesem Zeitpunkt fast zwei Jahre zurück). .
„Die Verlängerung galt bis zur Entscheidung des Markets Court. Sie sollte es also jetzt anwenden können“, schlug er vor und fügte hinzu: „Die Tracking-basierte Online-Werbebranche muss sich mit der Wahrscheinlichkeit abfinden, dass das EU-Datenschutzrecht tatsächlich durchgesetzt wird.“
Wir haben uns auch mit Fragen an die belgische Behörde und das IAB Europe gewandt – aber bis Redaktionsschluss hatte keiner geantwortet.
Das IAB Europe hat a gepostet Aussage auf seiner Website über die Entwicklungen und bestätigt, was es als „Zwischenentscheidung“ bezeichnet, und die Verweisung von Fragen an den EuGH – was es „begrüßt“.
„Die Auslegung der Begriffe personenbezogene Daten und Verantwortlichkeit, die von der APD übernommen werden [Belgian DPA] ist aus Sicht des Verbraucherschutzes unnötig weit gefasst und hat erhebliche negative Auswirkungen auf die Entwicklung offener Standards und der in der DSGVO vorgesehenen Verhaltenskodizes“, fügte Townsend Feehan, CEO von IAB Europe, in einem vorgefertigten Kommentar hinzu. „Dies würde den Gastorganisationen eine unannehmbare finanzielle Belastung aufbürden und die Entwicklung dieser wichtigen Compliance-Tools entmutigen.“
In einem Aussage Auf ihrer Website schreibt die belgische Behörde, dass sie „das Urteil nun weiter analysieren muss, bevor sie sich ausführlicher zu seinem Inhalt äußern kann“, erklärt sich jedoch „bereits erfreut über diese Entscheidung, die Schlüsselbegriffe weiter präzisieren wird der DSGVO wie die Definition des Konzepts des Datenverantwortlichen und seine Anwendbarkeit auf Framework-Designer“.
Hielke Hijmans, Vorsitzender der Prozesskammer der DPA, fügte in einer Erklärung hinzu: „Der Fall IAB Europe, in dem wir im Februar entschieden haben, hat Auswirkungen, die weit über Belgien hinausgehen. Deshalb finden wir es gut, dass es auf europäischer Ebene, beim Gerichtshof der EU, diskutiert wird.“
Die Behörde schreibt weiter, dass ihre Entscheidung „einen wichtigen Beitrag zum Schutz der Privatsphäre der Internetnutzer in Europa geleistet hat, indem sie den Mechanismus zur Erfassung der Präferenzen der Nutzer für gezielte Online-Werbung analysierte“, und argumentierte weiter: „Sie wird erhöhen Bewusstsein für Online-Werbung und insbesondere für den Mechanismus hinter der Zustimmung zum Erhalt gezielter Werbung.“
Die DPA-Erklärung fügt hinzu, dass Belgien „mögliche nächste Schritte mit seinen EU-Pendants erörtern“ wird.
Was, naja, ein bisschen nach „beobachte diesen Raum“ klingt…