Es ist über zwei Jahre her, dass festgestellt wurde, dass ein zentraler Bestandteil des Einwilligungseinholungsapparats der Tracking-Ads-Branche gegen die Datenschutzgesetze der Europäischen Union verstößt. Heute, den Der Überwachungsdatenkomplex erlitt einen weiteren herben Rückschlag: Das oberste Gericht der Union wies die Argumente des für das Tool verantwortlichen Gremiums der Werbebranche zurück und bestätigte, dass die von ihm als Reaktion auf die Datenschutzentscheidungen der Nutzer generierten Datenfolgen personenbezogen sind Daten im Sinne des Blocks Datenschutz-Grundverordnung (DSGVO), da sie eine personenbezogene Kennung enthalten.
Der Gerichtshof der Europäischen Union (EuGH) entschied außerdem, dass der Verband der Werbebranche, der für die Entwicklung des Tools zur Einwilligungsverwaltung verantwortlich ist, IAB Europe, mit seinen Werbetreibenden ein sogenannter „gemeinsamer Verantwortlicher“ ist – was bedeutet, dass er sich der Verantwortung nicht entziehen kann um sicherzustellen, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt. (Obwohl das Gericht nicht feststellte, dass es sich bei der IAB um eine handelt Controller für Datenverarbeitungsvorgänge, die erfolgen, nachdem die Einwilligungspräferenzen der Nutzer erfasst wurden – es ließ jedoch die Tür für diese Möglichkeit offen, falls Hinweise auf einen Einfluss auf nachfolgende Datenvorgänge gefunden werden sollten.)
Der EuGH Urteil folgt einer Vorlage von Fragen eines belgischen Gerichts, bei dem die IAB Europe hat die Entscheidung der örtlichen Datenschutzbehörde vom Februar 2022 angefochten, die feststellte, dass ihr „Transparency and Consent Framework“ (TCF) gegen die DSGVO verstößt.
Die Entscheidung der belgischen Datenschutzbehörde war und ist eine große Sache für Webnutzer in Europa, wo Einwilligungs-Spam seit Inkrafttreten der DSGVO im Mai 2018 zugenommen hat und Websites mit nicht enden wollenden Pop-ups übersät sind, die um Einwilligung für die „Teilung“ von Nutzerdaten bitten mit langen Listen von Anzeigen-„Partnern“.
Das Problem ist, dass diese Spam-Popups nie DSGVO-konform aussahen. Ein einfaches „Ja oder Nein“ zum Anzeigen-Tracking ist der größte Reibungspunkt, den Webnutzer erhalten sollten. Aber die Adtech-Branche ist sich bewusst, dass die meisten Menschen für den Datenschutz stimmen, wenn sie Gelegenheit dazu bekommt, und hat sich daher dafür entschieden, alles Mögliche zu tun, um den Menschen keine einfache Möglichkeit zu bieten, das Tracking zu verweigern. Daher sind Tracking-Opt-outs in der Regel weitaus weniger auffällig und oft in Untermenüs von Pop-ups versteckt (sofern sie überhaupt angeboten werden) – im Vergleich zu auffälligen „Akzeptieren“-Schaltflächen, die leicht in Reichweite des Benutzers liegen und es sehr einfach machen um ein lästiges Pop-up abzulehnen, das jedoch hohe, versteckte Kosten für die Privatsphäre mit sich bringt.
Zu den weiteren Taktiken, die die Adtech-Branche seit Inkrafttreten der DSGVO eingesetzt hat, gehören die Vorabprüfung von Freigabeoptionen und die Aufforderung an Webbenutzer, sich manuell durch mehrere Kästchen zu klicken und diese zu deaktivieren – was den Versuch, Ihre Privatsphäre zurückzugewinnen, wirklich mühsam und zeitaufwändig macht.
Es kommt noch schlimmer: Unabhängige Untersuchungen haben ergeben, dass einige Adtech-Anbieter, die an das TCF des IAB angeschlossen sind, weiterhin Internetnutzer verfolgen und profilieren, selbst wenn sie ausdrücklich erklärt haben, dass sie keine Tracking-basierte Werbung wünschen.
Kritiker nennen den gesamten zynischen Ansatz „Compliance-Theater“: einen Versuch der Werbebranche, Datenschutzgesetze zu umgehen und Webnutzer weiterhin massenhaft zu verfolgen und zu profilieren, indem systematische Nichteinhaltung in einen Branchenstandardrahmen integriert wird.
Das IAB teilt diese Ansicht natürlich nicht. Die rechtliche Anfechtung der belgischen Entscheidung, in der festgestellt wird, dass der TCF gegen die DSGVO verstößt, läuft noch – doch jetzt wird die Entscheidung des EuGH an das Gericht zurückverwiesen, um dieses Verfahren zu berücksichtigen.
Der Werbeverband hatte versucht, die belgische Entscheidung aufzuheben, indem er argumentierte, dass TCF-Zeichenfolgen keine personenbezogenen Daten seien. Es beanstandete auch die Einstufung der Behörde als gemeinsam Verantwortlicher. In beiden Punkten befand der EuGH etwas anderes. Für die Attraktivität des IAB sieht es also nicht allzu rosig aus.
In einem Pressemitteilung Heute nahm das IAB die Entscheidung des Gerichts zur Kenntnis und sagte, es begrüße die „dringend benötigte Klarheit über die Konzepte personenbezogener Daten und (gemeinsame) Verantwortlichkeit, die einen ruhigen Abschluss der verbleibenden Gerichtsverfahren ermöglichen wird“. Das ist eine Möglichkeit, das Argument völlig aus den Augen zu verlieren.
Außerdem hieß es, man werde „in Kürze einen ausführlicheren Kommentar zum Urteil und seinen Konsequenzen“ veröffentlichen.
„Das belgische Marktgericht wird nun seine Prüfung der materiellen Argumente von IAB Europe im Einklang mit den Antworten des EuGH wieder aufnehmen“, fügte es hinzu. „Bis zum Abschluss des Verfahrens vor dem Marktgericht, das mehrere Monate dauern kann, wird die Vollstreckung des APD ausgesetzt [Belgian DPA’s] Die Entscheidung (d. h. die Umsetzung des Aktionsplans des IAB Europe nach dessen Validierung) gilt weiterhin.“
Übersetzung: Das IAB geht davon aus, dass es noch ein paar Monate Zeit hat, bevor das belgische Gericht über das Schicksal des TCF entscheidet.
In einer aktualisierten FAQ In Bezug auf die Saga versucht der Werbeverband zu leugnen, dass das EuGH-Urteil einen Schlag für seine Chancen darstellt, die Feststellung der belgischen Datenschutzbehörde aufzuheben, dass der TCF gegen die DSGVO verstößt – und behauptet, dass es „nichts im EuGH-Urteil gibt, das auch nur im Entferntesten als eine Frage der Rechtmäßigkeit angesehen werden könnte.“ von Einwilligungsaufforderungen oder das Verbot ihrer Verwendung durch das digitale Ökosystem, um den rechtlichen Anforderungen des EU-Datenschutzrahmens nachzukommen.“
Was wiederum eine nette Wendung ist – da die Aufgabe des EuGH insbesondere darin besteht, auf die aufgeworfenen Rechtsfragen zu reagieren. Es ist Sache des vorlegenden Gerichts, die nächsten Schritte zu unternehmen und dabei die Leitlinien des obersten Gerichts zur Auslegung wichtiger Rechtsfragen des Falles zu berücksichtigen.
Zur Erinnerung: In der Entscheidung der belgischen Behörde vom Februar 2022 über die langjährige Beschwerde gegen den TCF des IAB wurden Verstöße gegen Artikel 5.1.a und 6 (Rechtmäßigkeit der Verarbeitung; Fairness und Transparenz) festgestellt. Artikel 12, 13 und 14 (Transparenz); Artikel 24, 25, 5.1.f und 32 (Sicherheit der Verarbeitung; Integrität personenbezogener Daten; Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen); Artikel 30 (Verzeichnis der Verarbeitungstätigkeiten); Artikel 35 (Datenfolgenabschätzung); und Artikel 37 (Bestellung eines Datenschutzbeauftragten).
Zu diesem Zeitpunkt verhängte die Behörde auch eine Geldbuße in Höhe von einer Viertelmillion Euro gegen das IAB – und gab ihm sechs Monate Zeit, um die TCF in Einklang zu bringen. Allerdings wurden Klagen, die eine Reform des Rahmenwerks erforderten, ausgesetzt, bis ein endgültiges Gerichtsurteil über die Berufung des IAB ergangen sei. Aus diesem Grund gibt es in der EU bis heute immer noch Pop-up-Einwilligungs-Spam.
Das Zombie-Einwilligungs-Spam kann – endlich, endlich! – mit dieser Entscheidung befinden wir uns jedoch in den letzten Zügen. In einem Stellungnahme Nach dem Urteil des EuGH hat der Senior Fellow und Enforce-Direktor des Irish Council for Civil Liberties, Johnny Ryan, eine der Personen, die die DSGVO-Beschwerden gegen den TCF und davor Beschwerden gegen Echtzeitgebote (wie diese hier) eingereicht haben gegen Googles Adtech, über den die irische Datenschutzbehörde immer noch nicht entschieden hat), prognostizierte, dass das Ende dieses epischen Kampfes in Sicht sei.
„Seit der Einführung der DSGVO vor fast sechs Jahren werden Menschen in ganz Europa täglich auf fast jeder Website und in jeder App von gefälschten ‚Einwilligungs‘-Popups geplagt. IAB Europe hat versucht, sich seiner Verantwortung für diese Farce zu entziehen. Doch der Europäische Gerichtshof hat es klargestellt. Diese Entscheidung wird nicht nur die größte Spam-Aktion der Geschichte beenden. „Es wird der Online-Tracking-basierten Werbebranche eine tödliche Wunde zufügen“, schrieb Ryan.
Dennoch ist es möglich, dass die PR-Abteilung des IAB heute von einem „ruhigen“ Gerichtsverfahren ausgeht, obwohl der EuGH seine Argumente zurückweist, da er möglicherweise eine alternative Strategie zur gewaltsamen Einwilligung europäischer Webnutzer zum Tracking ausspioniert hat – angesichts der zunehmenden Verbreitung von „Zustimmung oder Bezahlung“-Modellen, vorangetrieben durch Metas Übernahme dieser Taktik im vergangenen Herbst. (Hier ist die Wahl der Einwilligung noch offensichtlicher manipulativ und missbräuchlich: Zahlen Sie buchstäblich Geld für Ihre Privatsphäre, indem Sie sich für ein werbefreies Abonnement anmelden, oder stimmen Sie der Nachverfolgung zu und erhalten Sie keine Privatsphäre.)
Allerdings steht das umstrittene „Zustimmung oder Bezahlung“-Modell bereits vor einer Reihe von Herausforderungen in den Bereichen Privatsphäre und Verbraucherschutz. Darüber hinaus wird der Europäische Datenschutzausschuss bald Leitlinien vorlegen. Die Europäische Kommission prüft auch den Einsatz dieser Taktik durch Meta im Rahmen ihrer Aufsicht über sehr große Online-Plattformen im Rahmen des Digital Services Act – der von Plattformen verlangt, die Einwilligung zur Verwendung personenbezogener Daten für Anzeigen einzuholen und einige Bedingungen dafür festzulegen wie die Einwilligung eingeholt werden kann, zusätzlich zu den informierten, spezifischen und frei gegebenen Grundlagen der DSGVO.
Wie lange kann die Branche der Überwachungswerbung in der EU noch in der Lage sein, den Durchbruch zu schaffen – angesichts schrumpfender rechtlicher Möglichkeiten, da sich Datenschutzbeschwerden und -durchsetzungen durch das System schlängeln? und da sich an mehreren Fronten neue Compliance-Angriffe eröffnen – ist unklar. Es kann eine Frage von Monaten sein. Oder der EuGH muss sich auch zum Thema „Zustimmung oder Bezahlung“ äußern (also maximal noch ein paar Jahre). Aber die einzige wirkliche Wahl, die der Branche bleibt, scheint einfach zu sein: Reform oder Untergang.