EinwilligungEuropäischer Gerichtshof urteilt gegen Baustein der Werbeindustrie

Nach einem Urteil des Europäischen Gerichtshof müssen große Teile der Werbewirtschaft reagieren. Ein verbreitetes System zur Einwilligung steht in Frage, was Datenschützer:innen freut.

Playmobilmännchen mit Presslufthammer hämmert auf einem Keks
Der Europäische Gerichtshof zerlegt die Cookie-basierte Werbung (Symbolbild) – Alle Rechte vorbehalten IMAGO / Panthermedia

Der Europäische Gerichtshof (EuGH) hat zu einem zentralen Baustein bei der personalisierten Online-Werbung und seiner Vereinbarkeit mit der Datenschutzgrundverordnung geurteilt. Das hatte im Jahr 2022 schon die belgische Datenschutzbehörde festgestellt und den für diesen Baustein verantwortlichen Verband IAB Europe mit Auflagen und Geldbußen belegt. Der Verband hatte sich dagegen teilweise gerichtlich gewehrt, doch der EuGH urteilte jetzt in einer Vorabentscheidung im Sinne der belgischen Datenschutzbehörde.

Konkret geht es um den sogenannten TC-String, das TC steht für „Transparency and Consent“. In einer Zeichenkette steht, welche Datenschutzeinstellungen ein Nutzer gewählt hat. Also etwa welcher Verarbeitung er zustimmt oder ob er sie ablehnt. Mit seinem Urteil bestätigt der Gerichtshof, „dass der TC-String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne der [Datenschutzgrundverordnung] DSGVO darstellt“, heißt es in der Pressemitteilung des Gerichts (PDF).

Anhand der in einem TC-String enthaltenen Informationen könne nämlich, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und die betreffende Person identifiziert werden, so das Gericht weiter. Das Gericht bestätigte auch, dass IAB Europe als „gemeinsam Verantwortlicher“ anzusehen ist.

Wie funktioniert das Werbesystem?

Eine der Funktionsweisen von personalisierter Werbung im Internet ist die Echtzeit-Versteigerung, bei der Werbetreibende darum bieten, bei bestimmten Nutzer:innen-Profilen Werbung anzeigen zu können. Wie wir hier ausführlicher erklären, funktioniert das System von zielgerichteter Werbung im Netz so:

Jeder Besuch bei einer teilnehmenden Website löst eine Auktion unter den Anbietern von Werbeanzeigen aus. Unter anderem anhand der gewünschten Preise und des Datenprofils der Nutzerin entscheidet sich in Millisekundenschnelle, welche Werbung sie zu sehen bekommt. Damit dieses Real-Time-Bidding (RTB), also das Bieten in Echtzeit, funktioniert, müssen die Werbefirmen wissen, mit wem sie es zu tun haben: Alter, Geschlecht, Interessen, besuchte Websites, Wohnort, Kaufkraft und so weiter sind wichtige Kriterien, nach denen die Zielgruppen für Anzeigen zusammengestellt werden.

Wegen der Datenschutzgrundverordnung braucht es aber die Einwilligung der betroffenen Personen zur Datenverarbeitung. Und hier kommen die Cookie-Banner ins Spiel, bei der Menschen zum Beispiel „Akzeptieren“ geklickt haben. Denn dieser Klick wird auch gespeichert – und zwar vom Transparency and Consent Framework (TCF) von IAB Europe, einem Verband in Belgien. Dieser erzeugt den oben schon genannten TC-String.

IAB Europe hat also ein technisches System entwickelt, welches das Versteigerungssystem mit der DSGVO in Einklang bringen können soll. Wie der EuGH beschreibt, werden die Nutzerpräferenzen in einem aus einer Kombination von Buchstaben und Zeichen bestehenden String kodiert und gespeichert. Dieser werde mit Brokern für personenbezogene Daten und Werbeplattformen geteilt, damit diese wissen, worin der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Auf dem Gerät der Nutzer:innen wird dabei auch  ein Cookie gespeichert. „Miteinander kombiniert, können der TC-String und das Cookie der IP-Adresse dieses Nutzers zugeordnet werden“, so das Gericht weiter.

„Tödliche Wunde“ für Online-Werbeindustrie

Aufgrund dieser technischen Konstruktion hält das Gericht den TC-String für ein personenbezogenes Datum. Seit der Einführung der Datenschutz-Grundverordnung vor fast sechs Jahren seien die Menschen in ganz Europa täglich auf fast jeder Website und App von Zustimmungs-Popups geplagt worden, sagt Johnny Ryan vom Irish Council for Civil Liberties.

Der Verband IAB Europe habe versucht, sich seiner Verantwortung für diese Scharade zu entziehen. „Aber der Europäische Gerichtshof hat es richtig gestellt. Diese Entscheidung wird nicht nur die größte Spam-Operation der Geschichte beenden. Sie wird der auf Tracking basierenden Online-Werbebranche eine tödliche Wunde zufügen“, so Ryan weiter.

Katarzyna Szymielewicz von der polnischen Panoptycon Foundation und eine der Beschwerdeführerinnen, bezeichnete die Entscheidung als „wichtiges Urteil“ im Kampf um die Online-Privatsphäre.

Der Online-Werbeexperte Wolfie Christl ist erfreut darüber, dass endlich geklärt sei, wer für die flächendeckende Belästigung mit den manipulativen, sinnlosen und nervigen Einwilligungs-Bannern verantwortlich ist. „Das muss nun Konsequenzen haben. Das TCF-System hat eine Pseudo-Rechtfertigung für die massenhafte illegale Weitergabe persönlicher Daten geliefert. Die DSGVO-Aufsichtsbehörden in ganz Europa müssen den Verzögerungstaktiken der Tracking-Lobby ein Ende machen und jetzt entschlossen gegen illegales digitales Profiling im Netz vorgehen“, so Christl weiter.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

14 Ergänzungen

  1. Werbung…ok, da manche Angebote sich nur oder hauptsächlich durch Werbung finanzieren. ABER…aber, wenn jemand keinen Bock auf Werbung hat, dann muss er auch in der Lage sein das ausdrücklich abzulehnen. Es ist ja nicht mal unbedingt die Werbung, sondern vielmehr die Daten die mit Hinz und Kunz völlig intransparent geteilt werden. DAS muss man mal wirklich in den Griff bekommen!

    1. Wer keinen Bock auf Werbung hat installiert einen Werbeblocker.

      Ansonsten geht es hier ja nur um die Frage, ob es persönliche Daten sind, wenn ich die Präferenzen von Nutzern so speichere, dass ich den Nutzer wiedererkennen kann. Die Antwort des Gerichtes ist ja. Warum das jetzt unbedingt ein Gericht klären musste, erschließt sich mir nicht, denn die DSGVO ist an der Stelle klar.

      Warum jetzt ein verbreitetes System zur Einwilligung in Frage steht erschließt sich nicht für mich. Im Grunde genommen nur ein weiteres Datum um dessen Verarbeitung sie um Erlaubnis fragen müssten. Anderseits ist es auch technisch notwendig, wenn sie nicht jedes mal um Erlaubnis oder Ablehnung fragen wollen. Aber auch darüber müssten sie mindestens informieren.

      1. „Wer keinen Bock auf Werbung hat installiert einen Werbeblocker.“

        Ähm, hier geht es doch um Regulation, und die Zukunft von der Sache. Werbeblocker werden schon juristisch angegriffen und das wird kein Ende nehmen, wenn es nicht geregelt wird.

        1. Dass es hier um die Regulation und die Zukunft von personalisierter Werbung geht, hat Markus nicht ausreichend dargestellt.

          So weit wie es Markus dargestellt hat, geht es hier nur darum, dass IAB Europe ein System entwickelt haben will, das erlauben würde, personalisierte Werbung Nutzern im Einklang mit der DSGVO zu zeigen. Das Gericht hat geurteilt, dass das System in zwei Punkten die DSGVO verletzt: Die Daten, die das System sammelt, sind persönliche Daten, und IAB Europe ist für die Datenverarbeitung mitverantwortlich.

          Das sind keine Punkte an denen das System scheitert. Im Zweifel muss der Nutzer explizit zustimmen, dass seine Präferenzen und ihn identifizierende Information verarbeitet werden. Und IAB Europe muss im Cookie-Banner als Verantwortlicher für die Datenverarbeitung genannt werden. Und dann kann alles so weiter laufen wie bisher.

          Das man Firmen nicht vertrauen kann, die intransparent Daten sammeln und wer weiß was sie damit machen, ist eine andere Frage. Aber um dieses Problem zu lösen, müssten wir schon personalisierte Werbung verbieten, so dass kontextabhängige Werbung übrig bliebe.

          Und da kommt der Werbeblocker ins Spiel, nur weil Springer und Co prozessieren, heißt das ja noch lange nicht, dass sie auch Recht kriegen:

          https://www.kuhlen-berlin.de/glossar/ad-blocker
          https://www.youtube.com/watch?v=OWhuOvFtE28

          1. „Dass es hier um die Regulation und die Zukunft von personalisierter Werbung geht, hat Markus nicht ausreichend dargestellt.“

            Naja, die vorhandene Regulierung (DSGVO) ist ja schon zentrales Thema. Allerdings bzgl perönlicher Daten im Ablehnungsdatensatz, der wiederum ein Trackingdatensatz ist, übrigens zentral für jenes System. Man ist also nicht wesentlich über „zeige Perso, wenn du nicht verfolgt werden willst“ hinaus.

            Der Satz „Wer keinen Bock auf Werbung hat installiert einen Werbeblocker.“ suggeriert, dass Regulierung egal ist, was bzgl. Geheimdiensten einigermaßen zutrifft (bis Europa sich als Ganzes hinstellt, wo gemeinsamer Handel besteht o.ä.), aber bei Unternehmen, die Geld mit Europäern verdienen wollen, schon eine Frage ist. Denn wer verstößt, wird durchaus zahlen müssen. Der eigene Schutz geht natürlich nur über Blockade bzw. Nichtbesuch. Das wäre regulativ theoretisch annäherbar (wie Sie auch schreiben).

            Kurze, plakative Suggestivfassung: Eine freundliche und altruistische Alienzivilisation schickt eine KI-Kampfdrohne im Konflikteinfrierungsmodus zur Erde, wo die Uhr wirklich auf kurz vor 12 steht. Die KI bearbeitet nicht etwa zuerst Atomwaffen, Ukraine, Gaza, Syrien, sondern Facebook, Microsoft, Tiktok und Google, weil diese von ihr als aktiv in Verwendung befindliche Waffen mit Zerstörungspotential zivilisatorischen Ausmaßes eingestuft wurden. Vielleicht sehen wir unintuitive Mittel, wie z.B. Source-Code-Veröffentlichung, speaking of „der Russe wars“.

            Der Opt-Out ist vielleicht nicht DSGVO-schonend trackbar, es müssten ganz andere Mechanismen etabliert werden (anonymes Surfen, Bezahlen, Einkaufen, Paketempfang, u.a.). D.h. implizit ist vielleicht Tracking bereits tot. Das dürfte – wie sie andeuten – ein Wunschtraum sein, aber der Kontext leuchtet schon mal ein bischen mit auf.

          2. „Dass es hier um die Regulation und die Zukunft von personalisierter Werbung geht, hat Markus nicht ausreichend dargestellt.“

            DSGVO ist ja Regulierung. Der Artikel handelt schon von der Nichtkonformität des „Trackings des Opt-Outs“, und erwähnt das Recht auf anonymes bzw. pseudonymes Surfen (+-). Da ist möglicherweise das ganze Projekt des Trackings des Opt-Outs in Frage gestellt. Ob wirklich insgesamt bzw. wie wirksam, bleibt zu fragen.

            Natürlich ist Blockieren bzw. Meiden für die einzelne Person die richtige Sache. Sich auf der bestehenden Regulierung auszuruhen, riskiert allerdings allerlei Seitenkanalangriffe, wie den Kampf gegen Werbeblocker, die Pflicht von Shops persönliche Daten zu händeln (nicht etwa ein ephemeres pseudonymes Token eines Datenfassadendienstes), usw. usf.

            Im Artikel ist übrigens die Echtzeitauktion von Werbung drinnen – mit einem Opt-Out für Tracking fallen trotzdem Daten an, auch in der zeitlichen Folge. Sicherlich nimmt der Dienstleister einige der anfallenden Auswertungen netterweise in die eigene Hand. Das sind alles Verschlimmerungskonzepte mit oder ohne Opt-Out. Je weniger sich die staatlichen Stellen da an der Nase herumführen lassen, bzw. bei Unsrigem mithelfen, je näher kommen die Einschläge unweigerlich ans personalisierte Tracking heran. Das zu umgehen, würde einen Verrat nötig machen, z.B. durch Kaputtmachen der Regulierung. Das ist also eine Einschätzung meinserseits. Personalisiertes Tracking ist derzeit die Basis personalisierter Werbung. Theoretisch könnte man ein System für vom Nutzer gesetzte Vorlieben bauen, welches Sessiontoken zum Vorzeigen generiert. Das bedeutet aber z.B. das Geschäftsmodell von Google zu schreddern.

          3. >DSGVO ist ja Regulierung.

            Richtig, aber an der Regulierung ändert sich ja nichts, nur weil ein Gericht geurteilt hat. Da ist die Zukunft die Gegenwart.

            >Der Artikel handelt schon von der Nichtkonformität des „Trackings des Opt-Outs“,

            Erstens gilt Opt-In nicht Opt-Out. Ansonsten hätten wir die ganzem Cookie-Banner ja nicht.

            >und erwähnt das Recht auf anonymes bzw. pseudonymes Surfen (+-).

            Wo im Artikel? Gut wobei sich das schon aus der DSGVO ergibt.

            >Da ist möglicherweise das ganze Projekt des Trackings des Opt-Outs in Frage gestellt. Ob wirklich insgesamt bzw. wie wirksam, bleibt zu fragen.

            Nun Markus formuliert es als Abschnittsüberschrift so:

            >„Tödliche Wunde“ für Online-Werbeindustrie

            Also er verspricht uns in diesem Abschnitt nicht weniger als das Ende der Online-Werbe-Industrie zu zeigen. Wow. Aber er liefert uns nur ein paar Stellungsnahmen von Leuten, die sich um das Thema kümmern. Die „Tödliche Wunde“ ist auch nur ein Zitat in Übersetzung von Johnny Ryan vom Irish Council for Civil Liberties.

            Aber ist auch schon problematisch das als Zitat in eine Überschrift einzubauen ohne es Johnny Ryan zuzuschreiben. Denn ohne Zuschreibung macht sich jeder Autor ein Zitat zu eigen. Da helfen dann auch keine Anführungszeichen. Es gibt nun mal auch Leute die „Tödliche Wunde“ als unsaubere Formulierung empfinden und deshalb Anführungszeichen verwenden.

            Zur Zukunft des Transparency and Consent Framework (TCF):
            https://www.dataprotectionauthority.be/iab-europe-held-responsible-for-a-mechanism-that-infringes-the-gdpr

            Ja, gibt es nicht nur auf Französisch, sondern auch auf Englisch, aber das musste ich auch erst finden. Unten finden wir, dass sich die belgische Datenschutzbehörde mit IAB Europe auf einen Plan geeinigt haben TCF DSGVO-konform zu machen. Das heißt, Datensammeln geht weiter.

          4. Ich will das auch alles nicht in Abrede stellen. Was Zitieren betrifft und klare Formulierung bzw. Klarstellung.

            „Erstens gilt Opt-In nicht Opt-Out. Ansonsten hätten wir die ganzem Cookie-Banner ja nicht.“

            Begrifflich im Kontext haben sie wohl recht, allerdings bin ich mir bzgl. des Trackings der Präferenz, um das es hier geht, nicht sicher, wie rum das in der Realität zu werten ist. In einigen Ländern ist es auch Opt-Out und Europe macht z.T. einen auf Opt-In. Vielleicht verstehe ich es falsch, aber ein Opt-In wäre wohl gleichbedeutent mit einer expliziten Zustimmung zum Speichern dieser Daten. Vielleicht auch nicht, weil man sich um die Natur der Daten herumwieselt. Ich nehme also an, dass die jeden Nutzer in diesem Präferenzträcking haben, der irgendein Statement abgibt. Ansonsten muss ich alles noch mal von vorne durchlesen :(.

          5. Artikel sinngemäß: TC-String wird bei Akzeptieren von Cookies bereits erstellt. Das ist also eine Dammbruchwieselgeschichte.

  2. Was auch gut funktioniert, aber kaum gemacht wird ist Kontext-Basierte Werbung.

    Bspws. auf einer Seite über tropische Länder werden Reisen dorthin angeboten.

    Eine Seite über wie man besser 3D druckt und dort wird dann Filament in der Werbung angepriesen.

    Ganz ohne ewige Datensammlerei.

    Statt dem Nutzer wird hier nur der jeweilige Inhalt der Seite analysiert.

  3. Dass kontextbasierte Werbung sich nicht so gut verkauft, liegt daran, dass die personenbasierte Werbung einfach noch ein bisschen „besser“ aus dem Blickwinkel der Käufer derselben ist.
    In der Marktwirtschaft unterliegst du demjenigen Konkurrenten, der das „bessere“ Angebot hat.
    Da gibt es nur zwei Lösungen: Gesetzliches Verbot dieser demokratie- und datenschutzperversen Werbeform oder … „freie“ Ablehnung durch die Betroffenen.
    An sich müssen „freiheitliche“ Demokratien den letzteren Weg wählen, aber frei ist nur, wer weiß was abgeht und den „Preis“ kennt.
    Die Datenkraken zeigen aber nicht wirklich, was abgeht noch welchen Preis die Bürger zahlen. Sie sind eine Blackbox, sie verheimlichen das Wesentliche bspw den tatsächlichen Umfang der gesammelten persönlichen Daten, die Verwertungsformen und die Zusatzeinkommen durch Verkauf vorgeblich ‚veredelter‘ Daten.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.