EuGH sorgt für mehr Transparenz und Datenschutz bei personalisierter Werbung (Kopie)

Individuell zusammengestellte Werbung auf Onlineportalen ist längst digitale Gegenwart. Wobei viele Verbraucher dabei nach wie vor ein ungutes Gefühl verspüren. Der Europäische Gerichtshof (EuGH) hat nun mit einer Entscheidung dafür gesorgt, dass Bürger in diesem schwer überschaubaren Bereich in Zukunft mehr Datenschutz genießen und die IT-Konzerne nicht mehr beliebig viele Daten von Verbrauchern für Werbezwecke nutzen dürfen.

TC-Strings zur Identifizierung

Bei jedem Surfen durchs Internet hinterlassen wir als User Spuren, die auf unterschiedlichste Weise protokolliert werden. Solche Kennungen werden unter dem Schlüsselbegriff Transparency and Consent gespeichert. Diese auch TC-Strings genannten Codes bestehen aus vielen Buchstaben und Zahlen, die etwas über die Gewohnheiten einer bestimmten Person im World Wide Web aussagen. Dazu gehören Informationen über den Standort dieser Person, ihr Alter, besuchte Webseiten und dort getätigte Käufe. TC-Strings sind also klare Indizien für das Online-Konsumverhalten des einzelnen und erleichtern die Identifizierung betroffener Internet-Surfer.

Das IAB fungiert als Börse für Werbeplätze

Die TC-Kennung ist Basis personalisierter Werbung, die in permanenten Echtzeit-Versteigerungen veräußert wird. In der Europäischen Union laufen die Fäden für dieses Real Time Bidding beim Interactive Advertising Bureau (IAB) in Belgien zusammen. Dabei handelt es sich um einen Verband, zu dessen Mitgliedern digitale Werbe- und Marketingunternehmen gehören. Tausende IAB-Mitglieder können anonym in Echtzeit Gebote über Werbeplätze abgeben und diesen Platz ersteigen – inklusive der erforderlichen Nutzerdaten. Allerdings sehen die obersten belgischen Datenschützer die gängige Praxis „Real Time Bidding“ als Verstoß gegen die DSGVO an und verhängten gegen die IAB ein Bußgeld in Höhe von 250000 Euro.

EuGH bestätigt den Verstoß gegen geltendes Recht

Wie zu erwarten, wehrte sich das IAB gegen den Bußgeldbescheid und legte Rechtsmittel ein. Begründung: TC-Strings sind codiert, schützten also die personenbezogenen Userdaten. Es kam zu einem Vorabentscheidungsersuchen des belgischen Gerichts, eine gängige Praxis in solchen Fällen. Damit lag der Fall dem EuGH vor. Dieser bestätigte die belgischen Datenschützer: Ein TC-String enthält „Informationen über einen identifizierbaren Nutzer“ und stellt „somit ein personenbezogenes Datum im Sinne der DSGVO“ dar. Genau diese Identifizierbarkeit des Users bei jeder Transaktion ist ein klarer Verstoß gegen geltendes Datenschutzrecht.

„Gemeinsam Verantwortlicher“ definiert

Noch ist im schwelenden Rechtsstreit nicht final entschieden worden. Der Status quo gibt aber den belgischen Gerichten sehr wohl eine Handhabe, ein Urteil in diesem Sinne zu fällen. Dabei mag es nur um wenige Details gehen, die für die meisten Verbraucher hinter dichten technologischen Vorhängen verborgen ablaufen. Ein Punktsieg für den Datenschutz und wohl die meisten User ist die Entscheidung aus Brüssel dennoch. Denn nicht zuletzt stellt sie klar, dass das IAB gemäß DSGVO als „gemeinsam Verantwortlicher“ anzusehen ist. Damit geht selbstverständlich auch eine hohe datenschutzrechtliche Verantwortung einher, die die IAB akzeptieren muss. Dies wird künftig zu Einschränkungen des bisherigen Geschäftsmodells führen.