ICO UK: Personalisierte Werbung mittels „Real-Time-Bidding“ verstösst gegen das Datenschutzrecht


In einem im Juni 2019 veröffentlichten Bericht hat die britische Datenschutzbehörde (ICO) die Online-Werbeindustrie und namentlich das sog. „Real-Time-Bidding“ auf ihre Konformität mit dem Datenschutzrecht geprüft und erhebliche Mängel festgestellt. Im Bericht wird das Ausmass der Datenverarbeitung zum Zwecke der personalisierten Werbung als ausufernd, aufdringlich und unfair eingestuft. Ferner bemängelt das ICO namentlich das Fehlen von Erlaubnistatbeständen und die Missachtung der Informationspflichten. Trotz der Vielzahl an Beanstandungen verzichtet das ICO auf Sanktionen. Die Branche wird aber aufgerufen, in den kommenden Monaten datenschutzkonforme Lösungen zu erarbeiten.
  

Bedeutung und Funktionsweise von „Real Time Bidding“ im Online-Marketing

Mittels „Real Time Bidding“ (RTB) können Werbetreibende – vereinfacht ausgedrückt – automatisiert und in Echtzeit Werbeplätze auf Webseiten von Webseitenbetreibern (sog. Publisher) ersteigern. Durch die hohe Geschwindigkeit dieses Vorgangs wird beim Aufruf einer Seite noch während der Ladezeit festgelegt, welche Werbung dem jeweiligen Seitenbesucher an welcher Stelle der Webseite angezeigt wird. Insofern handelt es sich um eine Methode, um personalisierte Werbung im Internet zu schalten.

Zur Erreichung einer höheren Genauigkeit der Ausrichtung der geschalteten Werbung geht RTB mit der Verarbeitung und Übertragung von persönlichen Merkmalen wie Alter, Geschlecht oder Kaufhistorie der Webseitenbesucher einher. Dabei werden diese mittels Targeting und Tracking-Methoden beim Besuch einer Seite „markiert“ und später über einen Cookie-Matching Service wieder erkannt, wenn sie andere Webseiten besuchen (sog. Retargeting). So können beispielsweise neben einem Artikel in einem Newsportal gezielt Werbeanzeigen für Produkte platziert werden, die vom Besucher zuvor in einem Onlineshop angeschaut wurden und dies oftmals unabhängig davon, ob der Nutzer das das gleiche Gerät verwendet oder nicht (sog. „cross device-tracking“).

Die gesammelten Informationen werden in der Folge in eine „Gebotsanfrage“ („Bid Request„) integriert. Dieser wird in das RTB-Ökosystem übermittelt, sodass Werbetreibende resp. die von ihnen beauftragten Dienstleister (insb. sog. Demand Side Plattforms, DSP) Gebote für die Schaltung von Werbung auf der Publisher-Website abgeben können, die dann dem betroffenen Nutzer angezeigt wird. Dieser Prozess wird in Millisekunden abgewickelt und basiert in der Regel auf Branchen-Protokollen (insb. das IAB OpenRTB Protocol oder Google Authorized Buyers Framework), die technische Spezifikationen für den Austausch von Daten unter den Beteiligten enthalten.
 

Hintergrund des ICO-Berichts und rechtliche Grundlagen

Die beschriebenen Abläufe im RTB-Ökosystem waren in den vergangenen Jahren Gegenstand verschiedener Beschwerden von Verbraucherorganisationen und Stellungnahmen Europäischer Datenschutzbehörden. Auch die britische Datenschutzbehörde (Information Commissioner’s Office, ICO) hat das Web- und Cross-Device-Tracking zu einer Priorität ihrer Aufsichtstätigkeit erklärt. Infolgedessen hat das ICO eine Untersuchung der Datenverarbeitungen im Zusammenhang mit dem RTB eröffnet und am 20. Juni 2019 einen ersten umfassenden Bericht über die gewonnenen Erkenntnisse veröffentlicht. In dem Bericht werden zahlreiche Aspekte der Online-Werbebranche bzw. der RTB-Industrie auf ihre Konformität mit den geltenden Regeln der Datenschutzgrundverordnung (DSGVO) und den PECR, den britischen Umsetzungserlassen der EU-Richtlinie 2002/58/EG (E-Privacy-Richtlinie) untersucht und als höchstproblematisch bezeichnet.

Im Vordergrund steht dabei die Frage, ob die Verarbeitungen im Zusammenhang mit dem RTB auf einen Erlaubnistatbestand abgestützt werden können oder nicht. Nach der DSGVO ist jede Verarbeitung von personenbezogenen Daten im Grundsatz verboten und muss deshalb auf einen Erlaubnistatbestand (z.B. eine Einwilligung oder ein (überwiegendes) „berechtigtes Interesse“) abgestützt werden können. Im Rahmen der Untersuchung hat das ICO festgestellt, dass viele beteiligte Unternehmen jedoch die parallel zu beachtenden Vorgaben der PECR nicht verstehen oder gar ignorieren würden. Danach muss für die Speicherung und das Auslesen von Informationen auf den Endgeräten von Nutzern grundsätzlich eine Einwilligung der Nutzer eingeholt werden. Das ICO betont dabei, dass die Ausnahmen für die sog. „Essential-Cookies“ im Zusammenhang mit dem RTB oder generell der Online-Werbung nicht greifen. Das Einwilligungserfordernis gemäss PECR gilt ferner auch unabhängig davon, ob mit den Cookies oder ähnlichen Technologien (bspw. SDK, Pixels oder Browser Fingerprinting) personenbezogene Informationen gespeichert oder ausgelesen werden oder nicht. Damit eine gültige Einwilligung im Sinne der PECR vorliegt, muss diese ferner dem hohen Standard der DSGVO entsprechen. Dieser Hintergrund werde auch von den meisten Branchen-Initiativen vernachlässigt, welche sich oftmals ausschliesslich auf die Vorgaben der DSGVO konzentrieren würden.
 

Verarbeitung besonderer Kategorien von Daten erfordert zwingend explizite Einwilligung

Sodann ist nach der DSGVO die Verarbeitung besonderer Kategorien personenbezogener Daten nur mit einer ausdrücklichen Einwilligung oder bei Vorliegen eines anderen in Art. 9 DSGVO abschliessend aufgezählten und eng umschriebenen Ausnahmetatbestands zulässig. Zu diesen besonderen Kategorien zählen unter anderem Daten, aus denen Herkunft, politische Meinungen, weltanschauliche Überzeugungen oder sexuelle Orientierung hervorgehen. Das ICO kommt zum Schluss, dass viele Daten, die im Zusammenhang mit RTB verarbeitet werden, in diese besonderen Kategorien fallen. Folglich werde für deren Verarbeitung eine vorherige, explizite Einwilligung benötigt.

Gegenüber der ICO wurde von beteiligten Repräsentanten der digitalen Werbeindustrie (AdTech) zwar vorgebracht, dass solche Daten nicht für Targeting-Aktivitäten genutzt werden, sondern ausschliesslich um den Werbetreibenden Informationen über die Webseite, auf der die Werbung geschaltet werden soll, zur Verfügung zu stellen. Dadurch soll verhindert werden, dass Werbeanzeigen auf «ungeeigneten» Webseiten erscheinen (sog. exclusion). Dieses Argument konnte beim ICO jedoch keinen Anklang finden. Erstens hätten Untersuchungen ergeben, dass Daten besonderer Kategorien sehr wohl auch für das Targeting verwendet werden. Des Weiteren sei letztlich auch belanglos, zu welchem der beiden Zwecke die Verarbeitung stattfinde. Für jegliche Verarbeitung besonderer Kategorien in einem RTB-Verfahren gelten die strengen Vorgaben von Art. 9 DSGVO. Da ferner eine Rechtfertigung durch andere in dieser Vorschrift genannte Tatbestände nicht ersichtlich sei, müsse zwingend eine explizite Einwilligung eingeholt werden. Bereits aus diesem Grund erklärt das ICO die bestehenden Einwilligungsaufforderungen, die sich auf das Google Authorized Buyers Framework oder das Transparency & Consent Framework (TCF) des IAB Europe abstützen, für unwirksam. Diese müssten entweder so ausgestaltet werden, dass eine ausdrückliche Einwilligung eingeholt wird oder es sollte auf eine Verarbeitung solcher Daten verzichtet werden.
 

Erlaubnistatbestand der „berechtigten Interessen“ greift nicht

Im Hinblick auf Trackingvorgänge personenbezogener Daten, die nicht den besonderen Kategorien i.S.v. Art. 9 DSGVO zugehörig sind, teilt das ICO die Auffassung anderer europäischer Datenschutzbehörden, wonach diese stets der vorgängigen Einwilligung des Seitenbesuchers bedürfen (vgl. MLL-News vom 27.4.19, auch zum „Sonderfall“ Deutschland). Dies folge bereits aus den besonderen Vorgaben der PECR für den Einsatz von Cookies. Da somit zumindest am Ausgangspunkt der Datenverarbeitung eine Einwilligung für das Online-Marketing erforderlich sei, erscheine die Einwilligung auch als der am ehesten geeignete Erlaubnistatbestand im Sinne von Art. 6 DSGVO.

In der Praxis stellte das ICO aber fest, dass sich mehrere Beteiligte auch für das Setzen von Cookies auf den Erlaubnistatbestand des „berechtigten Interesses“ berufen. Selbst wenn für Bearbeitungen im RTB-Ökosystem, die über den Einsatz von Cookies hinausgehen, das Abstellen auf ein berechtigtes Interesse möglich sein sollte, sei die Berufung darauf eine vollumfänglich unnötige „Übung“, wenn Unternehmen für das Setzen von Cookies ohnehin eine Einwilligung entsprechend dem DSGVO-Standard benötigen. Darüber hinaus führe dies auch zu Verwirrung bei den betroffenen Personen und könnte als unfair betrachtet werden. Dies sei bspw. der Fall, wenn die Betroffenen annehmen, dass ihre persönlichen Daten gestützt auf ihre Einwilligung bearbeitet werden und die Datenverarbeitung nach einem Widerruf der Einwilligung, gestützt auf das berechtigte Interesse, gleichwohl weitergeführt werde.

Unabhängig davon verweist das ICO in der Folge aber auch auf die hohen Anforderungen, die für die Bejahung eines (überwiegenden) berechtigten Interesses gelten. Vielen Verantwortlichen seien diese aber offensichtlich nicht bewusst und man gehe davon aus, dass das „berechtigte Interesse“ im Vergleich zur anspruchsvollen Einwilligung die „easy option“ sei. Die Beteiligten müssten aber insbesondere nachweisen können, dass die Datenverarbeitungen erforderlich und verhältnismässig sind und nur geringfügige Auswirkungen auf die betroffenen Personen haben. Die Art der Datenverarbeitungen im Rahmen des RTB mache es jedenfalls unmöglich, die Anforderungen an ein berechtigtes Interesse zu erfüllen.

Nach Ansicht des ICO kommt daher für die „business as usual“ RTB-Datenverarbeitungen (d.h. das Setzen und Auslesen von Cookies und die anschliessende Übermittlung des „Bid Request“) einzig die Einwilligung als Erlaubnistatbestand infrage. Dies gilt gemäss ICO explizit auch für Bearbeitungen, die über den Einsatz von Cookies hinausgehen. Darin sieht es allerdings keinen Widerspruch zur kürzlich veröffentlichten Stellungnahme des Europäischen Datenschutzausschusses (EDSA), wonach für solche Bearbeitungen grundsätzlich sämtliche Erlaubnistatbestände der DSGVO angerufen werden können (vgl. MLL-News vom 27.4.19). Vielmehr fühlt sich das ICO durch Standpunkte von anderen Behörden zum Online-Marketing im Allgemeinen bestätigt. Demnach können die Anforderungen des berechtigten Interesses bereits aufgrund der Natur und des Umfangs der RTB-Datenverarbeitungen nicht erfüllt werden.
 

Keine genügende Information der Betroffenen  

Neben den fehlenden Grundlagen für die Rechtmässigkeit der Datenverarbeitung erkennt das ICO auch verschiedene datenschutzrechtliche Unzulänglichkeiten in Bezug auf die Transparenz- und Informationspflichten nach Art. 13 f. DSGVO sowie der PECR. So mangle es den bislang verwendeten Datenschutzerklärungen an Detailliertheit und Klarheit. Die Betroffenen könnten sich so kein angemessenes Bild darüber machen, was mit den erhobenen Daten passiert. Das ICO räumt an dieser Stelle ein, dass die festgestellten Probleme zu einem grossen Teil auf die Komplexität und Undurchsichtigkeit des RTB-Ökosystems zurückzuführen sind und insofern in der „Natur der Sache“ liegen. Dies bedeute jedoch nicht, dass die Beteiligten die rechtlichen Vorgaben ignorieren dürfen.

Das ICO weist in diesem Zusammenhang insbesondere auf die grosse Anzahl von Unternehmen hin, mit welchen die gespeicherten Daten geteilt werden. So werden alleine in der Vendor-Liste der IAB Europe, welche Teil des TCF-Frameworks ist, mittlerweile schon über 450 Unternehmen aufgeführt. Das ICO bemängelt, dass die Beteiligten teilweise selbst nicht wüssten, mit wem die Daten geteilt werden und auch den Nutzern nur unzureichende Kontrollmöglichkeiten zur Verfügung stehen. Ferner sei es Unternehmen, die das TCF-Framework implementieren, auch möglich, weitere Dritte beizuziehen, die nicht auf der jeweiligen Liste aufgeführt sind, da keine Vorgaben bestünden, die dies unterbinden. Zur Erfüllung der Informationspflicht nach der DSGVO müssen die Betroffenen denn auch über die Empfänger oder zumindest die Kategorien von Empfängern der personenbezogenen Daten informiert werden. Das ICO weist jedoch darauf hin, dass bei personenbezogenen Datenverarbeitungen von Dritten, die auf eine Einwilligung abgestützt werden sollen, die blosse Benennung der Kategorien der Dritten nicht ausreiche, sondern die Dritten als Datenempfänger namentlich genannt sein müssen. Nach der Einschätzung des ICO hat die Partei, welche die Einwilligung einholt, aber im Kontext des RTB keine Möglichkeit zur Festlegung, mit welchen Dritten die Daten geteilt werden.

Des Weiteren würden die Betroffenen unzureichend über das Ausmass der im RTB-Prozess stattfindenden Datenverarbeitung informiert. So würden die Datenprofile der Webseitenbesucher laufend durch Informationen aus anderen Quellen «angereichert», z.B. über geräteübergreifende Abgleichungen oder anderen Data-Matching-Methoden. Die ständige Anreicherung dieser sehr detaillierten Profile zum Zwecke der gezielten Werbeschaltung sei insgesamt als ausufernd, aufdringlich und unfair einzustufen. Akzentuiert werde dies noch durch die Tatsache, dass viele Betroffenen gar nicht wüssten, dass eine solche Verarbeitung stattfindet und die bereitgestellten Datenschutzerklärungen sie über die Vorgänge auch nicht ausreichend informieren würden.
 

Fehlende Garantien sowie technische und organisatorische Kontrollmöglichkeiten

Das ICO hält weiter fest, dass die Bid Requests oftmals nicht an bloss ein Unternehmen oder eine definierte Gruppe von Unternehmen übermittelt werden. Die enthaltenen Daten könnten daher potentiell von jeder beliebigen Organisation unter Einsatz des verfügbaren Branchen-Protokolls verwendet werden, also auch von Unternehmen, die nicht auf der Vendor-Liste aufgeführt sind oder sich nicht an die datenschutzrechtlichen Vorgaben des EU-Rechts halten. Ferner würden auch unzählige Unternehmen die Daten eines Nutzers erhalten, obwohl nur eines die Auktion „gewinnen“ wird.

Es seien insofern keine Garantien oder technische Steuerungsmöglichkeiten für die Datenverarbeitung durch Dritte vorhanden (z.B. betr. Aufbewahrung, Sicherheit etc.). Sobald die Daten einmal aus den „Händen“ einer Partei gelangt sind, hat diese keine Möglichkeit, um zu gewährleisten, dass die Daten – gerade auch bei Unternehmen in Drittstaaten – weiterhin angemessen geschützt sind. Auch die von der Werbe-Branche erarbeiten Verträge würden alleine nicht ausreichen. Unternehmen dürften sich nach den Vorgaben der DSGVO nicht bloss auf vertragliche Regelungen verlassen. Vielmehr müsse die Einhaltung der vertraglichen Vorgaben auch überwacht werden und es seien zu diesem Zweck technische und organisatorische Massnahmen zu ergreifen.
 

Datenschutz-Folgenabschätzung ist zwingend erforderlich

Die DSGVO verlangt zudem grundsätzlich immer dann die Durchführung einer Datenschutz-Folgenabschätzung (DSFA), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist nach Auffassung des ICO im Bereich von RTB der Fall, da dabei mehrere Verarbeitungsaktivitäten durchgeführt werden (z.B. Profiling in grossem Ausmass sowie Verarbeitung von Daten von Kindern), die gemäss der massgeblichen Liste des ICO wahrscheinlich ein entsprechend hohes Risiko zur Folge haben. Das ICO habe bislang jedenfalls keine Nachweise dafür, dass die vom RTB ausgehenden Risiken angemessen abgeschätzt wurden und insofern allen Beteiligten bewusst seien.
 

Fazit und Anmerkungen

Das RTB-Ökosystem wird vom ICO sowohl im Hinblick auf die Rechtmässigkeit der Datenverarbeitung als auch hinsichtlich der Informations- und Transparenzvorschriften scharf kritisiert. Unabhängig davon, ob die einzelnen Vorwürfe in rechtlicher und tatsächlicher Hinsicht korrekt sind, leistet der Bericht des ICO einen wichtigen Beitrag zur Sensibilisierung der beteiligten Unternehmen. Der Bericht veranschaulicht unter anderem, dass das Abstützen von Datenverarbeitungen auf „berechtigte Interessen“ auch im Marketing mit erheblichen Risiken verbunden ist und die Datenschutzbehörden hohe Anforderungen an diesen Erlaubnistatbestand stellen.

Darüber hinaus machen die Ausführungen des ICO für das Online-Marketing einmal mehr deutlich, dass nicht nur die Vorgaben der DSGVO, sondern auch die nationalen Umsetzungserlasse der E-Privacy-Richtlinie zu beachten sind. Die beteiligten Unternehmen müssen daher sehr sorgfältig abwägen, inwiefern es sich überhaupt lohnt, nur einen Teil der Datenverarbeitungen im Zusammenhang mit dem Tracking und der Auslieferung von personalisierter Online-Werbung auf eine Einwilligung abzustützen. Dies gilt umso mehr als die E-Privacy-Verordnung, welche die noch geltende E-Privacy-Richtlinie ablösen soll, womöglich noch weitergehendere Vorgaben mit sich bringen wird (vgl. dazu MLL-News vom 2.12.17). Mit Blick auf die Anforderungen an eine gültige Cookie-Einwilligung äussert sich das ICO allerdings nicht zur umstrittenen Frage nach dem „Kopplungsverbot“ (vgl. MLL-News vom 20.1.19). Inwieweit Publisher die Nutzung ihrer Website an die Einwilligung für den Einsatz von Cookies koppeln dürfen, beantwortet das ICO im vorliegenden Bericht daher nicht. Aus den kürzlich ebenfalls veröffentlichten Richtlinien zum Einsatz von Cookies geht allerdings hervor, dass das ICO entsprechende Cookie-Walls als unzulässig betrachtet, wenn damit die Einwilligung in Verarbeitungen für das Online-Marketing eingeholt werden soll.

Trotz der zahlreichen Beanstandungen verzichtet das ICO auf Sanktionen oder verbindliche Auflagen für einzelne Beteiligte. Angesichts der Komplexität des RTB-Systems und der wirtschaftlichen Bedeutung der gesamten Online-Werbebranche – nicht zuletzt auch für beteiligte Branchen, die auf Werbefinanzierung angewiesen sind – will das ICO in den kommenden Monaten vielmehr eng mit der Branche an möglichen Umsetzungsformen arbeiten und stellt hierfür eine „ausgewogene und iterative Vorgehensweise“ in Aussicht. Gleichwohl erwartet das ICO von den Beteiligten zumindest eine Neu-Evaluierung ihrer Datenverarbeitungen. Zumindest Google scheint bereits reagiert zu haben: Am 22. August 2019 wurde die sog. „Privacy Sandbox“ Initiative lanciert, die sich eine Minimierung und Anonymisierung der von Webseiten und Werbetreibenden gesammelten Personendaten zum Ziel setzt. So sollen künftig mehr Benutzerinformationen nur noch „On-Device-Only“ gespeichert werden und eine Reihe von Branchenstandards geschaffen werden, die den Erwartungen der Nutzer an den Datenschutz besser entsprechen sollen (zur kürzlich verhängten kartellrechtlichen Sanktion der EU-Kommission wegen Googles AdSense-Geschäftsmodell siehe MLL-News vom 27.4.2019).

Die weiteren Entwicklungen sowohl in rechtlicher als auch tatsächlicher Hinsicht sind daher im Auge zu behalten. Dies gilt auch für RTB-Akteure mit Sitz in der Schweiz. Zum einen empfehlen auch Schweizer Branchenverbände die Übernahme der vom ICO vorliegend kritisierten Consent Frameworks. Zum anderen sind die Vorgaben des EU-Datenschutzrechts bekanntlich auch für zahlreiche Schweizer Unternehmen ohne Niederlassung in der EU bzw. im EWR anwendbar (vgl. MLL-News vom 30.7.17).

 

Weitere Informationen: