Anzeige

Datenschutz gegen IAB

Alles, was Sie über Consent-Gate wissen müssen

Imago DSGVO

Die Schonzeit ist vorbei. Europas Regulierer laufen heiß beim Interpretieren der Datenschutz Grundverordnung - Foto: Imago / Andreas Berheide

Nachdem der belgische Datenschutz die Einwilligung nach TCF für unrechtmäßig erklärt hat, ist die Verunsicherung in der Branche gewaltig. Experten empfehlen den Publishern dringend zu handeln.

Anzeige

Das Jahresanfangs-Chaos ist perfekt. Fast zeitgleich wurden der Einsatz von US-Trackingtools, allen voran Google Analytics, und die Einholung von Einwilligungen auf Grundlage des TCF-Standards (Transparency Consent Framework) für rechtswidrig erklärt. Die Verwirrung ist so groß, dass sogar den Experten von der Consent Management Plattform Didomi ein Fehler unterlief. In einem eilig einberufenen Webinar, bei dem die Auswirkungen der TCF-Entscheidung diskutiert werden sollten, blendete man das eigene Consent-Banner als Beispiel ein. Mittendrin der Hinweis auf die Nutzung von Google Analytics.

Didomi Banner
Oops, im Didomi-Banner wird nach der Einwilligung zu Google Analytics gefragt, obwohl das – stand heute – nicht rechtssicher machbar ist – Foto: Screenshot / Didomi

Bei Publishern und Marken bricht Aktionismus aus. „Die Aufregung ist gewaltig“, berichtet ein Insider aus Verlagskreisen. Ein großer Konzern, der nicht genannt werden möchte, hat die Einführung von Google Analytics 4 mit sofortiger Wirkung gestoppt. Erst muss geprüft werden, ob das Google-Tracking in Europa überhaupt rechtskonform eingesetzt werden kann.

„Ich sehe keine technische Möglichkeit, wie das machbar ist“, sagt Christian Bennefeld – und der ist vom Fach. Er ist der Gründer von eTracker, einem der wichtigsten deutschen Analysetools. Inzwischen ist Bennefeld auf der anderen Marktseite unterwegs und berät Firmen und Institutionen in Sachen Datenschutz. Und seine Expertise ist gerade gefragt wie nie: „Eigentlich wollte ich nur noch wenig arbeiten, aber das Telefon steht zurzeit kaum still.“

Höchste Zeit für eine Aufarbeitung der Geschehnisse.

Nur Google kann Analytics retten

Der österreichische Datenschutz hat entschieden und die französische Behörde CNIL hat sich dem angeschlossen:

  1. Google Analytics überträgt Daten in die USA.
  2. Die Daten sind nicht oder ungenügend verschlüsselt.
  3. Gemeinsam mit den Daten wird eine ID gespeichert.
  4. Aufgrund dieser ID können die Daten einem Nutzer zugeordnet werden.
  5. Die USA sind ein „unsicheres Drittland“. US-Unternehmen sind durch den Cloud Act verpflichtet, US-Behörden auf deren Ersuchen hin Zugriff auf die Daten zu geben.
  6. Der Websitebetreiber, der Google Analytics einsetzt, haftet.

Die Entscheidung der österreichischen Datenschützer richtete sich gegen „Netdoktor.at“. Der Website-Betreiber räumte ein, das Tracking-System nicht perfekt konfiguriert zu haben. Daraus leitet sich die Frage ab, ob man Google Analytics so einstellen kann, dass es rechtskonform ist. Christian Bennefeld sieht dafür keine Möglichkeit, da die detaillierte Analyse des Nutzerverhaltens ja nur möglich ist, wenn die Datensätze auch einzeln identifizierbar bleiben. „Theoretisch könnte man vielleicht Cluster bilden, aber dann generiert Analytics keine wertvollen Erkenntnisse mehr.“

Seiner Auffassung nach haben die Site-Betreiber nur eine Möglichkeit: Sie müssen auf ein kostenpflichtiges, europäisches Werkzeug umsteigen. „Matomo, die OpenSource-Variante von Piwik, ist meines Wissens nicht auf dem aktuellen Stand“, so Bennefeld. Außerdem braucht es enorme Inhouse-Expertise und Ressourcen, um ein leistungsfähiges Analysesystem selbst zu betreiben.

Alternativ könnte man allerdings versuchen, sich vom Nutzer die Einwilligung zum Datenexport in die USA erteilen zu lassen. „Theoretisch ist das zwar möglich, aber die DSGVO verlangt, dass individuelle Einwilligungserklärungen die Ausnahme darstellen und nicht die Regel“, so Marco Blocher von der Nonprofit-Organisation NOYB, die die Beschwerde gegen „Netdoktor.at“ (und 100 andere Websites) vor den Datenschützern erhoben hat. Hinter NOYB steht kein geringerer als Max Schrems.

Der gültige Consent

Während das Aus für Google Analytics nur einen Teil des Marktes trifft – Markus Nowak-Trytko vom IdealObserver geht für Deutschland von 50 Prozent Markanteil aus – erschüttert die Entscheidung der belgischen Datenschützer vom 2. Februar praktisch die gesamte Branche. Die Autorité de protection des données (APD hat festgestellt, dass das Transparency Consent Framework gegen die DSGVO verstößt. TCF ist der Defacto-Standard. „Es gibt keinen Plan B. Wenn TCF fallengelassen wird, steht der User noch schlechter da als vorher“, sagt Thomas Adhumeau, Chief Produkt Officer beim Consent-Anbieter Didomi.

Das Urteil im Detail:

  1. Die Einwilligungserklärung im Banner ist unvollständig und für den User ist im Detail nicht nachvollziehbar, wohin seine Daten fließen.
  2. Das hat vor allem mit der Bauart des TCF zu tun. Die Informationen über eine Einwilligung oder das Ablehnen derselben, werden als TC-String übergeben.
  3. Der TC-String stellt auch ein Datum mit Personenbezug dar, aus dem auf den User geschlossen werden kann.
  4. Die Liste der an TCF angeschlossenen Daten-Unternehmen ist so groß, dass der User keine Chance hat, seine Kontrollfunktion auszuüben, wie es die DSGVO verlangt. Außerdem sind die beteiligten Parteien wiederum mit anderen Unternehmen verbunden, die möglicherweise ebenfalls Einblick in die Daten bekommen.
  5. Den Abfluss der Daten in die USA hat die APD zwar nicht untersucht, aber in der Entscheidung festgestellt, dass man davon ausgehe, dass das stattfindet.
  6. Verantwortlich für den Betrieb des TCF-Systems sei IAB Europe (International Advertising Buro). Die APD sieht das IAB im Status eines Data Controllers. Der müsse nicht nur die Haftung für die Datensicherheit übernehmen, sondern auch einen Datenverantwortlichen benennen. Außerdem muss das jeweilige Consent-Banner dieses Konstrukt transparent aufzeigen.

Das IAB wehrte sich am Montag (14. Februar) gegen die Entscheidung. Man habe nur den Standard entwickelt und zwar in Zusammenarbeit mit den Behörden. Man habe gar nicht die Ressourcen, den gesamten Datenfluss zu kontrollieren und sei keineswegs ein Data Controller. Man können ja nicht die Haftung für die gesamte Branche übernehmen.

Zwei Monate hat das IAB nun Zeit, nachzubessern. Ansonsten droht eine Strafzahlung von 250.000 Euro. „Wir gehen davon aus, dass das IAB das schafft“, meint Jawat Stouli, CTO bei Didomi. Er geht davon aus, dass etwa gegen Ende des Jahres eine belastbare Lösung des Problems vorliegen wird. Sobald die APD einem Alternativvorschlag des IAB zustimmt, werden auch die anderen europäischen Datenschützer sich ruhig verhalten. Es bleibt also eine gewisse Karenzzeit.

Da sind allerdings zahlreiche Datenschutz-Aktivisten anderer Meinung. Eine Karenzzeit mag es geben, was die Neugestaltung des Einwilligungsbanners angeht. Fakt ist aber, dass ältere Einwilligungen mit einem rechtswidrigen Banner eingeholt wurden und somit zu Löschen sind. Auch die Experten von Didomi empfehlen ihren Kunden zähneknirschend den „Restart“.

Das müssen Publisher und große Marken tun

Consent-Gate trifft die Verlage wesentlich stärker als die Marken. Nur wenige Advertiser haben sich an TCF angeschlossen. Etwas anders sieht es bei Handelsplattformen aus, die gleichzeitig Advertiser und Publisher sind.

Didomi Tipps
Mit diesen sechs Tipps schickt Didomi seine Kunden auf die „sichere Seite“ – Foto: Screenshot / Didomi

Die Experten von Didomi geben ihre Kunden eindeutige Empfehlungen und sehen akuten Handlungsbedarf. Einige der Tipps sind nur mit einer leistungsfähigen Consent Management Platform (CMP) umsetzbar. Das muss nicht die von Didomi sein, Tools von Usercentrics, OneTrust oder anderen sollten Ähnliches leisten. Wer heute noch keine CMP einsetzt, sollte zumindest darüber nachdenken. Sobald Datenmarketing ein wichtiger Bestandteil des Geschäftsmodells ist, wird man auf Dauer nicht umhinkommen, die Einwilligungserklärungen professionell zu verwalten. Manche Tracking-Tools – unter anderem Piwik Pro – enthalten entsprechende Module.

Und das sollte man laut Didomi tun:

  1. Die Publisher rausfiltern, die auf „Berechtigtem Interesse“ arbeiten. Wenn TCF grundsätzlich personenbezogene Daten übermittelt, braucht es immer einer expliziten Einwilligung.
  2. Die Menge der Vendoren bzw. Anbieter limitieren. Das ist der Kern. Aus dem offenen System TCF soll ein Closed Shop werden, in dem der jeweilige Publisher seine Partner kennt und weiß, was mit den Daten passiert. Das ist auch für Christian Bennefeld die richtige Lösung: „Partnersysteme wie die NetID sind kontrollierbar“, sagt er. Die Autorité de protection des données gibt keine klare Zahl vor. Didomi schätzt, dass Websites realistischerweise 200 Vendoren zulassen sollten, Apps 50. Vor allem sollte man die rausnehmen, die Daten in die USA transferieren. Hier liegt der Spielball auch im Feld des IAB.  Es braucht ein Zertifizierungssystem für TCF-Teilnehmer. Allerdings bezweifeln die irischen Datenschutzaktivisten vom Irish Council of Civil Liberty, dass das IAB das leisten kann.
  3. Klare Benennung der Verwendungszwecke und Partner im Cookie-Banner. Das ist bereits heute state of the art; Didomi empfiehlt aber, dass man sich noch mehr Mühe gibt, das System verständlich und in Umgangssprache zu erklären.
  4. Die unterschiedlichen IAB Purposes in eigene Kategorien einordnen, die lassen sich klarer beschreiben. Nicht die Standard-Formulierungen verwenden. Dazu gehört vermutlich auch eine eigene Kategorie für das Thema Webanalyse.
  5. User Control Center offensiv einsetzen. User müssen die Einwilligung einfach wieder zurückziehen können. Das ist keine direkte Empfehlung der APD, aber sichert den Publisher ab. Transparenz erzeugt Vertrauen. „Traut euch“, ruft Antonio Anguiano, Vice President Product bei Didomi den Publishern zu.
  6. Restart. Die Datensammlung beginnt wieder von vorn.

Zumindest bei Punkt 6 sollten Publisher nicht hysterisch werden. Wer zügig die eigenen Consent-Banner und das dahinterstehende Preference Center anpasst, hat erst einmal Ruhe. Im zweiten Schritt wird die Vendorenliste angepasst. Mit dem Löschen von Altbeständen sollte man zumindest warten, bis die Gerichte den Einspruch des IAB verhandelt haben.  

Kontrollierte Datenweitergabe

Das Ganze erinnert an 2019. Als die DSGVO in Kraft trat, mussten sich viele Publisher und Marken durch die Listen an Tech-Partnern wühlen, von denen sie selbst zum Teil nie gehört hatten. Dieses Aussortieren und das Fokussieren auf nützliche und sinnvolle Partnerschaften, war zwar eine der teuersten aber vielleicht sogar die wichtigste Konsequenz der Einführung der DSGVO.

Das System TCF (und aller Voraussicht nach auch die ID-basierten Werbenetzwerke) haben diesen Ansatz ausgehöhlt und es ist daher folgerichtig, dass die Regulierer hier Nachbesserung einfordern. Gerade da man heute um die Bedeutung und den Wert der eigenen Daten weiß, sollte man auch wissen, mit wem man sie zu welchem Zweck teilt. Nicht nur als User, sondern auch als Website-Betreiber.

Und wie findet man diese Partner? Überraschung: Dafür gibt es Tools. Agnostik.io ist ein solcher Auditor. Die Franzosen zeigen einen Risiko-Indikator für jeden geprüften Vendor und überlassen es dann dem Publisher, seine Filter so scharf einzustellen, wie man möchte, und wie es das eigene Geschäftsmodell zulässt. „Jeder Vendor sollte einem wirklich etwas bedeuten“, sagt Frank Ducret, der Gründer von Agnostik.io.

So werden aus Open Real Time Bidding viele kleine Walled Gardens. Das ist nicht nur für die Dynamik der offenen Auktion ein Problem, sondern wird vermutlich auch gerade die kleineren Publisher härter treffen als die Großen. Und es wird mindestens vermutlich die Marktmacht der GAFA weiter stärken.

„Wir haben in den letzten Jahren verlernt, in Europa innovativ zu sein“, sagt Christian Bennefeld. Consent-Gate ist nur eine der Konsequenzen. Weitere werden folgen.

Anzeige