Der TC-String des Interactive Advertising Bureau (IAB) – Teil2

1. Einleitung

Es klang wie eine Kampfansage, was die belgische Datenschutzaufsicht APD Mitte Februar verlauten ließ: »The BE DPA to restore order to the online advertising industry«. Gerichtet war die Ansage an das IAB Europe. Das Interactive Advertising Bureau (IAB) ist ein internationaler Wirtschafts- und Interessenverband der Onlinewerbebranche und entwickelt gemeinsam mit dem IAB Tech Lab technische Standards für den Onlinewerbemarkt. Zu diesen Standards gehören das Transparency & Consent Framework (TCF Version 2.0), dass als verbindliches Rahmenregelwerk von der Industrie für die Industrie entwickelt wurde. Laut IAB ist die Zielsetzung ein einheitlicher, internationaler und DSGVO-konformer Standard bei der Verarbeitung personenbezogener Daten im Rahmen der Onlinewerbung (siehe Teil 1 Real Time Bidding).

The TCF’s simple objective is to help all parties in the digital advertising chain ensure that they comply with the EU’s GDPR and ePrivacy Directive when processing personal data or accessing and/or storing information on a user’s device, such as cookies, advertising identifiers, device identifiers and other tracking technologies.

Quelle: TCF – Transparency & Consent Framework – IAB Europe. (o. D.).

Genauer gesagt, verpflichten sich die TCF-Mitglieder – die dieser Vereinbarung freiwillig beitreten – den IAB-Vorgaben in Bezug auf Erlaubnisinformationen und Transparenz nachzukommen sowie deren technische Standards zu verwenden.

Kernbestandteil dieses Standards ist der sogenannte TC-String, eine codierte Zeichenkette, die die Datenschutz-Präferenzen von Nutzer*innen an die Teilnehmer des Onlinewerbemarktes kommuniziert. Weshalb die belgische APD zu dem Ergebnis kommt, dass dieser Einverständnis-Standard einer rechtlichen Grundlage bedarf und das IAB Europe ein datenschutzrechtlicher Verantwortlicher ist, wollen wir in den folgenden Beiträgen erklären.

IAB Europe hätte die Entscheidung der APD der Öffentlichkeit lieber vorenthalten, obwohl sie die meisten europäischen Internetnutzer*innen direkt betrifft. Denn vermutlich sind die meisten von ihnen (bzw. deren Browser) schon unwissentlich mit dem TC-String in Berührung gekommen.

With regard to the defendant’s request not to publish the decision, the Litigation Chamber reminds of the significant impact of the case, in view of the a large number of data subjects and organisations involved.

Quelle: l’Autorité de protection des données (APD). (2022, Februar). Concerning: Complaint relating to Transparency & Consent Framework (Case number: DOS-2019-01377), S. 61.

Die Ansage der APD ist allerdings klar. Das IAB hat nun zwei Monate Zeit, der Datenschutzaufsicht einen Aktionsplan vorzulegen. Nach der Überprüfung durch die APD beginnt eine Umsetzungsfrist von sechs Monaten.

Die belgische Aufsichtsbehörde geht davon aus, dass das IAB Europe Verantwortlicher im Sinne des Datenschutzes für den TC-String ist. Dieser Verantwortlichkeit liegt die Erkenntnis zu Grunde, dass der TC-String Betroffene identifizierbar macht. Die codierte Zeichenkette enthält individuelle Präferenzen & Einstellungen, die durch die Interaktion mit einem Consent-Banner entstehen. Der TC-String signalisiert somit das Einverständnis / die Ablehnung eines einzelnen Betroffenen. Die Zeichenkette selbst enthält dabei keine personenbezogenen Daten.

Die belgische APD hat, aus diesen Feststellungen heraus, eine Reihe von Verstößen gegen die DSGVO ausgemacht:

• Rechtmäßigkeit: IAB Europe kann keine rechtliche Grundlage für die TC-String-Datenverarbeitung nachweisen. Die rechtlichen Grundlagen des Transparency & Consent Framework (TCF) sind für anschließende Datenverarbeitungen durch weitere Adtech-Unternehmen nicht ausreichend.
• Transparenz und Information gegenüber Betroffenen: Die durch die Consent Banner zur Verfügung gestellten Informationen sind zu allgemein und unbestimmt. Die Informationen sind nicht geeignet, bei Nutzer*innen ein Verständnis über den Umfang und die Umstände der Datenverarbeitung, insbesondere in der Komplexität des TCF, zu schaffen. Dementsprechend ist es schwierig für Nutzer*innen eine Kontrolle über ihre Daten auszuüben.
• Verantwortlichkeit: Die IAB kann weder angemessen nachweisen noch gewährleisten, dass das Transperency & Constent Framework DSGVO-konform ist. Dies betrifft auch die effektive Ausübung von Betroffenenrechten (Auskunft, Berichtung, Löschung usw.).
• Sicherheit der Datenverarbeitung: Es sind keine angemessenen technischen Sicherheitsmaßnahmen, wie z. B. die Überwachung der Gewährleistung von Integrität und Gültigkeit der getroffenen Consent-Auswahl, implementiert.
• Eine Datenschutzfolgeabschätzung ist erforderlich.

Wer Teil 1 gelesen hat, wird feststellen, dass die britische Datenschutzaufsicht ICO 2019 bereits zu einem sehr ähnlichen Ergebnis kam – bezogen auf das Real Time Bidding.

• Online-Werbung: Real Time Bidding und IAB-Standards – Teil1
• Der TC-String des Interactive Advertising Bureau (IAB) – Teil2

2. Eine Frage der richtigen Perspektive

Die meisten Menschen besuchen Webseiten aus einem bestimmten Nutzungswunsch heraus – Einkaufen, Nachrichtenlesen, Informationssuche, Online-Banking oder Unterhaltung sind Beispiele für typische Nutzungsanlässe. I. d. R. bieten Webseiten allerdings heutzutage ein ganzes Bündel an Dienstleistungen an, die unterschiedliche Funktionen haben. Nichtsdestotrotz existiert immer ein sogenannter Basisdienst als eine Art übergeordnete »Kategorie« für eine Einordnung. Diese lässt sich i. d. R. direkt aus dem Nutzungswunsch ableiten bzw. ist mit diesem verknüpft.

Jeder Telemediendienst [Anm. des Autors: hierunter fallen auch Webseiten] weist zunächst einen Basisdienst auf, der untrennbar für das gesamte Angebot von Bedeutung ist. Die Basisdienste lassen sich regelmäßig aus der Kategorie des Telemediendienstes ableiten.

Quelle: Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021), S. 21.

Der Basisdienst ist nicht zu verwechseln mit dem Geschäftsmodell einer Organisation. D. h. der Basisdienst einer Webseite und das, womit ein Unternehmen Geld verdient, kann (muss aber nicht) unterschiedlich sein.

Neben diesem Basisdienst existieren sogenannte Zusatzdienste. Nutzerorientierte Zusatzdienste – wohlgemerkt aus der Perspektive des Nutzenden in Verbindung mit seinem Nutzungswunsch – können beispielsweise die Art und Weise, wie der Basisdienst zur Verfügung gestellt wird, schneller, sicherer oder stabiler machen. Es kann sich dabei aber auch um Funktionen handeln, die von Nutzer*innen (z. B. zu einem gewissen Zeitpunkt) ausdrücklich angefordert werden. Wie z. B. die Einkaufskorbfunktion eines Onlineshops, sobald er ein Produkt darin platziert. Man könnte auch sagen, diese Zusatzdienste stehen dem Basisdienst sehr nahe.

Unabhängig davon existieren weitere Zusatzdienste, die sich immer weiter von der ursprünglichen Kategorie des Basisdienstes entfernen. Das können Chatfunktionen, Kontaktformulare, Kartendienste usw. sein.

Diese differenzierte und zweckgebundene Sichtweise ist keineswegs neu. Sie findet sich u. a. im Working Paper 194 »Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht« (die DSK zitiert in der folgenden Orientierungshilfe das WP 194) der Artikel-29-Gruppe.

Der durch § 25 TTDSG umgesetzte Art. 5 Abs. 3 ePrivacy-RL stellt auf „einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft“ ab. […] Die differenzierte Betrachtung einer Webseite oder App entspricht dem Zweck der Norm, nur diejenigen Eingriffe in die Endgeräte der Nutzer:innen zu erlauben, die im konkreten Fall unbedingt erforderlich sind, weil ohne sie der konkret vom einzelnen Nutzenden gewünschte Dienst nicht erbracht werden kann.

Quelle: Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021), S. 20.

Warum ist das wichtig? Aus der Sichtweise des Nutzungswunsches lassen sich i. d. R. auch die vernünftigen Erwartungen (engl. reasonable expectations) eines Betroffenen ableiten. Dieser Bewertungsmaßstab (der DSGVO) berücksichtigt sowohl eine subjektive Erwartungshaltung als auch gesellschaftliches Allgemeinwissen und soll den Betroffenen vor einer überraschenden Datenverarbeitung schützen – siehe hierzu Gola, Peter et al. (2018). Datenschutz-Grundverordnung: VO (EU) 2016/679 (2. Aufl.). C.H.Beck, S. 249. Vereinfacht gesagt bedeutet es: Nur weil eine Webseite aufgerufen wird, bedeutet dies keinen Persilschein für jedwede Datenverarbeitung durch den Webseiten-Betreiber unter dem Deckmäntelchen der »Notwendigkeit«.

3. Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

In Teil 1 haben wir erwähnt, dass das Information Commissioners Office (ICO) im Bericht Update report into adtech and real time bidding vom Juni 2019 auf Seite 23 zu dem Schluss kam, dass die Akteure des Real Time Bidding die Umsetzung der ePrivacy-Richtlinie in britisches Recht Privacy and Electronic Communications (EC Directive) Regulations 2003 nicht angemessen beachtet haben.

Die ICO bemängelt die Unrechtmäßigkeit der Verarbeitung beim Speichern sowie beim Zugriff auf Informationen (z. B. Cookies) auf Endgeräten. Es wurde auf ein berechtigtes Interesse abgestellt, obwohl eine Einwilligung erforderlich gewesen wäre.

In Deutschland muss (die sehr verspätete) Umsetzung der ePrivacy-Richtlinie beachtet werden. Dabei muss kurz Folgendes erklärt werden: Das TTDSG hat als Spezialgesetz »Vorrang« (siehe Artikel 95 DSGVO) vor der DSGVO in Bezug auf Telemediendienste wie z. B. Webseiten und die dort eingesetzten Cookies. Allerdings gilt es beide Gesetze nebeneinander im Blick zu haben, denn sobald eine anschließende Datenverarbeitungstätigkeit den Regelungsbereich des TTSDG verlässt, gilt die DSGVO (z. B. Profile bilden).

§ 25 TTDSG hat den Zweck, Endgeräte (weit definiert als: Endeinrichtungen) von Verbraucher*innen zu schützen. Er bestimmt dabei in Absatz 1, dass Informationen auf Endgeräten von Verbraucher*innen nicht ohne Einwilligung gespeichert oder ausgelesen werden dürfen. Dabei macht der Begriff »Informationen« deutlich, dass es sich nicht um personenbezogene Daten handeln muss. Absatz zwei (§ 25 Absatz 2 Nr. 2 TTDSG) formuliert relevante Ausnahmen. Die Kriterien sind eng auszulegen und verbunden:

• vom Nutzer ausdrücklich gewünscht
• unbedingt erforderlich

Eine ausführliche Erläuterung findet sich auf S. 18 ff. der Handreichung Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien, herausgegeben von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom Dezember 2021. Der ausdrückliche Wunsch von Nutzer*innen lässt sich anhand des Nutzungsanlasses (siehe oben) eingrenzen und ist eine aktive, bewusste Handlung.

Das Kriterium »unbedingt erforderlich« bedeutet, dass, sofern Nutzer*innen einen Dienst ausdrücklich anfordern, die Speicherung oder der Zugriff aus technischer Sicht erforderlich sein muss. Die DSK betont in ihrer Orientierungshilfe, dass die technische Erforderlichkeit sich nicht am wirtschaftlichen Geschäftsmodell orientiert.

Sofern eine Organisation sich sicher ist, keine Einwilligung einholen zu müssen und sie dennoch personenbezogene Daten verarbeitet, ist die DSGVO anzuwenden.

4. Der TC-String

Der Consent-String besteht aus einer codierten Zeichenkette, die beispielsweise in einen Cookie geschrieben wird. Diese Information wird auf dem Endgerät von Nutzer*innen gespeichert und abgerufen.

Der TC-String enthält laut l’Autorité de protection des données (APD) in der Entscheidung Complaint relating to Transparency & Consent Framework (Case number: DOS-2019-01377), S. 64-65 folgende Felder (Beispiele & Übersetzung durch den Autor):

• Allgemeine Metadaten (z. B. Zeitstempel, Spracheinstellung usw.)
• Binärwert für jeden Verarbeitungszweck, für den eine Einwilligung gegeben werden kann
• Binärwert für jeden Verarbeitungszweck, der mit berechtigtem Interesse erfolgt
• Binärwert für jeden Adtech-Vendor, der auf Basis einer Einwilligung Daten verarbeiten darf
• Binärwert für jeden Adtech-Vendor, dessen Verarbeitung auf einem berechtigten Interesse beruht
• Jedwede Verarbeitungsbeschränkung
• Besondere Opt-In-Funktionen für Verarbeitungstätigkeiten
• Feld, dass besondere Verarbeitungstätigkeiten des Publishers abbildet, die nicht unter das TCF fallen
• Einverständnis in Verarbeitungen, die nicht unter das TCF fallen

Anmerkung des Autors: Der Begriff Vendor ist eine Sammelbezeichnung für, beim IAB, registrierte Drittunternehmen. I.d.R. sind Vendoren Datenempfänger.

Allerdings besteht selbst in der Onlinewerbebranche noch Aufklärungsbedarf hinsichtlich der technischen Details.

Der Hauptzweck eines TC-Strings besteht darin, alle einem Benutzer bereitgestellten Informationen und den entsprechenden Entscheidungen hinsichtlich der Verarbeitung seiner personenbezogenen Daten gemäß der GDPR zu konkretisieren und zu verschlüsseln.

Quelle: Dörries, V. (2021, 8. März). IAB Transparency & Consent Framework (TCFv2.0) – leicht erklärt. Ingenious Technologies. (Hervorhebung durch den Autor)

Wird ein Consent-Banner bestätigt oder eine Auswahl getätigt, erfolgt dies in einer bestimmten, von der IAB festgelegten, technischen Struktur.

Quelle: Ein willkürliches Beispiel / Default-Wert aus diesem Decodierungs-Tool

Eine Zuordnungstabelle der Vendoren-IDs zu den entsprechenden Unternehmen, an die Daten übermittelt werden, findet sich in der IAB Vendoren-Liste.

In RTB jargon, SSPs, DSPs, Ad Exchanges, advertisers and DMPs are collectively referred to as »Vendors«.

Quelle: l’Autorité de protection des données (APD). (2022, Februar). Concerning: Complaint relating to Transparency & Consent Framework (Case number: DOS-2019-01377), S. 9.

Zu beachten ist, dass Einverständnis sowie Ablehnung (Werte: true und false) an alle Beteiligten übermittelt werden.

Der TC-Sring ist aber keineswegs verschlüsselt. Es ist jederzeit möglich die codierte Zeichenkette wieder zu decodieren. Im Internet finden sich entsprechende Tools. Dazu muss lediglich die Zeichenkette im Feld Value aus dem Cookie euconsent-v2 (siehe unten) verwendet werden.

Versuchen wir, das technische Prozedere bei einer deutschen Nachrichtenseite nachzuvollziehen. Man kann davon ausgehen, dass viele Webseiten ein gleiches oder ähnliches Setup einsetzen. Schließlich folgen viele Unternehmen den Vorgaben des IAB – auch hieran ist der Einfluss der Interessenvertretung zu messen.

Quelle: Durch den Autor erstellt

Folgender Ablauf kann, im Zusammenhang mit dem Consent-String, bei einem Webseiten-Besuch beispielsweise beobachtet werden.Quelle: Durch den Autor erstellt

Zu beachten ist, dass der Cookie einer sogenannten Consent-Management-Plattform (CMP) gesetzt wird, bevor eine Interaktion mit dem Consent-Banner stattfand. Im vorliegenden Fall wird der Cookie consentUUID von einer Subdomäne mit der Bezeichnung sourcepoint.n-tv.de gesetzt und ausgelesen.

Quelle: Durch den Autor erstellt

Quelle: Durch den Autor erstellt

Es ist davon auszugehen, dass der Cookie consentUUID eine eindeutige Kennung enthält. Dies geht aus der Dokumentation des Anbieters sowie der Cookie-Anleitung einer anderen News-Webseite hervor.

Represents the users unique id for which a consent record is stored against.

Quelle: Cookies and Local Storage – Sourcepoint Help Center. (o. D.). Sourcepoint Help Center.

Nach Interaktion mit dem Consent-Banner werden die Cookies consentUUID und euconsent-v2, der den TC-String enthält, an die CMP übermittelt. Diese Datenübermittlung bedeutet auch, dass die IP-Adresse, Browser- und Geräteinformationen von Nutzer*innen durch die CMP verarbeitet werden – damit besitzt diese auch die technischen Möglichkeiten, unterschiedliche Datenpunkte miteinander zu verknüpfen.

[…] is not conclusively established that the TC String, due to the limited metadata and values it contains, in itself allows for direct identification of the user, the Litigation Chamber notes that when the consent pop-up is accessed by script from a server managed by the CMP, it inevitably also processes the user’s IP address, which is explicitly classified as personal data under the GDPR. […]

In other words, CMPs have the technical means to collect IP addresses (as indicated in their pop-up) and to combine all information relating to an identifiable person. The possibility of combining the TC String and the IP address means that this is information about an identifiable user.

Quelle: l’Autorité de protection des données (APD). (2022, Februar). Concerning: Complaint relating to Transparency & Consent Framework (Case number: DOS-2019-01377), S. 65.

Quelle: Durch den Autor erstellt

Damit der Browser nicht erkennt, dass es sich um eine 3rd-Party-Domain handelt, kommt ein sogenanntes CNAME-Cloaking / DNS-Delegation zum Einsatz. Dies haben wir in diesem Blog-Beitrag erklärt. Bei einer DNS-Delegation tarnt sich eine andere Webdomäne als Subdomäne einer Webseite, damit der Browser sie nicht erkennt und blockiert. Dieses Setup beschreibt die APD in ihrer Untersuchung folgendermaßen:

To provide a CMP interface to users, publishers need to implement the CMP JavaScript code on their website. This code is then loaded directly from the CMP server or via the delegated subdomain. As a result of this HTTP(S) request, both the publisher’s server and the CMP’s server gain access to the IP address of the user visiting the website and seeing the CMP interface.

Quelle: l’Autorité de protection des données (APD). (2022, Februar). Concerning: Complaint relating to Transparency & Consent Framework (Case number: DOS-2019-01377), S. 82.

Parallel wird der TC-String an die entsprechenden Vendoren übertragen – beispielsweise das Unternehmen OpenX mit Sitz in Kalifornien.

Quelle: Durch den Autor erstellt

4.1 CNAME-Cloaking / DNS-Delegation

Führt man eine nslookup-Abfrage (Windows) sowie eine Websuche durch, kann das CNAME-Cloaking erkannt und das Drittunternehmen identifiziert werden.

Quelle: Durch den Autor erstellt

Zieht man die Datenschutzinformation der Nachrichtenseite zu Rate, findent man einen entsprechenden Verweis auf das Drittunternehmen. Auch die Teilnahme am Transparency & Consent Framework des IAB wird erwähnt.

Zur Umsetzung des Privacy-Centers setzen wir eine Technologie unseres Dienstleisters „Sourcepoint“ ein. Wir nehmen am IAB Europe Transperancy & Consent Framework [sic] teil und beachten die Spezifikationen und Policies. Wir verwenden die von Sourcepoint unter der CMP-ID 6 bereitgestellte Consent Management Plattform.

Quelle: Nachrichten, N. (2021, 29. März). ntv: Datenschutzerklärung. n-tv.de. https://www.n-tv.de/ntvintern/Datenschutzerklaerung-article15745191.html

5. Zusammenfassung der bisherigen Erkenntnisse

Ordnen wir die bisherigen Erkenntnisse ein – dabei ist zu beachten, dass es sich um begründete Annahmen handeln kann:

• Es sprechen gute Gründe dafür, dass die Nachrichtenseite als Telemediendienst einzuordnen ist
• Die Nachrichtenseite setzt einen Dienstleister für das Consent Management ein
• Ein Cookie mit der Bezeichnung consentUUID wird auf einem Endgerät gespeichert und ausgelesen
• Ein Cookie mit der Bezeichnung euconsent-v2, der den TC-String enthält, wird auf einem Endgerät gespeichert und ausgelesen
• Gültigkeit consentUUID ein Jahr
• Gültigkeit euconsent-v2 ein Jahr
• Es ist davon auszugehen, dass mit dem Cookie consentUUID eine individuelle Kennnummer durch den Dienstleister verarbeitet wird. Zudem erhält die CMP die IP-Adresse sowie weitere Browser- und Geräteinformationen
• Der Zweck obiger Verarbeitung ist, laut Dokumentation, das Einverständnis von Nutzer*innen individuell zuordnen zu können
• Der Cookie consentUUID wird ohne Einverständnis vor der Interaktion mit dem Consent-Banner gesetzt. Ein Opt-out ist nicht erkennbar
• Der Cookie euconsent-v2 wird nach Interaktion mit dem Consent-Banner gesetzt, eine Einwilligung oder Opt-out für diesen Cookie ist nicht erkennbar
• Der enthaltene TC-String ist nicht verschlüsselt, sondern lediglich codiert. Damit kann eine Integrität der Einstellungen nicht sicher gestellt werden

Nun fügen wir die datenschutzrechtlichen Aspekte hinzu – dabei ist zu beachten, dass es sich auch hier um begründete Annahmen handeln kann:

• Es besteht eine hohe Wahrscheinlichkeit, dass Individuen durch die verarbeiteten Daten identifizierbar werden. Insbesondere die CMP erhält einen umfangreichen Datenbestand
• Es ist anzunehmen, dass es sich um ein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO mit der CMP handelt. Auch eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO wäre denkbar. Der Begriff »Dienstleister« könnte für Ersteres sprechen
• § 25 TTDSG setzt ein Einwilligungserfordernis voraus, sofern Informationen auf einer Endeinrichtung gespeichert oder ausgelesen werden. Eine Einverständnisabfrage für die Cookies consentUUID, euconsent-v2 ist nicht nachvollziehbar. Daraus kann man folgern: Die Nachrichtenseite ist der Auffassung ist, dass eine der Ausnahmen in § 25 Absatz 2 Nr. 2 TTDSG zutreffend ist
• Sofern es sich um personenbezogene Daten handelt, was zumindest beim Cookie consentUUID unterstellt wird, wäre der Anwendungsbereich der DSGVO eröffnet. Eine Rechtsgrundlage hierfür war, nach einer oberflächlichen Prüfung der Datenschutzinformation, nicht eindeutig zuzuordnen

Die Datenverarbeitung(en) von consentUUID und euconsent-v2 müssen im Kontext betrachtet werden. Die CMP führt augenscheinlich beide Verarbeitungstätigkeiten zusammen.

Die Speicherung des Cookies euconsent-v2 dient allen Anschein nach dazu, die Einverständnis- oder Ablehnungsauswahl nachweisen zu können. Der Cookie ConsentUUID dient in Verbindung mit euconsent-v2 der Zuordnung der Einverständnisauswahl zu einem Betroffenen. Die DSK beschreibt diese Konstellation folgendermaßen:

Beim Einsatz eines CMP wird häufig ein Cookie gesetzt, der eine eindeutige Benutzerkennung aufweist, obwohl dies für den Zweck der Speicherung des Einwilligungsstatus nicht erforderlich ist. In diesem Fall drängt sich die Vermutung auf, dass derselbe Cookie auch für den Marketingdienst verwendet werden kann. Ob dies dann der Fall ist, kann von Nutzer:innen der Webseite nicht unmittelbar festgestellt werden.

Quelle: Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021), S. 25-26.

Zudem sieht die DSK die Erfüllung des Einwilligungsnachweises durch einen langlebigen UID-Cookie – den wir wohl in Form des ConsentUUID vorfanden – als nicht erforderlich an.

Im Zusammenhang mit der Speicherung von Einwilligungen, die von Nutzer:innen einer Webseite abgegeben werden, erfordert die Erfüllung der Nachweispflicht gemäß § 25 Abs. 1 S. 2 TTDSG i. V. m. Art. 7 Abs. 1 und Art. 5 Abs. 2 DS-GVO keine langlebigen UID-Cookies. In der Regel genügt es, nachzuweisen zu können, dass und welche Prozesse implementiert wurden, um eine Einwilligung einzuholen und das Ergebnis in einem Cookie ohne UID oder sonstige überschießende Informationen abzulegen.

Quelle: Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021), S. 23-24

Parallel zu diesen Vorgängen erhalten Drittanbieter den TC-String, den euconsent-v2 enthält, als Signal der Einverständnis- oder Ablehnungsauswahl.

Wir haben in Teil 1 dargestellt, dass eine weit gefasste Definition von personenbezogenen Daten zutreffend ist und zudem alle sonst noch anfallenden Informationen in eine Betrachtung mit einbezogen werden müssen. Man kann daher zusammenfassend sagen, dass die APD mit ihrem Befund wohl richtig liegt – den TC-String als personenbezogenes Datum einzuordnen. Obwohl der TC-String an sich keine personenbezogenen Daten enthält. Denn dieser Befund muss im Kontext mit anderen Datenpunkten gesehen werden.

Daher krankt die Einschätzung des IAB an einer allzu verengten Ansicht der Personenbeziehbarkeit.

[…] Furthermore, the defendant takes the view that the TC String does not constitute a unique identifier, nor is it conceived for that purpose. Notwithstanding the foregoing, the defendant states that it must necessarily be possible to link the TC String with a user, but with the proviso that the link between the preferences conceived in the TC String and the user will be established only at a later stage, in particular in the context of the OpenRTB, and is therefore not covered by the Transparency & Consent Framework.

Quelle: l’Autorité de protection des données (APD). (2022, Februar). Concerning: Complaint relating to Transparency & Consent Framework (Case number: DOS-2019-01377), S. 82.

Obige Haltung mag daher rühren, auf andere als (ebenfalls) datenschutzrechtlich Verantwortliche deuten zu wollen. Allerdings macht es auch klar, dass die Mittel & Bestreben vorhanden sind, den TC-String und andere Datenpunkte zu verknüpfen. Oder anders ausgedrückt, dies ist der eigentliche Sinn und Zweck.

A Vendor must maintain records of user identification, timestamps, and received Signals for the full duration of the relevant processing.

Quelle: IAB Europe. (2019). IAB Europe Transparency & Consent Framework Policies (TCF v2.0 2021–06-22.3.4), S. 16.

Denn die Präferenzauswahl soll ja einem Individuum zugeordnet werden können. Lediglich die Phase in der diese Verknüpfung geschieht, mag ein weiterer Verarbeitungsschritt sein. D. h. die Unterscheidung bzw. das Aussondern (engl. to single out) von Menschen ist der Kern, um den es geht.

In other words, if the purpose of the processing is the singling out of persons, it may be assumed that the controller or another party has or will have at their disposal the means by which the data subject may reasonably be expected to be identified. To claim that individuals are not identifiable, when the purpose of the processing is precisely to identify them, would be a contradiction in terminis.

Quelle: l’Autorité de protection des données (APD). (2022, Februar). Concerning: Complaint relating to Transparency & Consent Framework (Case number: DOS-2019-01377), S. 66.

5.1 Spannungsfeld

Die Gretchenfrage ist nun: Darf der Webseiten-Betreiber Informationen (z. B. Cookies) ohne Einwilligung speichern und auslesen? Dies wäre legitim, sofern eine Ausnahme nach § 25 Absatz 2 Nr. 2 TTDSG zutrifft? Wir erinnern uns an die beiden Kriterien für eine Ausnahme

• i) vom Nutzer ausdrücklich gewünscht und
• ii) unbedingt erforderlich.

Dazu vergegenwärtigen wir uns die Kategorisierung des Basisdienstes unserer Beispielseite anhand des Nutzungswunsches. Offenkundig ist der Wunsch, ein Nachrichtenangebot zu nutzen. Es wäre daher seltsam zu unterstellen, dass Nutzer*innen diesen Dienst (Consent-Banner, Cookies, TC-String) ausdrücklich anfordern – somit wäre dieses Merkmal ein schwaches Argument.

Zum Merkmal unbedingt erforderlich äußert sich die DSK in ihrer Handreichung Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021.  Auch dieses Merkmal muss man in Relation zum Nutzungswunsch bewerten. Was ist aber nun mit Consent-Banner, TC-String und Consent-Cookies? Basisdienst oder Zusatzdienst? Vom Einwilligungserfordernis nach TTDSG befreit oder nicht? An dieser Stelle wagen wir eine Prognose: Man wird trefflich darüber streiten. Im vorliegenden Fall ist es aber eine eher akademische Frage.

In this regard, the Litigation Chamber finds it remarkable that no option is offered to users to completely oppose the processing of their preferences in the context of the TCF. Regardless of which choice they make, the CMP will generate a TC String before linking it to the user’s unique User ID through a euconsent-v2 cookie placed on the data subject’s end device.

Moreover, since users are not informed of the installation of an euconsent-v2 cookie on their terminal device, whether or not they agree with the purposes and adtech vendors offered by the CMP, and moreover they are not informed of their right to object to such processing, the Litigation Chamber finds that the last condition of Article 6.1.f of the GDPR is currently not met.

Quelle: l’Autorité de protection des données (APD). (2022, Februar). Concerning: Complaint relating to Transparency & Consent Framework (Case number: DOS-2019-01377), S. 82.

Selbst wenn man davon ausgeht, dass keine Einwilligung eingeholt werden müsste, bedarf es dennoch einer Rechtsgrundlage nach der DSGVO. Denn es werden personenbezogene Daten verarbeitet. Folgendes ist zum berechtigten Interesse nach Art. 6 (1) lit. f) DSGVO zu sagen: Es muss eine dreistufige Voraussetzungsprüfung bzw. Interessenabwägung (engl. balance test) durchgeführt werden – die Deklaration eines Interesses ist i. d. R. nicht ausreichend.

In dieser Abwägung werden u. a. die vernünftigen Erwartungen (engl. reasonable expectations) des Betroffenen einbezogen, aber auch die Informationen die dieser erhält – sprich, sind Transparenz & Fairness als Grundlagen gegeben. Wie wir in unserem Praxisbeispiel demonstriert haben, mangelt es aber an beidem.

6. Fazit

Zunächst wurde ersichtlich, dass der TC-String im Zusammenhang mit anderen Informationen und personenbezogenen Daten steht und eine isolierte Betrachtung unangemessen ist. Gleichzeitig erscheinen einige Datenverarbeitungen als rechtlich fragwürdig – aufschlussreich dabei ist, dass die Anforderungen des TTDSG von der Onlinewerbebranche teilweise oder ganz ignoriert werden.

Wir konnten die Argumentation der APD nachvollziehen, warum sie den TC-String als personenbezogenes Datum einschätzt. Nicht zuletzt macht der Sinn & Zweck der codierten Zeichenkette dies klar. Die Einverständnis-/Ablehnungsauswahl soll einem Individuum zugeordnet werden – dies kann nur gelingen, wenn Menschen unterscheid- und damit identifizierbar werden.

Eine wichtige Frage dabei ist: Was macht den TC-String überhaupt erforderlich? Der Autor meint, es liegt nicht unmittelbar am Datenschutzrecht, sondern an den Geschäftsmodellen. Diese Geschäftsmodelle haben einerseits nur sehr wenig mit der eingesetzten Technik gemein – denn diese ist lediglich Mittel zum Zweck. Noch viel weniger haben sie mit der vorgeblichen Naturgewalt namens »Innovation« zu tun. Die heutige Form der Online-Werbung ist menschengemacht und bedient sich dabei eines Tricks aus der US-Wirtschaft. Dabei wälzen Wirtschaftsunternehmen die Verantwortung auf Verbraucher*innen ab – diese sollen doch bitteschön eine vermeintlich informierte Entscheidung treffen. Allerdings ist dies allenfalls oberflächlich zu sehen, denn Verbraucher*innen sollen einer erwünschten Verhaltensweise nachkommen. Probieren Sie es gerne aus und klicken durch ein Consent-Banner. Machen Sie sich dabei folgendes klar:

• Erstens, Sie sind im Begriff, eine Rechtsentscheidung zu treffen.
• Zweitens, wer eine Entscheidung trifft, sollte auch als gleichrangige Option „Nein“ (in der Onlinemarketingsprache »offensiver Deny-Button« genannt) auswählen können.

Quelle: Durch Autor erstellt. Unterschiede der Auswahloptionen auf der ersten Ebene eines Consent-Banner

Drittens, die Aufmachung & Gestaltung eines Consent-Banners unterliegt i. d. R. Erwägungen des Webseiten-Betreibers zur sogenannten Consent Rate Optimization – der Begriff dürfte selbsterklärend sein. Daher kommt es auch nicht von ungefähr, dass es meist keinen einfachen Weg gibt, eine einmal erteilte Einwilligung zu widerrufen. Obwohl diese Funktion technisch möglich ist.

Irgendwie sollen Sie nun eine informierte Entscheidung treffen. Fragen Sie sich als Verbraucher*in nicht manchmal, ob sie im falschen Film sind? Kann es wirklich angehen, dass Sie sich umfassend über die weltweiten Verarbeitungstätigkeiten eines Unternehmens informieren müssen? Nur weil Sie eine Webseite aufrufen und dort vielleicht auch einkaufen möchten? Um es hier noch einmal klar zu sagen, weder das Datenschutzrecht, noch eine Aufsichtsbehörde, noch die EU mutet Ihnen das zu. Sondern das Geschäftsmodell eines Wirtschaftsunternehmens ist dafür verantwortlich.

Apropos Verantwortung! In Teil 3 erklären wir, warum die APD davon ausgeht, dass IAB datenschutzrechtlich Verantwortlicher ist.

Bildquellen:

Ads: bearicons from www.flaticon.com is licensed by CC 3.0 BY

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge

21. März 2022

Online-Werbung: Real Time Bidding und IAB-Standards – Teil1

Vertragliche Kontrollelemente als alleinige Garantie zur Einhaltung des Datenschutzes? Das kann nicht gut gehen, wie die Werbeform des Real Time Biddings verdeutlicht.

11. April 2022

DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

Die Analyse des DB Navigators offenbart eklatante Verstöße gegen die DSGVO und das TTDSG. Ist das Vorsatz oder Unfähigkeit?

10. Februar 2023

CalyxOS: De-Googled geht anders – Custom-ROMs Teil2

Die Analyse des Datensendeverhaltens zeigt: CalyxOS ist leider nicht so de-googled, wie man vermuten würde.

6. April 2023

iodéOS: Datenschutzfreundlich, aber Abstriche bei der Sicherheit – Custom-ROMs Teil3

iodéOS entgoogelt Android weitgehend, jedoch nicht vollständig. Die Zielgruppe: Datenschutzsensible Nutzer, die ältere Geräte weiter nutzen möchten.

10. August 2022

Spannungsfeld: Datenschutz und Online-News

Eine Selbstverständlichkeit wird zum Streitthema: Die einfache Wahl zwischen Ja oder Nein beim Consent-Banner.

Weitere Themen

AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP

---

Diskussion

Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.