Online-Werbung: Real Time Bidding und IAB-Standards – Teil1

​1. Verhaltensbasierte Werbeprofile

Sie gehört zum Internet, wie die allseits beliebten Consent-Banner. Oder genauer, die Einverständnis-Popups sind wegen ihr notwendig. Die Rede ist natürlich von der Online-Werbung. Viele mögen sich mit dieser oberflächlichen Beschreibung zufrieden geben. In diesem Sinne wäre, die schon fast berühmte Antwort von Mark Zuckerberg an Senator Orrin Hatch, ebenso ausreichend und zufriedenstellend.

Senator, we run ads.

Quelle: Bey, J., Tillett, E. & Craver, T. (2018, 11. April). Mark Zuckerberg testimony: Senators question Facebook CEO today regarding data breach, personal information, Russia election involvement. CBS News. [Abgerufen am 22. Februar 2022]

Facebook verkauft Werbung. Im Internet gibt es Online-Werbung. Ende der Geschichte? Wohl kaum. Denn Geld verdient man mit verhaltensbasierten Werbeprofilen. Die Produktinformationen, die Sie beim täglichen Surfen sehen, sind nur der letzte Schritt in einer langen Wertschöpfungskette. Und es sind nicht nur die letzten Suchanfragen, die da als Werbeerinnerung auftauchen. Dahinter steht ein komplexes, automatisiertes System, das beinahe als Nebenprodukt Werbespots zur Anzeige bringt. Im eigentlichen Sinn handelt es sich daher um ein verzweigtes, aber effizientes Datenverarbeitungssystem. Kein Wunder, dass Online-Werbung und Datenschutz manchmal ein durchaus angespanntes Verhältnis pflegen. Eine häufig anzutreffende Werbeform ist dabei das sogenannte Real Time Bidding (RTB). Dabei wird anhand von Nutzerprofilen auf Werbeplätze geboten. Die britische Datenschutzaufsicht Information Commissioners Office (ICO) attestierte 2019 Marktteilnehmern dieser Adtech-Industrie eine mangelnde Reife in Bezug auf Datenschutz und -sicherheit.

Wer den Verlauf verfolgt, stellt schnell fest, dass es sich um ein systemisches Problem der Branche handelt. Denn nun stehen nicht nur Werbeprofile, Rechtsgrundlagen und Datenübermittlungen in der Kritik. Sondern es steht das gesamte branchenübliche System, wie das Einverständnis von Nutzer*innen eingeholt wird, in Frage.

Mitte Februar 2022 ließ die belgische Datenschutzaufsicht APD verlauten, dass der Wirtschafts- und Interessenverband Interactive Advertising Bureau (IAB) datenschutzrechtlich Verantwortlicher sei. Und zwar, weil der Transparency-&-Consent-String (TC-String) Personen identifizierbar mache. Um die Dimension deutlich zu machen: Das IAB-Regelwerk Transparency & Consent Framework (TCF Version 2.0) ist ein verbindlliches Rahmenregelwerk von der Industrie für die Industrie. Es ist der selbstregulatorische Rahmen für Transparenz und rechtliche Grundlagen gegenüber der Nutzerschaft von Webseiten. Laut IAB ist die Zielsetzung ein einheitlicher, internationaler und DSGVO- und ePrivacy-Richtlinien-konformer Standard bei der Verarbeitung personenbezogener Daten im Rahmen der Onlinewerbung. Genauer gesagt verpflichten sich die TCF-Mitglieder – die dieser Vereinbarung freiwillig beitreten –, den IAB-Vorgaben in Bezug auf Erlaubnisinformationen und Transparenz nachzukommen sowie deren technische Standards zu verwenden. Der TC-String als technische Umsetzung dieses Rahmenregelwerks signalisiert den RTB-Akteuren das Einverständnis / die Ablehnung von Nutzer*innen. Dabei wird die in einem Consent-Banner getroffene Auswahl in eine kodierte Zeichenkette umgewandelt. Anschließend wird diese Zeichenkette mittels eines Cookies auf einem Endgerät (z. B. in Form eines Cookies im Browser-Cache) gespeichert und an eine Vielzahl von RTB-Akteuren übermittelt.

Die Einordnung als personenbezogenes Datum durch die APD hat Folgen. Denn es fehlt an einer datenschutzrechtlichen Grundlage für die Verarbeitung. Zudem ergeben sich Informations- und Transparenzpflichten sowie die Notwendigkeit, eine Datenschutzfolgeabschätzung durchzuführen.

Weiterhin stellt sich die Frage, wie es mit einem technischen Einverständnis-Standard weitergeht, der keine rechtliche Grundlage hat. Die Ansage der APD ist klar. Das IAB hat nun zwei Monate Zeit, der Datenschutzaufsicht einen Aktionsplan vorzulegen. Nach einer Prüfung durch die APD beginnt eine Umsetzungsfrist von sechs Monaten.

Wie so oft, muss man allerdings die Vorgeschichte kennen und diese beginnt mit der Beschwerde von Dr. Johnny Ryan (2018) zum Real Time Bidding. Dazu gehört auch eine Untersuchung des Real Time Bidding durch die britische Datenschutzaufsicht ICO. Auch die Verlautbarungen der belgischen APD müssen dabei stets im Kontext betrachtet werden. Die Befunde der Aufsichtsbehörden sind ebenso untrennbar miteinander verbunden, wie das Real Time Bidding mit dem TC-String. Daher beschäftigt sich Teil 1 mit dem Real Time Bidding. In Teil 2 geht es dann um den TC-String.

• Online-Werbung: Real Time Bidding und IAB-Standards – Teil1
• Der TC-String des Interactive Advertising Bureau (IAB) – Teil2

2. Die weiteren Standards des IAB

Auch wenn es nicht Gegenstand der Untersuchung der APD war, so dient es doch dem besseren Verständnis, sich einen Überblick zu verschaffen, welche Leitplanken das IAB in der Online-Werbung mitbestimmt.

2.1 Data Segments & Techniques Lexicon

2016 wurde ein Standard namens Data Segments & Techniques Lexicon entwickelt:

[…] When a user actively volunteers information such as on a registration form this is called “declared” data. […] When a system assigns information to the user based on their activity this is called “inferred” data. For example, if a user visits a baby supplies website the system may assume the user has a baby. However, this inference may be incorrect in the case that the user is actually a grandparent or friend purchasing supplies for the true new parents. Accordingly, systems usually look for repeated patterns of activity to increase the accuracy of their inferences. […]

Quelle: Interactive Advertising Bureau (IAB). (2016, Januar). Data Segments & Techniques Lexicon Update, S.10.

Dieser Standard klassifiziert Güte und Qualität von personenbezogenen Daten anhand bestimmter Segmente. Beispielsweise sind Angaben die direkt von Nutzer*innen (declared data) stammen, also i. d. R. bewusst angegeben wurden, von höherer Güte. Von einem System (z. B. einem Algorithmus) zugewiesene Merkmale oder abgeleitete Daten (inferred data) werden i. d. R. als qualitativ geringer angesehen. Dies hat mit dem Umstand zu tun, dass die Richtigkeit bei ersteren als höher angesehen wird. Man beachte in den dortigen Beispielen die Tendenz der IAB, auch eine Segmentierung nach besonderen Datenkategorien  (hier: politische Zugehörigkeit) durchzuführen.

In this example, a news publisher has used modeling techniques to generate a segment of users based on their multiple visits and which articles they’ve read and search terms they’ve entered to infer that the users have a conservative political affiliation. […]

Quelle: Interactive Advertising Bureau (IAB). (2016, Januar). Data Segments & Techniques Lexicon Update, S.14. (Hervorhebung durch den Autor)

2.2 Content Taxonomy

Dieser undifferenzierte Umgang mit sensitiven Datenarten ist kein Einzelfall. Er findet sich beispielsweise auch in den verschiedenen Versionen (bis zur Version 2.1 / April 2020) der Content Taxonomy des IAB wieder. Hier wird eine »gemeinsame Sprache« der Online-Werbeindustrie für inhaltliche Kategorien von Webseiten festgelegt. Die Version 2.1 der Taxonomy, die das Risiko minimieren soll, dass sensible Datenkategorien erfasst werden, kam erst im Frühjahr 2020 heraus. Zwei Jahre nach Anwendbarkeit der DSGVO.

The Content Taxonomy has evolved over time […]. For example, to differentiate “sports” vs. “news” vs. “wellness” material. IAB Tech Lab’s new Content Taxonomy 2.1 specification provides additional utility aimed at minimizing the risk that content categorization signals could be used to generate sensitive data points about things like race, politics, religion or other personal characteristics […].

Quelle: Interactive Advertising Bureau (IAB) & Dick. (2020, 30. März). Tech Lab Introduces Additional Consumer Privacy Safeguards into Content and Audience Taxonomies – IAB Tech Lab. Https://Iabtechlab.Com/Blog. [Abgerufen am 15. Februar 2022]

Dies kam allerdings erst auf Druck der britischen Datenschutzaufsicht ICO zu Stande. Diese hatte in einer Untersuchung (2019) der Online-Werbeform Real Time Bidding u. a. festgestellt, dass besondere Kategorien personenbezogener Daten ohne ausdrückliche Einwilligung verarbeitet wurden – auch aufgrund des IAB-Standards Content Taxonomy.

[…] also indicate the processing of special category data either directly or where these are subsequently used to make inferences about the user.

Examples The IAB’s »content taxonomy« (v2.0, November 2017) contains hundreds of fields, which include »Heart and Cardiovascular Diseases«, »Mental Health«, »Sexual Health« and »Infectious Diseases« […].

Quelle: Information Commissioners Office (ICO). (2019, Juni). Update report into adtech and real time bidding, S.13.

Die IAB setzte sich in der Folge zwar mit der Kritik der ICO auseinander. Allerdings verharrte man teilweise auf einer isolierten Sichtweise der Umstände, der Art und des Umfanges der Datenverarbeitung, die im Umfeld des Real Time Biddings stattfanden.

We believe that context category fields such as those detailed in the Content Taxonomy, […], do not in themselves constitute special category data because, on their own, they do not reveal information about the individual user, or concern their health, sex life or sexual orientation.[…] Whether the content-based data in a bid request constitutes personal data on the basis that it can identify a person, directly or indirectly, will depend on what other data the company in question holds or has access to. […]. However, we also recognise that there are risks that information that is not special category data at the point of collection could potentially become special category data depending on how and by whom it is processed […].

Quelle: Interactive Advertising Bureau (IAB) UK. (2019, Dezember). IAB UK response to the ICO’s »Update report into adtech and real time bidding«, S.16.

Dieser einseitigen Betrachtung von Datenpunkten und der allzu verengten Ansicht, ab wann eine Personenbeziehbarkeit hergestellt werden könnte, steht eine zutreffendere und weit gefasste Definition von personenbezogenen Daten entgegen.

An dieser Stelle ist anzumerken, dass diese Definition die Absicht des europäischen Gesetzgebers widerspiegelt, den Begriff „personenbezogene Daten“ im gesamten Rechtsetzungsprozess möglichst weit zu fassen.

Quelle: Artikel-29-Datenschutzgruppe. (2007, Juni). Stellungnahme 4/2007 zum Begriff »personenbezogene Daten« (01248/07/DE WP 136), S. 4.

Des Weiteren muss ein Datenfeld (auch) im Kontext der Real-Time-Bidding-Verarbeitung(en) betrachtet werden, denn Erwägungsgrund 30 DSGVO  gibt uns einen weiteren Hinweis, dass die Zuordnung von Online-Kennungen Spuren hinterlassen kann, die…

[…] insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

Quelle: Erwägungsgründe Datenschutz-Grundverordnung – Datenschutz-Wiki. (2018, 31. Mai). In Datenschutz-Wiki. Erwägungsgrund 30.

D.h. hier müssen die Umstände und auch die Kombinationsmöglichkeiten in Verbindung mit »anderen Informationen« berücksichtigt werden, die ggf. neben personenbezogenen Merkmalen erfasst werden.

2.3 Vendoren-Liste

Die IAB Vendoren-Liste ist im Kern eine Liste von Unternehmen, an die Daten übermittelt werden – hierfür ist eine TCF-Mitgliedschaft erforderlich. Der Begriff Vendor ist eine Sammelbezeichnung für verschiedene RTB-Akteure.

In RTB jargon, SSPs, DSPs, Ad Exchanges, advertisers and DMPs are collectively referred to as »Vendors«.

Quelle: l’Autorité de protection des données (APD). (2022, Februar). Concerning: Complaint relating to Transparency & Consent Framework (Case number: DOS-2019-01377), S. 9.

3. Real Time Bidding (RTB)

Zwei entscheidende Prämissen des zahlenden Werbekunden lauten: Die Vermeidung von Streuverlusten und Werbewirksamkeit. Er möchte sein Produkt nur bei relevanten Zielgruppen bewerben und dies in der Gewissheit tun, dass sein Werbebudget effektiv eingesetzt wird.

Ich weiß, die Hälfte meiner Werbung ist hinausgeworfenes Geld. Ich weiß nur nicht, welche Hälfte.

Quelle: Henry Ford zugeschrieben

Die Schlüsselbegriffe für diese Gewissheit sind heutzutage personalisiert und relevant. Als Erfolgsversprechen formuliert, liest sich das folgendermaßen: Die Werbung für ein Produkt soll in einer absatzgünstigen Situation unter den erfolgversprechendsten Umständen das Kaufverhalten eines bestimmten Verbrauchers derart beeinflussen, dass der Absatz des Produktes (so gut wie) gewiss ist. Man verkauft in diesem Sinne die bestmögliche Gewissheit, dass ein erwünschtes Ereignis herbeigeführt werden kann.

Real-time Bidding (RTB) is a way of transacting media that allows an individual ad impression to be put up for bid in real-time. This is done through a programmatic on-the-spot auction, which is similar to how financial markets operate. RTB allows for Addressable Advertising; the ability to serve ads to consumers directly based on their demographic, psychographic, or behavioral attributes.

Quelle: IAB. (2021, 28. Januar). OpenRTB. [Abgerufen am 20. Februar 2022]

Aber, um Gewissheit zu erzeugen, benötigt man Informationen über Nutzer*innen. Einzigartige Kennnummer für den Bid Request:

• IP-Adresse des User
• Cookie-Kennnummern
• User-Kennnummern
• User-Agent-String, Browsertyp User Journey
• Standort
• Zeitzone Spracheinstellung
• Gerätetyp (Desktop / Mobil, Marke, Modell, Betriebssystem)
• Referrer; vorher besuchte Webseiten
• User Journey (Mausbewegungen)
• Events (Klick, Scrolling usw.)
• Suchanfragen
• Sitzungsdauer
• Demografische Daten

Quelle: Information Commissioners Office (ICO). (2019, Juni). Update report into adtech and real time bidding, S. 12-13. Anm. des Autors: Übersetzung aus dem Englischen.

Da es sich bei RTB um verhaltensbasierte Werbung handelt, müssen diese Informationen in Nutzungsprofilen zusammengefasst werden. Es kommt dabei weniger darauf an, den Namen einer Person zu kennen. Dennoch basiert die Werbeform auf die Wiedererkennung von Nutzer*innen. D. h. die Unterscheidung bzw. das Aussondern (engl. to single out) von Menschen (Geräteinformationen sind hier lediglich Mittel zum Zweck) ist dabei eine grundlegende Voraussetzung, um das Erfolgsversprechen zu erfüllen. Auch hierzu finden wir einen Bezugspunkt in der DSGVO, wenn es um die Frage der Personenbeziehbarkeit geht.

[…] To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. […]

Quelle: Erwägungsgründe Datenschutz-Grundverordnung – Datenschutz-Wiki. (2018, 31. Mai). In Datenschutz-Wiki. Erwägungsgrund 26. (Hervorhebung durch den Autor). Anm.: Es wurde bewusst der englische Gesetzestext verwendet, da der Begriff »singling out« klarer in der Bedeutung ist als die deutsche Übersetzung)

Daher handelt es sich bei RTB nur bedingt um die Auktion von Werbeplätzen, sondern es wird in Echtzeit auf Nutzermerkmale geboten – die einer Vielzahl von Akteuren offengelegt werden.

Quelle Bild: l’Autorité de protection des données (APD). (2022, Februar). Concerning: Complaint relating to Transparency & Consent Framework (Case number: DOS-2019-01377), S. 9.

Die automatisierte Zusammenführung von Angebots- und Nachfrageseite für Gebote lässt sich vereinfacht folgendermaßen schildern:

• Ein Publisher verfügt über eine Webseite mit Werbeinventar (Ad Inventory) und eine Nutzerschaft
• Nutzer*in surft die Webseite an
• Eine Angebotsplattform (Supply Side Plattform oder SSP) handelt im Auftrag des Publishers und fordert ein Gebot für das verfügbare Werbeinventar (Ausschreibung) von Käufern an. Dies geschieht mittels eines festgelegten Protokolls / Signals. Hierbei werden auch die Informationen aus der obigen Tabelle übermittelt
• Eine sogenannte Demand Side Plattform (DSP) empfängt dieses Signal für die Nachfrageseite
• Die DSP führt die Einkaufseite aus z. B. Werbetreibenden oder -agenturen mit den Publishern zusammen
• Die Einkaufsseite analysiert die Gebotsanfragen und gibt entsprechende Gebote ab (z. B. anhand der Vorgaben und Ziele ihrer Werbekunden)
• Der Gewinner des Gebots kann das Werbeinventar des Publishers nutzen und das Werbemittel wird dem / der Nutzer*in angezeigt
• Eine Data Management Plattform (DMP) führt, im Auftrag der Werbetreibenden, die Informationen von Nutzer*innen (aus den Ausschreibungen) für eine Profilbildung zusammen und reichert diese ggf. mit Daten aus anderen Quellen (Data Broker) an

Quelle: Durch den Autor mit Hilfe von OrbisEye erstellt. Zeigt den Umfang der Drittanbieter im Zusammenhang mit RTB

Die IAB stellt für den Austausch dieser Informationen das technische OpenRTB-Protokoll als offenen Industriestandard zur Verfügung.

The mission of the OpenRTB project is to spur growth in Real-Time Bidding (RTB) marketplaces by providing open industry standards for communication between buyers of advertising and sellers of publisher inventory. […] The overall goal of OpenRTB is and has been to create a lingua franca for communicating between buyers and sellers. […]

Quelle: Interactive Advertising Bureau (IAB) & IAB Technology Laboratory. (2016, Dezember). Real Time Bidding (RTB) Project OpenRTB API Specification Version 2.5 FINAL (Version 2.5), S. 2.

Man darf dabei allerdings nicht übersehen, dass nicht nur durch das RTB-Protokoll Informationen über das Nutzerverhalten gewonnen werden. Davon unabhängig, wird eine Datensammeltechnik namens Cookie-Matching eingesetzt. Dies mag mit dem IAB nichts zu tun haben. Oft erhalten Akteure aber aus beiden Quellen Daten.

3.1 Nutzerprofil

Obwohl jeder eine Vorstellung hat, was unter dem Begriff Nutzeprofil zu verstehen ist, existiert keine eindeutige Definition des Begriffes (Gesetz oder Gerichtsurteil). Lediglich die Fachliteratur liefert Deutungsansätze.

[…] versteht man im Allgemeinen unter Nutzerprofilbildung die Abbildung der Persönlichkeit des Einzelnen in Hinsicht auf das Konsumverhalten. […]

Quelle: Wenhold, C. (2018). Nutzerprofilbildung durch Webtracking: Zugleich eine Untersuchung zu den Defiziten des Datenschutzrechts im Zeitalter von Big Data-Anwendungen (Schriften zum Medien- und Informationsrecht, Band 37) (1. Aufl.). Nomos.

Bei vielen Definitionsansätzen ist ein gemeinsamer Nenner die Zielsetzung, die einer Profilbildung zu Grunde liegt.

[…] die umfassende Sammlung aller Verhaltensdaten des Einzelnen im Internet, um die Präferenzen und Eigenarten des Individuums abbilden zu können. […]

Quelle: Wenhold, C. (2018). Nutzerprofilbildung durch Webtracking: Zugleich eine Untersuchung zu den Defiziten des Datenschutzrechts im Zeitalter von Big Data-Anwendungen (Schriften zum Medien- und Informationsrecht, Band 37) (1. Aufl.). Nomos.

Leider ist dieser Ansatz nur bedingt hilfreich. Vielmehr stellt sich die Frage, ab wann eine Datensammlung als Nutzerprofil anzusehen ist. Denn das Risiko für Betroffenene ergibt sich zunächst aus einer vielfältigen Datensammlung. Eine verfolgte Zielsetzung kann sich daher erst in der Folge als Risiko manifestieren.

Beim RTB ist es zwar unstrittig, dass Nutzerprofile zum Einsatz kommen. Definiert man dies anhand einer verfolgten Zielsetzung, erscheint die Antwort zunächst auch eindeutig: Sinn und Zweck ist die Ausspielung von Werbung anhand eines Nutzungsprofils aus persönlichen Vorlieben, Interessen, Kaufverhalten usw. Daraus abgeleitet scheint auch klar zu sein, wer diese Profile verwendet: Akteure die direkt am Bieterprozess beteiligt sind. Was ist aber mit Datensammlungen, die nur mittelbar etwas mit dem Bieterprozess zu tun haben? Als Beispiel seien Consent-Management-Plattformen genannt, die ggf. zusätzlich auch Marketing- und Analysedienste anbieten. Wir werden die Fragestellung an dieser Stelle nicht lösen können. Daher begnügen wir uns mit der Erkenntnis, dass zwar sinnvolle Deutungsansätze existieren, wir aber einstweilen mit einer gewissen Unschärfe leben müssen.

[…] ist es notwendig, nicht erst das Profil als konkretes Ergebnis in den Fokus der Begriffbestimmung zu nehmen, sondern den Fokus bereits auf die einzelnen technischen Handlungen vorzuverlegen. Gefordert ist damit ein differenzierender Definitionsansatz, der an die datenschutzrechtlich relevanten Handlungen zur Herstellung eines Profils gleichermaßen wie an die Intention der Profilbildung anknüpft. […]

Quelle: Wenhold, C. (2018). Nutzerprofilbildung durch Webtracking: Zugleich eine Untersuchung zu den Defiziten des Datenschutzrechts im Zeitalter von Big Data-Anwendungen (Schriften zum Medien- und Informationsrecht, Band 37) (1. Aufl.). Nomos.

4. Mangelnde Reife bei Marktteilnehmern des Real Time Bidding (RTB)

Neben dem Umstand, dass sensible Kategorien personenbezogener Daten ohne ausdrückliche Einwilligung verarbeitet wurden, kam die ICO u.a. zu folgenden Erkenntnissen. Siehe hierzu: Information Commissioners Office (ICO). (2019, Juni). Update report into adtech and real time bidding, S. 23:

• Unrechtmäßige Verarbeitung beim Speichern und beim Zugriff auf Informationen (z. B. Cookies) auf Endgeräten. Es wurde auf ein berechtigtes Interesse abgestellt, obwohl eine Einwilligung erforderlich gewesen wäre. Vergleiche hierzu: Die Umsetzung der ePrivacy-Richtlinie in britisches Recht Privacy and Electronic Communications (EC Directive) Regulations 2003
• Obwohl sich (fälschlicherweise) auf ein berechtigtes Interesse bezogen wurde, konnten die Akteure nicht nachweisen, dass eine Voraussetzungsprüfung (dreistufig) stattfand. Siehe hierzu: Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). (2021, Dezember). Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021), S. 30 ff.
• Transparenz in Bezug auf die Informationspflichten ist nicht gegeben – diese waren zu komplex und unklar. Das Transparency & Consent Framework ist daher unzureichend, um Transparenz herzustellen oder eine Verarbeitung auf faire Art und Weise zu gewährleisten
• Es werden detaillierte Nutzungsprofile erstellt und einer Vielzahl von Akteuren offengelegt – ohne Kenntnis von Nutzer*innen
• Ein wesentlicher Befund ist, dass speziell die Risiken, die dem RTB innewohnen, nicht vollständig erfasst wurden. Die ICO kommt zu dem Schluss, dass eine Datenschutzfolgenabschätzung (DSFA) notwendig gewesen wäre, um dies überhaupt einschätzen zu können
• Keine geeigneten Garantien bezüglich der Sicherheit der Datenverarbeitung

In der Gesamtschau kommt die ICO zu dem Ergebnis, dass die Online-Werbebranche ihre Hausaufgaben nicht gemacht hat und unterstellt ein Unverständnis datenschutzrechtlicher Anforderungen. Dies lässt sich beispielsweise daran erkennen, dass die Anforderungen der E-Privacy-Richtlinie (Privacy and Electronic Communications (EC Directive) Regulations 2003) beim Setzen und Auslesen von Cookies hätten erfüllt werden müssen. Und zwar zusätzlich zu den Anforderungen, die die DSGVO hat.

Overall, in the ICO’s view the adtech industry appears immature in its understanding of data protection requirements […]

Quelle: Information Commissioners Office (ICO). (2019, Juni). Update report into adtech and real time bidding, S. 12.

4.1 DSFA

Wie kommt die ICO zu der Feststellung, dass eine DSFA erforderlich ist? Die Anforderung kommt aus Art. 35 DSGVO. Die Notwendigkeit hierfür ergibt sich, wenn voraussichtlich ein hohes Risiko für die Betroffenen (Art. 35 Abs. 1 Satz 1 DSGVO) besteht. Ziel einer DSFA ist daher die Risikoidentifikation durch eine strukturierte Bewertung der Verarbeitungstätigkeit(en). Ein Hilfsmittel, mit dem die Voraussetzung für eine Prüfung abgewogen werden können, sind die Kriterien im Working Paper 248 der Artikel-29-Gruppe. Hier finden sich neun Prüfkriterien. Treffen davon zwei (oder mehr) auf eine Verarbeitungstätigkeit zu, ist eine DSFA meistens obligatorisch. Diese Kriterien ergeben sich aus den Artikeln und Erwägungsgründen der DSGVO. In der Handreichung Datenschutzgruppe nach Artikel 29. (2017, Oktober). Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 »wahrscheinlich ein hohes Risiko mit sich bringt« (WP 248 Rev. 01), S. 10 ff.  sind diese Kriterien:

1. Bewerten und Einstufen
2. Automatische Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
3. Systematische Überwachung
4. Vertrauliche Daten oder höchst persönliche Daten
5. Datenverarbeitung in großem Umfang
6. Abgleichen oder Zusammenführen von Datensätzen
7. Daten zu schutzbedürftigen Betroffenen
8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
9. Fälle, in denen die Verarbeitung an sich »die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert«

Bei einer DSFA muss man folgende Punkte verstehen: i) die Rechtmäßigkeit der Verarbeitung muss vorab geprüft werden, ii) es handelt sich um eine Einzelfallprüfung, iii) es kommt auf die Perspektive des Betroffenen an und iv) nach Art. 36 DSGVO führt eine DSFA, die im Ergebnis ein hohes Risiko feststellt, zu einer Konsultationspflicht (Aufsichtsbehörde) – die Verarbeitungstätigkeit wird dadurch nicht unrechtmäßig. Die ICO in Information Commissioners Office (ICO). (2019, Juni). Update report into adtech and real time bidding auf Seite 9 identifiziert gleiche mehrere Risiken / zutreffende Kriterien.

Versuchen wir uns darin, zutreffende Kriterien für das Real Time Bidding auszumachen:

[1] Bewerten und Einstufen: Mit diesen Begriffen »umschreibt« die Artikel-29-Gruppe die Profilbildung. Wie wir schon festgestellt haben, ist die Begriffsdefinition der Profilbildung nicht eindeutig. Auch die DSGVO liefert mit Erwägungsgrund 71 lediglich Beispiele von Auswirkungen der Profilbildung.

Dennoch lassen sich die Ausführungen der Artikel-29-Gruppe nachvollziehbar auf das Real Time Bidding übertragen.

[…] ein Unternehmen, das anhand der Nutzung seiner Website bzw. der Navigation der Website durch die Nutzer Verhaltens- oder Marketingprofile erstellt.

Quelle: Datenschutzgruppe nach Artikel 29. (2017, Oktober).  Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 »wahrscheinlich ein hohes Risiko mit sich bringt« (WP 248 Rev. 01), S. 10

Das dürfte als Treffer zu werten sein, denn beim RTB werden Verhaltensprofile von persönlichen Vorlieben und Interessen erstellt.

[2] Datenverarbeitung in großem Umfang: Für die Definition »in großem Umfang« liefert auch Erwägungsgrund 91 DSGVO einige Hinweise.

• Zahl der Betroffenen, entweder als konkrete Anzahl oder als Anteil der entsprechenden Bevölkerungsgruppe;
• verarbeitete Datenmenge bzw. Bandbreite der unterschiedlichen verarbeiteten Datenelemente;
• Dauer oder Dauerhaftigkeit der Datenverarbeitung;
• geografisches Ausmaß der Datenverarbeitung.

Beim RTB ist es zutreffend, dass es eine große Anzahl von Betroffenen gibt, deren Daten einer Vielzahl von Akteuren offengelegt werden. Das geografische Ausmaß der Datenverarbeitung kann kaum eingegrenzt werden – der Begriff supranationale Ebene aus ErwG 91 DSGVO wäre eine begründete Annahme. Daher ist auch dieses Kriterium ein Treffer.

[3] Abgleichen oder Zusammenführen von Datensätzen: Dieses Kriterium setzt voraus, dass Datensätze aus zwei (oder mehreren) Verarbeitungsvorgängen zusammengeführt werden. Diese wurden zu unterschiedlichen Zwecken durchgeführt und / oder von verschiedenen für die Datenverarbeitung Verantwortlichen durchgeführt. Dies geschieht in einer Weise, die über die vernünftigen Erwartungen (dazu mehr in Teil 2 unter Nutzungswunsch) von Betroffenen hinausgeht.

Wie wir oben geschildert haben, sind die Verarbeitungsvorgänge des RTB für Betroffene eine Black Box. Man mag sie zwar theoretisch beschreiben können (wie in diesem Beitrag), die tatsächlichen Vorgänge sind allerdings viel zu komplex. Da definitiv unterschiedliche Akteure Daten zusammenführen, kann auch dieser Punkt als Treffer gelten.

Vermutlich kann man der Liste noch die Punkte 4.) Vertrauliche Daten oder höchst persönliche Daten und  8.) Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen hinzufügen. Dies wäre allerdings gar nicht notwendig, da bereits drei Kriterien (mindestens zwei) erfüllt sind. Eine DSFA ist also durchzuführen.

5. Zwischenfazit

Was eigentlich nur die Vorgeschichte war, hat sich zu einem ausgewachsenen Blog-Beitrag entwickelt. Manche Geschichten lassen sich eben nicht kurz erzählen. Bei dieser Thematik wäre Oberflächlichkeit sogar fahrlässig. Denn betrachtet man nur einzelne Bestandteile, dann geht der Blick auf das Ganze verloren. Deshalb wurde u. a. das Thema DSFA näher erläutert. Natürlich hätte die Ansicht der ICO, dass eine DSFA erforderlich ist, als Feststellung ausgereicht. Allerdings erklären erst die Kriterien der Artikel-29-Gruppe, worum es im Kern geht. Vermutlich wären die Erkenntnisse einer DSFA auch für die RTB-Akteure ein wertvoller Selbsterkenntnisgewinn gewesen.

Industry has looked to use contractual controls to provide a level of guarantees about data protection-compliant processing of personal data. […] However, this contract-only approach does not satisfy the requirements of data protection legislation.

Quelle: Information Commissioners Office (ICO). (2019, Juni). Update report into adtech and real time bidding, S. 21.

Denn viele Erkenntnisse, die wir in diesem Beitrag gewonnen haben, lassen sich auf die Datenverarbeitung(en) rund um den TC-String übertragen – siehe Teil 2. Schließlich stellen das RTB und der TC-String zwei sich bedingende Vorgänge dar. Ohne das Einverständnis kein Real Time Bidding. Und ohne Real Time Bidding kein Einverständniserfordernis (in dieser Form).

Dass eine DSFA durch die IAB oder deren TCF-Mitglieder offenkundig bisher nicht stattfand, spricht allerdings eine eigene Sprache. Es passt allerdings in ein Muster, dass die ICO bereits gerügt hat: Vertragliche Kontrollelemente als alleinige Garantie zur Einhaltung des Datenschutzes. Daher ist folgende Frage zu stellen: Sind diese unzureichenden Garantien ein Versäumnis oder ein Nicht-hinschauen-Wollen?​

Bildquellen:

Bidding: Flat Icons from www.flaticon.com is licensed by CC 3.0 BY

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge

26. April 2022

Der TC-String des Interactive Advertising Bureau (IAB) – Teil2

Der TC-String des Interactive Advertising Bureau ist als personenbezogenes Datum einzuordnen.

4. Januar 2022

Facebooks Daten-Blowouts: Eine Verständnisbrücke Teil1

Trotz der zahlreichen Skandale ist eine effektive Regulierung von Facebook bisher ausgeblieben. Weshalb ist das so und warum wird es noch weitere Datenskandale geben?

28. September 2020

Cookie-Matching: Retargeting bei Online-Shops

Wie Cookie-Matching eingesetzt wird, um den Nutzer mittels Retargeting zu markieren und anschließend domainübergreifend wiederzuerkennen.

10. September 2023

Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test

Manche Ladeapps sind eine Datenschutzkatastrophe. Wir haben 41 Apps getestet und geben Tipps für datensparsames Laden.

30. August 2021

Das in der Corona-Pandemie viel zitierte Beispiel Südkorea – eine Datenschutz-Analyse

Eine Datenschutz-Analyse: Wer wird nach der Pandemie auf die äußerst sensiblen Gesundheitsdaten in Südkorea aufpassen, die im Zuge der Pandemiebekämpfung angehäuft wurden?

Weitere Themen

AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP

---

Diskussion

Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.