Zur Rechtmäßigkeit von IAB-Einwilligungsbannern

Am Ursprung dieses Artikels

Anfang Februar haben die europäischen CNILs unter Führung der APD (der belgischen CNIL) entschied, dass IAB-Zustimmungsbanner illegal seien. Zur Erinnerung: das IAB (International Advertising Bureau) ist die Adtech-Lobby, und 80 % der europäischen Websites verwenden das von IAB Europe vorgeschlagene Protokoll (das „Transparency & Consent Framework“ oder TCF), damit diese berühmten Einwilligungsbanner funktionieren.

Über diese Konsensbanner und ihre Simulakren der Legalität konnte ich bereits schreiben:

Sogar der Direktor der englischen CNIL scheint sie nicht mehr zu unterstützen :

„Ich höre oft Leute sagen, dass sie es leid sind, sich mit so vielen Cookie-Pop-ups auseinandersetzen zu müssen. Diese Müdigkeit führt dazu, dass Menschen mehr persönliche Daten preisgeben, als ihnen lieb ist.

„Der Cookie-Mechanismus ist auch alles andere als ideal für Unternehmen und andere Organisationen, die Websites betreiben, da er kostspielig ist und zu einer schlechten Benutzererfahrung führen kann. Während ich von Unternehmen erwarte, dass sie die geltenden Gesetze einhalten, fördert mein Büro die internationale Zusammenarbeit, um praktische Lösungen in diesem Bereich zu finden.

Allerdings handelt es sich bei diesen „Cookie-Bannern“ tatsächlich um eine Kreation intensiver Lobbyarbeit von Adtech, um die Schaffung eines „Opt-In“-Kontrollmechanismus auf Browserebene zu vermeiden. Einwilligungsmüdigkeit war von Adtech geplant und gewollt. Und die englische CNIL ist an diesem Fiasko beteiligt, wie es heißt Alexander Hanff im Artikel „Die Wahrheit hinter Cookie-Bannern".

Ist mit der Entscheidung der APD nun das Ende der verhassten Banner? Nicht unbedingt, IAB Europe hat gegen die Entscheidung des APD Berufung eingelegt. Zur Erinnerung, hier ist ein Diagramm, das die verschiedenen Lecks personenbezogener Daten darstellt:

mutig

Über Johnny Ryan aus seiner Zeit bei Brave. Das RTB (und das IAB TCF) mit der DSGVO kompatibel zu machen, ist eine unmögliche Mission?

Außerdem habe ich seit letztem Sommer eine lange E-Mail-Korrespondenz mit Benoit Oberlé, CEO und Mitbegründer von Sirdata, Schatzmeister des IAB Frankreich und Vizepräsident des Lenkungsausschusses des „Transparency & Consent Framework“. Sirdata ist aus mehreren Gründen ein interessantes Unternehmen: Es bietet Herausgebern eine CMP (Consent Management Platform) in einer kostenlosen oder kostenpflichtigen Version. Es ist auch ein Kontextdatenanbieter und Verhalten.

Die Verleger, die stimmen der Weitergabe personenbezogener Daten von Internetnutzern zu Zahlen Sie nicht die CMP Sirdata :

Angebot

Ein CMP, das „durch Daten finanziert“ werden kann.

Wenn wir Meinungsverschiedenheiten haben, hat sich Benoit immer die Zeit genommen, meine Fragen zu beantworten und Sirdatas Entscheidungen zu erläutern, und dafür danke ich ihm herzlich. Ausgehend von unseren Diskussionen wollte ich einen Artikel schreiben, um die Auswahlmöglichkeiten eines CMP unter Verwendung des IAB-Protokolls zu veranschaulichen, und der CMP Sirdata war das perfekte Beispiel.

Sirdata auf Psychologies.com

Um die CMP Sirdata zu studieren, gehen wir auf die Website Psychologies.com mit dem Chrome-Browser. Wir werden von einem scheinbar ziemlich standardmäßigen Einwilligungsbanner begrüßt:

Ankunft

Welchen Button wird Ihrer Meinung nach der eilige Internetnutzer anklicken?

Sie werden die Betonung der Option „Akzeptiere alles und mach weiter", im Gegensatz zu den Optionen "Konfigurieren Sie Ihre Auswahl„und vor allem“Fahren Sie fort, ohne zu akzeptieren". Dies ist ein „Dunkles Muster" Von vielen französischen Websites übernommen, erhalten der Segen der CNIL.

Wenn Sie sich nicht die Zeit nehmen, den Text des Einwilligungsbanners zu lesen, könnten Ihnen dennoch zwei wichtige Informationen entgehen:

Einige Adtech-Unternehmen verlassen sich nicht auf Ihre Einwilligung, sondern auf ein berechtigtes Interesse an der Verarbeitung Ihrer personenbezogenen Daten.
Ihre Auswahl gilt nicht nur für Psychologies.com, sondern auch für rund 4000 andere Websites.

Berechtigtes Interesse als Rechtsgrundlage für die Verarbeitung

Hier ist ein Auszug aus dem von Sirdata vorgeschlagenen Einwilligungsbanner:

Über den Einstellungsbildschirm können Sie eine detailliertere Auswahl treffen oder der Verarbeitung aufgrund berechtigter Interessen widersprechen.

Übersetzung: Wenn Sie einfach auf „klicken“Fahren Sie fort, ohne zu akzeptieren„Einige Adtech-Unternehmen berufen sich weiterhin auf ein berechtigtes Interesse an der Verarbeitung Ihrer personenbezogenen Daten. Um dieser Verarbeitung aufgrund berechtigter Interessen zu widersprechen, müssen Sie zum Einstellungsbildschirm gehen (Option „Konfigurieren Sie Ihre Auswahl").

Kehren Sie also zum Einwilligungsbanner zurück, um Ihre Auswahl zu überprüfen, nachdem Sie auf „Fahren Sie fort, ohne zu akzeptieren". Dazu müssen Sie zur Fußzeile der Website Psychologies.com scrollen und nicht auf " klicken.Persönliche Daten und Cookies„aber weiter“Zustimmung" (Der Link scheint nicht anklickbar zu sein, obwohl er es ist):

Zustimmung

Der versteckte Link jedoch"Es sollte genauso einfach sein, die Einwilligung zu widerrufen wie sie zu erteilen".

Beachten Sie das Erscheinen der Schaltfläche „Alles ablehnen und fortfahren“:

Rückkehr

Um dann die Wirkung Ihrer vorherigen Auswahl zu überprüfen ("Fahren Sie fort, ohne zu akzeptieren"), klicken Sie auf „Konfigurieren Sie Ihre Auswahl". Sie werden sehen, dass die verschiedenen Werbebehandlungen nicht deaktiviert sind, als ob Sie nicht bereits ausgewählt hätten:

Häkchen

„Weitermachen ohne zu akzeptieren“ bedeutet nicht „ablehnen“, warum?

Befolgen Sie dann diese Schritte:

Erweitern Sie die Option „Personalisierte Werbung".
Erweitern Sie die Option „Erstellen Sie ein personalisiertes Werbeprofil".
Beachten Sie, dass die Option „Für diese Tätigkeit berufen sich die folgenden Partner auf ihr berechtigtes Interesse", ist vorab aktiviert. Erweitern Sie die Option.

Sie werden sehen, dass der Partner erscheint.Sirdata Cookieless":

ohne Kekse

„Sirdata Cookieless“ erscheint als „nicht abgelehnt“. Sie müssen daher dem berechtigten Interesse widersprechen, diese Verarbeitung zu verweigern.

Diese über das Sirdata CMP zugängliche Option ermöglicht es dem Verhaltensdatenanbieter Sirdata, Werbeprofile zu erstellen, auch wenn der Internetnutzer keine Einwilligung dazu erteilt hat.

Wenn Sie sich außerdem dazu entschließen, die Option „Für diese Aktivität bitten die folgenden Partner um Ihr Einverständnis", Sie würden den Partner sehen"Sirdata„mit der Erwähnung“nicht akzeptiert":

Zustimmung

„Sirdata“ erscheint als „nicht akzeptiert“. Sirdata kann sich bei der Erstellung eines personalisierten Werbeprofils nicht auf Ihre Einwilligung verlassen.

Sirdata spielt bei seinen Werbebehandlungen (einschließlich der Erstellung eines personalisierten Werbeprofils) also auf zwei Ebenen:

Der Partner“Sirdata„ basiert auf Ihrer Einwilligung, wenn Sie auf „Akzeptiere alles und mach weiter".
Der Partner“Sirdata Cookieless„ erfolgt auf Grundlage Ihres berechtigten Interesses, wenn Sie auf „Fahren Sie fort, ohne zu akzeptieren".

Mit Zustimmung verwendet Sirdata Cookies und kann Identifikatoren und Zielgruppensegmente mit Werbepartnern teilen. Ohne Einwilligung und auf Grundlage eines berechtigten Interesses stellt sich Sirdata der Vertriebsplattform (Adserver oder SSP) vor, um gezielte Werbekampagnen mit Sirdata-Daten verkaufen zu können, wenn der Nutzer dem/den richtigen Zielgruppensegment(en) angehört.

Mit seinem Angebot „Ohne Kekse„Sirdata erstellt weiterhin ein Profil von Ihnen und nutzt Ihr Profil für personalisierte Werbung, die Weitergabe von Informationen an Dritte ist jedoch eingeschränkter. Das Sirdata-Angebot ist hier zusammengefasst :

averee

Wenn Sie auf „Alle ablehnen“ klicken, bietet Sirdata kontextbezogene Werbung an. Insgesamt betrachtet Sirdata sein Angebot als „respektvoll gegenüber der Privatsphäre“.

Um die Erstellung eines personalisierten Sirdata-Werbeprofils (und ganz allgemein die verschiedenen Werbemaßnahmen von Adtech-Unternehmen) abzulehnen, müssen Sie daher bei Ihrem ersten Surfen Folgendes tun:

Klicken Sie auf „Konfigurieren Sie Ihre Auswahl" auf dem Einwilligungsbanner.
Klicken Sie dann auf „lehne alles ab".

Beachten Sie, dass eine Option „Alles ablehnen und weitermachen„ ist auf der ersten Ebene verfügbar, aber nur, wenn Sie Ihre Entscheidungen noch einmal überdenken möchten (wenn Sie die berühmte Option „ finden).Privatsphäre" am Ende der Seite Psychologies.com):

Fußzeile

Eine Option, die wir gerne auf dem Ersteinwilligungsbanner gesehen hätten.

Verweigern Sie nur das „Personalisierte Werbung„ist nicht offensichtlich, ein einfacher Klick auf die Option stellt Ihre Zustimmung zum „Personalisierte Werbung", aber auch zum "Standardwerbung":

akzeptiere

Ein schönes „dunkles Muster“, das von entdeckt wurde @fourmeux, müssen Sie nun die beiden Optionen deaktivieren.

Gezielte Werbung ohne Einwilligung auf Basis der IP-Adresse, eine Möglichkeit, die ePrivacy-Richtlinie zu umgehen?

Sirdata, der Anbieter von Verhaltensdaten, hält sich an die europäischen Vorschriften, ePrivacy (Cookie-Richtlinie) und DSGVO. Welches Argument verwendet er?

Erstens ist Sirdata der Ansicht, dass die ePrivacy-Richtlinie nicht auf sein Angebot anwendbar ist.Ohne Kekse" (oder "Ohne Zustimmung"). Seine Begründung: Unter ePrivacy versteht man die Speicherung von Informationen auf dem Endgerät des Nutzers bzw. den Zugriff auf dort bereits gespeicherte Informationen. Doch um Nutzer ohne Einwilligung zu identifizieren, verlässt sich Sirdata ausschließlich darauf die IP-Adresse, und diese wird nicht auf dem Endgerät des Nutzers gespeichert.

Sirdata macht nicht explizit darauf aufmerksam, dass sein „Cookieless“-Angebot die IP-Adresse des Nutzers nutzt. Es wird jedoch detailliert beschrieben, welche zusätzliche Verarbeitung der IP-Adresse durchgeführt wird seine Seite „Schutz personenbezogener Daten und Datenschutzrichtlinie" Glossarbereich.

Sirdata ist der Ansicht, dass a Fingerabdrücke „passiv“ und nicht „aktiv“. Beim „passiven“ Fingerabdruck würde es sich lediglich um die IP-Adresse handeln, es sei kein Zugriff auf das Endgerät erforderlich. „Aktives“ Fingerprinting würde aus Terminalmerkmalen wie dem Benutzeragenten, installierten Schriftarten oder der Bildschirmgröße bestehen.

Adresse

Targeting über IP-Adresse, das neueste Tool für Werbetreibende, um Sie ohne Zustimmung anzusprechen ?

Diese Unterscheidung zwischen „passiver“ Fingerabdruckerfassung (für die ePrivacy nicht gelten würde) und „aktiver“ Fingerabdruckerfassung (für die ePrivacy gelten würde) ist umstritten. In Artikel 7.2 von Stellungnahme 9/2014 der Artikel-29-Arbeitsgruppe zum Datenschutz zur Anwendung der Richtlinie 2002/58/EG auf die Erfassung digitaler Fingerabdrücke, wird die Notwendigkeit einer Einwilligung für gezielte Werbung klar dargelegt:

Die Erfassung digitaler Fingerabdrücke zu gezielten Werbezwecken erfordert daher eine Einwilligung des Nutzers.

Sirdata bleibt bei seiner Position: Kein Zugriff auf das Terminal, daher gilt ePrivacy nicht. Sein Angebot fällt nicht unter die Definition von Stellungnahme 9/2014, was keine gesetzliche Verpflichtung darstellt.

Was die DSGVO betrifft, da Sirdata die IP-Adresse des Benutzers verarbeitet und es sich dabei um personenbezogene Daten handelt, die es haben muss eine Rechtsgrundlage für jede seiner Werbemaßnahmen. Wenn der Nutzer seine Einwilligung nicht erteilt hat, beruft er sich darauf berechtigtes Interesse.

Beachten Sie, dass Sirdata von diesem Argument überzeugt ist und es in seinen Werbevideos wiederverwendet, beispielsweise mit „Retargeting ohne Einwilligung":

Party

Ohne Zustimmung wird die Party für Adtech immer wilder!

Sirdata bietet auch ein Produkt an, um Übertragungen an Google Analytics in den USA konform zu machen, den „Analytics Helper“.. Zur Erinnerung: Die österreichische und die französische CNIL haben Datenübermittlungen an Google Analytics in den USA als illegal eingestuft.

Sirdata trifft Vorkehrungen, um zu verhindern, dass US-Geheimdienste einen Nutzer über eine Anfrage an Google identifizieren können (Anonymisierung der IP vor der Übermittlung an Google, Pseudonymisierung der IP-Adresse vor der Übermittlung an Google). Client ID auf der Sirdata-Proxy-Ebene). Interessant im Kontext dieses Artikels ist, dass das „Legal Tracking Model“ für diesen „Analytics Helper“ dem CMP Sirdata-Modell ähnelt:

Bei Einwilligung erfolgt das übliche Google Analytics-Tracking über Cookies.
Liegt keine Einwilligung vor, erfolgt das Tracking durch Google Analytics über einen von Sirdata generierten Fingerabdruck und „alleinig“ auf Grundlage Ihrer IP-Adresse, wobei berechtigtes Interesse als Rechtsgrundlage dient.
Bei fehlender Einwilligung und Widerspruch zum berechtigten Interesse erfolgt kein Google-Analytics-Tracking.

Der Sirdata Helper ist ein geniales Produkt, aber wird es ausreichen, um Datenübertragungen an Google Analytics in den USA konform zu gestalten? Die Frage bleibt offen, da ich sie in diesem Thread näher erläutere.

Berechtigtes Interesse an gezielter Werbung

Für Sirdata, einen Anbieter von Verhaltensdaten, scheint es kompliziert zu sein, sich darauf zu verlassen berechtigtes Interesse für gezielte Werbung. Und insbesondere zum Abwägungskriterium: Es geht um die Frage, ob die von Adtech-Anbietern verfolgten Interessen die Grundrechte und Grundfreiheiten der Betroffenen überwiegen.

Die APD erwähnt insbesondere die Stellungnahme 03/2013 von Artikel-29-Arbeitsgruppe, der frühere Name des EDPB („Europäischer Datenschutzausschuss“), vor der DSGVO :

Darüber hinaus weist der EDSA darauf hin, dass berechtigtes Interesse keine ausreichende Rechtsgrundlage im Zusammenhang mit Direktmarketing zur Umsetzung verhaltensorientierter Werbung darstellt [...] (460)

Artikel-29-Arbeitsgruppe – Stellungnahme 03/2013 zur Zweckbindung (WP 203), 2. April 2013 : „Eine Einwilligung sollte beispielsweise für Tracking und Profiling zum Zwecke des Direktmarketings, der verhaltensbezogenen Werbung, der Datenvermittlung, der standortbezogenen Werbung oder der Tracking-basierten digitalen Marktforschung erforderlich sein.“

Weitere Einzelheiten finden Sie auch hier Beschwerde von La Quadrature du Net gegen Amazon wegen Verstoßes gegen die DSGVO, und zwar wegen des Fehlens einer Rechtsgrundlage für gezielte Werbung.

Nach Einwilligung und Vertragsabschluss prüft La Quadrature du Net das berechtigte Interesse als mögliche Rechtsgrundlage (Punkte 36 bis 50) sorgfältig. Für den Verein zur Verteidigung und Förderung der Rechte und Freiheiten im Internet kann diese Rechtsgrundlage für gezielte Werbung nicht funktionieren (62). Die luxemburgische CNIL bestätigte ihre Analyse, mit einer Rekordstrafe von 746 Millionen Euro gegen Amazon.

gafam

Die Quadratur des Netzes gegen GAFAM, leider Die CNIL hat keine Abonnenten.

Einige Auszüge aus der Beschwerde von La Quadrature:

Das ist der Weg, den die G29 einschlägt Anhang II seiner Stellungnahme 03/2013 zu Big Data und Open Data : „a vorherige Zustimmung „Frei, spezifisch, informiert und unmissverständlich sollte fast immer gefordert werden“, wann immer eine „Organisation dies ausdrücklich wünscht.“ analysieren oder vorhersagen die persönlichen Vorlieben, Verhaltensweisen und Einstellungen einzelner Kunden, die dann als Grundlage für „Handlungen oder Entscheidungen“ in Bezug auf diese Kunden dienen. (47)

Als Beispiel für solche „Maßnahmen und Entscheidungen“ nennt er die Verbreitung von „personalisierten Rabatten, Sonderangeboten usw.“ gezielte Werbung aus dem Kundenprofil. (49)

Die G29 kommen klar zum Schluss dass die „ Zustimmung sollte insbesondere erforderlich sein, zum Beispiel für die Tracking und Profiling für Zwecke der Direktakquise und verhaltensbezogener Werbung, Informationsvermittlung, standortbasierte Werbung oder Tracking-basierte digitale Marktforschung.“ (50)

Gemeinsam mit Benoit stellten wir daher im vergangenen Sommer (2021) der CNIL die Frage nach dem berechtigten Interesse für gezielte Werbung, ohne darauf eine Antwort zu erhalten.

Ihre Auswahl gilt für eine Genossenschaft mit 4000 Standorten

Hier ist ein weiterer Auszug aus dem von Sirdata vorgeschlagenen Einwilligungsbanner (zumindest auf Chrome, da auf Safari aufgrund der Blockierung von Cookies von Drittanbietern die Website-Kooperation deaktiviert ist):

Für diese gelten Ihre Entscheidungen Websites und in ihren E-Mails für 6 Monate, und wir werden Sie erst morgen wieder fragen.

Wenn Sie auf „klicken“Websites", landen Sie auf einer neuen Informationsseite, direkt auf der Sirdata-Website. Sie müssen noch auf „Klicken Sie hier" unten auf der Seite, um die kooperativen Websites von Sirdata zu entdecken:

Rahmen

Anschließend finden Sie alle Sirdata-Kooperationsseiten, 130 Seiten paginiert, ohne Exportmöglichkeit:

Liste

Diese Websites haben sich für die Teilnahme an der Sirdata-Einwilligungskooperative entschieden (unabhängig davon, ob sie das Sirdata CMP in einer kostenlosen oder kostenpflichtigen Version nutzen).

Ist es also legal? Laut Sirdata ja, weil der Internetnutzer Informationen auf der ersten Ebene erhält. Es steht ihm frei, sich zu vertiefen und die vollständige Liste der Websites einzusehen. Auch Sirdata setzt auf diese CNIL-FAQ :

FAQ

Dennoch ist es wahrscheinlich, dass die CNIL diesen Fall nicht vorhergesehen hat, da sich Frage 21 wahrscheinlich auf die Datenverantwortlichen der vom Nutzer besuchten Website (Werbepartner) bezieht und nicht auf andere Websites, die der Nutzer nicht besucht. Sirdata argumentiert, dass diese Wahl für den Benutzer von Vorteil ist, da sie die Ermüdung durch Einwilligungsbanner verringert. Diese Wahl muss noch informiert werden.

Mit Benoit haben wir im vergangenen Sommer (2021) auch die Frage nach der Rechtmäßigkeit dieser „Gruppenwahl“ an die CNIL gestellt, ohne eine Antwort zu erhalten.

Die Genossenschaft Sirdata, ein CMP unter Zwängen

Die Teilnahme einer Website an der Sirdata-Genossenschaft erlegt den Einwilligungsbannern bestimmte Einschränkungen auf:

Für Benutzer, die sich auf französischem Territorium befinden, verlangt Sirdata das berühmte „Dunkle Muster“ von der CNIL validiert.
Wenn der Benutzer seine Auswahl noch einmal überdenkt, wird eine Schaltfläche „Alles ablehnen und weitermachen" ist verfügbar.
Die Option „Alles ablehnen„ ist jedoch auf dem Ersteinwilligungsbanner nicht verfügbar.
Die Anzahl der Werbepartner darf 200 nicht überschreiten (es gibt mehr als 1000 Werbeunternehmen im TCF, Werbepartner nicht mitgerechnet, die nicht Teil des TCF sind und die Google über seine integrieren möchte). „Zusätzlicher Einwilligungsmodus“).

Wenn es sich nicht um Safari handelt, werden die Entscheidungen des Benutzers daher auf alle kooperativen Websites von Sirdata angewendet. Beachten Sie, dass es im Gegensatz zu einigen seiner Konkurrenten auf der ersten Ebene einen „Ablehnungs“-Mechanismus aufweist („Fahren Sie fort, ohne zu akzeptieren„oder“Alles ablehnen") ist systematisch, wenn der Benutzer seinen Sitz in Frankreich hat. Dies gilt für alle Sirdata-Kunden, unabhängig davon, ob sie zahlen oder nicht und ob sie Mitglied der Genossenschaft sind oder nicht.

Sirdata vermeidet somit „nicht konforme“ Schnittstellen, ohne Knopf "Ablehnen„oder“Fahren Sie fort, ohne zu akzeptieren".

Sirdata und die Illegalität von TCF

In seiner MitteilungSirdata weist darauf hin, dass die seiner Genossenschaft angeschlossenen Verlage von der APD-Entscheidung nicht betroffen seien. Für Verlage, die Sirdatas CMP zahlen, würde es ausreichen, nicht alle Werbepartner zu aktivieren, um von der Entscheidung nicht betroffen zu sein. Hier ist die Botschaft von Sirdata an seine Kunden:

Im Allgemeinen sind Verlage, die unserem Rat gefolgt sind, durch dieses Urteil nicht gefährdet und haben keine zu löschenden Daten, ebenso wenig wie ihre Partner, noch die Verpflichtung, noch einmal „herbeizuschauen“, um eine neue Einwilligung einzuholen.

Werfen wir einen Blick auf einige Elemente von die Entscheidung der APD. Zunächst einmal geht die APD davon aus, dass die Zeichenfolge, die die Speicherung und Übertragung von Benutzerpräferenzen ermöglicht (TC String) sind personenbezogene Daten. Tatsächlich ist sie mit der IP-Adresse des Benutzers verknüpft (auf die die CMPs Zugriff haben). Diese Zeichenfolge bestimmt auch die zukünftige Werbebehandlung mehrerer Adtech-Unternehmen. Sirdata erklärt es sehr gut:

Die APD bestätigt daher, dass die Wahl – die TC String – identifiziert Personen oder Geräte an sich nicht direkt, aber sobald die Auswahl auf dem Gerät des Benutzers gespeichert ist, hat ein CMP die Möglichkeit, diesem eine eindeutige Kennung zuzuweisen TC String, also die IP-Adresse des Geräts, auf dem sie gespeichert ist. Die Möglichkeit der Kombination der TC String und die IP-Adresse impliziert, dass es sich um Informationen über einen identifizierbaren Benutzer handelt.

Die APD unterscheidet daher 2 Behandlungsarten:

Erfassung und Weitergabe des Einwilligungssignals und der Einwände gegen das berechtigte Interesse der Nutzer (über die Zeichenfolge). TC String).
Die Erfassung, Verbreitung und Verarbeitung personenbezogener Daten durch Adtech-Unternehmen.

Im Hinblick auf die Rechtmäßigkeit und Fairness der Verarbeitung unterscheidet die Prozesskammer zwischen zwei Verarbeitungstätigkeiten: zum einen die eigentliche Eingabe des Einwilligungssignals, der Widersprüche und der Nutzerpräferenzen in die TC String durch die CMPs (a) und andererseits die Erhebung und Verbreitung personenbezogener Daten der Nutzer durch die teilnehmenden Organisationen (b). (403)

Ein weiterer wichtiger Punkt ist, dass die APD der Ansicht ist, dass die CMPs tatsächlich für die Behandlungen mitverantwortlich sind, und zwar für diese beiden Arten von Behandlungen:

Dies führt die Prozesskammer zu dem Schluss, dass die Beklagte zusammen mit den beteiligten CMPs, Verlagen und Adtech-Anbietern als gemeinsame Verantwortliche hinsichtlich der Erhebung und Verbreitung von Präferenzen, Einwänden und Einwilligungen der Nutzer sowie der weiteren Verarbeitung ihrer personenbezogenen Daten anzusehen ist. (402)

Welche Rechtsgrundlage für die Erfassung und Verbreitung des TC-String-Signals gibt es bei CMP Sirdata?

Beginnen wir mit einer Klarstellung von Benoit:

Wenn Sirdata als CMP fungiert, erfasst es die TC String und sendet es an seine Datenbank zur Speicherung des Einwilligungsnachweises und seiner Gültigkeit. Sie verschickt sie nicht an Dritte und nur diese Behandlungen basieren auf einer gesetzlichen Verpflichtung. Das CMP übermittelt die Zeichenfolge nicht an Drittanbieter: Anbieter können aktiv über eine auf der Seite bereitgestellte API darauf zugreifen, das CMP „verbreitet“ sie jedoch nicht.

Wenn es keine „Verbreitung“ der TC String von CMP Sirdata ermöglicht die Offenlegung der Zeichenfolge über eine API effektiv deren spätere Verbreitung.

Für die erste Art der Verarbeitung (Erfassung und Offenlegung des Zustimmungssignals und Einwände gegen das berechtigte Interesse der Nutzer) hat Sirdata als CMP nicht angegeben, auf welche Rechtsgrundlage es sich stützen möchte. Tatsächlich war das IAB Europe vor der APD-Entscheidung der Ansicht, dass die TC String handelte es sich nicht um personenbezogene Daten. Wir haben jedoch gesehen, dass die TC String Es handelte sich zwar um personenbezogene Daten, aber auch darum, dass die CMPs für die Verarbeitung mitverantwortlich waren.

Daher müssen CMPs eine Rechtsgrundlage für diese Verarbeitung personenbezogener Daten angeben. Wenn wir Sirdata studieren:

Eine Einwilligung ist derzeit keine gültige Rechtsgrundlage. Sirdata speichert die Einwilligungszeichenfolge TC String im lokalen Speicher, sobald das Einwilligungsbanner angezeigt wird, und fragt den Nutzer daher nicht nach seiner Meinung. Nach Verweigerung der Einwilligung wurde die TC String wird im Cookie gespeichert euconsent-v2.
Ein berechtigtes Interesse liegt laut DSGVO derzeit ebenfalls nicht vor, da der Nutzer keine Möglichkeit hat, der Speicherung dieser personenbezogenen Daten zu widersprechen: „In diesem Zusammenhang hält die Prozesskammer es für bemerkenswert, dass den Nutzern keine Möglichkeit geboten wird, der Verarbeitung ihrer Präferenzen im Rahmen des TCF gänzlich zu widersprechen. Was auch immer ihre Wahl ist, das CMP wird ein generieren TC String bevor es über ein Cookie mit der eindeutigen Benutzer-ID des Benutzers verknüpft wird euconsent-v2 auf dem Gerät der betroffenen Person gespeichert." (421). Die APD stellt fest, dass diese Verarbeitung angesichts der beträchtlichen Anzahl von Adtech-Unternehmen, die diese Daten wiederherstellen, und der geringen Kontrolle, die dem Benutzer gegeben wird, den „Ausgleichstest“ nicht bestehen würde (423).

tcstring

Vor jeder Interaktion mit dem Sirdata-Zustimmungsbanner muss der Kanal TC String wird mit dem Schlüssel gespeichert sddan:cmp im lokalen Speicher meines Browsers.

Der APD-Entscheidung zufolge scheint CMP Sirdata keine Rechtsgrundlage für die Erfassung und Offenlegung des Zustimmungssignals und der Einwände gegen das berechtigte Interesse der Nutzer zu haben. Aber nach Gesprächen mit Benoit verstehe ich, dass Sirdata sich tatsächlich auf eine andere Rechtsgrundlage für die Erfassung und Offenlegung des Signals stützt TC String, die gesetzliche Verpflichtung.

Gesetzliche Verpflichtung als Rechtsgrundlage für die Verarbeitung?

Die Informationen, auf die sich CMP Sirdata verlässt die gesetzliche Verpflichtung als Verarbeitungsgrundlage für die Signalerfassung und -belichtung TC String fehlt im Sirdata-Einwilligungsbanner und wird in nicht erwähnt der Sirdata-Artikel, der die APD-Entscheidung überprüft. Es ist jedoch in angegeben die CGU von CMP Sirdata :

9.5. Die TC string und unbedingt notwendige Daten, wie z. B. das Datum der letzten Eingabeaufforderung, um nachfolgende Eingabeaufforderungen einzuschränken, werden auf dem Gerät des Benutzers im lokalen Speicher in einem Cookie mit dem Namen gespeichert euconsent-v2 Dies kann als Erstanbieter-Cookie oder als mit dem Domainnamen verknüpftes Drittanbieter-Cookie verwendet werden consentframework.com. Die Parteien vereinbaren, dass gemäß der CNIL-Beschluss Nr. 2020-092 vom 17. September 2020 zur Verabschiedung einer Empfehlung, die praktische Modalitäten der Einhaltung im Falle des Rückgriffs auf „Cookies und andere Tracer“ vorschlägt, die Speicherung oder der Zugriff auf diese Daten im Terminal nicht einer vorherigen Zustimmung bedarf, und wenn die TC String und die erforderlichen Daten als personenbezogene Daten gelten, erfolgt die Verarbeitung durch Sirdata als Datenverarbeiter, der im Namen von Ihnen, dem Datenverantwortlichen, handelt auf Grundlage der gesetzlichen Verpflichtung nach DSGVO.

Laut APD handelt es sich bei Sirdata nicht um einen einfachen Subunternehmer, sondern vielmehr um einen Mitverantwortlichen. Dies hat jedoch keinen Einfluss auf die von Sirdata angeführte Rechtsgrundlage, die gesetzliche Verpflichtung. Das Argument von Sirdata, sich auf die gesetzliche Verpflichtung zu berufen, lautet wie folgt: Der Herausgeber und seine Partner müssen die Einwilligung rechtlich nachweisen, sich an eine Verweigerung/einen Widerruf der Einwilligung erinnern und sich den Widerspruch einprägen, um den Nutzer nicht zu „belästigen“.

Es ist eine Schande, dass IAB Europe und APD diese Rechtsgrundlage für die Verarbeitung nicht diskutiert haben. Uns fehlt eine rechtliche Entscheidung, um zu wissen, ob diese Rechtsgrundlage wirklich gilt.

Sirdata-Vorladung Beschluss Nr. 2020-092 vom 17. September 2020 der CNIL (praktische Regelungen zur Einhaltung der Vorschriften im Falle der Verwendung von „Cookies und anderen Tracern“), aber dies bietet nur eine Benennung des Trackers, sodass die Auswahl der Benutzer gespeichert werden kann:

Schließlich fordert die Kommission die Fachleute auf, dem Tracker einen Namen zu geben, damit die Entscheidungen der Benutzer gespeichert werden können eu-consent, indem man jedem Zweck einen booleschen Wert „wahr“ oder „falsch“ zuordnet, um die getroffenen Entscheidungen zu speichern.

Beschluss Nr. 2020-091 vom 17. September 2020 („Richtlinien zu Cookies und anderen Tracern“) betrifft die Befreiung von der Einwilligung in Bezug auf die von den Nutzern zum Ausdruck gebrachte Wahl bei der Hinterlegung von Tracern:

Angesichts der ihr zur Kenntnis gebrachten Praktiken ist die Kommission der Auffassung, dass die Folgende Tracer können insbesondere als ausgenommen gelten:

Tracker behalten die von den Benutzern bei der Einzahlung geäußerte Wahl bei Tracer

[...]

Allerdings spricht die CNIL für die DSGVO nicht von einer Rechtsgrundlage für die Verarbeitung, geschweige denn von einer Rechtspflicht als Rechtsgrundlage. Eine sorgfältige Lektüre des CNIL-Text zur rechtlichen Verpflichtung stellt andere Fragen:

Die rechtliche Verpflichtung muss im nationalen oder europäischen Rechtsrahmen vorgesehen sein. Auf welchen Gesetzestext kann sich Sirdata dann berufen?
Der Verantwortliche, der sich auf diese Rechtsgrundlage berufen möchte, darf nicht die Wahl haben, ob er der Verpflichtung (Notwendigkeit) nachkommen möchte oder nicht.
Insbesondere muss die Organisation sicherstellen, dass es keine weniger einschneidenden Mittel zur Erreichung dieses Ziels gibt.

Allerdings könnte Sirdata durchaus einen Parameter hinzufügen opt-in zu Anrufen bei seinem CMP. Wenn Sie anrufen https://sirdata...?opt-in=0, dann keine Erstellung des TC String, und daher kein Aufruf an Adtech-Partner. Die gesetzliche Verpflichtung erscheint daher nicht erforderlich.

CMP Sirdata könnte sich auf ein berechtigtes Interesse als Rechtsgrundlage für die Verarbeitung berufen TC String (über den Parameter opt-in, kann der Nutzer der Speicherung der Daten widersprechen TC String). Angesichts der beträchtlichen Anzahl von Partnern, die diese Daten wiederherstellen (423), wäre es dennoch erforderlich, den Abwägungstest zu bestehen. Hier, Sirdata wird argumentieren dass durch die Begrenzung der Zahl der Gesellschafter in seiner Genossenschaft auf maximal 200 das Urteil der APD keine Anwendung findet.

Welche Rechtsgrundlage für die Erfassung und Verbreitung des TC-String-Signals gibt es für den Werbepartner Sirdata?

Denken Sie daran, dass Sirdata als CMP fungiert, aber auch als Anbieter von Kontext- und Verhaltensdaten fungiert. In dieser Rolle erfasst und verbreitet Sirdata TC String. Werfen wir einen Blick auf Benoits Erklärungen:

Wenn Sirdata als einwilligungsbasierter Anbieter („Sirdata“-Anbieter) auftritt, können wir die Daten erfassen und übertragen TC String und andere personenbezogene Daten auf der Grundlage einer Einwilligung und wir prüfen, ob das Unternehmen, an das wir sie übermitteln möchten, das Recht hat, diese zu erhalten. Wenn Sirdata als Anbieter auf der Grundlage berechtigter Interessen auftritt („Sirdata-Cookie-freier“ Anbieter), können wir die Daten erfassen und übertragen TC String und andere personenbezogene Daten auf Grundlage eines berechtigten Interesses verarbeitet und von uns nicht weitergegeben wird.

Für die Zukunft und gerade wegen der ODA werden wir die Rechtsgrundlagen für die Verarbeitung ändern TC String als Anbieter, um einen Widerruf der Einwilligung übermitteln zu können: Wir werden uns bald nur noch auf das berechtigte Interesse berufen (jedoch nur für die TC String in diesem Zusammenhang verwendet).

Derselbe Kommentar scheint hier zuzutreffen: Angesichts der beträchtlichen Anzahl von Partnern, die diese Daten wiederherstellen, muss der Abwägungstest bestanden werden (423). Sirdata wird wahrscheinlich argumentieren können, dass es, wenn es als Werbepartner („Vendor“) auftritt, die übermittelt TC String an eine begrenzte Anzahl von Partnern.

Wir haben zuvor die potenziellen Rechtsgrundlagen für die erste von der Datenschutzbehörde angegebene Art der Verarbeitung untersucht: die Erfassung und Verbreitung des Einwilligungssignals und Einwände gegen das berechtigte Interesse der Benutzer (auf der Seite von Sirdata CMP, aber auch auf der Seite von Sirdata „Vendor“). Kommen wir nun zur zweiten Art der Verarbeitung: der Erfassung, Verbreitung und Verarbeitung personenbezogener Daten durch Adtech-Unternehmen.

Berechtigtes Interesse als Rechtsgrundlage für die Erhebung, Verbreitung und Verarbeitung personenbezogener Daten durch Adtech-Unternehmen?

Zur Erinnerung: Hier geht es nicht mehr um die Erfassung oder Verbreitung der TC String Es werden jedoch viele verschiedene Werbemaßnahmen mit Ihren personenbezogenen Daten durchgeführt:

Endgültigkeiten

Die in Version 2 des TCF definierten ZweckeBitte beachten Sie die Ausnahme des Zwecks „Informationen auf einem Gerät speichern und/oder darauf zugreifen“, der nur auf Ihrer Einwilligung basieren kann.

Lass uns lernen die Entscheidung der APD über das berechtigte Interesse an der Werbeverarbeitung im Rahmen des TCF. Diese Behandlungen umfassen daher gezielte Werbung, aber nicht nur. Die Nutzung berechtigter Interessen als Rechtsgrundlage für die Verarbeitung unterliegt drei Bedingungen :

Es muss „legitim“ sein: Die APD hat keine Meinung dazu, ob das wirtschaftliche Interesse eines Adtech-Akteurs an der Durchführung der Werbeverarbeitung legitim ist. Diese Voraussetzung ist jedoch bereits nicht erfüllt, da die Werbeverarbeitung nach Ansicht der APD im Rahmen des TCF nicht spezifisch genug beschrieben ist (452).
Es muss die Bedingung „Notwendigkeit“ erfüllen: Die APD ist der Ansicht, dass diese Bedingung nicht erfüllt ist, da im Rahmen von RTB (Real-Time Bidding) kein Schutz vor der Verbreitung personenbezogener Daten besteht (456).
Es darf nicht im Widerspruch zu den Rechten und Interessen der Personen stehen, deren Daten verarbeitet werden: Problematisch ist laut APD die große Anzahl an Werbeakteuren sowie die zahlreichen übermittelten Informationen im Rahmen einer Werbeauktion. Die APD zitiert auch dieEDBP (Europäischer Datenschutzausschuss) und derICO (die englische CNIL), die beide der Auffassung sind, dass ein berechtigtes Interesse keine gültige Rechtsgrundlage für die Verarbeitung für gezielte Werbung sei, insbesondere im Rahmen des RTB (460).

Lesen wir zum Beispiel die Meinung des EDBP :

Eine Einwilligung sollte beispielsweise für Tracking und Profiling zum Zwecke des Direktmarketings, der verhaltensbezogenen Werbung, der Datenvermittlung, der standortbezogenen Werbung oder der Tracking-basierten digitalen Marktforschung erforderlich sein.

Und hier ist die Entscheidung der APD:

Im Lichte der oben genannten Erwägungen ist die Prozesskammer der Auffassung, dass dies der Fall ist Das berechtigte Interesse der teilnehmenden Organisationen kann nicht als angemessene Rechtsgrundlage für Verarbeitungsaktivitäten angesehen werden, die gemäß dem OpenRTB-Protokoll in Übereinstimmung mit den im Rahmen des TCF eingegebenen Benutzerpräferenzen und -auswahlen durchgeführt werden.

Nun die Analyse von Sirdata: Dieses Urteil gilt nicht für TCF als Ganzes, sondern nur für Behandlungen im Zusammenhang mit RTB. Dies betrifft beispielsweise nicht das von Sirdata über sein „Cookieless“-Angebot durchgeführte Profiling, das vor RTB-Börsen stattfindet und nicht zur Weitergabe von Identifikatoren und Zielgruppensegmenten an Werbepartner führt. Daher kann CMP Sirdata seinen Partnern weiterhin ein berechtigtes Interesse als Rechtsgrundlage für die Verarbeitung anbieten.

Wir können hier feststellen, dass berechtigtes Interesse, ohne überhaupt über RTB zu sprechen, den Legitimitätstest nicht besteht. Um mehr zu erfahren, können Sie den Artikel von Célestin Matte, Cristiana Santos und Nataliia Bielova lesen: „Zwecke im TCF von IAB Europe: Welche Rechtsgrundlagen und wie werden sie von Werbetreibenden genutzt?". Dabei wird jeder Zweck untersucht, unabhängig von jeglicher Verarbeitung im Zusammenhang mit RTB, aber die Schlussfolgerung bleibt für das berechtigte Interesse dieselbe, diese Rechtsgrundlage gilt nicht:

studieren

Die neue Fassung des TCF präzisiert die Zwecke genauer, das berechtigte Interesse wäre jedoch immer noch nicht gültig.

Auch wenn dieses Papier sehr solide ist, wird Sirdata argumentieren können, dass eine rechtliche Entscheidung über die Gültigkeit des berechtigten Interesses über das TCF außerhalb des OpenRTB-Protokolls fehlt. Das TCF ist sicherlich mit dem OpenRTB-Protokoll verknüpft, wie in der APD angegeben:

Die Prozesskammer stellt fest, dass der Argumentation der Beklagten nicht gefolgt werden kann, da die Beklagte in ihren Schlussfolgerungen mehrfach darauf hingewiesen hat, dass die Daseinsberechtigung des TCF gerade darin bestehe, die Verarbeitung personenbezogener Daten, die unter anderem auf dem OpenRTB-Protokoll basieren, in Übereinstimmung mit den geltenden Vorschriften, einschließlich der DSGVO und der ePrivacy-Richtlinie, zu bringen. Obwohl die Prozesskammer davon ausgeht, dass der TCF auch von Verlagen für andere Anwendungen genutzt werden kann, in Zusammenarbeit mit den CMPs oder nicht, ist es auch sicher, dass der TCF nie als autonomes und unabhängiges Ökosystem konzipiert wurde. (368)

Aber TCF wird auch außerhalb von OpenRTB verwendet, ein Argument, das Sirdata vorbringen kann, um die Rechtsgrundlage „berechtigtes Interesse“ an seinem CMP aufrechtzuerhalten. Mit eigenem Beispiel: Bei fehlender Einwilligung erfolgt die Nutzung aus berechtigtem Interesse für zielgerichtete Werbung auf Basis der IP-Adresse, technisch gesehen außerhalb von RTB (dieser vorgelagert).

Einwilligung als Rechtsgrundlage für die Erhebung, Weitergabe und Verarbeitung personenbezogener Daten durch Adtech-Unternehmen?

Wir haben bereits gesehen, dass ein berechtigtes Interesse keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten in OpenRTB ist, wie sie durch das TCF ermöglicht wird, insbesondere für die Verarbeitung im Zusammenhang mit gezielter Werbung. Die Datenschutzbehörde erläutert auch, warum die Einwilligung keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist.

Das Argument von Sirdata, sich dieser Entscheidung zu entziehen, lautet dann wie folgt (sei es aus berechtigtem Interesse oder aus Einwilligung). Im Rahmen seiner Genossenschaft Das CMP Sirdata geht weiter als das TCF, wenn es mindestens implementiert wird, insbesondere mit einer besseren Priorisierung der Daten, besseren Informationen und vor allem einer Begrenzung der Anzahl der Partner.

Sirdata ist sich jedoch vollkommen darüber im Klaren, dass der TCF niemals allein die Einhaltung der DSGVO gewährleisten sollte. Sirdata CMP setzt diesen Standard daher wie andere Standards um und bietet außerdem zusätzliche Maßnahmen und spezifische Regeln, die die Einhaltung lokaler und regionaler Vorschriften ermöglichen, die weit über die Anforderungen des TCF hinausgehen.

Das könnten wir betonen Das Fehlen einer Rechtsgrundlage für die Verarbeitung ist bei weitem nicht der einzige Verstoß gegen die DSGVO, auf den die APD hinweist, und dass es nicht ausreicht, eines der Probleme besser anzugehen, um konform zu sein.

Darauf wird Sirdata antworten, dass es nicht unbedingt konform ist, sondern dass eine neue Analyse durch eine Datenschutzbehörde erforderlich wäre, um die Gültigkeit festzustellen, die von Fall zu Fall beurteilt wird. Er kann insbesondere diese Passage aus der APD-Entscheidung zitieren:

Es sollte auch beachtet werden, dass CMPs einen großen Ermessensspielraum haben, wenn es um die Schnittstelle geht, die sie den Benutzern zur Verfügung stellen. Tatsächlich schreiben die TCF-Richtlinien den teilnehmenden CMPs lediglich Mindestschnittstellenanforderungen vor, was zur Folge hat, dass in der Praxis die Schnittstellen und die Einhaltung der Grundsätze der Fairness und Transparenz je nach CMP, mit dem Website- und Anwendungsherausgeber zusammenarbeiten, erheblich variieren können. (381)

Diese Passage der DPA-Analyse hob die gemeinsame Verantwortung der CMPs hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten hervor. Schauen wir uns stattdessen einige der von Sirdata vorgeschlagenen „zusätzlichen Maßnahmen“ und „spezifischen Regeln“ an.

Ziele zusammenfassen, um von der APD-Entscheidung nicht betroffen zu sein?

Für ODA ist die Einwilligung keine gültige Rechtsgrundlage:

Die Einwilligung ist keine gültige Grundlage für Verarbeitungsvorgänge im OpenRTB, wie sie durch das TCF ermöglicht werden. (428) Die Prozesskammer ist der Ansicht, dass die von den CMPs und Herausgebern in der aktuellen Fassung des TCF eingeholte Einwilligung nicht ausreichend frei, spezifisch, informiert und eindeutig ist. (432)

Die APD weist insbesondere darauf hin, dass die vorgeschlagenen Verarbeitungszwecke nicht ausreichend klar beschrieben und in bestimmten Fällen sogar irreführend sind:

Die Prozesskammer stellt beispielsweise fest, dass die Zwecke 8 („Inhaltsleistung messen“) und 9 („Anwenden von Marktforschung zur Generierung von Zielgruppeneinblicken“) kaum oder gar keine Hinweise auf den Umfang der Verarbeitung, die Art der verarbeiteten personenbezogenen Daten oder die Dauer der Speicherung der erhobenen personenbezogenen Daten bis zum Widerruf der Einwilligung des Nutzers geben. (433)

Darauf gibt Sirdata an, bereits reagiert zu haben, insbesondere durch die Gruppierung dieser beiden Zwecke unter der Überschrift „Zielgruppenmessung“:

Publikum

Sirdata gibt an auf seinem Blog :

Um eine Einwilligung nach Aufklärung zu ermöglichen, werden auf der zweiten Ebene die „Zwecke“ des TCF unter „Obergrenzen“-Zwecken gruppiert, die von der CNIL in ihrem definiert werden Plotter-Empfehlung vom 17. September 2021, wie etwa „gezielte Werbung“ oder „Zielgruppenmessung“.

Allerdings unterscheiden sich diese Werbezwecke in Wirklichkeit stark von der Messung der Zielgruppe und des Traffics auf einer Website, wie sie mit einem Tool wie z. B. durchgeführt werden kann Google Analytics, IM Internet oder Matomo. Dabei handelt es sich in der Regel um Verarbeitungen durch Panel- und Marktanalysetools wie z.B Nielsen oder andere Comscore. Durch diese Gruppierung sorgt Sirdata somit für Verwirrung bei bereits bestehenden Zwecken.

Unterschiedliche Zugriffsmöglichkeiten auf die Privatlebensseiten der Partner, um von der APD-Entscheidung nicht betroffen zu sein?

Ein weiterer Punkt, in dem Sirdata erklärt, „über das TCF hinauszugehen“ und sich damit der APD-Entscheidung zu entziehen, ist der Zugang zu Informationen über die spezifischen Verarbeitungsvorgänge jedes Adtech-Anbieters. Hier ist eine Passage aus der APD-Entscheidung:

Darüber hinaus bleiben die Informationen, die CMPs den Nutzern zur Verfügung stellen, zu allgemein, um die spezifischen Verarbeitungsvorgänge jedes Adtech-Anbieters widerzuspiegeln, wodurch die erforderliche Granularität der Einwilligung verhindert wird. (436)

Was macht Sirdata also? Hier ist, was er sagt:

Die verpflichtenden Informationen im Rahmen des TCF stellen faktisch eine unzureichende gemeinsame Basis dar: Sirdata und seine Kunden gehen weit darüber hinaus.

Zusätzlich zur Darstellung der obligatorischen Informationen im TCF bietet die Sirdata CMP-Benutzeroberfläche zusätzliche Einblicke in die verarbeiteten Daten und den Zweck dieser Verarbeitung und priorisiert die Informationen für ein einfacheres Verständnis und eine einfachere Benutzerkontrolle.

Ein Teil der Informationen ist auf der ersten Ebene verfügbar, ein anderer, beispielsweise die Liste der Empfänger, ist auf der zweiten Ebene leicht zugänglich und der Zugriff auf zusätzliche Informationen, beispielsweise die Bedingungen für die Ausübung der Rechte, ist über Links zu den Datenschutzseiten zugänglich.

In der Praxis können Sie beim Vergrößern eines Zwecks über das Einwilligungsbanner die Liste der Partner anzeigen. Wenn Sie auf einen der Partner klicken, erhalten Sie einen Link zu dessen „Privatleben“-Seite:

Privatsphäre

Der „Sirdata Cookieless“-Partner, der berechtigtes Interesse nutzt, um ein personalisiertes Werbeprofil zu erstellen.

Das lässt sich feststellen Dieser Link zur Seite „Privatleben“ ist bereits vom IAB TCF vorgeschrieben :

Bei der Verwendung eines sogenannten mehrschichtigen Ansatzes muss eine sekundäre Ebene bereitgestellt werden, die es dem Benutzer ermöglicht: die Liste der genannten Anbieter, ihre Zwecke, besonderen Zwecke, Merkmale, besonderen Merkmale und zugehörigen Rechtsgrundlagen einzusehen, und einen Link zur Datenschutzrichtlinie jedes Anbieters.

Sirdata gibt jedoch an, dass es über bestimmte CMPs hinausgeht, die nicht die Möglichkeit erfordern, Partner auf der Grundlage eines bestimmten Zwecks aufzulisten. Wir können den Unterschied mit sehen die L’Express-Website, das verwendet das CMP von Didomi :

kein Link

Ich kann auf „Berechtigtes Interesse“ nicht näher eingehen, ich kann nicht erkennen, dass Sirdata sich auf diese Rechtsgrundlage beruft, um „ein personalisiertes Werbeprofil zu erstellen“.

Aber die AussichtPartner" ermöglicht es Ihnen, die verschiedenen Partner aufzulisten und einen Link zur Privatlebensseite jedes Partners anzuzeigen:

Partner

Um mit Didomis CMP „ein personalisiertes Werbeprofil zu erstellen“ auf L’Express, beruft sich Sirdata über den renommierten Partner „Sirdata Cookieless“ auch auf berechtigtes Interesse.

Für Sirdata bedeutet die „bessere“ Priorisierung von Informationen in ihrem CMP nicht unbedingt, dass diese legal sind, sondern erfordert eine neue Entscheidung der APD, um ihre Rechtmäßigkeit zu beurteilen.

Die Anzahl der Partner begrenzen, um nicht von der APD-Entscheidung betroffen zu sein?

Sirdatas Hauptargument: Die APD-Entscheidung würde nicht für Sirdata gelten, da das Unternehmen seinen Kunden eine Auswahl an Partnern auferlegt und eine Grenze von 200 Partnern für seine Genossenschaft vorsieht (ausgenommen Genossenschaften, es gibt keine Begrenzung).

Als Teil der von ihr verwalteten Wahlgenossenschaft geht Sirdata sogar so weit, eine zu verhängen Obergrenze von 200 Partnern, sehr weit entfernt von den 2000 potenziellen Partnern des TCF und dem von Google zusätzlich verwalteten Consent-Netzwerk – „AC-Modus“ –.

Solche Sicherheitsvorkehrungen ermöglichen es, eine groß angelegte Verarbeitung der im Rahmen des TCF erfassten Benutzerpräferenzen im Rahmen des offenen RTB-Protokolls zu vermeiden: Laut DPA haben die Interessen der betroffenen Personen nur dann Vorrang vor den berechtigten Interessen der am TCF beteiligten Organisationen, wenn diese alle ausgewählt werden.

In der APD-Entscheidung wird jedoch kein berechtigtes Interesse der Organisationen erwähnt, das Vorrang vor den Interessen der betroffenen Personen haben würde, wenn diese nicht alle ausgewählt würden ... Sirdata erklärt dennoch, sich auf diesen Auszug zu stützen:

Obwohl die TCF-Richtlinien CMPs verbieten, bestimmten Adtech-Anbietern auf der Global Vendors List Vorzug zu gewähren, und dass sie daher grundsätzlich verpflichtet sind, den Nutzern alle beim TCF registrierten Anbieter vorzulegenSofern von den Herausgebern nicht anders angegeben, weisen einige Autoren darauf hin, dass eine Reihe von CMPs diese Anforderung nicht einhalten. Entweder, weil die CMPs den Verlagen vorab ausgewählte Anbieter auferlegen, oder weil sie ihnen die Möglichkeit verweigern, von der standardmäßig angebotenen vollständigen Liste der Adtech-Anbieter abzuweichen. (380)

Diese Passage soll erklären, warum CMPs als mitverantwortlich für die Verarbeitung angesehen werden müssen, und nicht, um auf ein Problem mit zu vielen Partnern hinzuweisen. Auch das IAB Europe verlangt nicht die Vorlage der vollständigen Liste, sondern lediglich diskriminieren Sie keinen bestimmten Partner :

Bei jeglicher Interaktion mit dem Framework darf ein CMP einen Anbieter nicht ausschließen, diskriminieren oder ihm eine Vorzugsbehandlung gewähren, außer auf ausdrückliche Anweisung des an dieser Interaktion beteiligten Herausgebers und in Übereinstimmung mit den Spezifikationen und Richtlinien.

Die Argumentation von Sirdata lautet wie folgt:

Gemäß TCF sind wir verpflichtet, standardmäßig alle Lieferanten anzugeben (dies ist keine „Pflicht“, wie das IAB Europe-Dokument zeigt).
Diese Darstellung ist laut ODA nicht gültig (Sirdata interpretiert das „Grundsätzliche“ der ODA als Verpflichtung).
Wir respektieren diese „Verpflichtung“ des TCF nicht, da wir von den Kunden verlangen, dass sie ihre Partner auswählen (maximal 200 unter Strafe, dass sie nicht Teil der Genossenschaft sein können, standardmäßig etwa dreißig).
Daher geht uns die APD-Entscheidung nichts an.

Aber Sirdata folgt den Empfehlungen des IAB Europe, weil es keinen einzelnen Partner diskriminiert. Wir können jedoch noch ein weiteres Argument im Zusammenhang mit der Anzahl der Partner in der APD-Entscheidung finden:

Insbesondere sind die Empfänger, für die eine Einwilligung eingeholt wird, so zahlreich, dass die Lektüre dieser Informationen unverhältnismäßig viel Zeit in Anspruch nehmen würde und die Einwilligung nur selten ausreichend informiert werden kann. (435)

Für Sirdata bedeutet die Auferlegung der Wahl der Partner (mit einer Obergrenze von 200 Partnern) nicht unbedingt, dass sein CMP rechtmäßig ist, aber eine weitere Bewertung durch eine Regulierungsbehörde wäre erforderlich.

Die Rechtswidrigkeit von IAB-Einwilligungsbannern betrifft nicht nur die Rechtsgrundlage der Verarbeitung

Mit diesem Artikel konnten wir nur an der Oberfläche der Probleme kratzen, die durch die IAB-Zustimmungsbanner entstehen. Sirdata weist darauf hin, dass eine „weitere“ Umsetzung als die „minimale“ Umsetzung des TCF es seinen Kunden ermöglichen würde, mit seinem CMP „wie gewohnt“ weiterzumachen. Allerdings ist die Illegalität von TCF systemisch und es ist rechtlich riskant, sich weiterhin darauf zu verlassen. Außerdem wird es nicht einfach sein, den TCF so weiterzuentwickeln, dass er legalisiert wird, da der Mechanismus des RTB selbst mit der DSGVO unvereinbar zu sein scheint, insbesondere im Hinblick auf die Sicherheit personenbezogener Daten.

Hier ist ein Zusammenfassung der DSGVO-Verstöße, in diesem Artikel vom ICCL (Irish Council for Civil Liberties, der Organisation, in der Johnny Ryan jetzt arbeitet) zur DPA-Entscheidung :

iccl

Könnten ein paar Anpassungen den TCF legalisieren?

Sie können tiefer in das Thema eintauchen, indem Sie diese Artikel lesen:

„Eine endlose Datenschutzverletzung, die immun gegen Audits ist? Können TCF und RTB mit der DSGVO in Einklang gebracht werden?“, von Johnny Ryan und Cristiana Santos.
„Unmögliche Fragen: Kann das Transparenz- und Einwilligungsrahmenwerk nach der belgischen DPA-Entscheidung jemals Echtzeitgebote zulassen?“, von Michael Veale, Midas Nouwens und Cristiana Santos.

Und auf der Suche dieser Vortrag von Robin Berjon, „Consent of the Governed“.

Auf dem Weg zu einem Internet ohne aufgezwungene Überwachung und ohne Einwilligungsbanner

Es liegt an den europäischen CNILs, sich auf diese wichtige Entscheidung des APD zu stützen, um die verschiedenen Interessengruppen (CMP, Verlage, Werbepartner) ordnungsgemäß zu sanktionieren und den massiven Verlust personenbezogener Daten über das RTB zu verhindern. Ein Verbot gezielter Werbung wäre wünschenswert, und nicht nur für Minderjährige, wie die DSA vorschlägt. Zumindest könnte die CNIL klarer über gezielte Werbung auf der Grundlage berechtigter Interessen entscheiden.

Außerdem sollte es diese Einwilligungsbanner nicht geben, Der Nutzer soll die Möglichkeit haben, dem Tracking durch die Werbebranche direkt über seine Browsereinstellungen zuzustimmen oder diese abzulehnen (Opt-In)., basierend auf dem Modell von was Apple bereits über sein ATT-System anbietet. Und als solche Initiativen wie die Globale Datenschutzkontrolle (GPC) oder die Erweiterte Datenschutzkontrolle (ADPC) verdienen es, gesetzlich entwickelt und unterstützt zu werden.