Versteigerung von Online-Werbung: EuGH macht sich für mehr Datenschutz für Verbraucher stark

Die einen halten personalisierte Online-Werbung für besonders verbraucherfreundlich – andere haben ein mulmiges Gefühl und fühlen sich von mächtige Konzernen ausspioniert. Der Europäische Gerichtshof (EuGH) hat nun mit einer Entscheidung dafür gesorgt, dass Bürger in diesem schwer überschaubaren Bereich in Zukunft mehr Datenschutz genießen.

TC-Strings für gezielte Werbemaßnahmen

Durch unser Suchverhalten im Internet und das Aufsuchen bestimmter Seiten legen wir Spuren, die sich nachverfolgen lassen. Solche Kennungen werden unter dem Schlüsselbegriff Transparency and Consent gespeichert. Diese auch TC-Strings genannten Codes bestehen aus vielen Buchstaben und Zahlen, die etwas über die Gewohnheiten einer bestimmten Person im World Wide Web aussagen. Dazu gehören Informationen über den Standort dieser Person, ihr Alter, besuchte Webseiten und dort getätigte Käufe. TC-Strings geben damit verhältnismäßig präzise Auskunft über einen Internet-User in seiner Eigenschaft als Konsument und mindestens ebenso wichtig: Sie erlauben dessen Identifizierung.

Das IAB versteigert Online-Werbung

Mit der TC-Kennung lässt sich Online-Werbung gezielt schalten. Das geschieht nach einer Echtzeit-Versteigerung. In der Europäischen Union laufen die Fäden für dieses Real Time Bidding beim Interactive Advertising Bureau (IAB) in Belgien zusammen. Dabei handelt es sich um einen Verband, zu dessen Mitgliedern digitale Werbe- und Marketingunternehmen gehören. Tausende IAB-Mitglieder können anonym in Echtzeit Gebote über Werbeplätze abgeben und diesen Platz ersteigen – inklusive der erforderlichen Nutzerdaten. Weil allerdings die belgische Datenschutzbehörde das Real Time Bidding des IAB als nicht DSGVO-konform ansieht, hatte sie ein Bußgeld in Höhe von 250000 Euro gegen die Organisation verhängt.

EuGH gibt Datenschützern Recht

Das IAB klagte gegen das Bußgeld. Begründung: TC-Strings sind codiert, schützten also die personenbezogenen Userdaten. Es kam zu einem Vorabentscheidungsersuchen des belgischen Gerichts, eine gängige Praxis in solchen Fällen. Damit lag der Fall dem EuGH vor. Dieser bestätigte die belgischen Datenschützer: Ein TC-String enthält „Informationen über einen identifizierbaren Nutzer“ und stellt „somit ein personenbezogenes Datum im Sinne der DSGVO“ dar.

„Gemeinsam Verantwortlicher“ im Sinne der DSGVO

Diese Vorabentscheidung von höchster Instanz bedeutet noch nicht das Ende des Rechtsstreits. Sie gibt aber den belgischen Gerichten sehr wohl eine Handhabe, ein Urteil in diesem Sinne zu fällen. Dabei mag es nur um wenige Details gehen, die für die meisten Verbraucher hinter dichten technologischen Vorhängen verborgen ablaufen. Ein Punktsieg für den Datenschutz und wohl die meisten User ist die Entscheidung aus Brüssel allemal. Denn nicht zuletzt stellt sie klar, dass das IAB gemäß DSGVO als „gemeinsam Verantwortlicher“ anzusehen ist. Dies bezieht sich insbesondere auf die Speicherung der Einwilligungspräferenzen von Nutzern, was in Zukunft aller Voraussicht nach sensibler behandelt werden dürfte.