Am Ursprung dieses Artikels
Anfang Februar haben die europäischen Datenschutzbehörden unter Führung der APD (der belgischen CNIL) entschieden, dass die IAB-Einwilligungsbanner rechtswidrig sind. Zur Erinnerung: das IAB (International Advertising Bureau) ist die Adtech-Lobby, und 80 % der europäischen Websites verwenden das von IAB Europe vorgeschlagene Protokoll (das „Transparency & Consent Framework“ oder TCF), damit diese berühmten Einwilligungsbanner funktionieren.
Über diese Einwilligungsbanner und ihre vorgetäuschte Legalität habe ich bereits geschrieben:
- „Die Einholung von Einwilligungen im Internet: eine allgemeine Lüge“.
- „Le Figaro, Symbol für invasives Werbe-Tracking auf französischen Medienseiten“.
- „Der große Ausverkauf Ihrer personenbezogenen Daten auf Le Bon Coin“.
- „Wie Publisher sich über die CNIL lustig machen“.
Sogar die Direktorin der englischen CNIL scheint sie nicht mehr zu unterstützen:
„Ich höre oft Leute sagen, dass sie es leid sind, sich mit so vielen Cookie-Pop-ups auseinandersetzen zu müssen. Diese Müdigkeit führt dazu, dass Menschen mehr persönliche Daten preisgeben, als ihnen lieb ist.
„Der Cookie-Mechanismus ist auch alles andere als ideal für Unternehmen und andere Organisationen, die Websites betreiben, da er kostspielig ist und zu einer schlechten Benutzererfahrung führen kann. Während ich von Unternehmen erwarte, dass sie die geltenden Gesetze einhalten, fördert mein Büro die internationale Zusammenarbeit, um praktische Lösungen in diesem Bereich zu finden.
Dabei sind diese „Cookie-Banner“ tatsächlich das Ergebnis intensiver Lobbyarbeit der Adtech-Branche, um die Schaffung eines „Opt-In“-Kontrollmechanismus auf Browserebene zu verhindern. Die Einwilligungsmüdigkeit war von der Adtech-Branche vorhergesehen und gewollt. Und die englische CNIL ist Mitschuldige an diesem Fiasko, wie Alexander Hanff im Artikel „The truth behind cookie banners“ schildert.
Bedeutet die Entscheidung der APD nun das Ende der verhassten Banner? Nicht unbedingt, denn IAB Europe hat gegen die Entscheidung der APD Berufung eingelegt. Zur Erinnerung, hier ist ein Schaubild, das die verschiedenen Abflüsse personenbezogener Daten darstellt:
![]()
Über Johnny Ryan aus seiner Zeit bei Brave. Das RTB (und das IAB TCF) mit der DSGVO vereinbar zu machen – ein unmögliches Unterfangen?
Außerdem habe ich seit letztem Sommer eine lange E-Mail-Korrespondenz mit Benoit Oberlé, CEO und Mitbegründer von Sirdata, Schatzmeister des IAB Frankreich und Vizepräsident des Lenkungsausschusses des „Transparency & Consent Framework“. Sirdata ist aus mehreren Gründen ein interessantes Unternehmen: Es bietet Publishern eine CMP (Consent Management Platform) in einer kostenlosen oder kostenpflichtigen Version an. Es ist außerdem ein Anbieter von kontextbezogenen und verhaltensbezogenen Daten.
Publisher, die der Weitergabe der personenbezogenen Daten der Nutzer zustimmen, zahlen die CMP Sirdata im Übrigen nicht:
![]()
Eine CMP, die „durch Daten finanziert“ werden kann.
Auch wenn wir Meinungsverschiedenheiten haben, hat sich Benoit stets die Zeit genommen, meine Fragen zu beantworten und die Entscheidungen von Sirdata zu erläutern, und dafür danke ich ihm herzlich. Aus diesen Gesprächen heraus wollte ich einen Artikel schreiben, der die Entscheidungen einer CMP veranschaulicht, die das IAB-Protokoll verwendet – und die CMP Sirdata war dafür das perfekte Beispiel.
Sirdata auf Psychologies.com
Um die CMP Sirdata zu untersuchen, rufen wir mit dem Browser Chrome die Website Psychologies.com auf. Wir werden von einem auf den ersten Blick recht gewöhnlichen Einwilligungsbanner empfangen:
![]()
Auf welchen Button wird der eilige Nutzer Ihrer Meinung nach klicken?
Ihnen wird die Hervorhebung der Option „Alles akzeptieren und fortfahren“ auffallen, im Gegensatz zu den Optionen „Ihre Auswahl festlegen“ und vor allem „Ohne Zustimmung fortfahren“. Es handelt sich um ein „Dark Pattern“, das von zahlreichen französischen Websites übernommen wurde und den Segen der CNIL erhalten hat.
Wenn Sie sich nicht die Zeit nehmen, den Text des Einwilligungsbanners zu lesen, könnten Ihnen dennoch zwei wichtige Informationen entgehen:
- Einige Adtech-Unternehmen verlassen sich nicht auf Ihre Einwilligung, sondern auf ein berechtigtes Interesse an der Verarbeitung Ihrer personenbezogenen Daten.
- Ihre Auswahl gilt nicht nur für Psychologies.com, sondern auch für rund 4000 andere Websites.
Berechtigtes Interesse als Rechtsgrundlage für die Verarbeitung
Hier ist ein Auszug aus dem von Sirdata vorgeschlagenen Einwilligungsbanner:
Über den Einstellungsbildschirm können Sie eine detailliertere Auswahl treffen oder der Verarbeitung aufgrund berechtigter Interessen widersprechen.
Übersetzung: Wenn Sie einfach auf „Ohne Zustimmung fortfahren“ klicken, berufen sich einige Adtech-Unternehmen weiterhin auf das berechtigte Interesse, um Ihre personenbezogenen Daten zu verarbeiten. Um dieser Verarbeitung aufgrund berechtigter Interessen zu widersprechen, müssen Sie zum Einstellungsbildschirm gehen (Option „Ihre Auswahl festlegen“).
Kehren Sie also zum Einwilligungsbanner zurück, um Ihre Auswahl zu überprüfen, nachdem Sie auf „Ohne Zustimmung fortfahren“ geklickt haben. Dazu müssen Sie bis zur Fußzeile der Website Psychologies.com scrollen und nicht auf „Persönliche Daten und Cookies“ klicken, sondern auf „Einwilligung“ (der Link wirkt nicht anklickbar, ist es aber):

Der versteckte Link – obwohl „es genauso einfach sein muss, seine Einwilligung zu widerrufen, wie sie zu erteilen“.
Beachten Sie das Erscheinen der Schaltfläche „Alles ablehnen und fortfahren“:
![]()
Um anschließend die Wirkung Ihrer vorherigen Auswahl („Ohne Zustimmung fortfahren“) zu überprüfen, klicken Sie auf „Ihre Auswahl festlegen“. Sie werden feststellen, dass die verschiedenen werblichen Verarbeitungen nicht deaktiviert sind, als hätten Sie noch keine Wahl getroffen:
![]()
„Ohne Zustimmung fortfahren“ bedeutet also nicht „ablehnen“ – warum?
Befolgen Sie dann diese Schritte:
- Klappen Sie die Option „Personalisierte Werbung“ auf.
- Klappen Sie die Option „Ein personalisiertes Werbeprofil erstellen“ auf.
- Beachten Sie, dass die Option „Für diese Aktivität berufen sich die folgenden Partner auf ihr berechtigtes Interesse“ bereits vorausgewählt ist. Klappen Sie die Option auf.
Es erscheint der Partner „Sirdata Cookieless“:
![]()
„Sirdata Cookieless“ erscheint als „nicht abgelehnt“. Sie müssen also dem berechtigten Interesse widersprechen, um diese Verarbeitung abzulehnen.
Diese über die CMP Sirdata zugängliche Option ermöglicht es dem Verhaltensdatenanbieter Sirdata, Werbeprofile zu erstellen, selbst wenn der Nutzer keine Einwilligung erteilt hat.
Wenn Sie zudem die Option „Für diese Aktivität bitten die folgenden Partner um Ihre Einwilligung“ aufklappen, würden Sie den Partner „Sirdata“ mit dem Vermerk „nicht akzeptiert“ sehen:
![]()
„Sirdata“ erscheint als „nicht akzeptiert“. Sirdata kann sich bei der Erstellung eines personalisierten Werbeprofils nicht auf Ihre Einwilligung verlassen.
Sirdata fährt bei seinen werblichen Verarbeitungen (darunter die Erstellung eines personalisierten Werbeprofils) somit zweigleisig:
- Der Partner „Sirdata“ stützt sich auf Ihre Einwilligung, wenn Sie auf „Alles akzeptieren und fortfahren“ klicken.
- Der Partner „Sirdata Cookieless“ stützt sich auf sein berechtigtes Interesse, wenn Sie auf „Ohne Zustimmung fortfahren“ klicken.
Mit Einwilligung verwendet Sirdata Cookies und kann Kennungen und Zielgruppensegmente mit Werbepartnern teilen. Ohne Einwilligung und auf Grundlage eines berechtigten Interesses schaltet sich Sirdata der Verkaufsplattform (Ad-Server oder SSP) vor, damit diese gezielte Werbekampagnen mit Sirdata-Daten verkaufen kann, wenn der Nutzer dem oder den passenden Zielgruppensegment(en) angehört.
Mit seinem Angebot „Cookieless“ erstellt Sirdata weiterhin ein Profil von Ihnen und nutzt es für personalisierte Werbung, die Weitergabe von Informationen an Dritte ist jedoch stärker begrenzt. Das Sirdata-Angebot wird hier zusammengefasst:
![]()
Wenn Sie auf „Alles ablehnen“ klicken, bietet Sirdata kontextbezogene Werbung an. Insgesamt hält Sirdata sein Angebot für „die Privatsphäre achtend“.
Um die Erstellung eines personalisierten Sirdata-Werbeprofils (und ganz allgemein die verschiedenen werblichen Verarbeitungen der Adtech-Unternehmen) abzulehnen, müssen Sie daher bei Ihrem ersten Besuch Folgendes tun:
- Klicken Sie im Einwilligungsbanner auf „Ihre Auswahl festlegen“.
- Klicken Sie dann auf „Alles ablehnen“.
Beachten Sie, dass eine Option „Alles ablehnen und fortfahren“ auf der ersten Ebene verfügbar ist, aber nur, wenn Sie Ihre Entscheidungen noch einmal überdenken möchten (sofern Sie die berühmte Option „Datenschutz“ in der Fußzeile von Psychologies.com finden):
![]()
Eine Option, die wir gerne auf dem ursprünglichen Einwilligungsbanner gesehen hätten.
Nur die „Personalisierte Werbung“ abzulehnen, ist nicht so einfach: Ein einfacher Klick auf die Option gilt als Einwilligung in die „Personalisierte Werbung“, aber auch in die „Standardwerbung“:
![]()
Ein schönes „Dark Pattern“, aufgespürt von @fourmeux; Sie müssen nun beide Optionen abwählen.
Gezielte Werbung ohne Einwilligung auf Basis der IP-Adresse, eine Möglichkeit, die ePrivacy-Richtlinie zu umgehen?
Sirdata, der Anbieter von Verhaltensdaten, hält sich für konform mit den europäischen Vorschriften, ePrivacy (Cookie-Richtlinie) und DSGVO. Mit welcher Argumentation?
Erstens ist Sirdata der Ansicht, dass die ePrivacy-Richtlinie nicht auf sein Angebot „Cookieless“ (oder „Consentless“) anwendbar ist. Seine Begründung: ePrivacy gilt für die Speicherung von Informationen auf dem Endgerät des Nutzers oder für den Zugriff auf dort bereits gespeicherte Informationen. Doch um Nutzer ohne Einwilligung zu identifizieren, stützt sich Sirdata ausschließlich auf die IP-Adresse, und diese wird nicht auf dem Endgerät des Nutzers gespeichert.
![]()
Sirdata weist nicht ausdrücklich darauf hin, dass sein „Cookieless“-Angebot die IP-Adresse des Nutzers nutzt. Die zusätzlichen Verarbeitungen der IP-Adresse beschreibt es jedoch im Abschnitt „Glossar“ seiner Seite „Richtlinie zum Schutz personenbezogener Daten und der Privatsphäre“.
Sirdata vertritt die Auffassung, dass es ein „passives“ und kein „aktives“ Fingerprinting anwende. „Passives“ Fingerprinting bestünde lediglich aus der IP-Adresse und erfordere keinen Zugriff auf das Endgerät. „Aktives“ Fingerprinting bestünde aus Merkmalen des Endgeräts wie dem User-Agent, den installierten Schriftarten oder der Bildschirmgröße.
![]()
Targeting über die IP-Adresse, das neueste Werkzeug der Werbetreibenden, um Sie ohne Einwilligung anzusprechen?
Diese Unterscheidung zwischen „passivem“ Fingerprinting (für das ePrivacy nicht gelten würde) und „aktivem“ Fingerprinting (für das ePrivacy gelten würde) ist fragwürdig. In Artikel 7.2 der Stellungnahme 9/2014 der Artikel-29-Arbeitsgruppe zum Datenschutz zur Anwendung der Richtlinie 2002/58/EG auf die Erfassung digitaler Fingerabdrücke, wird die Notwendigkeit einer Einwilligung für gezielte Werbung klar dargelegt:
Die Erfassung digitaler Fingerabdrücke zu gezielten Werbezwecken erfordert daher eine Einwilligung des Nutzers.
Sirdata bleibt bei seiner Position: kein Zugriff auf das Endgerät, daher gilt ePrivacy nicht. Sein Angebot falle nicht unter die Definition der Stellungnahme 9/2014, die im Übrigen keine gesetzliche Verpflichtung darstellt.
Was nun die DSGVO betrifft: Da Sirdata die IP-Adresse des Nutzers verarbeitet und diese ein personenbezogenes Datum ist, muss es für jede seiner werblichen Verarbeitungen eine Rechtsgrundlage haben. Hat der Nutzer keine Einwilligung erteilt, stützt es sich auf das berechtigte Interesse.
Beachten Sie, dass Sirdata von dieser Argumentation überzeugt ist und sie in seinen Werbevideos wiederverwendet, etwa beim „Retargeting ohne Einwilligung“:
![]()
Ohne Einwilligung wird die Party für die Adtech-Branche umso wilder!
Sirdata bietet auch ein Produkt an, um Datenübermittlungen an Google Analytics in den USA konform zu machen, den „Analytics Helper“. Zur Erinnerung: Die österreichische und die französische CNIL haben Datenübermittlungen an Google Analytics in den USA für rechtswidrig erklärt.
Sirdata trifft Vorkehrungen, um zu verhindern, dass US-Geheimdienste einen Nutzer über eine Anfrage an Google identifizieren können (Anonymisierung der IP vor der Übermittlung an Google, Pseudonymisierung der Client ID auf der Ebene des Sirdata-Proxys). Interessant im Kontext dieses Artikels ist, dass das „rechtliche Tracking-Modell“ für diesen „Analytics Helper“ dem Modell der CMP Sirdata ähnelt:
- Bei Einwilligung erfolgt das übliche Google Analytics-Tracking über Cookies.
- Liegt keine Einwilligung vor, erfolgt das Google-Analytics-Tracking über einen von Sirdata erzeugten Fingerprint, der „ausschließlich“ auf Ihrer IP-Adresse beruht, mit dem berechtigten Interesse als Rechtsgrundlage.
- Bei fehlender Einwilligung und Widerspruch zum berechtigten Interesse erfolgt kein Google-Analytics-Tracking.
Der Sirdata Helper ist ein geniales Produkt, aber wird es ausreichen, um Datenübertragungen an Google Analytics in den USA konform zu gestalten? Die Frage bleibt offen, da ich sie in diesem Thread näher erläutere.
Berechtigtes Interesse an gezielter Werbung
Für Sirdata als Anbieter von Verhaltensdaten erscheint es schwierig, sich für gezielte Werbung auf das berechtigte Interesse zu stützen. Und das insbesondere mit Blick auf das Abwägungskriterium: Es geht um die Frage, ob die von den Adtech-Anbietern verfolgten Interessen die Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen.
Die APD erwähnt insbesondere die Stellungnahme 03/2013 der Artikel-29-Arbeitsgruppe, des früheren Namens des EDPB („European Data Protection Board“), vor der DSGVO:
Darüber hinaus weist der EDPB darauf hin, dass das berechtigte Interesse im Zusammenhang mit Direktmarketing, das verhaltensbezogene Werbung umsetzt, keine ausreichende Rechtsgrundlage darstellt [...] (460)
Artikel-29-Arbeitsgruppe – Stellungnahme 03/2013 zur Zweckbindung (WP 203), 2. April 2013 : „Eine Einwilligung sollte beispielsweise für Tracking und Profiling zum Zwecke des Direktmarketings, der verhaltensbezogenen Werbung, der Datenvermittlung, der standortbezogenen Werbung oder der Tracking-basierten digitalen Marktforschung erforderlich sein.“
Für weitere Einzelheiten können Sie auch die Beschwerde von La Quadrature du Net gegen Amazon wegen Verstoßes gegen die DSGVO lesen, und zwar wegen des Fehlens einer Rechtsgrundlage für gezielte Werbung.
Nach Einwilligung und Vertragsabschluss prüft La Quadrature du Net das berechtigte Interesse als mögliche Rechtsgrundlage (Punkte 36 bis 50) sorgfältig. Für den Verein zur Verteidigung und Förderung der Rechte und Freiheiten im Internet kann diese Rechtsgrundlage für gezielte Werbung nicht funktionieren (62). Die luxemburgische CNIL bestätigte ihre Analyse, mit einer Rekordstrafe von 746 Millionen Euro gegen Amazon.
![]()
La Quadrature du Net gegen die GAFAM, leider ist die CNIL nicht auffindbar.
Einige Auszüge aus der Beschwerde von La Quadrature:
Diesen Weg beschreitet die G29 in Anhang II ihrer Stellungnahme 03/2013 zu Big Data und Open Data: „Eine freie, spezifische, informierte und unzweideutige vorherige Einwilligung sollte fast immer erforderlich sein“, sobald eine „Organisation gezielt die persönlichen Vorlieben, das Verhalten und die Einstellungen einzelner Kunden analysieren oder vorhersagen möchte, die dann als Grundlage für ,Maßnahmen oder Entscheidungen‘ gegenüber diesen Kunden dienen“. (47)
Als Beispiel für solche „Maßnahmen und Entscheidungen“ nennt sie die Ausspielung „personalisierter Rabatte, Sonderangebote und gezielter Werbung auf Grundlage des Kundenprofils“. (49)
Die G29 kommt eindeutig zu dem Schluss, dass die „Einwilligung vor allem erforderlich sein sollte, zum Beispiel für die Nachverfolgung und Profilbildung zu Zwecken der Direktakquise und der verhaltensbezogenen Werbung, die Informationsvermittlung, standortbasierte Werbung oder die auf Nachverfolgung beruhende digitale Marktforschung“. (50)
Gemeinsam mit Benoit stellten wir daher im vergangenen Sommer (2021) der CNIL die Frage nach dem berechtigten Interesse für gezielte Werbung, ohne darauf eine Antwort zu erhalten.
Ihre Auswahl gilt für eine Kooperative aus 4000 Websites
Hier ist ein weiterer Auszug aus dem von Sirdata vorgeschlagenen Einwilligungsbanner (zumindest unter Chrome, denn unter Safari ist die Website-Kooperative wegen der Blockierung von Drittanbieter-Cookies deaktiviert):
Ihre Entscheidungen gelten für diese Websites und in deren E-Mails für 6 Monate, und wir werden Sie erst morgen erneut fragen.
Wenn Sie auf „Websites“ klicken, landen Sie auf einer neuen Informationsseite, direkt auf der Sirdata-Website. Sie müssen dort noch unten auf der Seite auf „Hier klicken“ klicken, um die Websites der Sirdata-Kooperative zu entdecken:
![]()
Anschließend finden Sie sämtliche Websites der Sirdata-Kooperative, auf 130 paginierten Seiten, ohne Exportmöglichkeit:
![]()
Diese Websites haben sich für die Teilnahme an der Sirdata-Einwilligungskooperative entschieden (unabhängig davon, ob sie die CMP Sirdata in einer kostenlosen oder kostenpflichtigen Version nutzen).
Ist das also legal? Laut Sirdata ja, weil der Nutzer auf der ersten Ebene informiert wird. Es steht ihm frei, tiefer einzusteigen und die vollständige Liste der Websites einzusehen. Sirdata stützt sich zudem auf diese CNIL-FAQ:
![]()
Dennoch ist es wahrscheinlich, dass die CNIL diesen Fall nicht vorhergesehen hat, da sich Frage 21 vermutlich auf die Verantwortlichen der vom Nutzer besuchten Website (die Werbepartner) bezieht und nicht auf andere Websites, die der Nutzer gar nicht besucht. Sirdata argumentiert, diese Wahl sei für den Nutzer von Vorteil, da sie die Ermüdung durch Einwilligungsbanner verringere. Vorausgesetzt allerdings, dass diese Wahl eine informierte ist.
Gemeinsam mit Benoit haben wir im vergangenen Sommer (2021) auch die Frage nach der Rechtmäßigkeit dieser „gruppierten Auswahl“ an die CNIL gerichtet, ohne eine Antwort zu erhalten.
Die Sirdata-Kooperative, eine CMP unter Zwängen
Die Teilnahme einer Website an der Sirdata-Kooperative erlegt den Einwilligungsbannern bestimmte Einschränkungen auf:
- Für Nutzer, die sich auf französischem Hoheitsgebiet befinden, schreibt Sirdata das berühmte „Dark Pattern“ vor, das von der CNIL gebilligt wurde.
- Wenn der Nutzer seine Auswahl noch einmal überdenkt, steht eine Schaltfläche „Alles ablehnen und fortfahren“ zur Verfügung.
- Die Option „Alles ablehnen“ ist hingegen auf dem ursprünglichen Einwilligungsbanner nicht verfügbar.
- Die Zahl der Werbepartner darf 200 nicht überschreiten (es gibt mehr als 1000 Werbeunternehmen im TCF, ohne die Werbepartner mitzurechnen, die nicht Teil des TCF sind und die Google über seinen „zusätzlichen Einwilligungsmodus“ einbindet).
Sofern er nicht Safari nutzt, werden die Entscheidungen des Nutzers also auf sämtliche Websites der Sirdata-Kooperative angewendet. Zu beachten ist, dass Sirdata – anders als einige seiner Wettbewerber – auf der ersten Ebene systematisch einen „Ablehnungs“-Mechanismus anzeigt („Ohne Zustimmung fortfahren“ oder „Alles ablehnen“), wenn der Nutzer in Frankreich ansässig ist. Dies gilt für alle Sirdata-Kunden, ob zahlend oder nicht und ob der Kooperative angehörend oder nicht.
Sirdata vermeidet auf diese Weise „nicht konforme“ Schnittstellen ohne Schaltfläche „Ablehnen“ oder „Ohne Zustimmung fortfahren“.
Sirdata und die Rechtswidrigkeit des TCF
In seiner Kommunikation weist Sirdata darauf hin, dass die seiner Kooperative angehörenden Publisher von der APD-Entscheidung nicht betroffen seien. Für Publisher, die für die CMP von Sirdata bezahlen, würde es genügen, nicht sämtliche Werbepartner zu aktivieren, um von der Entscheidung nicht betroffen zu sein. Hier ist die Botschaft von Sirdata an seine Kunden:
Generell sind Publisher, die unseren Empfehlungen gefolgt sind, durch dieses Urteil nicht gefährdet und müssen keine Daten löschen, ebenso wenig wie ihre Partner, und sie sind auch nicht verpflichtet, erneut zu „poppen“, um eine neue Einwilligung einzuholen.
Greifen wir einige Elemente der Entscheidung der APD heraus. Zunächst geht die APD davon aus, dass die Zeichenfolge, die die Speicherung und Übertragung der Nutzerpräferenzen ermöglicht (die TC String), ein personenbezogenes Datum ist. Sie ist nämlich mit der IP-Adresse des Nutzers verknüpft (auf die die CMPs Zugriff haben), und diese Zeichenfolge bestimmt auch die künftigen werblichen Verarbeitungen mehrerer Adtech-Unternehmen. Sirdata erklärt es sehr gut:
Die APD bestätigt somit, dass die Wahl – die
TC String– für sich genommen Personen oder Geräte nicht unmittelbar identifiziert, dass aber, sobald die Wahl auf dem Gerät des Nutzers gespeichert ist, eine CMP die Möglichkeit hat, dieserTC Stringeine eindeutige Kennung zuzuweisen, nämlich die IP-Adresse des Geräts, auf dem sie gespeichert ist. Die Möglichkeit, dieTC Stringund die IP-Adresse zu kombinieren, bedeutet ihrer Ansicht nach, dass es sich um Informationen über einen identifizierbaren Nutzer handelt.
Die APD unterscheidet somit zwei Arten von Verarbeitungen:
- Die Erfassung und Weitergabe des Einwilligungssignals und der Einwände gegen das berechtigte Interesse der Nutzer (über die Zeichenfolge
TC String). - Die Erfassung, Weitergabe und Verarbeitung personenbezogener Daten durch die Adtech-Unternehmen.
Im Hinblick auf die Rechtmäßigkeit und Fairness der Verarbeitung unterscheidet die Prozesskammer zwischen zwei Verarbeitungstätigkeiten: zum einen die eigentliche Eingabe des Einwilligungssignals, der Widersprüche und der Nutzerpräferenzen in die
TC Stringdurch die CMPs (a) und andererseits die Erhebung und Verbreitung personenbezogener Daten der Nutzer durch die teilnehmenden Organisationen (b). (403)
Ein weiterer wichtiger Punkt: Die APD ist der Ansicht, dass die CMPs für beide Arten von Verarbeitungen tatsächlich Mitverantwortliche sind:
Dies führt die Prozesskammer zu dem Schluss, dass die Beklagte zusammen mit den beteiligten CMPs, Publishern und Adtech-Anbietern als gemeinsam Verantwortliche hinsichtlich der Erhebung und Verbreitung der Präferenzen, Einwände und Einwilligungen der Nutzer sowie der weiteren Verarbeitung ihrer personenbezogenen Daten anzusehen ist. (402)
Welche Rechtsgrundlage für die Erfassung und Verbreitung des TC-String-Signals gibt es bei der CMP Sirdata?
Beginnen wir mit einer Klarstellung von Benoit:
Wenn Sirdata als CMP fungiert, erfasst es die
TC Stringund sendet sie an seine Datenbank zur Speicherung des Einwilligungsnachweises und seiner Gültigkeit. Es sendet sie an niemanden sonst, und nur diese Verarbeitungen stützen sich auf die gesetzliche Verpflichtung. Die CMP übermittelt die String nicht an Dritt-Vendors: Die Vendors können über eine auf der Seite bereitgestellte API aktiv darauf zugreifen, die CMP „verbreitet“ sie aber nicht.
Auch wenn es keine „Verbreitung“ der TC String durch die CMP Sirdata gibt, ermöglicht das Offenlegen der Zeichenfolge über eine API tatsächlich deren spätere Verbreitung.
Für die erste Art der Verarbeitung (Erfassung und Offenlegung des Einwilligungssignals und der Einwände gegen das berechtigte Interesse der Nutzer) hat Sirdata als CMP nicht angegeben, auf welche Rechtsgrundlage es sich stützen möchte. Tatsächlich ging IAB Europe vor der APD-Entscheidung davon aus, dass die TC String kein personenbezogenes Datum sei. Nun haben wir aber gesehen, dass die TC String sehr wohl ein personenbezogenes Datum ist und dass die CMPs zudem Mitverantwortliche der Verarbeitung sind.
Die CMPs müssen also eine Rechtsgrundlage für diese Verarbeitung personenbezogener Daten angeben. Betrachten wir Sirdata:
- Die Einwilligung ist derzeit keine gültige Rechtsgrundlage. Sirdata speichert die Einwilligungszeichenfolge
TC Stringbereits beim Anzeigen des Einwilligungsbanners im lokalen Speicher und fragt den Nutzer somit gar nicht erst nach seiner Meinung. Nach einer Verweigerung der Einwilligung wird dieTC Stringim Cookieeuconsent-v2gespeichert. - Ein berechtigtes Interesse ist laut APD derzeit ebenfalls nicht zulässig, da der Nutzer keine Möglichkeit hat, der Speicherung dieses personenbezogenen Datums zu widersprechen: „In diesem Zusammenhang hält es die Prozesskammer für bemerkenswert, dass den Nutzern keine Möglichkeit geboten wird, der Verarbeitung ihrer Präferenzen im Rahmen des TCF vollständig zu widersprechen. Wie auch immer ihre Wahl ausfällt, die CMP erzeugt eine
TC String, bevor sie sie über ein auf dem Gerät der betroffenen Person platziertes Cookieeuconsent-v2mit der eindeutigen User-ID des Nutzers verknüpft.“ (421). Die APD stellt fest, dass diese Verarbeitung angesichts der beträchtlichen Zahl von Adtech-Unternehmen, die diese Daten erheben, und der geringen Kontrolle, die dem Nutzer eingeräumt wird, den „Abwägungstest“ nicht bestehen würde (423).
![]()
Vor jeder Interaktion mit dem Sirdata-Einwilligungsbanner wird die TC String unter dem Schlüssel sddan:cmp im lokalen Speicher meines Browsers abgelegt.
Der APD-Entscheidung zufolge scheint die CMP Sirdata keine Rechtsgrundlage für die Erfassung und Offenlegung des Einwilligungssignals und der Einwände gegen das berechtigte Interesse der Nutzer zu haben. Doch nach meinen Gesprächen mit Benoit verstehe ich, dass Sirdata sich für die Erfassung und Offenlegung des Signals TC String tatsächlich auf eine andere Rechtsgrundlage stützt: die gesetzliche Verpflichtung.
Gesetzliche Verpflichtung als Rechtsgrundlage für die Verarbeitung?
Der Hinweis, dass sich die CMP Sirdata auf die gesetzliche Verpflichtung als Verarbeitungsgrundlage für die Erfassung und Offenlegung des Signals TC String stützt, fehlt im Sirdata-Einwilligungsbanner und wird auch in dem Sirdata-Artikel, der auf die APD-Entscheidung eingeht, nicht erwähnt. Er findet sich jedoch in den Nutzungsbedingungen der CMP Sirdata:
9.5. Die
TC stringund unbedingt erforderliche Daten, etwa das Datum der letzten Eingabeaufforderung zur Begrenzung weiterer Eingabeaufforderungen, werden auf dem Gerät des Nutzers im lokalen Speicher in einem Cookie namenseuconsent-v2gespeichert, das als Erstanbieter-Cookie oder als mit dem Domainnamenconsentframework.comverknüpftes Drittanbieter-Cookie verwendet werden kann. Die Parteien vereinbaren, dass gemäß dem CNIL-Beschluss Nr. 2020-092 vom 17. September 2020, mit dem eine Empfehlung verabschiedet wurde, die praktische Modalitäten der Einhaltung im Falle des Rückgriffs auf „Cookies und andere Tracer“ vorschlägt, die Speicherung dieser Daten im Endgerät oder der Zugriff darauf keiner vorherigen Einwilligung bedarf, und dass, sofern dieTC Stringund die erforderlichen Daten als personenbezogene Daten gelten, die Verarbeitung durch Sirdata als Auftragsverarbeiter, der im Namen von Ihnen, dem Verantwortlichen, handelt, auf Grundlage der gesetzlichen Verpflichtung nach DSGVO erfolgt.
Laut APD ist Sirdata kein einfacher Auftragsverarbeiter, sondern sehr wohl Mitverantwortlicher der Verarbeitung. Das ändert allerdings nichts an der von Sirdata angeführten Rechtsgrundlage, der gesetzlichen Verpflichtung. Sirdatas Argumentation für die Berufung auf die gesetzliche Verpflichtung lautet wie folgt: Der Publisher und seine Partner sind rechtlich verpflichtet, eine Einwilligung nachzuweisen, sich an eine Verweigerung bzw. einen Widerruf der Einwilligung zu erinnern und den Widerspruch zu speichern, um den Nutzer nicht zu „belästigen“.
Schade, dass IAB Europe und die APD diese Rechtsgrundlage für die Verarbeitung nicht erörtert haben; uns fehlt eine juristische Entscheidung, um zu wissen, ob diese Rechtsgrundlage wirklich trägt.
Sirdata beruft sich auf den Beschluss Nr. 2020-092 vom 17. September 2020 der CNIL (praktische Modalitäten zur Einhaltung der Vorschriften im Falle der Verwendung von „Cookies und anderen Tracern“), doch dieser schlägt lediglich eine Benennung des Trackers vor, mit dem die Auswahl der Nutzer gespeichert werden kann:
- Schließlich empfiehlt die Kommission den Fachleuten, den Tracker, mit dem die Wahl der Nutzer gespeichert wird,
eu-consentzu benennen und dabei jedem Zweck einen booleschen Wert „wahr“ oder „falsch“ zuzuordnen, der die getroffenen Entscheidungen festhält.
Beschluss Nr. 2020-091 vom 17. September 2020 („Richtlinien zu Cookies und anderen Tracern“) betrifft die Befreiung von der Einwilligung in Bezug auf die von den Nutzern zum Ausdruck gebrachte Wahl bei der Hinterlegung von Tracern:
- Angesichts der ihr bekannt gewordenen Praktiken ist die Kommission der Auffassung, dass insbesondere die folgenden Tracer als ausgenommen angesehen werden können:
- die Tracer, die die von den Nutzern beim Setzen von Tracern geäußerte Wahl speichern
- [...]
Doch die CNIL spricht für die DSGVO nicht von einer Rechtsgrundlage für die Verarbeitung, geschweige denn von irgendeiner gesetzlichen Verpflichtung als Rechtsgrundlage. Eine aufmerksame Lektüre des CNIL-Textes zur gesetzlichen Verpflichtung wirft weitere Fragen auf:
- Die gesetzliche Verpflichtung muss im nationalen oder europäischen Rechtsrahmen vorgesehen sein. Auf welchen Gesetzestext kann sich Sirdata dann berufen?
- Der Verantwortliche, der sich auf diese Rechtsgrundlage berufen möchte, darf nicht die Wahl haben, ob er der Verpflichtung (Notwendigkeit) nachkommen möchte oder nicht.
- Insbesondere muss die Organisation sicherstellen, dass es keine weniger einschneidenden Mittel zur Erreichung dieses Ziels gibt.
Dabei könnte Sirdata den Aufrufen an seine CMP durchaus einen Parameter opt-in hinzufügen. Bei einem Aufruf von https://sirdata...?opt-in=0 würde dann keine TC String erzeugt und damit auch kein Aufruf an die Adtech-Partner ausgelöst. Die gesetzliche Verpflichtung erscheint daher nicht erforderlich.
Die CMP Sirdata könnte sich für die Verarbeitung der TC String auf das berechtigte Interesse als Rechtsgrundlage stützen (über den Parameter opt-in könnte der Nutzer der Speicherung der TC String widersprechen). Dennoch müsste der Abwägungstest angesichts der beträchtlichen Zahl von Partnern, die dieses Datum erheben, bestanden werden (423). Hier wird Sirdata argumentieren, dass das Urteil der APD durch die Begrenzung der Zahl der Partner in seiner Kooperative auf maximal 200 keine Anwendung findet.
Welche Rechtsgrundlage für die Erfassung und Verbreitung des TC-String-Signals gibt es für den Werbepartner Sirdata?
Denken Sie daran: Sirdata tritt als CMP auf, aber auch als Anbieter von Kontext- und Verhaltensdaten. In dieser Rolle erfasst und verbreitet Sirdata die TC String. Greifen wir die Erklärungen von Benoit noch einmal auf:
Wenn Sirdata als einwilligungsbasierter Vendor (Vendor „Sirdata“) auftritt, können wir die
TC Stringund andere personenbezogene Daten auf Grundlage der Einwilligung erfassen und übertragen, und wir prüfen, ob die Stelle, an die wir sie senden wollen, das Recht hat, sie zu empfangen. Wenn Sirdata als Vendor auftritt, der sich auf das berechtigte Interesse stützt (Vendor „Sirdata cookieless“), können wir dieTC Stringund andere personenbezogene Daten auf Grundlage eines berechtigten Interesses erfassen und übertragen, und wir geben dieses Datum nicht weiter.Für die Zukunft, und gerade wegen der APD, werden wir die Rechtsgrundlage für die Verarbeitung der
TC Stringals Vendor ändern, um einen Widerruf der Einwilligung übermitteln zu können: Wir werden uns bald nur noch auf das berechtigte Interesse stützen (allerdings nur für die in diesem Rahmen verwendeteTC String).
Derselbe Hinweis scheint hier zuzutreffen: Angesichts der beträchtlichen Zahl von Partnern, die dieses Datum erheben, muss der Abwägungstest bestanden werden (423). Sirdata wird vermutlich argumentieren können, dass es, wenn es als Werbepartner („Vendor“) auftritt, die TC String nur an eine begrenzte Zahl von Partnern übermittelt.
Wir haben zuvor die möglichen Rechtsgrundlagen für die erste von der APD angegebene Art der Verarbeitung untersucht: die Erfassung und Verbreitung des Einwilligungssignals und der Einwände gegen das berechtigte Interesse der Nutzer (auf Seiten der CMP Sirdata, aber auch auf Seiten von Sirdata als „Vendor“). Kommen wir nun zur zweiten Art der Verarbeitung: der Erfassung, Verbreitung und Verarbeitung personenbezogener Daten durch die Adtech-Unternehmen.
Berechtigtes Interesse als Rechtsgrundlage für die Erhebung, Verbreitung und Verarbeitung personenbezogener Daten durch Adtech-Unternehmen?
Zur Erinnerung: Hier geht es nicht mehr um die Erfassung oder Verbreitung der TC String, sondern um die verschiedenen werblichen Verarbeitungen, die mit Ihren personenbezogenen Daten durchgeführt werden:
![]()
Die in Version 2 des TCF definierten Zwecke; beachten Sie die Ausnahme des Zwecks „Informationen auf einem Gerät speichern und/oder darauf zugreifen“, der sich nur auf Ihre Einwilligung stützen kann.
Untersuchen wir die Entscheidung der APD zum berechtigten Interesse für werbliche Verarbeitungen im Rahmen des TCF. Diese Verarbeitungen umfassen also gezielte Werbung, aber nicht nur das. Die Heranziehung des berechtigten Interesses als Rechtsgrundlage für die Verarbeitung unterliegt drei Bedingungen:
- Es muss „legitim“ sein: Die APD hat keine Meinung dazu, ob das wirtschaftliche Interesse eines Adtech-Akteurs an der Durchführung der Werbeverarbeitung legitim ist. Diese Voraussetzung ist jedoch bereits nicht erfüllt, da die Werbeverarbeitung nach Ansicht der APD im Rahmen des TCF nicht spezifisch genug beschrieben ist (452).
- Es muss die Bedingung „Notwendigkeit“ erfüllen: Die APD ist der Ansicht, dass diese Bedingung nicht erfüllt ist, da im Rahmen von RTB (Real-Time Bidding) kein Schutz vor der Verbreitung personenbezogener Daten besteht (456).
- Es darf den Rechten und Interessen der Personen, deren Daten verarbeitet werden, nicht zuwiderlaufen: Problematisch ist laut APD die große Zahl an Werbeakteuren sowie die zahlreichen Informationen, die im Rahmen einer Werbeauktion übermittelt werden. Die APD zitiert auch den EDPB (den Europäischen Datenschutzausschuss) und das ICO (die englische CNIL), die beide der Auffassung sind, dass das berechtigte Interesse keine gültige Rechtsgrundlage für die Verarbeitung zu Zwecken gezielter Werbung darstellt, insbesondere im Rahmen des RTB (460).
Lesen wir zum Beispiel die Stellungnahme des EDPB:
Eine Einwilligung sollte beispielsweise für Tracking und Profiling zum Zwecke des Direktmarketings, der verhaltensbezogenen Werbung, der Datenvermittlung, der standortbezogenen Werbung oder der Tracking-basierten digitalen Marktforschung erforderlich sein.
Und hier ist die Entscheidung der APD:
Im Lichte der oben genannten Erwägungen ist die Prozesskammer der Auffassung, dass das berechtigte Interesse der teilnehmenden Organisationen nicht als angemessene Rechtsgrundlage für Verarbeitungstätigkeiten angesehen werden kann, die gemäß dem OpenRTB-Protokoll und im Einklang mit den im Rahmen des TCF erfassten Präferenzen und Entscheidungen der Nutzer durchgeführt werden.
Nun die Analyse von Sirdata: Dieses Urteil gilt nicht für das TCF als Ganzes, sondern nur für die mit dem RTB verbundenen Verarbeitungen. Es betrifft beispielsweise nicht das von Sirdata über sein „Cookieless“-Angebot durchgeführte Profiling, das den RTB-Auktionen vorgelagert ist und nicht zur Weitergabe von Kennungen und Zielgruppensegmenten an Werbepartner führt. Daher kann die CMP Sirdata ihren Partnern weiterhin das berechtigte Interesse als Rechtsgrundlage einer Verarbeitung anbieten.
Hier lässt sich feststellen, dass das berechtigte Interesse, noch ganz ohne RTB, bereits den Legitimitätstest nicht besteht. Um tiefer einzusteigen, können Sie das Paper von Célestin Matte, Cristiana Santos und Nataliia Bielova lesen: „Purposes in IAB Europe's TCF: which legal basis and how are they used by advertisers?“. Darin wird jeder Zweck untersucht, unabhängig von etwaigen mit dem RTB verbundenen Verarbeitungen, doch die Schlussfolgerung bleibt für das berechtigte Interesse dieselbe: Diese Rechtsgrundlage trägt nicht:
![]()
Die neue Fassung des TCF präzisiert die Zwecke genauer, das berechtigte Interesse wäre jedoch immer noch nicht gültig.
Auch wenn dieses Paper sehr solide ist, wird Sirdata argumentieren können, dass eine juristische Entscheidung über die Gültigkeit des berechtigten Interesses über das TCF, außerhalb des OpenRTB-Protokolls, fehlt. Das TCF ist zwar mit dem OpenRTB-Protokoll verknüpft, wie die APD angibt:
Die Prozesskammer stellt fest, dass der Argumentation der Beklagten nicht gefolgt werden kann, da die Beklagte in ihren Schlussfolgerungen mehrfach darauf hingewiesen hat, dass die Daseinsberechtigung des TCF gerade darin bestehe, die Verarbeitung personenbezogener Daten, die unter anderem auf dem OpenRTB-Protokoll basieren, in Übereinstimmung mit den geltenden Vorschriften, einschließlich der DSGVO und der ePrivacy-Richtlinie, zu bringen. Obwohl die Prozesskammer davon ausgeht, dass das TCF auch von Publishern für andere Anwendungen genutzt werden kann, ob in Zusammenarbeit mit den CMPs oder nicht, steht ebenso fest, dass das TCF nie als autonomes und unabhängiges Ökosystem konzipiert wurde. (368)
Aber das TCF wird auch außerhalb von OpenRTB verwendet – ein Argument, das Sirdata vorbringen kann, um die Rechtsgrundlage „berechtigtes Interesse“ in seiner CMP beizubehalten. Mit seinem eigenen Beispiel: bei fehlender Einwilligung die Nutzung des berechtigten Interesses für gezielte Werbung auf Basis der IP-Adresse, technisch gesehen außerhalb des RTB (diesem vorgelagert).
Einwilligung als Rechtsgrundlage für die Erhebung, Weitergabe und Verarbeitung personenbezogener Daten durch Adtech-Unternehmen?
Wir haben bereits gesehen, dass das berechtigte Interesse keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten im OpenRTB ist, wie sie durch das TCF ermöglicht wird, erst recht nicht für die Verarbeitungen im Zusammenhang mit gezielter Werbung. Die APD erläutert auch, warum die Einwilligung keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist.
Sirdatas Argumentation, um dieser Entscheidung zu entgehen, lautet dann wie folgt (sei es für das berechtigte Interesse oder für die Einwilligung). Im Rahmen seiner Kooperative geht die CMP Sirdata weiter als ein minimal implementiertes TCF, insbesondere mit einer besseren Priorisierung der Daten, besseren Informationen und vor allem einer Begrenzung der Zahl der Partner.
Sirdata ist sich jedoch vollkommen darüber im Klaren, dass der TCF niemals allein die Einhaltung der DSGVO gewährleisten sollte. Sirdata CMP setzt diesen Standard daher wie andere Standards um und bietet außerdem zusätzliche Maßnahmen und spezifische Regeln, die die Einhaltung lokaler und regionaler Vorschriften ermöglichen, die weit über die Anforderungen des TCF hinausgehen.
Wir könnten betonen, dass das Fehlen einer Rechtsgrundlage für die Verarbeitung bei weitem nicht der einzige Verstoß gegen die DSGVO ist, auf den die APD hinweist, und dass es nicht ausreicht, eines der Probleme besser anzugehen, um konform zu sein.
Darauf wird Sirdata antworten, dass es nicht zwingend konform sei, sondern dass eine neue Analyse durch eine Datenschutzbehörde erforderlich wäre, um die Gültigkeit festzustellen, die von Fall zu Fall zu beurteilen ist. Es kann insbesondere diese Passage aus der APD-Entscheidung zitieren:
Es ist auch zu beachten, dass die CMPs einen großen Ermessensspielraum haben, was die Schnittstelle betrifft, die sie den Nutzern bereitstellen. Tatsächlich schreiben die TCF-Richtlinien den teilnehmenden CMPs lediglich Mindestanforderungen an die Schnittstelle vor, was zur Folge hat, dass in der Praxis die Schnittstellen und die Einhaltung der Grundsätze von Fairness und Transparenz je nach der CMP, mit der die Website- und App-Publisher zusammenarbeiten, erheblich variieren können. (381)
Diese Passage der APD-Analyse hob die gemeinsame Verantwortung der CMPs hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten hervor. Sehen wir uns stattdessen einige der von Sirdata vorgebrachten „zusätzlichen Maßnahmen“ und „spezifischen Regeln“ an.
Zwecke gruppieren, um von der APD-Entscheidung nicht betroffen zu sein?
Für die APD ist die Einwilligung keine gültige Rechtsgrundlage:
Die Einwilligung ist keine gültige Grundlage für Verarbeitungsvorgänge im OpenRTB, wie sie durch das TCF ermöglicht werden. (428) Die Prozesskammer ist der Ansicht, dass die von den CMPs und Publishern in der aktuellen Fassung des TCF eingeholte Einwilligung nicht hinreichend frei, spezifisch, informiert und eindeutig ist. (432)
Die APD weist insbesondere darauf hin, dass die vorgeschlagenen Verarbeitungszwecke nicht ausreichend klar beschrieben und in bestimmten Fällen sogar irreführend sind:
Die Prozesskammer stellt beispielsweise fest, dass die Zwecke 8 („Measure content performance“) und 9 („Apply market research to generate audience insights“) kaum oder gar keine Hinweise auf den Umfang der Verarbeitung, die Art der verarbeiteten personenbezogenen Daten oder die Dauer der Speicherung der erhobenen personenbezogenen Daten geben, solange der Nutzer seine Einwilligung nicht widerruft. (433)
Darauf gibt Sirdata an, bereits reagiert zu haben, insbesondere durch die Gruppierung dieser beiden Zwecke unter der Überschrift „Zielgruppenmessung“:
![]()
Sirdata führt auf seinem Blog aus:
Um eine informierte Einwilligung zu ermöglichen, werden auf der zweiten Ebene die „purposes“ des TCF unter „übergeordneten“ Zwecken gruppiert, die von der CNIL in ihrer Tracker-Empfehlung vom 17. September 2021 definiert wurden, etwa „gezielte Werbung“ oder „Zielgruppenmessung“.
Nur unterscheiden sich diese Werbezwecke in Wirklichkeit stark von der Messung der Zielgruppe und des Traffics einer Website, wie sie ein Tool wie Google Analytics, AT Internet oder Matomo leisten kann. In der Regel handelt es sich vielmehr um Verarbeitungen durch Panel- und Marktanalysetools wie Nielsen oder Comscore. Durch diese Gruppierung bringt Sirdata somit Verwirrung in bereits bestehende Zwecke.
Unterschiedliche Zugänge zu den Datenschutzseiten der Partner, um von der APD-Entscheidung nicht betroffen zu sein?
Ein weiterer Punkt, in dem Sirdata erklärt, „über das TCF hinauszugehen“ und sich damit der APD-Entscheidung zu entziehen, ist der Zugang zu Informationen über die spezifischen Verarbeitungsvorgänge jedes Adtech-Anbieters. Hier ist eine Passage aus der APD-Entscheidung:
Darüber hinaus bleiben die Informationen, die CMPs den Nutzern zur Verfügung stellen, zu allgemein, um die spezifischen Verarbeitungsvorgänge jedes Adtech-Anbieters widerzuspiegeln, wodurch die erforderliche Granularität der Einwilligung verhindert wird. (436)
Was macht Sirdata also? Hier ist, was es erklärt:
Die verpflichtenden Informationen im Rahmen des TCF stellen faktisch eine unzureichende gemeinsame Basis dar: Sirdata und seine Kunden gehen weit darüber hinaus.
Zusätzlich zur Darstellung der obligatorischen Informationen im TCF bietet die Sirdata CMP-Benutzeroberfläche zusätzliche Einblicke in die verarbeiteten Daten und den Zweck dieser Verarbeitung und priorisiert die Informationen für ein einfacheres Verständnis und eine einfachere Benutzerkontrolle.
Ein Teil der Informationen ist auf der ersten Ebene verfügbar, ein anderer, beispielsweise die Liste der Empfänger, ist auf der zweiten Ebene leicht zugänglich und der Zugriff auf zusätzliche Informationen, beispielsweise die Bedingungen für die Ausübung der Rechte, ist über Links zu den Datenschutzseiten zugänglich.
In der Praxis können Sie, wenn Sie über das Einwilligungsbanner in einen Zweck hineinzoomen, die Liste der Partner anzeigen. Wenn Sie auf einen der Partner klicken, erhalten Sie einen Link zu dessen „Datenschutz“-Seite:
![]()
Der „Sirdata Cookieless“-Partner, der berechtigtes Interesse nutzt, um ein personalisiertes Werbeprofil zu erstellen.
Man kann festhalten, dass dieser Link zur „Datenschutz“-Seite bereits vom IAB TCF vorgeschrieben wird:
Bei der Verwendung eines sogenannten mehrschichtigen Ansatzes muss eine sekundäre Ebene bereitgestellt werden, die es dem Nutzer ermöglicht: die Liste der genannten Vendors, ihre Zwecke, besonderen Zwecke, Merkmale, besonderen Merkmale und zugehörigen Rechtsgrundlagen einzusehen, sowie einen Link zur Datenschutzrichtlinie jedes Vendors.
Sirdata gibt jedoch an, weiter zu gehen als bestimmte CMPs, die nicht verlangen, dass man die Partner ausgehend von einem bestimmten Zweck auflisten kann. Den Unterschied sehen wir bei der Website von L’Express, die die CMP von Didomi verwendet:
![]()
Ich kann „Berechtigtes Interesse“ nicht aufklappen und daher nicht erkennen, dass Sirdata sich auf diese Rechtsgrundlage stützt, um „Ein personalisiertes Werbeprofil zu erstellen“.
Aber die Ansicht „Partner“ ermöglicht es durchaus, die verschiedenen Partner aufzulisten und einen Link zur Datenschutzseite jedes Partners anzuzeigen:
![]()
Um auf L’Express mit der CMP von Didomi „Ein personalisiertes Werbeprofil zu erstellen“, stützt sich Sirdata ebenfalls auf das berechtigte Interesse, und zwar über den berüchtigten Partner „Sirdata Cookieless“.
Für Sirdata macht die „bessere“ Priorisierung der Informationen seiner CMP diese nicht zwangsläufig rechtmäßig, sondern setzt eine neue Entscheidung der APD voraus, um ihre Rechtmäßigkeit zu beurteilen.
Die Anzahl der Partner begrenzen, um nicht von der APD-Entscheidung betroffen zu sein?
Sirdatas Hauptargument: Die APD-Entscheidung würde nicht für Sirdata gelten, da das Unternehmen seinen Kunden eine Auswahl der Partner vorschreibt, mit einer Obergrenze von 200 Partnern für seine Kooperative (außerhalb der Kooperative gibt es keine Begrenzung).
Im Rahmen der von ihr verwalteten Kooperative der Wahlmöglichkeiten geht Sirdata sogar so weit, eine Obergrenze von 200 Partnern vorzuschreiben, weit entfernt von den 2000 potenziellen Partnern des TCF und dem ergänzend von Google verwalteten Einwilligungsnetzwerk – „AC Mode“ –.
Solche Schutzvorkehrungen ermöglichen es, eine groß angelegte Verarbeitung der im Rahmen des TCF erfassten Nutzerpräferenzen im Rahmen des offenen RTB-Protokolls zu vermeiden: Laut APD überwiegen die Interessen der betroffenen Personen das berechtigte Interesse der am TCF beteiligten Organisationen nur dann, wenn diese alle ausgewählt sind.
In der APD-Entscheidung wird jedoch kein berechtigtes Interesse der Organisationen erwähnt, das Vorrang vor den Interessen der betroffenen Personen haben würde, wenn diese nicht alle ausgewählt würden ... Sirdata erklärt dennoch, sich auf diesen Auszug zu stützen:
Obwohl die TCF-Richtlinien es den CMPs verbieten, bestimmten Adtech-Anbietern auf der Global Vendors List den Vorzug zu geben, und sie daher grundsätzlich verpflichtet sind, den Nutzern alle beim TCF registrierten Anbieter vorzulegen, sofern die Publisher nichts anderes vorgeben, weisen einige Autoren darauf hin, dass eine Reihe von CMPs diese Anforderung nicht einhält. Entweder, weil die CMPs den Publishern vorausgewählte Anbieter vorschreiben, oder weil sie ihnen die Möglichkeit verweigern, von der standardmäßig angebotenen vollständigen Liste der Adtech-Anbieter abzuweichen. (380)
Diese Passage dient dazu zu erklären, warum die CMPs als mitverantwortlich für die Verarbeitung angesehen werden müssen, und nicht dazu, auf ein Problem mit zu vielen Partnern hinzuweisen. Auch IAB Europe verlangt nicht die Vorlage der vollständigen Liste, sondern lediglich, keinen bestimmten Partner zu diskriminieren:
Bei jeglicher Interaktion mit dem Framework darf eine CMP einen Vendor nicht ausschließen, diskriminieren oder ihm eine Vorzugsbehandlung gewähren, außer auf ausdrückliche Anweisung des an dieser Interaktion beteiligten Publishers und im Einklang mit den Spezifikationen und Richtlinien.
Die Argumentation von Sirdata lautet wie folgt:
- Im Rahmen des TCF sind wir verpflichtet, standardmäßig alle Anbieter vorzulegen (dies ist keine „Pflicht“, wie das Dokument von IAB Europe zeigt).
- Diese Darstellung ist laut APD nicht gültig (Sirdata interpretiert das „grundsätzlich“ der APD als Verpflichtung).
- Wir halten diese „Verpflichtung“ des TCF nicht ein, da wir von den Kunden verlangen, ihre Partner auszuwählen (maximal 200, andernfalls können sie nicht Teil der Kooperative sein; standardmäßig etwa dreißig).
- Daher geht uns die APD-Entscheidung nichts an.
Aber Sirdata folgt durchaus den Empfehlungen von IAB Europe, da es keinen bestimmten Partner diskriminiert. In der APD-Entscheidung lässt sich allerdings noch ein weiteres Argument im Zusammenhang mit der Zahl der Partner finden:
Insbesondere sind die Empfänger, für die eine Einwilligung eingeholt wird, so zahlreich, dass die Lektüre dieser Informationen unverhältnismäßig viel Zeit in Anspruch nehmen würde und die Einwilligung nur selten ausreichend informiert werden kann. (435)
Für Sirdata macht das Vorschreiben der Partnerauswahl (mit einer Obergrenze von 200 Partnern) seine CMP nicht zwangsläufig rechtmäßig, doch wäre eine weitere Bewertung durch eine Regulierungsbehörde erforderlich.
Die Rechtswidrigkeit von IAB-Einwilligungsbannern betrifft nicht nur die Rechtsgrundlage der Verarbeitung
Mit diesem Artikel konnten wir nur an der Oberfläche der Probleme kratzen, die die IAB-Einwilligungsbanner aufwerfen. Sirdata weist darauf hin, dass es seinen Kunden eine „weiter“ gehende Umsetzung als die „minimale“ Umsetzung des TCF erlauben würde, mit seiner CMP „business as usual“ weiterzumachen. Allerdings ist die Rechtswidrigkeit des TCF systemisch, und sich weiterhin darauf zu stützen, ist rechtlich riskant. Außerdem wird es nicht einfach sein, das TCF so weiterzuentwickeln, dass es rechtmäßig wird, da der Mechanismus des RTB selbst mit der DSGVO unvereinbar erscheint, insbesondere im Hinblick auf die Sicherheit personenbezogener Daten.
![]()
Könnten ein paar Anpassungen das TCF rechtmäßig machen?
Sie können tiefer in das Thema eintauchen, indem Sie diese Artikel lesen:
- „An Unending Data Breach Immune to Audit? Can the TCF and RTB Be Reconciled with the GDPR?“, von Johnny Ryan und Cristiana Santos.
- „Impossible Asks: Can the Transparency and Consent Framework Ever Authorise Real-Time Bidding After the Belgian DPA Decision?“, von Michael Veale, Midas Nouwens und Cristiana Santos.
Und indem Sie sich diesen Vortrag von Robin Berjon, „Consent of the Governed“, ansehen.
Auf dem Weg zu einem Internet ohne aufgezwungene Überwachung und ohne Einwilligungsbanner
Es liegt an den europäischen Datenschutzbehörden, sich auf diese wichtige Entscheidung der APD zu stützen, um die verschiedenen Beteiligten (CMPs, Publisher, Werbepartner) angemessen zu sanktionieren und den massiven Abfluss personenbezogener Daten über das RTB zu unterbinden. Ein Verbot gezielter Werbung wäre wünschenswert, und nicht nur für Minderjährige, wie es der DSA vorschlägt. Zumindest könnte sich die CNIL klarer zu gezielter Werbung auf Grundlage des berechtigten Interesses äußern.
Außerdem sollte es diese Einwilligungsbanner gar nicht geben: Der Nutzer sollte das Tracking durch die Werbebranche direkt über die Einstellungen seines Browsers akzeptieren oder ablehnen können (Opt-In), nach dem Vorbild dessen, was Apple bereits über sein ATT-System anbietet. Und in diesem Sinne verdienen es Initiativen wie das Global Privacy Control (GPC) oder das Advanced Data Protection Control (ADPC), weiterentwickelt und gesetzlich gestützt zu werden.