Aktuell in der CR
Consent Management Platforms und Targeted Advertising zwischen DSGVO und ePrivacy-Gesetzgebung (Becker, CR 2021, 87)Der Austausch von Daten gegen Leistungen erfolgt auf Websites nur selten auf vertraglicher, sondern regelmäßig auf allenfalls dünner schuldrechtlicher Basis. Paradigmatisch für diesen Umstand sind sog. Consent Management Platforms (CMP), die Nutzern den Zutritt zu Homepages versperren, wenn sie nicht irgendetwas anklicken. Auch in dem norwegischen Bußgeldverfahren gegen die App „Grindr“ steht die Mangelhaftigkeit der über eine CMP eingeholten Einwilligung in die Weitergabe von Daten an Werbepartner im Mittelpunkt. Der Beitrag legt dar, welche Geschäftsmodelle sich hinter den Einwilligungen und „berechtigten“ Interessen verbergen, die in CMPs geregelt werden. Hierbei spielt neben dem Datenschutzrecht die ePrivacy-Gesetzgebung eine wichtige Rolle.
Real Time Bidding auf Basis von Nutzerprofilen als Ausprägung der Personendatenwirtschaft
INHALTSVERZEICHNIS:
I. Überschießende Datenverarbeitung über CMP
1. „CMP“ – Begriff und Spielarten
a) CMP-Anbieter
b) Erscheinungsformen
2. CMP auf Websites
a) Probe auf's Exempel
b) Erhobene Daten
II. Hintergrund: Targeted Advertising und Real Time Bidding (RTB)
1. Überblick Real Time Bidding
2. Hintergrund: Nutzerprofile und Zielgruppen
3. Folgerungen
III. Kernproblematik: Personendatenwirtschaft in der DSGVO?
IV. Datenschutzrecht und die ePrivacy-Gesetzgebung
1. Entwicklung und Überblick
2. Einfluss der Planet49-Rechtsprechung
3. §§ 12, 15 TMG erfassen die bloße Speichernutzung nicht
4. Grenzen der Direktwerbung als berechtigtes Interesse
a. Voraktivierte „berechtigte Interessen“
b. Profilbildung als Direktwerbung?
V. Datenschutzrechtliche Verantwortlichkeit
1. Verantwortung von Websites
2. Abgleich mit dem Verfahren gegen die App Grindr
VI. Ergebnisse
|
I. Überschießende Datenverarbeitung über CMP |
1 |
Pop-up-Fenster, die Nutzern den Zugang zu Websites versperren sind weit verbreitet. Die Rede ist von sog. Consent Management Platforms (CMP). Dort stellen Nutzer ein, welche Daten die Website und ihre Partner aus dem Endgerät oder über ihr Verhalten sammeln und verarbeiten dürfen. |
|
1. „CMP“ – Begriff und Spielarten |
2 |
Die Bezeichnung dieser Pop-up Fenster als CMP bedarf einer kurzen Erläuterung: |
3 |
Der häufig genutzte Begriff Personal Information Management System (PIMS)1 wäre hier insofern etwas unglücklich, als er eigentlich für eine weiterreichende Art von Dienst steht, der einer generellen Verwaltung der eigenen Daten durch Betroffene dient und begrifflich auf personenbezogene Daten verengt ist. Die Einwilligung bzw. das Management der Einstellungen erfolgt vorliegend aber explizit auch aus nicht-datenschutzrechtlichen Gründen, da die ePrivacyRL (2002/58/EG, 2009/136/EG) eine vom Datenschutz unabhängige Einwilligung in die Nutzung des Endgerätespeichers verlangt (dazu unten IV.). |
4 |
Die Bezeichnung „Cookie Consent Banner“ hingegen übersieht, dass es in diesen Pop-up Fenstern nicht nur um Cookies, sondern in aller Regel auch um die Einwilligung in Trackingtechniken geht, die ohne Cookies auskommen (z.B. Device-Fingerprinting). Der Begriff CMP trifft das tatsächliche Geschehen genauer und wird auch von den Anbietern dieser Pop-up-Fenster genutzt. |
|
a) CMP-Anbieter |
5 |
Die Anbieter von CMP decken sich nicht mit den Websitebetreibern (faz.net, spiegel.de etc.), sondern bilden eine eigene Branche.2 Zu den am weitesten verbreiteten Drittanbietern zählen OneTrust (woher auch die neue CMP von Grindr stammt),3 QuantCast, TrustArc, Cookiebot und Crownpeak.4 Diese Branche selbst beschreibt CMP als „a tool that enables a website or app to be GDPR-compliant. It does this by prompting users for consent, collecting and managing that information, and passing the data to downstream ad partners“.5 |
6 |
Demnach steht Datenschutz-Compliance im Vordergrund und grundsätzlich ist die Idee übersichtlicher Datenschutzeinstellungen auch zu begrüßen, zumal die Granularität der Einwilligung gem. ErwGr 43 S. 2 DSGVO von großer Bedeutung für die Freiwilligkeit ist.6 Das etwas anders gelagerte Ziel der Datensammlung für Werbezwecke wird aber schon von den CMP-Anbietern selbst eingeplant. So stellt eine bekannte jüngere Studie CMPs ein denkbar schlechtes Zeugnis für ihre „dark patterns“ aus, d.h. für Interfacedesigns, die dazu dienen, Nutzer durch manipulativ gestaltete Interaktionsabläufe zu einem erwünschten Verhalten zu bewegen.7 |
|
b) Erscheinungsformen |
7 |
CMP zieren inzwischen eine große Bandbreite an Homepages. Dabei gibt es aber Unterschiede. Bei Homepages, die eine Leistung mit Marktwert erbringen und sich durch Daten ihrer Besucher finanzieren (z.B. Nachrichtenportale/Online-Zeitungen, Rezepteseiten) scheinen CMP weitaus ausgefeilter zu sein als bei Homepages, die auf direkten Zahlungen ihrer Besucher (z.B. kleinere Online-Shops), öffentlichen Geldgebern oder anderen Finanzquellen bzw. Motivationen (z.B. Bürgerbewegungen, Privatseiten) beruhen. Letztere bieten häufig einen leichten Weg zur Abwahl von Cookies und Trackern, z.B. durch den Button „Alle ablehnen“. Nachrichtenseiten ist zugute zu halten, dass sie ein besonders teures, zugleich umkämpftes und daher bei Nutzern auf geringe Zahlungsbereitschaft treffendes Geschäftsmodell betreiben. Das erklärt, warum diese Seiten eine besonders hohe Zahl an Trackern einsetzen.8 |
8 |
Auffällig ist, dass CMP in aller Regel keine Indifferenz zulassen. Nutzer müssen etwas wählen bzw. abwählen, anders gelangen sie nicht auf die Website. Dies hat insofern das Momentum einer take it or leave it-Situation, als selbst das Abwählen aller Datenverarbeitungen eine Handlung erfordert und nur selten die Abwahl jeglichen Trackings angeboten wird. Hiervon zu unterscheiden sind einfache Cookie-Informationsbanner („Diese Homepage verwendet Cookies.“ – oder dergleichen), die man schließen kann, ohne eine Entscheidung zu treffen. Ob das Schließen dann als Einwilligung gedeutet wird, ist wohl einzelfallabhängig. Datenschutzrechtlich – soviel vorweg – bedarf es jedenfalls eines aktiven Opt-ins, anders erfolgt keine Einwilligung.9 Die bloße Information über einwilligungspflichtige Cookies hat hier keine Relevanz, auch § 15 Abs. 3 TMG (dazu unten IV.) erfordert zumindest die Möglichkeit zum Opt-out. |
|
2. CMP auf Websites |
9 |
In welchem Umfang werden Daten erhoben, wenn man ohne technische Schutzvorkehrungen (AdBlocker, Trackingblocker etc.) eine große Nachrichtenseite besucht und über die CMP alle Datenerhebungen akzeptiert? Und wozu dienen diese Daten? |
10 |
In wenigen Stichproben mit gängiger Software („Little Snitch“) lässt sich ein ungefährer Blick auf die im Falle einer solchen Rundumeinwilligung10 erhobenen Daten erlangen: Zunächst einmal explodiert (...) |
Hier direkt weiterlesen im juris PartnerModul IT-Recht