In einem Interview im Dezember 2020 bat der Journalist Richard Gutjahr den Präsidenten der Datenschutzaufsicht Bayern, Michael Will, testweise alle Tracker auf der Website der Süddeutschen Zeitung abzulehnen. Der Aufseher scheiterte spektakulär, weil er sich von “Dark Patterns” im Consent-Banner der SZ aufs Glatteis führen ließ. Im guten Glauben, die Einwilligung für alle Tracker verweigert zu haben, übersah er eine Unterseite, auf der er zusätzlich das berechtigte Interesse für diese Tracker hätte “deaktivieren” müssen.

Richard Gutjahr’s Gespräch mit Michael Will

Dass Consent-Tools nicht das tun, was sie vorgeben, ist nicht ungewöhnlich. Allerdings haben die Süddeutsche Zeitung und der Hersteller ihres Consent-Tools (das US-amerikanische Unternehmen Sourcepoint) sich die verworrene Benutzerführung im hier beschriebenen Fall keineswegs selber ausgedacht – sie halten sich vielmehr, wie praktisch alle europäischen Online-Medien, an einen exakt definierten Standard, das “ Transparency & Consent Framework (TCF) “, eine Initiative des Interactive Advertising Bureau (IAB) Europe. Letzteres wacht über dessen Einhaltung, und droht Abweichlern mit Ausschluss und somit empfindlichen Umsatzeinbußen.

Das IAB Europe ist der europäische Arm des IAB, eines internationalen Wirtschaftsverbandes der Online-Werbebranche mit 650 Mitgliedern. Bezogen auf Deutschland vertritt es vor allem die Interessen der Verlags- und Medienbranche, denn der Online-Vermarkterkreis im Bundesverband Digitale Wirtschaft übernimmt für Deutschland die Vertretung im IAB Europe.

Mit dem TCF ist dem IAB Europe ein Geniestreich gelungen. Es hat nicht nur die gesamte Branche, inklusive solcher Schwergewichte wie Google, auf ein gemeinsames Vorgehen eingeschworen, es konnte bisher auch verhindern, dass dem durch DSGVO und ePrivacy akut gefährdeten Geschäftsmodell seiner Mitglieder die Legitimität entzogen wird. Wie konnte das gelingen?

“Die größte Datenschutzverletzung aller Zeiten”

In Europa basiert das digitale Werbe-Ökosystem fast ausschließlich auf Display-Werbung, da es keine nennenswerten europäischen Player im Bereich Social Media und Suchmaschinen gibt. Banner-Werbung ist die Haupt-Einnahmequelle aller Online-Medien, mit Content-Abo-Modellen kann nur sehr eingeschränkt Geld verdient werden. In Deutschland lag 2021 der Umsatz mit Display-Werbung bei 5.1 Mrd € .

Wer heutzutage Display-Werbung sagt, meint eigentlich “Programmatic Advertising”, auch “Real Time Bidding” (RTB) genannt, denn 80% des Display-Werbemarktes entfallen auf dieses Verfahren der Anzeigenschaltung.

Beim RTB wird das Anzeigen-Inventar der Publisher über eine komplexe technische Infrastruktur an den meistbietenden Werbetreibenden versteigert, wobei gleichzeitig eine zielgruppengenaue Ansprache üblich ist, die auf Profilbildung basiert. Aus der Sicht der Medienindustrie mag das eine nachvollziehbare Notwendigkeit sein, Datenschutz-Aktivisten kritisieren allerdings das Ausmaß, in dem beim RTB die informationelle Selbstbestimmtheit der Benutzer regemäßig verletzt wird – denn im Rahmen der Versteigerung werden sensible Nutzerprofile an eine Vielzahl von Unternehmen weitergegeben.

So bezeichnet Johnny Ryan, Mitglied der Bürgerrechtsvereinigung “Irish Council for Civil Liberties”, und ehemaliger Mitarbeiter beim Browser-Hersteller “Brave”, das RTB in einer Beschwerde an die Irische Datenschutzaufsicht als “ die größte bekanntgewordene Datenschutzverletzung aller Zeiten “. Er führt dabei beispielhaft an, dass Daten-Broker personalisierte Werbung an Benutzer aus Kategorien wie “Hirntumor”, “Depression” oder “Inkontinenz” anboten. Auch Politikern ist diese Entwicklung ein Dorn im Auge, der Abgeordnete des Europaparlaments Tiemo Wölken (SPD) fordert bspw. gar ein Verbot personalisierter Werbung.

JohnnyRyan

Datenschutz-Regulierungen wie DSGVO und ePrivacy-Reform bedrohen infolgedessen das RTB-Geschäftsmodell akut. Entsprechend massiv ist die Lobbyarbeit des IAB Europe: die Mitgliedsunternehmen engagieren sich nicht nur in Brüssel, wo sich angeblich 15.000 Lobbyisten tummeln, sondern nehmen auch Einfluss über nationale Ministerien.

So geht offenbar auch die DSGVO-Rechtsgrundlage des “berechtigten Interesses” auf erfolgreichen Lobbyismus zurück. MdEP Tiemo Wölken schildert im Interview mit Richard Gutjahr, wie diese als Kompromissformulierung in die DSGVO eingebaut wurde, um eine Pattsituation im EU-Ministerrat aufzulösen, und die DSGVO insgesamt erst zu ermöglichen. Konsequenterweise bezieht sich auch ein Positionspapier der deutschen Bundesregierung zur ePrivacy-Regulierung darauf, und führt den Begriff der “legitimen Geschäftsmodelle” ein (“ they must not preclude the development and use of legitimate business models; this notably applies to business models that ensure access to information that is influential on user's opinion ")

Einführung des TCF – die Werbeindustrie reagiert

Pünktlich zum Inkrafttreten der DSGVO im Mai 2018 stellte das IAB Europe gemeinsam mit seinem Tochterverband IAB Tech Lab eine Spezifikation für einen Standard vor, der den auf den ersten Blick nicht möglichen Spagat zwischen Konformität zur DSGVO und Sicherung des RTB-Geschäftsmodelles schaffen sollte. Da der Einsatz von Consent-Tools perspektivisch unvermeidbar schien, sah der Entwurf eine Gestaltung für diese Plattformen vor, mit der der Werbe-Branche möglichst wenig Schmerzen zugefügt würden. Ein Update erfuhr das Transparency & Consent Framework mit der Version 2.0 im Oktober 2020, zu diesem Zeitpunkt stieß auch Google mit seinem Werbemarktplatz “Ad Manager” dazu.

Der TCF-Standard legt maßgeblich fest, wie konforme Consent-Tools aussehen und sich verhalten müssen, zudem wird das Zusammenspiel zwischen den Medien-Unternehmen (“Publishers”), den Consent-Tools (“CMPs”) und den Akteuren im RTB-Geschäft (“Vendors”) geregelt. Ein Dokument des IAB beschreibt diese “Policies” auf fast 70 PDF-Seiten. Alle großen Hersteller von Consent-Tools haben sich für den Standard zertifizieren lassen und bieten ihre Produkte zusätzlich zur “normalen” Funktionsweise in einem TCF-konformen Modus an. Das manifestiert sich unter anderem in den folgenden Aspekten.

Zwei typische TCF-Banner

Exakt definierte Verwendungszwecke

Das TCF sieht vor, dass Einwilligungen von Besuchern nicht einfach für die Verwendung eines Dienstes eingeholt werden, sondern dass vielmehr jeder Dienst angibt, für welche Zwecke aus einer fest vorgegebenen Liste er Daten verarbeiten möchte, wie etwa “Ein personalisiertes Anzeigen-Profil erstellen”. Tatsächlich sieht das Framework nicht einfach nur “Zwecke” (Purposes) vor, sondern zusätzlich “Special Purposes”, “Features” und “Special Features”. Dabei benötigen Special Purposes aus Sicht des Frameworks keine Einwilligung (etwa “Sicherheit gewährleisten, Betrug verhindern und Fehler beheben”), während Features und Special Features unterstützende technische Maßnahmen sind, wie etwa “Genaue Standortdaten verwenden”.

Die Spezifikation lässt auch, was die Darstellung dieser Angaben und die Auswählbarkeit im Consent-Tool angeht, kaum Fragen offen. Die genauen Bezeichnungen und erklärenden Texte aller Zwecke liegen als Übersetzung in 35 Sprachen vor, selbst die Möglichkeit zur Gruppierung der Purposes in sogenannte “Stapel” (“Stacks”) ist exakt definiert. In welcher Form all dies auf der Übersichtsseite des Consent-Tools, und weiteren darunterliegenden Seiten aufgeführt wird gibt der Standard vor, und mit Hilfe einer Validator-Software samt zugehöriger Checkliste kann die Konformität überprüft werden.

Ein Button zum Verweigern aller Einwilligungen auf einen Klick ist laut Spezifikation zwar nicht verboten, wird aber nicht einmal erwähnt. Erst beim nachträglichen Öffnen des Tools muss ein Button verfügbar sein, der es möglich macht “eine Einwilligung genau so einfach zurückzuziehen wie sie gegeben wurde”. Konsequenterweise haben TCF-kompatible Consent Tools praktisch nie einen Button, um alle Einwilligungen auf einmal zu verweigern.

Im Ergebnis ist ein TCF-konformes Consent-Tool schon optisch unmittelbar als solches erkennbar.

Rückgriff auf “Berechtigtes Interesse”

Die Erfinder des TCF-Frameworks hatten offenbar – vermutlich berechtigte – Zweifel, dass die Teilnehmer am Programmatic Advertising ausreichend Benutzerdaten sammeln und verwerten können, wenn in jedem Einzelfall eine freiwillige und informierte Einwilligung Voraussetzung ist. Deshalb wurde die Rechtsgrundlage des “berechtigten Interesses” gem. Artikel 6 (1)(f) der DSGVO als zentrales Element integriert. Ein Vendor kann mithin selbst auswählen, mit welcher Rechtsgrundlage er Daten im Rahmen der vorgegebenen Zwecke verarbeiten will – Einwilligung oder berechtigtes Interesse. Wählt der Vendor berechtigtes Interesse als Rechtsgrundlage, so muss der Benutzer aktiv der Verarbeitung widersprechen, eine nicht erteilte Einwilligung reicht nicht aus. Zudem gibt die Spezifikation vor, dass diese Widerspruchsmöglichkeit auf einer Unterseite angeboten werden muss.

Insbesondere dieser Aspekt wird als Kritikpunkt häufig herangeführt (s.u.).

Abgabe von Kontrollfunktionen

Consent-Tools setzen normalerweise eine Einwilligung zum Verarbeiten von Daten durch einen externen Dienst technisch um, indem sie dem Web-Browser das Laden des Dienstes durch einen Netzwerk-Zugriff erlauben (oder einen Tag-Manager entsprechend instruieren, den Dienst zu laden). Der Dienst hat erst dann die Möglichkeit, Cookies zu setzen und Nutzerprofile zu bilden. Umgekehrt wird bei einer verweigerten Einwilligung das Laden des Dienstes blockiert.

Angesichts der oben beschriebenen komplexen Strukturierung der Zwecke, sowie der Natur des Real-Time-Biddings, sieht der TCF-Standard ein anderes Verfahren vor: durch die Verwendung des Consent-Tools durch den Benutzer entsteht ein umfassender Datensatz, der genau beschreibt, welches Werbe-Unternehmen seine Daten zu welchen Zwecken verwenden darf. Dieser Datensatz wird als sogenannter “Consent-String” in einem Cookie gespeichert und an die Beteiligten des RTB-Bieterverfahrens verteilt. Ob die Vendoren sich tatsächlich an die Vorgaben halten, und bspw. auf das Setzen von Cookies oder Abrufen der Standortdaten verzichten, ist ab dann allerdings nicht mehr kontrollierbar.

Kritik am TCF-Standard

Laut IAB Europe befähigt das TCF-Framework “Konsumenten, Einwilligungen zu erteilen oder zurückzuhalten, und ihr Recht auf Widerspruch zur Datenverarbeitung auszuüben”. Es geht sogar noch weiter und schreibt “Consumers also gain more control over whether and how vendors may use certain features of data processing, for example, the use of precise geolocation.”

Europäische Datenschutzaktivisten und Rechtswissenschaftler zeigen sich alles andere als überzeugt, und kritisieren seit Jahren Real Time Bidding im Allgemeinen und das TCF-Framework im Speziellen.

Hervorzuheben sind hier bspw. die Untersuchungen von Nataliia Bielova, Cristiana Santos und Celestin Matte vom französischen INRIA Institut. Das Forscherteam untersuchte die Verwendungszwecke sowie den Einsatz der Rechtsgrundlage “berechtigtes Interesse” im TCF-Standard, und schlussfolgerte, dass der Standard in weiten Teilen der DSGVO und ePrivacy-Richtlinie zuwiderläuft. So seien Verwendungszwecke des TCF wie etwa “Produkte entwickeln und verbessern” nicht rechtmäßig, da sie zwar zunächst verständlich klingen, aber anders als in der DSGVO gefordert, nicht spezifisch und eindeutig seien, insofern könne eine Rechtsgrundlage überhaupt nicht abgeleitet werden. Für alle außer zwei Verwendungszwecke des TCF sehen die Forscher zudem – anders als der TCF-Standard – eine Einwilligung als zwingend notwendig an. Das Forschertrio äußert in seiner Veröffentlichung die Hoffnung “dass diese Untersuchungen sich für Gesetzgeber als nützlich erweisen, um bessere Richtlinien für die Spezifizierung von Verwendungszwecken im TCF und ähnlichen Frameworks zu entwickeln”.

Gegenwind von einer Aufsichtsbehörde erfuhr das Framework erstmals im Oktober 2020, als die Belgische Datenschutzaufsicht (APD-GBA) eine formelle Untersuchung des TCF-Standards begann , offenbar als Reaktion auf eine Reihe von Beschwerden, die der “Irish Council for Civil Liberties” unter Führung von Johnny Ryan bei mehreren europäischen Aufsichtsbehören eingereicht hat. Nach Angaben des Councils hat die Behörde festgestellt, dass “der Ansatz des IAB Europe aufzeigt, dass die Risiken vernachlässigt werden, die die Rechte und die Freiheit der Betroffenen beeinträchtigen”.

Das IAB Europe reagierte prompt mit einem Statement, in dem es alle Vorwürfe zurückwies. Ob eine Datenverarbeitung auf Basis des berechtigten Interesses geschähe oder nicht sei allein Entscheidung der Anwender des TCF, das IAB gebe hier keine Richtung vor. Und obwohl einige Aufsichtsbehörden ein Profiling auf Grundlage des berechtigten Interesses kritisch sähen, so sei es durch die DSGVO ja auch nicht verboten.

Ein Ergebnis der Untersuchung wurde für Frühjahr 2021 angekündigt, Anfang November 2021 kam schließlich Bewegung in den Vorgang: in einer Pressemitteilung verkündete der Irish Council for Civil Liberties plakativ “We have won”. Im Entwurf eines Beschlusses befand die belgische Datenschutzaufsicht, dass das TCF-Framework gegen die DSGVO verstößt und somit illegal ist. Zudem wird das IAB als Verantwortlicher im Sinne der DSGVO gesehen, und zwar für die Verarbeitung des sog. “Consent-Strings” mit den gespeicherten Einwilligungen der Benutzer. Das IAB Europe verbreitete derweil in einer eigenen Stellungnahme Zweckoptimismus: “We look forward to the outcome of the Cooperation Procedure and stand ready to work with the APD and other DPAs to support companies in the digital advertising industry to ensure that they fully comply with the requirements of EU law.” Zudem legte es Beschwerde beim Belgischen Marktgerichtshof ein.

Auch der Datenschutzverein NOYB (“None of your Business”) unter Führung von Max Schrems wurde aktiv gegen das TCF-Framework. Im Dezember 2019 legte der Verein Beschwerde bei der französischen Datenschutzaufsicht CNIL ein und bezog sich dabei auf die Untersuchungen der Inria-Forscher. Dem IAB Europe wurde darin vorgeworfen, “fake consents” zu produzieren. Im Mai 2021 und August 2022 folgten formale Beschwerden, in denen die Werbeindustrie für die Verwendung von “dark patterns” in ihren Consent-Bannern kritisiert wird, insbesondere was das Fehlen einer leicht auffindbaren Ablehnen-Funktion angeht. Auch darauf reagierte das IAB Europe: das TCF Framework gebe einen Minimalstandard vor, die europäischen Behörden seien uneins in der Beurteilung dieser Praktiken, und verantwortlich seien letztlich die Teilnehmer im RTB-Verfahren.

Wie geht es jetzt weiter?

Das Geschäftsmodell des Programmatic Advertising und der dies legitimierende Standard “Transparency and Consent Framework” haben sich bislang als erstaunlich robust erwiesen, obwohl die von Datenschützern vorgetragenen Kritikpunkte mehr als stichhaltig scheinen.

Was den Befund der belgischen Datenschutzaufsicht APD angeht, so hat diese mittlerweile bestätigt, dass sie die Entscheidung des Marktgerichtshofes abwarten wird, womit frühestens im September 2022 zu rechnen ist. Sollte die Beschwerde des IAB dann zurückgewiesen werden, so müsste der TCF-Standard innerhalb von 6 Monaten in eine konforme Form überführt werden. Es bleibt also spannend.

Autor: Eckhard Schneider