Autor

Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Partner

Read More
Autor

Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Partner

Read More

28. Juni 2019

Stellungnahme des UK ICO zu Real Time Bidding

Am 20. Juni 2019 hat die Datenschutzaufsicht des Vereinigten Königreichs, der UK ICO, eine neue Stellungnahme zu den datenschutzrechtlichen Implikationen beim Real Time Bidding herausgegeben („Update Report into adtech and real time bidding“). Die Stoßrichtung ist dabei vergleichbar mit der der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ der Datenschutzkonferenz aus März 2019.

So geht auch der ICO davon aus, dass berechtigte Interessen keine adäquate Rechtsgrundlage für Real Time Bidding seien; vielmehr sei regelmäßig eine Einwilligung erforderlich. Bemängelt wird daneben, dass die Transparenz in der Ad-Tech-Branche nicht hinreichend sei. Auch die bestehenden Branchenlösungen, wie z.B. von IAB Europe, seien nicht hinreichend. Bemerkenswert ist, mit welchen klaren Worten die „unverhältnismäßigen, eingriffsstarken und unfairen“ Datenverarbeitungsvorgänge beim Real Time Bidding kritisiert werden.

Im Einzelnen:

1. Notwendige Rechtsgrundlage.

Nach Ansicht der Behörde scheiden berechtigte Interesse im Regelfall als adäquate Rechtsgrundlage aus. Dies sei bereits deshalb der Fall, weil unabhängig von der Datenverarbeitung nach der DSGVO – jedenfalls für das Setzen von Cookies – eine Einwilligungserklärung erforderlich sei, welche den DSGVO-Standards genügen müsse. Wenn jedoch ohnehin eine Einwilligung eingeholt werden müsse, erschließe sich nicht, warum die Datenverarbeitung dann auf berechtigte Interessen gestützt werde. Dies könne auch zu ungerechtfertigten Wertungen führen, beispielsweise, wenn ein Nutzer seine Einwilligung widerruft und die weitere Datenverarbeitung dann auf berechtigte Interessen gestützt werde. Nach Ansicht des ICO sei für gewöhnliches Realtime Bidding die Einwilligung die einzig gangbare Rechtsgrundlage. Damit schließt sich der ICO der Ansicht der in der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ geäußerten Ansicht der deutschen Datenschutzkonferenz weitestgehend an.

Bemängelt wird vom ICO daneben, dass viele Anbieter von Real Time Bidding gar nicht verstanden hätten, dass sie neben den Anforderungen der DSGVO auch die Anforderungen der ePrivacy Richtlinie erfüllen müssten, und dementsprechend Cookie-Einwilligungen einzuholen hätten.

2. Transparenz

Die Transparenz im Real Time Bidding sei nicht gewährleistet. Wenngleich viele Anbieter Datenschutzerklärungen bereithielten, genügten diese häufig nicht den Transparenzanforderungen. Außerdem seien so viele Anbieter involviert, dass es unmöglich sei, zu verstehen, welche Parteien tatsächlich Nutzerdaten erhielten. Dies führe insbesondere auch dazu, dass die Publisher, die Real Time Bidding verwendeten, nicht verstünden, wie die Datenverarbeitung funktioniert, und daher dementsprechend nicht den Rechenschaftspflichten der DSGVO genügen könnten.

3. Datenschutzfolgenabschätzung

Nach Ansicht der Behörde ist für Real Time Bidding eine Datenschutzfolgenabschätzung durchzuführen, da (i) neue Technologien verwendet würden, (ii) ein Profiling von Nutzern in großem Umfang stattfinde, (iii) eine „verdeckte „Datenverarbeitung“ stattfände, (iv) Nutzerverhalten und Standorte sowie auch (v) die Daten von schutzwürdigen Betroffenen, wie beispielsweise Kindern, verarbeitet würden.

4. Branchenstandards

Die bestehenden Branchenstandards, wie beispielsweise von IAB Europe, genügten den Anforderungen nach der DSGVO nicht.

5. Weiteres Vorgehen

Der ICO kündigt klar Durchsetzungsmaßnahmen an. So stellt der ICO heraus, dass er davon ausgeht, dass die bestehenden Probleme nicht behoben würden, wenn keine Durchsetzungsmaßnahmen ergriffen werden. Dennoch kündigt der ICO an, hier bedacht und koordiniert vorzugehen. So ist dem ICO bewusst, dass viele Publisher stark von den Einnahmen aus der Werbewirtschaft abhängig sind. Man werde sich daher in den kommenden sechs Monaten mit Marktteilnehmern wie IAB Europe abstimmen, um zu sehen, ob man sich auf eine entsprechend angepasste Verarbeitungspraxis einigen – oder gegebenenfalls auch anordnen – werde.

Call To Action Arrow Image

Newsletter-Anmeldung

Wählen Sie aus unserem Angebot Ihre Interessen aus!

Jetzt abonnieren
Jetzt abonnieren

Related Insights

Technology, Media & Communications

NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz: Deutschland verschärft IT-Sicherheitsanforderungen

28. August 2023
Briefing

von Dr. Paul Voigt, Lic. en Derecho, CIPP/E und Alexander Schmalenberger, LL.B.

Klicken Sie hier für Details
Datenschutz & Cyber-Sicherheit

China: A practical insight into China SCCs and their impact on businesses

Michael Tan, Julian Sun, Paul Voigt and Wiebke Reuter look at what China's new SCCs mean for businesses looking to export personal data from China to the EU.

24. April 2023
In-depth analysis

von mehreren Autoren

Klicken Sie hier für Details
Datenschutz & Cyber-Sicherheit

Cyber Incident Response and Data Breach Notification (Germany)

8. März 2023
In-depth analysis

von Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Klicken Sie hier für Details