Am 20. Juni 2019 hat die Datenschutzaufsicht des Vereinigten Königreichs, der UK ICO, eine neue Stellungnahme zu den datenschutzrechtlichen Implikationen beim Real Time Bidding herausgegeben („Update Report into adtech and real time bidding“). Die Stoßrichtung ist dabei vergleichbar mit der der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ der Datenschutzkonferenz aus März 2019.
So geht auch der ICO davon aus, dass berechtigte Interessen keine adäquate Rechtsgrundlage für Real Time Bidding seien; vielmehr sei regelmäßig eine Einwilligung erforderlich. Bemängelt wird daneben, dass die Transparenz in der Ad-Tech-Branche nicht hinreichend sei. Auch die bestehenden Branchenlösungen, wie z.B. von IAB Europe, seien nicht hinreichend. Bemerkenswert ist, mit welchen klaren Worten die „unverhältnismäßigen, eingriffsstarken und unfairen“ Datenverarbeitungsvorgänge beim Real Time Bidding kritisiert werden.
Im Einzelnen:
1. Notwendige Rechtsgrundlage.
Nach Ansicht der Behörde scheiden berechtigte Interesse im Regelfall als adäquate Rechtsgrundlage aus. Dies sei bereits deshalb der Fall, weil unabhängig von der Datenverarbeitung nach der DSGVO – jedenfalls für das Setzen von Cookies – eine Einwilligungserklärung erforderlich sei, welche den DSGVO-Standards genügen müsse. Wenn jedoch ohnehin eine Einwilligung eingeholt werden müsse, erschließe sich nicht, warum die Datenverarbeitung dann auf berechtigte Interessen gestützt werde. Dies könne auch zu ungerechtfertigten Wertungen führen, beispielsweise, wenn ein Nutzer seine Einwilligung widerruft und die weitere Datenverarbeitung dann auf berechtigte Interessen gestützt werde. Nach Ansicht des ICO sei für gewöhnliches Realtime Bidding die Einwilligung die einzig gangbare Rechtsgrundlage. Damit schließt sich der ICO der Ansicht der in der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ geäußerten Ansicht der deutschen Datenschutzkonferenz weitestgehend an.
Bemängelt wird vom ICO daneben, dass viele Anbieter von Real Time Bidding gar nicht verstanden hätten, dass sie neben den Anforderungen der DSGVO auch die Anforderungen der ePrivacy Richtlinie erfüllen müssten, und dementsprechend Cookie-Einwilligungen einzuholen hätten.
2. Transparenz
Die Transparenz im Real Time Bidding sei nicht gewährleistet. Wenngleich viele Anbieter Datenschutzerklärungen bereithielten, genügten diese häufig nicht den Transparenzanforderungen. Außerdem seien so viele Anbieter involviert, dass es unmöglich sei, zu verstehen, welche Parteien tatsächlich Nutzerdaten erhielten. Dies führe insbesondere auch dazu, dass die Publisher, die Real Time Bidding verwendeten, nicht verstünden, wie die Datenverarbeitung funktioniert, und daher dementsprechend nicht den Rechenschaftspflichten der DSGVO genügen könnten.
3. Datenschutzfolgenabschätzung
Nach Ansicht der Behörde ist für Real Time Bidding eine Datenschutzfolgenabschätzung durchzuführen, da (i) neue Technologien verwendet würden, (ii) ein Profiling von Nutzern in großem Umfang stattfinde, (iii) eine „verdeckte „Datenverarbeitung“ stattfände, (iv) Nutzerverhalten und Standorte sowie auch (v) die Daten von schutzwürdigen Betroffenen, wie beispielsweise Kindern, verarbeitet würden.
4. Branchenstandards
Die bestehenden Branchenstandards, wie beispielsweise von IAB Europe, genügten den Anforderungen nach der DSGVO nicht.
5. Weiteres Vorgehen
Der ICO kündigt klar Durchsetzungsmaßnahmen an. So stellt der ICO heraus, dass er davon ausgeht, dass die bestehenden Probleme nicht behoben würden, wenn keine Durchsetzungsmaßnahmen ergriffen werden. Dennoch kündigt der ICO an, hier bedacht und koordiniert vorzugehen. So ist dem ICO bewusst, dass viele Publisher stark von den Einnahmen aus der Werbewirtschaft abhängig sind. Man werde sich daher in den kommenden sechs Monaten mit Marktteilnehmern wie IAB Europe abstimmen, um zu sehen, ob man sich auf eine entsprechend angepasste Verarbeitungspraxis einigen – oder gegebenenfalls auch anordnen – werde.