Mit dem Digital Services Act (DSA) möchte die EU die Regeln in der Digitalbranche grundlegend neu fassen und weiter vereinheitlichen. Insbesondere steht beim DSA die Bekämpfung von „hate speech“ und der Umgang mit illegalen Inhalten im Fokus. Doch auch im Bereich der Online-Werbung sind wesentliche Änderungen geplant. Dies betrifft insbesondere neue Transparenzpflichten für Online-Werbung.

Jetzt hat die EU-Kommission ein neues FAQ-Dokument veröffentlicht, das die wesentlichen geplanten Neuerungen skizziert. Gerade über die zukünftige Regulierung von Online-Werbung wurde im Gesetzgebungsverfahren hitzig debattiert, insbesondere vor dem Hintergrund des Vorschlags einiger EU-Abgeordneter, personalisierte Werbung vollständig zu verbieten. Letztlich ging dieser Vorschlag nicht durch – die EU zieht die Zügel dennoch merklich an.

Wenngleich sich das EU-Parlament und der Rat im April 2022 auf die neuen Vorschriften geeinigt haben: Noch ist nicht alles in trockenen Tüchern – die finale Version ist noch nicht veröffentlicht, Änderungen sind also noch möglich. Dennoch zeichnet sich jetzt schon ab, was vom DSA in diesem Bereich zu erwarten ist.

Publisher werden zu mehr Transparenz bei nutzerspezifischer Online-Werbung verpflichtet

Personalisierte Werbung soll also zwar weiterhin erlaubt bleiben, doch sind neue Regeln zu beachten: Neben einem ausdrücklichen Verbot personalisierter Werbung in Bezug auf Minderjährige oder auf Grundlage sensibler Daten (z.B. ethnische Herkunft, sexuelle Orientierung) sollen Anbieter bei nutzerspezifischer Online-Werbung zusätzliche Transparenzpflichten erfüllen, die den Nutzern mehr Informationen zu der ihnen angezeigten Werbung zur Verfügung stellen.

So sollen Nutzer klar erkennen können, ob und warum eine Werbeanzeige gerade auf sie abzielt und wer sie finanziert hat. Ebenfalls soll für den Nutzer erkennbar sein, wann Inhalte gesponsert sind oder originär und ungesteuert auf einer Plattform veröffentlicht werden oder wenn Influencer Werbung verbreiten. Weiterhin soll für potenziell illegale Werbung Meldepflichten gelten.

Dabei ist klar: Diese Pflichten können die Publisher selbst nicht erfüllen – sie müssen dazu auf die Infrastruktur ihrer Werbedienstleister zurückgreifen können. Entsprechend müssen diese Unternehmen Vorkehrungen treffen, zukünftig mit dem Werbemittel zuverlässig die entsprechenden Informationen auszuliefern.

Geplant sind zudem erweiterte Pflichten für sehr große Online-Plattformen mit mehr als 45 Millionen Nutzern. Hierzu zählt die Einrichtung von öffentlich zugänglichen (Werbe-)Archiven. In diesen sollen Werbeanzeigen archiviert werden und es ermöglichen zu überprüfen, wie Werbung angezeigt und gezielt ausgerichtet wurde. Außerdem sollen sehr große Online-Plattformen dazu verpflichtet werden, ihre Werbesysteme dahingehend zu überprüfen, ob und wie sie manipuliert werden oder anderweitig zu gesellschaftlichen Risiken beitragen und wie diesen begegnet werden kann.

Ausblick

Auf Online-Plattformen und Werbetreibende kommen damit erhebliche Veränderungen zu. Ob hiermit aber, wie der EU-Binnenmarktkommissar Thierry Breton markant auf Twitter verlauten ließ, ein neuer Sheriff in der Stadt ist, der Ordnung in den „Digitalen Wilden Westen“ bringt, wird sich zeigen.

Sobald die finale Version veröffentlicht ist, werden wir Sie selbstverständlich informieren.

Die französische Datenschutzbehörde CNIL legt in Sachen Google Analytics und DSGVO nach: Offenbar wurden bereits mehrere Untersagungsverfügungen gegen Website-Betreiber versandt, die den Analyse-Dienst nutzen. Auf der Website der Behörde findet sich eine Seite mit Fragen und Antworten zum Thema – bislang nur auf Französisch, weshalb wir hier die wesentlichen Aussagen wiedergeben und in den nötigen Kontext setzen.

Zum Hintergrund: Die Datenschutzorganisation NOYB hatte 2020 insgesamt 101 Beschwerden gegen Website-Betreiber in der gesamten EU erhoben, die über Google Analytics angeblich Daten ihrer Nutzer in die USA übertrugen. Auf diesem Wege wollen die Aktivisten dazu beitragen, das Schrems-II-Urteil des Europäischen Gerichtshofs durchzusetzen – auch bekannt als „Projekt 101 Dalmatiner“.

Rechtlich sieht das Ganze so aus: Für eine Datenübertragung aus der EU heraus gibt es die DSGVO-Standardvertragsklauseln (SCCs), deren hohe Anforderungen zur Datensicherheit nach dem Europäischen Datenschutzausschuss aber in der Praxis aktuell quasi nicht erfüllt werden können.

Die Kernaussage der CNIL: Googles Datensicherheitsmaßnahmen erfüllen diese Anforderungen nicht. Die in die USA übertragenen Nutzerdaten seien nicht ausreichend geschützt. In der Konsequenz heißt das: Die Nutzung von Google Analytics ist DSGVO-widrig!

Die von der Untersagungsverfügung der CNIL betroffenen Unternehmen erhielten eine Frist von einem Monat (in Einzelfällen auch länger), um den DSGVO-Verstoß abzustellen. Auch wer nicht angeschrieben wurde, sei aufgefordert, Google Analytics bei sich abzuschalten.

Im Dezember 2021 hatte die österreichische Datenschutzbehörde bereits ebenso entschieden. Anfang 2022 war die CNIL dem gefolgt (wir hatten dazu berichtet). Eine Entscheidung zu den 101-Dalmatiner-Verfahren aus Deutschland steht derweil aus. Die europäischen Datenschutzbehörden stehen dabei aber im Austausch – zum Beispiel hat sich die niederländische Aufsichtsbehörde bereits gleichlautend geäußert.

Die CNIL wiederholt dabei zwei wichtige Punkte:

• eine Verschlüsselung hilft nur, wenn die Daten verschlüsselt bleiben, was sie in der Regel nutzlos macht (so schon der EDPB)
• eine Einwilligung der betroffenen Nutzer ist für diese Zwecke nicht möglich (so schon die deutsche Datenschutzkonferenz)

Die CNIL betont außerdem: Es gibt aktuell keine Möglichkeit, durch Einstellungen im Backend von Google Analytics für DSGVO-Konformität zu sorgen. (Insbesondere reicht die so genannte „IP-Anonymisierung“ nicht aus, da trotzdem personenbezogene Daten erhoben und in die USA übertragen werden.)

Die nach der CNIL einzige Lösung: Einen Proxy-Server zwischenschalten, um die Daten vor der Übertragung an Google wirksam zu anonymisieren. Die CNIL-Website erklärt, wie das geht (leider nur auf Französisch). Außerdem gibt es eine Liste mit Alternativ-Diensten, die DSGVO-konform genutzt werden können.

Zum aktuellen Update auf Google Analytics 4 äußert sich die CNIL nicht. Google selbst schweigt bislang – und auch das geplante neue EU-US-Datenschutzabkommen wird trotz der Ankündigung der EU-Kommission im März nicht so bald kommen.