Wirksame Anonymisierung – oder doch nur Pseudonymisierung?

EU-Gericht urteilt zum Personenbezug bei verschlüsselten Daten

Personenbezogene Daten werden häufig pseudonymisiert verarbeitet, indem unmittelbar identifizierende Klardaten (zum Beispiel Namen) mit Kennungen oder Codes ersetzt werden. Die Stelle, die eine Pseudonymisierung vornimmt, behält aber in der Regel Mittel in der Hand, um die hinter den pseudonymen Kennungen stehenden Personen weiterhin zu identifizieren, sodass das Datenschutzrecht und die DSGVO auf diese Daten weiterhin unmittelbar anwendbar bleiben.

Wie ist jedoch der Fall zu bewerten, wenn diese verschlüsselten Daten an ein anderes Unternehmen weitergegeben werden? Genau diese Frage musste das Europäische Gericht („EuG“) kürzlich beantworten (Urteil vom 26. April 2023, Az. T-557/20). (Hinweis: Das EuG ist eine Vorinstanz zum Europäischen Gerichtshof („EuGH“) und mit diesem daher nicht zu verwechseln!)

Der Sachverhalt

Das Single Resolution Board („SRB“), das als EU-Institution die Abwicklung von Insolvenz im Finanzsektor begleitet, erfasste über ein Online-Formular persönliche Stellungnahmen und gab diese Daten an eine Beratungsfirma weiter, ohne die Betroffenen darüber zu informieren. Vor der Weitergabe ersetzte das SRB die Namen jedoch jeweils mit einem Code.

Der nach einer Beschwerde eingeschaltete Europäische Datenschutzbeauftragte („EDSB“) sah hierin eine Weitergabe von pseudonymisierten – und damit personenbezogenen – Daten der Betroffenen an einen Dritten. Entsprechend hätte das SRB die Betroffenen über die Datenweitergabe informieren müssen.

Der SRB führte hiergegen an, dass es sich bei den weitergegebenen Daten um anonymisierte Daten handeln würde. So habe der SRB die für die Reidentifizierung der Interessenten erforderlichen Daten nicht mit der Beratungsfirma geteilt. Außerdem stünde letzterer kein Recht zu, auf die beim SRB liegenden Informationen zuzugreifen, um die Interessenten hinter den Codes zu ermitteln.

Urteil: Die Perspektive des Datenempfängers muss berücksichtigt werden

Das EuG führte in seiner Entscheidung aus, dass es für die Frage, ob pseudonymisierte Daten, die an ein anderes Unternehmen übermittelt werden, als personenbezogene Daten nach der DSGVO einzustufen sind, auf die Sicht des Datenempfängers ankommt. Es muss insoweit geprüft werden, ob der Datenempfänger (zulässige) Mittel besitzt, die er vernünftigerweise einsetzen kann, um die betroffenen Personen zu identifizieren. Diese Prüfung hatte der EDSB in dem vorliegenden Verfahren jedoch unterlassen und es für ausreichend befunden, dass jedenfalls das SRB eine Identifizierung vornehmen konnte.

Einordnung für die Praxis

Das EuG setzt mit seinem Urteil die bekannte „Breyer“-Rechtsprechung des EuGH aus dem Jahr 2016 konsequent fort. Es deutet hiermit an: Wenn ein Datenempfänger tatsächlich nicht über zusätzliche Informationen verfügt, die ihm eine erneute Identifizierung der betroffenen Personen ermöglichen, und wenn ihm keine rechtlichen Mittel zur Verfügung stehen, um auf diese Informationen zuzugreifen, stellen die ihm übermittelten (pseudonymisierten) Daten keine personenbezogenen Daten dar. Die DSGVO ist für die Verarbeitung dieser Daten in der Konsequenz auch nicht anwendbar.

Auf den ersten Blick sind dies gute Nachrichten insbesondere für Unternehmen in der Werbebranche, die pseudonymisierte Daten für das Anzeigen von Werbung speichern und verwenden, wie zum Beispiel Data Management Plattformen.

Die Feststellungen im Urteil gelten jedoch nur unter dem Vorbehalt, dass Identifier in diesen Datensätzen nicht doch noch andere Identifikatoren vorhanden sind. In der Praxis sind solche vollverschlüsselten und damit anonymisierten Datensätze allerdings nur selten anzutreffen, da die Kombination der unterschiedlichen Datenkategorien in der Regel doch einen Rückschluss zu den betroffenen Personen erlauben. Die praktischen Auswirkungen des Urteils werden daher gering sein.

In Übrigen ist eine Berufung zum EuGH möglich und auch nicht unwahrscheinlich. Es bleibt daher abzuwarten, ob das Urteil des EuG vor dem Gerichtshof bestehen wird.

Erfolg für UNVERZAGT beim Bundesgerichtshof: Unternehmen haften nicht für Rechtsverstöße ihrer Affiliate-Partner

Der Bundesgerichtshof hat am 26. Januar eine wegweisende Entscheidung mit Auswirkungen auf die gesamte Affiliate-Branche gefällt: Weder Unternehmen, die Affiliate-Werbung für sich nutzen, noch die Betreiber von Affiliate-Netzwerken haften für Rechtsverstöße ihrer Affiliate-Partner, also der Publisher.

Jahrelang war diese für das Onlinemarketing wichtige Frage zwischen den deutschen Gerichten umstritten, jetzt ist sie dank einer Grundsatzentscheidung des Bundesgerichtshofs geklärt. Das UNVERZAGT-Team von Ulrich Börger und Mina Kianfar vertrat in diesem Verfahren Amazons Affiliate-Netzwerk gegen den Matratzenhersteller Bett1, der Amazon für Rechtsverstöße von Affiliate-Partnern haftbar machen wollte.

Der Bundesgerichtshof in Karlsruhe (Foto: ComQuat, CC BY-SA 3.0)

Auch die Tagesschau berichtete über die Entscheidung des BGH.

Wir freuen uns, dass wir auf diese Weise zu mehr Rechtssicherheit in der Affiliate-Branche beitragen konnten. Wenn Sie Fragen zu den Auswirkungen dieser Entscheidung auf Ihr Geschäftsmodell oder zu weiteren aktuellen Themen im Affiliate-Marketing haben, sprechen Sie uns gern an.

Insbesondere Fragen des korrekten Einwilligungsmanagements sind hier weiterhin im Fokus der Aufsichtsbehörden und mit entsprechenden Haftungsrisiken verbunden.

Belgische Aufsichtsbehörde akzeptiert Vorschlag zur Anpassung des Cookie-Standards: Kommt jetzt das TCF 2.1?

Die Diskussion um die rechtlichen Anforderungen an „Cookie-Einwilligungen“ geht weiter: Am 11. Januar hat die belgische Datenschutzaufsichtsbehörde APD nun die Entscheidung veröffentlicht, dass sie den „action plan“ des Branchenverbands der Online-Werbebranche, IAB Europe, in Bezug auf den TCF 2.0-Standard „akzeptieren“ wird.

Blick auf die „zweite Layer“ eines typischen Cookie-Banners (CMP) nach dem TCF 2.0-Standard

Was bedeutet die Entscheidung für Unternehmen aus der Online-Werbebranche?

Es geht um die Frage, ob der mittlerweile auf den meisten Websites genutzte Branchenstandard TCF 2.0 rechtswirksam für die Einholung von Einwilligung für die Nutzung von Cookies und Nutzerdaten zu Werbezwecken genutzt werden kann. Aus Belgien waren daran zuletzt grundsätzliche Zweifel zu hören:

Die Erstellung eines „action plan“ war eine Auflage der Entscheidung der APD vom 2. Februar 2022 an IAB Europe, neben der Zahlung eines Bußgelds das TCF 2.0 mit ihrer Auslegung der DSGVO in Einklang zu bringen (wir hatten berichtet).

Der am 1. April 2022 von IAB Europe bei der APD eingereichte „action plan“ zur Anpassung der TCF Policies an die Entscheidung der APD wurde bislang vom IAB Europe (bewusst) nicht veröffentlicht.

Gleichzeitig zur Erstellung des „action plan“ war das IAB Europe nämlich gegen die Entscheidung der APD vor das zuständige Gericht in Belgien gezogen, welches wiederum bestimmte Rechtsfragen dem EuGH zur Vorabentscheidung vorgelegt hat. Streitig ist hier, (1) ob das IAB Europe bei der Verarbeitung der Nutzerdaten tatsächlich gemeinsamer Verantwortlicher ist (unsere Meinung: nein) und (2) ob das TCF-Signal (auch „consent string“) ein personenbezogenes Datum darstellt (unsere Meinung: zusammen mit einer Nutzer-ID ja, sonst nein). Dieses Verfahren läuft zunächst weiter.

Mit der Entscheidung, den „action plan“ von IAB Europe zu „akzeptieren“, macht die APD den Weg dafür frei, dass das TCF in überarbeiteter Form von der Branche weiterhin zum Einholen von Nutzer-Einwilligungen zur Verarbeitung von personenbezogenen Daten in der Online-Werbung genutzt werden kann. Andere europäische Aufsichtsbehörden waren an dieser Entscheidung jedoch nicht beteiligt und sie ist weder für diese noch für die Gerichte bindend.

IAB Europe soll den „action plan“ nun binnen sechs Monaten umsetzen. Aus dem TCF 2.0 würde dann ein „TCF 2.1“.

Weder die APD noch IAB Europe haben bislang den Inhalt des „action plan“ veröffentlicht, um das parallel weiter laufende Gerichtsverfahren nicht zu beeinflussen. Es ist unklar, ob IAB Europe die Klage nun möglicherweise zurücknimmt, wenn es mit dem „action plan“ zufrieden ist.

Erst mit dieser Umsetzung, also der Veröffentlichung einer neuen Fassung der komplexen TCF Policies, die dem TCF-Standard zu Grunde liegen, ändern sich die Anforderungen für an das TCF angeschlossene Publisher und Vendoren.

Es kann aber auch sein, dass der „action plan“ nie umgesetzt wird, wenn die Klage des IAB Europe gegen die ursprüngliche Entscheidung der APD Erfolg hat.

Damit ist zu hoffen, dass die Rechtsunsicherheit hinsichtlich der DSGVO-Konformität bei Einhaltung des TCF 2.0 endlich abnimmt. Insbesondere die Frage, ob ein Nutzer über eine TCF-CMP angesichts der Masse an Beteiligten und der gleichzeitig sowohl vagen als auch überbordenden Informationen überhaupt eine wirksame Einwilligung abgeben kann, ist weiterhin offen – das Landgericht München I hat sie kürzlich in Sachen focus.de verneint (wir berichteten).

Bis dahin sollten Unternehmen sich bemühen, den aktuell geltenden Branchenstandard so gut wie möglich einzuhalten – wir beraten unsere Mandanten dazu laufend.

Landgericht München hält das Cookie-Banner auf „Focus Online“ für nicht datenschutzkonform

Cookie-Banner – ein Dauerbrenner im Datenschutz

Cookie-Banner sind im Internet allgegenwärtig: Fast jede Website fragt ihre Besucher nach einer Einwilligung für die Nutzung von Tracking-Cookies und die Verarbeitung von personenbezogenen Nutzerdaten zu Werbezwecken. An diese Einwilligung stellen DSGVO und TTDSG hohe Anforderungen. Aufgrund ihrer Verbreitung und datenschutzrechtlichen Relevanz überrascht es daher nicht, dass Cookie-Banner regelmäßig im Fokus der Aufsichtsbehörden stehen, was etwa die länderübergreifende und koordinierte Prüfung von Websites reichweitenstarker Verlage vor zwei Jahren zeigt (wir berichteten).

Ein immer wiederkehrendes Thema ist die rechtskonforme Gestaltung von Cookie-Bannern, denn diese beeinflusst, ob eine Einwilligung wirksame eingeholt wird oder eben nicht. Insbesondere wird geprüft, ob das Cookie-Banner es dem Besucher erlaubt, eine informierte und freiwillige Entscheidung in Bezug auf das Setzen von Cookies oder der Verarbeitung seiner Daten zu treffen. Die Aufsichtsbehörden haben dazu Vorgaben gemacht. Erst kürzlich konkretisierte die deutsche Datenschutzkonferenz diese Vorgaben in der aktualisierten Orientierungshilfe für Telemedienanbieter.

Das Cookie-Banner auf Focus Online im Januar 2023.

Landgericht München I: keine wirksamen Einwilligungen über das Cookie-Banner auf „Focus Online“

Wie ein Cookie-Banner nicht auszusehen hat, zeigt kürzliches, noch unveröffentlichtes Urteil des Landgericht München I (Az. 33 O 14776/19) gegen den Betreiber von Focus Online. Geklagt hatte der Verbraucherzentrale Bundesverband, welcher auch gegen vier weitere Verlagshäuser Klage erhoben hat.

In seiner Entscheidung führt das Landgericht München I aus, dass das im Zeitpunkt der Klageerhebung 2019 eingesetzte Cookie-Banner auf Focus Online nicht dafür geeignet war, informierte und freiwillige Einwilligungen der Nutzer einzuholen. Die zwei wesentlichen Kritikpunkte:

  1. zu viele (!) Informationen: Das Urteil enthält 141 (!) Seiten mit Screenshots der Cookie-Banner zum entscheidungserheblichen Zeitpunkt 2019. Eine solche Fülle an Informationen kann aus Sicht des Gerichts von einem durchschnittlichen Besucher vernünftigerweise nicht erfasst werden.
  2. Aufwand der Ablehnung zu hoch (keine „alles ablehnen“-Schaltfläche): Der Betreiber hatte sich damit verteidigt, dass das Gesetz nicht ausdrücklich vorsieht, dass Besucher bereits auf der ersten Ebene eines Cookie-Banners alle Datenverarbeitungen mit einem Klick ablehnen können und sich stattdessen an die „Zweistufigkeit“ von Bannern gewöhnt hätten. Das Gericht entschied, dass es beim Banner auf Focus-Online zu viel Zeit des Besuchers in Anspruch nahm, die Einwilligung zu verweigern.

Kein Berufen auf „berechtigte Interessen“ für Analyse- und Werbezwecke

Des Weiteren äußerte sich das Landgericht München zu der Frage, ob das Tracking des Nutzerverhaltens zu Analyse- und Werbezwecken (alternativ) auf berechtigte Interessen gestützt werden kann – und damit gar keine Einwilligung erforderlich ist. Dies lehnte das Gericht jedoch ab. Das Finanzierungsinteresse journalistischer Inhalte, wie es der Betreiber vorgetragen hatte, reicht dafür nicht aus.

Ebenso entschied das Gericht, dass die Cookies, welche für ein derartiges Tracking verwendet werden, nicht als für den Betrieb der Website „unbedingt erforderlich“ eingestuft werden können – sie bedürfen daher der Einwilligung.

Auswirkungen des Urteils: Cookie-Banner auf Focus Online basiert auf dem TCF-Standard

Zu erwähnen ist schließlich, dass das Cookie-Banner von Focus Online auf dem weit verbreiteten Transparency and Consent Framework (TCF) der Branchenorganisation IAB Europe basiert. Dieser war von der zuständigen belgischen Datenschutzbehörde erst im Frühjahr dieses Jahres für unzulässig erklärt worden (wir berichteten).

Bezeichnend für das TCF ist unter anderem, dass mit einem Klick die Zustimmung eines Besuchers für dutzende oder teils mehr als hundert Werbedienstleister erhoben wird – was wohl in vorliegendem Urteil auch erklärt, weshalb das Cookie-Banner von Focus Online einen solch großen Informationsumfang hatte. Genau das sah das Gericht aber als problematisch an.

Ausblick

Zentral für die Gestaltung eines rechtskonformen Cookie-Banners bleibt die Einhaltung der Anforderungen an die Einwilligung nach DSGVO und TTDSG. Werden diese Anforderungen nicht erfüllt, kann insbesondere im Bereich des Besuchertrackings oder der personalisierten Werbung nicht auf berechtigte Interessen zurückgegriffen werden.

Der Betreiber hat bereits angekündigt, gegen das Urteil Rechtsmittel einzulegen. Bis zu einer rechtskräftigen Entscheidung bleibt die Erkenntnis, dass die eigene Datenschutz-Compliance auch das Thema Cookie-Banner nicht vernachlässigen sollte. So werden nach den großen Anbietern wie Google und Amazon zunehmend auch nationale Unternehmen von den Aufsichtsbehörden ins Auge gefasst.

Dies kann für Unternehmen mit einer Vielzahl an Datenverarbeitungsvorgängen auf der eigenen Website herausfordernd sein. Bedauerlicherweise helfen hierbei aber momentan Industriestandards wie das TCF nicht ab. Vielmehr zeigt das Urteil, dass das TCF in seiner jetzigen Beschaffenheit Datenschutz-Probleme eher schafft als löst. Jedenfalls kann mit der Nutzung des TCF nicht automatisch davon ausgegangen werden, dass man datenschutzkonform aufgestellt ist.

Bei Fragen zur Gestaltung Ihres Cookie-Banners, zum TCF und zu allen anderen datenschutzrelevanten Themen unterstützen wir Sie gern.

Digital Services Act: neue Kennzeichnungspflichten für das Onlinemarketing

Mit dem Digital Services Act (DSA) möchte die EU die Regeln in der Digitalbranche grundlegend neu fassen und weiter vereinheitlichen. Insbesondere steht beim DSA die Bekämpfung von „hate speech“ und der Umgang mit illegalen Inhalten im Fokus. Doch auch im Bereich der Online-Werbung sind wesentliche Änderungen geplant. Dies betrifft insbesondere neue Transparenzpflichten für Online-Werbung.

Jetzt hat die EU-Kommission ein neues FAQ-Dokument veröffentlicht, das die wesentlichen geplanten Neuerungen skizziert. Gerade über die zukünftige Regulierung von Online-Werbung wurde im Gesetzgebungsverfahren hitzig debattiert, insbesondere vor dem Hintergrund des Vorschlags einiger EU-Abgeordneter, personalisierte Werbung vollständig zu verbieten. Letztlich ging dieser Vorschlag nicht durch – die EU zieht die Zügel dennoch merklich an.

Wenngleich sich das EU-Parlament und der Rat im April 2022 auf die neuen Vorschriften geeinigt haben: Noch ist nicht alles in trockenen Tüchern – die finale Version ist noch nicht veröffentlicht, Änderungen sind also noch möglich. Dennoch zeichnet sich jetzt schon ab, was vom DSA in diesem Bereich zu erwarten ist.

Publisher werden zu mehr Transparenz bei nutzerspezifischer Online-Werbung verpflichtet

Personalisierte Werbung soll also zwar weiterhin erlaubt bleiben, doch sind neue Regeln zu beachten: Neben einem ausdrücklichen Verbot personalisierter Werbung in Bezug auf Minderjährige oder auf Grundlage sensibler Daten (z.B. ethnische Herkunft, sexuelle Orientierung) sollen Anbieter bei nutzerspezifischer Online-Werbung zusätzliche Transparenzpflichten erfüllen, die den Nutzern mehr Informationen zu der ihnen angezeigten Werbung zur Verfügung stellen.

So sollen Nutzer klar erkennen können, ob und warum eine Werbeanzeige gerade auf sie abzielt und wer sie finanziert hat. Ebenfalls soll für den Nutzer erkennbar sein, wann Inhalte gesponsert sind oder originär und ungesteuert auf einer Plattform veröffentlicht werden oder wenn Influencer Werbung verbreiten. Weiterhin soll für potenziell illegale Werbung Meldepflichten gelten.

Dabei ist klar: Diese Pflichten können die Publisher selbst nicht erfüllen – sie müssen dazu auf die Infrastruktur ihrer Werbedienstleister zurückgreifen können. Entsprechend müssen diese Unternehmen Vorkehrungen treffen, zukünftig mit dem Werbemittel zuverlässig die entsprechenden Informationen auszuliefern.

Geplant sind zudem erweiterte Pflichten für sehr große Online-Plattformen mit mehr als 45 Millionen Nutzern. Hierzu zählt die Einrichtung von öffentlich zugänglichen (Werbe-)Archiven. In diesen sollen Werbeanzeigen archiviert werden und es ermöglichen zu überprüfen, wie Werbung angezeigt und gezielt ausgerichtet wurde. Außerdem sollen sehr große Online-Plattformen dazu verpflichtet werden, ihre Werbesysteme dahingehend zu überprüfen, ob und wie sie manipuliert werden oder anderweitig zu gesellschaftlichen Risiken beitragen und wie diesen begegnet werden kann.

Ausblick

Auf Online-Plattformen und Werbetreibende kommen damit erhebliche Veränderungen zu. Ob hiermit aber, wie der EU-Binnenmarktkommissar Thierry Breton markant auf Twitter verlauten ließ, ein neuer Sheriff in der Stadt ist, der Ordnung in den „Digitalen Wilden Westen“ bringt, wird sich zeigen.

Sobald die finale Version veröffentlicht ist, werden wir Sie selbstverständlich informieren.