Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in ihrem Tätigkeitsbericht 2024 über eine Vor-Ort-Prüfung eines Berliner Unternehmens, das im Bereich der Onlinewerbung als Datenhändler tätig ist, geschrieben.
Keine oder unwirksame Einwilligungen
Für den Berliner DSB war aus den des Unternehmens vorgelegten Unterlagen erkennbar, dass entweder keine Einwilligungen vorlagen oder diese nicht den gesetzlichen Anforderungen entsprachen. Das Unternehmen betreibe keine eigenen Apps, sondern beziehe die personenbezogenen Daten von verschiedenen Datenlieferanten, die wiederum über eigene Apps oder über Dritte an die Daten gelangen. Die Verantwortung für die Einholung der Einwilligung werde dabei auf die ursprünglichen Datensammler ausgelagert. Zwar hätte das Unternehmen in einigen Fällen bei besonders schwerwiegenden Mängeln die Zusammenarbeit beendet, jedoch bestünden auch weiterhin Kooperationen mit Anbietern, bei denen nachweislich Datenschutzverstöße vorlagen.
Einwilligung nach TCF nicht ausreichend transparent oder verständlich
Die verwendeten Einwilligungstexte orientierten sich am „Transparency & Consent Framework“ (TCF) des IAB Europe, das der Standardisierung von Einwilligungsprozessen im Bereich Programmatic Advertising dient. Folgende Punkte wurden dabei kritisiert:
- die unverständliche und inhaltsleere Menge an Informationen, die den Betroffenen präsentiert wurde
- unzureichende Beschreibung der Zwecke und Datenverarbeitungen
- die tatsächliche Datenverarbeitung ging in einigen Fällen über den erklärten Inhalt der Einwilligung hinaus
- die Möglichkeiten zur Ablehnung der Einwilligung war häufig versteckt, erschwert oder an essenzielle Funktionen gekoppelt
- Datenschutzerklärungen und Einwilligungstexte waren lediglich in Fremdsprachen verfügbar
- ein Nachweis über die tatsächliche Erteilung der Einwilligung fehlte, das Unternehmen hatte lediglich eine abstrakte Prüfung des Einwilligungsvorgangs vorgenommen
- es fehlte oftmals der Nachweis, dass bei verweigerter Einwilligung tatsächlich keine Datenübertragung stattgefunden hat, was zu rechtswidrigem Tracking führt.
Zweifelhafte Datenqualität
Darüber hinaus hat der Berliner DSB stichprobenartig die Qualität der aggregierten Trackingdaten geprüft und hat dabei festgestellt, dass diese eine Vielzahl von Widersprüchen zeigten. Einzelne NutzerInnen wurden bspw. gleichzeitig unterschiedliche Alters- oder Einkommensklassen zugewiesen.
Verantwortung trotz fehlendem Endkundenzugang
Der Fall verdeutlicht exemplarisch die Herausforderungen im Bereich des datenschutzkonformen Trackings und Profilings. Auch Unternehmen, die nicht direkt mit den betroffenen Personen in Kontakt stehen, bleiben vollumfänglich verantwortlich für die Rechtmäßigkeit der Datenverarbeitung. Dazu zählt insbesondere der belastbare Nachweis einer wirksamen Einwilligung und einer transparenten Information der betroffenen Personen.
Die bloße Berufung auf Einwilligungstexte reicht nicht aus, wenn diese weder verständlich noch zweckdienlich sind, insbesondere dann, wenn hunderte Unternehmen beteiligt sind, die Datenflüsse hochkomplex und für Betroffene nicht nachvollziehbar sind.
Empfehlung: Einwilligungsprozesse überprüfen
Die Vor-Ort-Prüfung vom Berliner DSB sollten alle Verantwortlichen zum Anlass nehmen, ihre eigenen Einwilligungsprozesse zu überprüfen:
- Sind die Einwilligungstexte klar verständlich?
- Sind alle Zwecke und Datenverarbeitung eindeutig benannt?
- Können Ablehnungen wirksam und einfach vorgenommen werden?
- Lässt sich der gesamte Prozess zuverlässig dokumentieren und individuelle Einwilligungserklärungen nachweisen?
Als Datenschutzbeauftragte stehen wir Ihnen gerne beratend zur Seite, wenn Sie Ihre Verfahren überprüfen oder datenschutzkonform weiterentwickeln möchten.