Der Update-Bericht verdeutlicht die Ansichten der ICO zu adtech, insbesondere zur Verwendung personenbezogener Daten im RTB (Real Time Bidding), sowie die geplanten nächsten Schritte.
Die Untersuchungen der ICO haben eine Reihe von Bedenken hinsichtlich der Datenschutzpraktiken innerhalb des RTB aufgeworfen. Im Bericht sind folgende Bereiche priorisiert worden:
- Transparenz und Consent: Die in RTB verwendeten Protokolle beinhalten Datenfelder, die Daten einer speziellen Kategorie darstellen, was der ausdrücklichen Zustimmung der betroffenen Person bedarf. Darüber hinaus bleiben die derzeitigen Praktiken für die Verarbeitung personenbezogener Daten im Allgemeinen problematisch, auch wenn die Daten der Sonderkategorie entfernt wurden. Zum Beispiel:
- die Ermittlung einer rechtmäßigen Grundlage für die Verarbeitung personenbezogener Daten im RTB bleibt weiterhin eine Herausforderung, da die Szenarien, in denen berechtigte Interessen gelten könnten, begrenzt sind, und die Verfahren zur Erlangung der Einwilligung in Bezug auf die datenschutzrechtlichen Anforderungen oft unzureichend;
- die Datenschutzhinweise für Einzelpersonen sind unklar und geben ihnen keinen vollständigen Überblick darüber, was mit ihren Daten geschieht;
- das Ausmaß der Erstellung und Weitergabe von Profilen personenbezogener Daten in RTB unverhältnismäßig, aufdringlich und ungerecht erscheint, insbesondere wenn den betroffenen Personen in vielen Fällen nicht bekannt ist, dass diese Verarbeitung stattfindet; und
- Es ist unklar, ob die RTB-Teilnehmer vollständig festgelegt haben, welche Daten verarbeitet werden müssen, um das angestrebte Ergebnis einer getargeteten Werbung für Einzelpersonen zu erreichen. Die Komplexität des Ökosystems bedeutet, dass sich die Teilnehmer mit ihm beschäftigen, ohne die damit verbundenen Fragen der Privatsphäre und der Ethik vollständig zu verstehen.
- Datenlieferkette: In vielen Fällen wird auf vertragliche Vereinbarungen zurückgegriffen, um zu schützen, wie Daten von Bid Requests geteilt, gesichert und gelöscht werden. Dies erscheint angesichts der Art der Weitergabe personenbezogener Daten und der Anzahl der beteiligten Vermittler nicht angemessen.
Die Priorisierung sowohl des RTB als auch der oben genannten Themen im Update-Bericht ist kein Hinweis darauf, dass ICO der Ansicht ist, dass andere Bereiche der Adtech- und Online-Werbung im Hinblick auf den Datenschutz „problemlos“ sind.
ICO hat den Mangel an Reife einiger Marktteilnehmer und die anhaltenden wirtschaftlichen Anreize, personenbezogene Daten mit Ausschreibungen in Verbindung zu bringen, deutlich gemacht. Zudem glaubt ICO nicht, dass diese Probleme ohne Intervention gelöst werden können. Folgenden gemessenen und iterativen Ansatz verfolgt der ICO, weil:
- dies ist ein äußerst komplexer Markt, der mehrere Technologien und Akteure umfasst – und man in Zukunft mehr darüber lernen wird;
- es gibt einige Brancheninitiativen zur Bewältigung dieser Herausforderungen, die nach ersten Maßnahmen weitere Impulse und Akzeptanz finden können;
- es gibt zusätzliche Überlegungen, insbesondere die wirtschaftliche Anfälligkeit vieler kleinerer Verlage, die es der ICO empfehlen, vorsichtig vorzugehen und die Folgen ihres Handelns zu beobachten; und
- adtech wächst und entwickelt sich weiter rasant und breitet sich über die Online-Umgebung hinaus aus – die Sicherstellung angemessener und verantwortungsvoller Datenschutzpraktiken ist entscheidend.
Im Rahmen dieses Ansatzes möchte der ICO den Marktteilnehmern eine angemessene Zeitspanne einräumen, um ihre Praktiken anzupassen. Nach Ablauf dieser Frist erwartet die britische Datenschutzaufsicht, dass Datenverantwortliche und Marktteilnehmer ihre Bedenken berücksichtigt haben.
Kurzfristig will die ICO Folgendes tun:
- weitere detaillierte Stellungnahmen einer Stichprobe von der Verantwortlichen der Datenverarbeitung über ihr Management von Bid Request Daten zu erhalten, um ihr Verständnis der Branchenpraktiken weiter zu verbessern;
- weitere Konsultationen mit dem IAB Europe und Google über das detaillierte Schema, das sie in ihren jeweiligen Frameworks verwenden, um festzustellen, ob bestimmte Datenfelder übermäßig und aufdringlich sind, und möglicherweise überarbeitete Schemata zu vereinbaren (oder zu beauftragen); und
- weiterhin Informationen mit anderen Datenschutzbehörden in Europa auszutauschen und gegebenenfalls Möglichkeiten der Zusammenarbeit zu ermitteln.