Die letzten Wochen des Jahres sind in Europa entscheidend, um das Privatleben zu respektieren. In Frankreich, Großbritannien, Deutschland und Spanien klären Datenschutzbehörden ihre Erwartungen an neue Technologien und Ad-Targeting-Lösungen, die Alternativen zu Drittanbieter-Cookies darstellen. Meinungen, Interpretationen und Anweisungen, die Unternehmen im Allgemeinen und Adtech im Besonderen wissen, verstehen und beobachten möchten.
In Frankreich bietet die CNIL Leitlinien zu Alternativen zu Cookies
Dass CNIL gab eine ähnliche Stellungnahme mit seinem britischen Pendant (ICO) zu alternativen Targeting-Lösungen für ID-basierte Cookies ab. Nach Angaben der französischen Behörden bedarf der Zugriff auf die Geräte eines Benutzers zum Speichern oder Aufzeichnen von Informationen für nicht unbedingt erforderliche Zwecke einer vorherigen schriftlichen Zustimmung, unabhängig davon, ob personenbezogene Daten verarbeitet werden.
In ihren Ende November veröffentlichten Leitlinien zu Alternativen zu Cookies von Drittanbietern warnt die CNIL, dass die Neuerung Folgendes betrifft: Anzeigenausrichtung müssen „immer die gesetzlichen Rahmenbedingungen für den Datenschutz, insbesondere die Einwilligungsregeln und die Betroffenenrechte“ einhalten. Das bedeutet, dass das Entfernen von Drittanbieter-Cookies oder sogar personenbezogenen Daten aus zielgerichteten Anzeigen nicht die Verpflichtungen des Unternehmens aus der Datenschutz-Grundverordnung (DSGVO), ePrivacy und anderen Datenschutzgesetzen aufhebt.
Die CNIL-Richtlinie überprüft das Konzept von proprietären Cookies, Fingerabdrücken, Single Sign-On (SSO), eindeutige Kennungen und Anzeigenausrichtung nach Gruppe. Sie betonten, wie wichtig es ist, den Nutzern die Kontrolle über ihre Daten zu ermöglichen, die Verarbeitung sensibler Daten zu vermeiden und die Rechenschaftspflicht zu wahren.
Durchsetzungsvermögen und Pädagogik auf Französisch
Seit Mitte Dezember hat die CNIL bekannt gegeben, dass sie etwa dreißig Behörden und Unternehmen, die ihre Cookie-Anforderungen nicht erfüllen, förmlich benachrichtigt hat. Diese Umfragen befassen sich mit der Speicherung von Cookies ohne vorherige Zustimmung, Informationsbannern, die es den Nutzern nicht ermöglichen, die Speicherung von Cookies so einfach wie möglich zu verweigern, und Cookies, die trotz einer ausdrücklichen Ablehnung des Nutzers gespeichert werden. Organisationen haben einen Monat Zeit, um ihre Praxis zu ändern.
Am Tag vor dieser Ankündigung haben die französischen Behörden einen aktualisierten DSGVO-Leitfaden für Entwickler veröffentlicht. Dieser Leitfaden ist sowohl lehrreich als auch praktisch konzipiert und listet die Arten von Plottern auf, für die eine vorherige Genehmigung erforderlich ist und für die eine vorherige Genehmigung erforderlich ist, und skizziert die Schritte, die Entwickler unternehmen sollten, wenn haftpflichtversicherte Plotter verwendet werden. Es enthält eine Liste der Elemente, die in die Genehmigungsschnittstelle aufgenommen werden sollen, Beispiele für akzeptable Schnittstellen und eine Schritt-für-Schritt-Anleitung für die Back-End-Schritte.
In Großbritannien: Wunsch eines Adtechs im Datenschutzmodus standardmäßig
Das Office of the Information Commissioner (ICO), die britische Datenschutzbehörde, hat seine Erwartungen an die Adtech-Branche für die kommenden Monate und Jahre mitgeteilt. Die Ende November veröffentlichte Meinung war eindeutig: Die digitale Werbebranche „muss die Notwendigkeit des Wandels erkennen“.
Das ICO sagt, dass alle neuen Initiativen, ob von Google oder anderen Marktteilnehmern, standardmäßig datenschutzkonform gestaltet werden sollten, um Nutzern die Möglichkeit zu geben, Anzeigen ohne Tracking, Profiling oder Targeting basierend auf personenbezogenen Daten zu erhalten.
Transparenz darüber, wie und warum Daten verarbeitet werden, sollte ebenfalls im Mittelpunkt jeder Initiative stehen. Ebenso sollen die Nutzer wissen, wer im Ökosystem für die Verarbeitung ihrer Daten verantwortlich ist. Laut ICO muss die Branche nachweisen, wie diese Verarbeitung fair, legal und transparent ist, und alle Risiken, die den Schutz personenbezogener Daten untergraben, verhindern und angehen.
ID-basiertes Targeting in der ICO-Ansicht
ID-basierte Targeting-Lösungen erfüllen in dieser Phase nicht ganz die Transparenz-, Kontroll-, Genehmigungs- und Rechenschaftspflichten, die ICOs in Großbritannien befolgen. Die United Kingdom Agency gibt an, dass derzeit die Privacy and Electronic Communications Regulations (PECR) gelten, wenn Geräteinformationen verarbeitet werden, seien es personenbezogene Daten oder nicht. Ebenso können Identifier-Lösungen, die auf echten E-Mails basieren, keine effektiven Pseudonyme erzeugen.
Das ICO hat auch seine Stellungnahme zu bestimmten Brancheninitiativen abgegeben, wie zum Beispiel dem Transparency and Consent Framework (TCF), von dem die Organisation sagt, dass sie ihre Bedenken in dieser Angelegenheit nicht wesentlich ausgeräumt haben. Ebenso bietet Global Privacy Controls (GPC) den Benutzern keine Möglichkeit, ihre Präferenzen in voller Übereinstimmung mit den britischen Datenschutzanforderungen zu äußern.
UK Privacy Sandbox: Google ist der Wettbewerbsbehörde verpflichtet
Die britische Wettbewerbs- und Marktaufsichtsbehörde (CMA) hat acht neue Verpflichtungen von Google vorgestellt, um die Bedenken von CMA bezüglich der Google Privacy Sandbox auszuräumen. Google hat unter anderem zugesagt, die Grenzen zu klären, die sich das Unternehmen intern bei der Datennutzung auferlegt. Google verpflichtet sich außerdem, Drittparteien, die alternative Technologien entwickeln, zusätzliche Sicherheit zu geben und CMA regelmäßig darüber zu berichten, wie die Meinungen Dritter berücksichtigt werden können. Google muss seine Verpflichtung ab dem Zeitpunkt der Annahme durch die CMA sechs Jahre lang aufrechterhalten.
In Spanien werden öffentliche kryptografische Schlüssel mit privaten Daten gleichgesetzt
Die spanische Datenschutzbehörde hat Anfang Dezember einen Blog-Beitrag veröffentlicht, in dem es heißt, dass ein öffentlicher Schlüssel (der bei der Kryptografie mit öffentlichen Schlüsseln verwendet wird), der einer natürlichen Person entspricht, private Daten im Sinne der DSGVO darstellen kann. Dies ist der Fall, wenn es möglich ist, mit zusätzlichen öffentlichen Schlüsselinformationen zu verknüpfen, die eine Identifizierung der Person ermöglichen.
In Blogbeiträgen wird beispielsweise erklärt, dass öffentliche Schlüssel oft eng mit anderen Arten von Kennungen wie IP-Adressen, Sitzungskennungen, Cookies, Gerätesignaturen und Adressen verbunden sind. In Kombination ermöglicht dies die Zuordnung von Aktivitäten, die von verschiedenen Adressen oder Geräten aus durchgeführt werden, um Personen zu profilieren und sie erneut zu identifizieren. Sie ermöglichen auch das Erstellen von Links mit Inhalten und Metadaten. Daher sollte der öffentliche Schlüssel in einem solchen Kontext, selbst wenn er getarnt ist, als private Daten behandelt werden.
Es ist klar, dass die spanische Agentur wie ihre französischen und britischen Pendants dieselben Grundprinzipien auf den Bereich der Kryptografie mit öffentlichen Schlüsseln anwendet, die darin besteht, Unternehmen daran zu erinnern, dass neue Lösungen und technologische Entwicklungen nicht unbedingt die Achtung des Privatlebens bedeuten. .
In Deutschland schrumpfen die gesetzlichen Zinsmargen für die Telekommunikation
Deutsche Organisationen können sich für die Verwendung bestimmter nicht unbedingt erforderlicher Cookies nicht mehr auf berechtigte Interessen als Rechtsgrundlage berufen, selbst wenn ein berechtigtes Interesse aufgrund der DSGVO eine akzeptable Rechtsgrundlage wäre. Denn das am 1. Dezember in Kraft getretene Telekommunikations- und Telemediendatenschutzgesetz (TTDSG) setzt in erster Linie Artikel 5 Absatz 3 der ePrivacy-Richtlinie um. Letzterer besagt, dass Cookies und vergleichbare Technologien nur mit Zustimmung des Nutzers, soweit Cookies die Übertragung von Nachrichten über öffentliche Netze ermöglichen oder zwingend erforderlich sind, eingesetzt werden können. Deutsche Unternehmen und Organisationen müssen für die Verwendung von Cookies und anderer „Endbenutzer-Endgeräte-Informationsspeicherung“ eine Einwilligung einholen, obwohl keine personenbezogenen Daten im Sinne des DSGVO-Verständnisses verarbeitet werden.
VAE verabschiedet Datenschutzgesetz
Laut lokalen Quellen hat der Präsident der VAE im Rahmen eines größeren Gesetzespakets ein umfassendes Datenschutzgesetz verabschiedet. Dies ist das erste Datenschutzgesetz auf Bundesebene.
Dieser Text verbietet die Verarbeitung personenbezogener Daten ohne Einwilligung, legt bestimmte Verpflichtungen in Bezug auf Sicherheit und Datenübertragung fest und erweitert die Rechte der Nutzer auf Berichtigung, Einschränkung und Widerspruch gegen die Verarbeitung personenbezogener Daten. Der Präsident wird auch ein Gesetz zur Schaffung des VAE Data Office verabschieden, das sich dem Schutz personenbezogener Daten widmet.
Lehren aus dem Fall Google in New Mexico und OpenX/FTC
Google hat einen Vergleich in Höhe von 5,5 Millionen US-Dollar in einem zweistufigen Beschluss des Generalstaatsanwalts von New Mexico bezüglich der Sammlung von Informationen über Kinder erhalten. Der Vergleich umfasst auch eine Anordnung, die Google verpflichtet, neue Richtlinien und Maßnahmen umzusetzen, um die Erfassung personenbezogener Daten von Kindern unter 13 Jahren durch über Google Play verfügbare Apps zu verhindern.
Gleichzeitig erzielte die Werbeplattform OpenX im Dezember eine Vereinbarung über 2 Millionen US-Dollar mit der Federal Trade Commission (FTC) in den Vereinigten Staaten im Zusammenhang mit einer Untersuchung der Erhebung personenbezogener Daten von Kindern unter 13 Jahren ohne deren Zustimmung und Geolokalisierungsinformationen von Benutzer, die darum bitten, nicht verfolgt zu werden. OpenX unterliegt nun einer dauerhaften Anordnung der FTC.
Beide Fälle unterstreichen die Notwendigkeit, dass Werbeplattformen nicht nur ihre internen Datenschutzpraktiken, sondern auch das in ihren Werbemärkten erhaltene Inventar aktiv und fortlaufend überprüfen. Darüber hinaus unterliegt Adtech zunehmend der regulatorischen Mikroskopie, selbst kleine Auslassungen können Kosten verursachen.
„Gamer. Organizer. Hingebungsvoller Bier-Ninja. Zertifizierter Social-Media-Experte. Introvertiert. Entdecker.“