Obwohl AdTech nur ein Teil der Online Werbebranche ist, hat das UK Information Commissioner’s Office (ICO) angekündigt, sich die Sparte aufgrund der Risiken, die es für die Rechte und Freiheiten natürlicher Personen gemäß der neuen Datenschutzgrundverordnung (DSGVO) darstellt, genauer zu beleuchten.1 Auch die französische Datenschutzbehörde (CNIL) hat eine Stellungnahme zu ihrem Vorhaben, einen Aktionsplan auszuarbeiten, um die Regeln in diesem Bereich zu umreissen und die Beteiligten bei Einhaltung des Compliance-Prozess zu unterstützen.2
In diesem Blogpost schauen wir uns die Herausforderungen zum Thema Datenschutz für AdTech- und Real-Time-Bidding (RTB)-Unternehmen an. Zusätzlich zeigen wir auf, wie die Compliance für den Bereich langfristig sichergestellt werden kann, einschließlich des Frameworks für Transparenz- und Einwilligung (TCF) des Internet Advertising Bureau (IAB) Europe.
Was ist AdTech?
AdTech beschreibt Tools, die Informationen (einschließlich personenbezogener Daten) für Online-Werbekampagnen analysieren und verwalten und die Abwicklung von Werbetransaktionen automatisieren.3 AdTech umfasst dabei den gesamten Zyklus des Werbeauslieferungsprozesses. Oft werden Dritte für Teile des Prozesses mit ihren Services involviert, obwohl ein Teil der Werbung auch immer noch direkt von den Werbetreibenden selbst oder traditionellen Verlagshäusern publiziert wird.
Was ist Real-Time Bidding (RTB)?
RTB nutzt AdTech, um den Kauf und Verkauf von Anzeigenplätzen in Echtzeit zu ermöglichen – d. h. in der Zeit, in der eine Webseite im Browser eines Nutzers geladen wird – auf einer Impressionsbasis. Typischerweise wird hierfür ein Auktionspreismechanismus verwendet. RTB ist eine Art der Online-Werbung – genauer gesagt eine Unterart der programmatischen Werbung, die am häufigsten für den Verkauf von visuellen Anzeigenplätzen online verwendet wird, entweder auf der Website eines Verlegers oder über die App eines Verlegers. RTB unterscheidet sich von statischen Auktionen durch den Gebotsmechanismus pro Impression, während bei statischen Auktionen Tausende von Impressionen zusammen als Paket gekauft werden können.
AdTech & RTB: Wer sind die Hauptakteure?
- Werbetreibende: Werbetreibende sind Unternehmen, die in Echtzeit Gebote abgeben, um Webseitenbesuchern Werbeeinblendungen (Impressionen) zu präsentieren. Der Höchstbietende gewinnt, und seine Werbung wird den Webseitenbesuchern präsentiert.
- Verleger: Verleger sind Webseiten, die Platz (Inventar) für Online-Werbung verkaufen.
- Werbebörsen: Werbebörsen sind Plattformen zum Vergleich von Preis und Qualität von Impressionen. Sie dienen als Vermittler und Konnektoren für das Bieten zwischen Werbetreibenden und Verlegern.
- Supply-Side-Plattformen (SSPs): SSPs helfen Verlegern bei der Verwaltung und dem Verkauf ihres Werbeinventars.
- Demand-Side-Plattformen (DSPs): DSPs kaufen Inventar auf der Basis von verhaltensbezogenen und oft auch persönlichen Daten. Wenn die Impression mit der Zielgruppe des Werbetreibenden übereinstimmt, wird ein Gebot über die Demand-Side-Plattform abgegeben.
Was sind die besonderen Herausforderungen für den Datenschutz?
RTB bring eine Reihe von Datenschutzrisiken mit sich, z.B. folgende:
- Profiling und automatisierte Entscheidungsfindung: Jede Impression wird während des Auktionsprozesses in Millisekunden profiliert und bewertet, während eine Webseite geladen wird.
- Gross angelegte Verarbeitung (auch von besonderen Arten von Daten): Die Reichweite von RTB ermöglicht es Werbetreibenden, Profile von Impressionen auf einer Vielzahl von Websites zu erstellen und auszuwerten. Dadurch kann eine Zielgruppe in grossem Umfang angesprochen werden.
- Einsatz innovativer Technologien zur Datenverarbeitung: RTB basiert auf einem komplexen Satz von Technologien und Praktiken, die in der programmatischen Werbung verwendet werden.
- Kombinieren und Abgleichen von Daten aus verschiedenen Quellen: In der Lieferkette der RTB-Daten wird ein sogenannter Datenabgleich oder auch eine Daten-Anreicherung vorgenommen.
- Standortnachverfolgung und Verhaltensüberwachung: Gebotsanfragen enthalten in der Regel demographische Daten, Standortinformationen und Suchmaschinenhistorie, so dass Werbeempfänger auf demografischer, psychografischer und verhaltensbezogener Ebene gezielt angesprochen werden können.
- Fehlende rechtmässige Grundlage, insbesondere bezüglich der Einwilligung des Werbeempfängers: Werbebetrachter sind sich oft nicht bewusst, welcher Prozess hinter einer Werbeimpression steht, bevor sie auf eine Website klicken, geschweige denn, dass sie der Verwendung ihrer Daten für diese Verarbeitung zugestimmt haben.
Wie können AdTech- und RTB-Unternehmen die Einhaltung der DSGVO sicherstellen?
- Branchenlösungen umsetzen: Das EU-AdTech-Branchengremium, das «Transparency & Consent Framework» der IAB Europa, ist ein Versuch, die Einhaltung der DSGVO bekannter zu machen und zu fördern – insbesondere in Bezug auf die Erfassung von Einwilligungen. Es beabsichtigt, Verlegern Werbetreibenden, Technologieanbietern und Agenturen dabei zu helfen, globale Einwilligungen zu erfassen, zu speichern und zu signalisieren, dass diese von den Verlegern ordnungsgemäss eingeholt wurden. Das System stellt auch eine Liste von Anbietern zur Verfügung, die Verleger verwenden können, wenn sie die Zustimmung der Nutzer einholen.4
- Eine rechtmäßige Grundlage für die Datenverarbeitung muss gegeben sein: Eine rechtmäßige Grundlage ist für die Verarbeitung personenbezogener Daten gemäss der DSGVO erforderlich. AdTech-Unternehmen stehen vor der zusätzlichen Herausforderung, dass für eine einzelne Werbeeinblendungen mehrere Zwecke verfolgt werden – interessenbasierte Werbung, aber auch Analyse, Berichterstattung und Betrugsbekämpfung. Jeder dieser Zwecke muss im Hinblick auf die rechtmäßige Grundlage bewertet werden. Im Kontext von AdTech ist das die Einwilligung der betroffenen Person oder die berechtigten Interessen des Datenverantwortlichen sein.
- Verknüpfung jedes Verarbeitungsvorgangs mit einem einzigen Zweck: Webseitenbesucher müssen vor der Datenverarbeitung über die Rechtsgrundlage informiert werden (und ggf. ihre Einwilligung geben), damit der Transparenzgrundsatz erfüllt wird.
- Einholen der Einwilligung: Die Einwilligung gibt die rechtmässige Grundlage für die Verarbeitung personenbezogener Daten für interessenbasierte Werbezwecke, z.B. um Besucher aufgrund ihres Suchverlaufs und der Webseite, die sie gerade geladen haben, gezielt anzusprechen. Die Einwilligung ist auch deshalb relevant, weil sie unter der Datenschutzrichtlinie für elektronische Kommunikation erforderlich ist, um Cookies zu setzen (die Ausnahme dabei ist, wenn die Cookies unbedingt notwendig sind, um einen Dienst bereitzustellen, den die betroffene Person angefordert hat). Die zwingend notwendige Einwilligung gilt wahrscheinlich auch unter der neuen Datenschutzverordnung für elektronische Kommunikation, die voraussichtlich 2020 in Kraft treten und bis 2023 wirksam werden wird. Für die Verarbeitung besonderer Datenkategorien wie z. B. Gesundheitsdaten ist die ausdrückliche Einwilligung die einzige gültige Rechtsgrundlage. Die Einwilligung muss freiwillig für den bestimmten Fall, in informierter Weise und eine unmissverständlich abgegebene Willensbekundung der betroffenen Person sein. Das Einholen der Einwilligung hat unter anderem folgende Auswirkungen für die AdTech-Branche:
- Sie muss aktiv erteilt werden: Vorher angekreuzte Einwilligungskästchen sind nicht zulässig, da sie nicht eindeutig den Wunsch der betroffenen Person angeben.
- Informiert: Eine angemessene Menge an Informationen (auch über Dritte, die personenbezogene Daten erhalten können) muss der betroffenen Person vorgelegt werden, bevor die Einwilligung eingeholt wird.
- Spezifisch: Die Einwilligung kann nicht gebündelt werden, sondern muss für jeden Verarbeitungsvorgang einzeln eingeholt werden.
- Frei gegeben: Webseitenbesuchern muss eine echte Wahlmöglichkeit gegeben werden. Wenn ein Besucher beispielsweise nicht auf eine Website zugreifen kann, ohne seine Zustimmung zu Tracking-Cookies zu geben, die kein wesentlicher Bestandteil für die Bereitstellung der Webseite ist, ist es unwahrscheinlich, dass die Zustimmung frei gegeben wurde.
- Widerrufbar: Werbebetrachter müssen die Möglichkeit haben, ihre Einwilligung zu widerrufen. Die Widerrufsmöglichkeit muss mindestens so auffällig, benutzerfreundlich und effektiv sein wie die Methode, mit der die Einwilligung eingeholt wurde.
Zusammenfassung
AdTech ist eine komplexe Branche mit vielen Beteiligten und technischen Parametern, die spezifische Risiken für die Rechte und Freiheiten von Personen darstellen. Die Übernahme von Branchenlösungen wie dem IAB-Transparenz- und Einwilligungsrahmen ermöglicht es AdTech-Unternehmen, ihr Geschäft unter der DSGVO fortzuführen. Die wichtigsten Schritte sind: Identifizierung und Berufung auf eine geeignete Rechtsgrundlage für die Verarbeitung, insbesondere die Einwilligung für Internet-Werbezwecke, Verknüpfung jedes Verarbeitungsvorgangs mit einem einzigen Zweck für die Verarbeitung und Sicherstellung, dass die eingeholte Einwilligung die Anforderungen der DSGVO erfüllt.
Quellen:
1UK ICO, Update Report into AdTech and Real Time Bidding, 20 June 2019, ico.org.uk/media/about-the-ico/documents/2615156/adtech-real-time-bidding-report-201906.pdf; McDougall S, AdTech – The Reform of Real Time Bidding Has Started and Will Continue, 17 January 2020, ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/01/blog-adtech-the-reform-of-real-time-bidding-has-started/.
2CNIL, Online Targeted Advertisement: What Action Plan for the CNIL? 28 June 2019.
3UK ICO, Update Report into AdTech and Real Time Bidding, 20 June 2019, https://ico.org.uk/media/about-the-ico/documents/2615156/adtech-real-time-bidding-report-201906.pdf.
4McDougall S, AdTech – The Reform of Real Time Bidding Has Started and Will Continue, 17 January 2020, ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/01/blog-adtech-the-reform-of-real-time-bidding-has-started/.