Die oberste französische Datenschutzbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) stellt in einem offiziellen Schreiben an das Werbenetzwerk Vectaury fest, dass die bisher eingeholten Einwilligungen nicht den Anforderungen der DSGVO genügen.

Vectaury ist ein Werbenetzwerk, das Online-Werbeflächen im Auftrag seiner Kunden (Werbetreibende) kauft. Das Start-up hatte erst vor einigen Wochen eine neue Finanzierungsrunde in zweistelliger Millionenhöhe bekanntgegeben.

Seinen Kunden bietet das Unternehmen die Möglichkeit, ein SDK in ihre Apps zu integrieren, um Geolokalisierungsdaten und Informationen über das Gerät und den Browser eines Nutzers zu sammeln. Vectaury analysiert diese Daten, vergleicht sie mit bestimmten geografischen Interessenspunkten (z. B. physischen Geschäften) und erstellt Profile über das Nutzerverhalten. Auf Basis dieser Profile realisiert das Unternehmen im Auftrag der Werbetreibenden gezielte Werbekampagnen. Dabei werden auch Nutzer getrackt, während sie sich in den physischen Geschäften der Werbekunden befinden, um die Effektivität der Online-Kampagnen zu messen.

Das Unternehmen gibt zwar an, dass es Geodaten nur mit der Zustimmung der betroffenen Personen zu Werbezwecken verarbeitet. Der Prüfung der CNIL haben diese Einwilligungen jedoch nicht standgehalten. Die eingeholten Einwilligungen zur Verarbeitung von Geolokalisierungsdaten zu Werbezwecken seien ungültig und somit müssten sämtliche Daten, die auf Basis von ungültigen Einwilligungen erhoben wurden, gelöscht werden. Außerdem fordert die Behörde Vectaury auf, das Einwilligungsverfahren gegenüber ihren App-Nutzern entsprechend konform zu gestalten.

Konkret bemängelte die Behörde eine mangelhafte Erfüllung der Informationspflicht: „Erstens werden die Menschen beim Herunterladen mobiler Anwendungen nicht systematisch darüber informiert, dass ein ‚SDK‘ ihre Standortdaten sammelt. Zum Zeitpunkt der Installation wird der Nutzer nicht über den Zweck der Werbung oder die Identität des Verantwortlichen informiert.”
Diese Angaben in den AGB auszuführen, reiche ausdrücklich nicht aus, da eine informierte Einwilligung eine vorherige Information erfordere.

„Es ist auch nicht möglich, dass der Nutzer die mobile Anwendung ohne Aktivierung des ‚SDK‘ runterlädt. Wenn beide untrennbar miteinander verbunden sind, führt die Verwendung von Anwendungen automatisch zur Übertragung von Daten an Vectaury.”

Weiterhin muss das “Unternehmen, das den Bid Request stellt und die personenbezogenen Daten sammelt, die Nutzer über die weiteren Empfänger dieser Daten informieren”.

Außerdem bemängelte die CNIL, dass die Erfassung von Geodaten standardmäßig aktiviert ist. Benutzer, die "Meine Einstellungen anpassen" wählten, wurden zu einem separaten Popup mit vorab angekreuzten Optionen geleitet. Gerade das Beispiel mit dem vorab angekreuzten Kästchen wird in Erwägungsgrund 32 des Art. 7 DSGVO als ungültige Einwilligung beschrieben.

Während der Prüfung des CNIL hatte Vectaury wohl eine Consent Management Platform (CMP) nach dem IAB-Consent Standard vorgeschlagen und implementiert. Doch auch eine nach diesem Standard eingeholte Einwilligung erachtete die CNIL als „immer noch nicht zufriedenstellend, insbesondere weil die Informationen, die dem Benutzer gegeben werden, unzureichend sind.”

Der IAB hat mittlerweile dazu Stellung bezogen. Demnach hatte Vectaury bei der Implementierung selbst gegen den IAB-Standard verstoßen, womit die Aussage der CNIL nicht auf das gesamte Framework zu beziehen sei, sondern nur auf die konkrete Implementierung von Vectaury. Der IAB kündigt außerdem an, weiter an Maßnahmen für die Glaubwürdigkeit und Verifizierung des IAB-Consent Frameworks zu feilen. Vectaury wurde derweil temporär vom IAB-Consent Framework ausgeschlossen.

Das Schreiben der französischen Behörde beinhaltet einiges an Sprengkraft. Nicht nur dürften viele andere Werbetreibende ihre Einwilligungen und insbesondere damit zusammenhängende Einholungsmechanismen ernsthaft hinterfragen müssen. Auch die Implementierung einer IAB-zertifizierten CMP führt nicht unbedingt dazu, dass gültige Einwilligungen generiert werden und somit eventuell sämtliche über reine IAB-CMPs eingeholte Einwilligungen ungültig sind. Sie könnte auch einen Vorgeschmack darauf geben, wie streng die Behörde im Falle von andern Adtech-Anbietern urteilen wird. Erst vor zwei Wochen hatte die Organisation Privacy International der französischen Behörde eine Beschwerde gegen große AdTech Unternehmen und deren Profilierungstaktiken vorgelegt.

Zeitgleich hat die deutsche Datenschutzkonferenz (DSK) in einem Leitfaden zur Direktwerbung klargestellt, dass für eingriffsintensivere Maßnahmen wie die Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, insgesamt sog. Profiling, nicht berechtigtes Interesse, sondern nur die Einwilligung als Rechtsgrundlage in Frage kommt.

Damit bestätigt die DSK einerseits ihre Position, dass für Tracking und ähnliche Technologien ein Opt-in erforderlich ist. Andererseits zeichnet sich ab, dass die europäischen Behörden in ihrer Auslegung eine gemeinsame Linie vertreten.