Die britische Datenschutzbehörde behauptet, dass ein hartes Vorgehen gegen Websites, die ihre Besucher nicht um ihre Zustimmung bitten, ihre Aktivitäten für gezielte Werbung zu verfolgen und zu profilieren, Früchte trägt. Allerdings wird zugegeben, dass einige der durch die Intervention bedingten Änderungen darin bestanden, dass Websites eine umstrittene Art von Paywall eingeführt haben, die von den Benutzern verlangt, für den Zugriff auf Inhalte eine Gebühr zu zahlen oder andernfalls zuzustimmen, dass sie für gezielte Werbung verfolgt und profiliert werden (auch bekannt als „Pay or Consent“).
Das ICO hat nicht bekannt gegeben, welche Websites auf ein Pay-or-Consent-Modell umgestiegen sind, seit es Fragen zu ihren Tracking-Cookies gestellt hat. Es hat jedoch einige Unternehmen beim Namen genannt und an den Pranger gestellt, weil sie sich nicht an andere Cookie-Regeln halten.
Am Dienstag Ortszeit gab das Information Commissioner’s Office (ICO) bekannt, dass es Bonne Terre, dem Unternehmen hinter Sky Betting and Gaming, eine Rüge erteilt habe, weil es unrechtmäßig persönliche Informationen ohne deren Zustimmung verarbeitet habe.
Untersuchungen haben die unzähligen Schäden aufgezeigt, die datengesteuertes Tracking für gefährdete Personen mit Suchtproblemen mit sich bringen kann. Dies könnte erklären, warum sich die öffentliche Rüge des ICO auf ein Unternehmen aus dem Glücksspielsektor konzentriert.
„Vom 10. Januar bis 3. März 2023 verarbeitete Sky Betting and Gaming die persönlichen Daten der Personen und gab sie an Werbetechnologieunternehmen weiter, sobald diese auf die SkyBet-Website zugegriffen hatten – bevor sie die Möglichkeit hatten, Werbe-Cookies zu akzeptieren oder abzulehnen“, schrieb das ICO in einer Pressemitteilung. „Dies bedeutete, dass ihre persönlichen Daten verwendet werden konnten, um sie ohne ihre vorherige Zustimmung oder ihr Wissen mit personalisierter Werbung anzusprechen.“
Die Regulierungsbehörde teilte TechCrunch mit, dass sie sich in diesem Fall für eine Rüge statt einer Sanktion entschieden habe, da sie davon ausgehe, dass dies ein angemessener Einsatz ihrer Befugnisse sei – „basierend darauf, was das beste Ergebnis erzielt, sowie basierend auf unseren Prioritäten und begrenzten Ressourcen.“
„In diesem Fall haben wir Bonne Terres positives Engagement beim ICO und die zur Verbesserung der Compliance unternommenen Schritte berücksichtigt und sind zu dem Schluss gekommen, dass eine Rüge die angemessenste Maßnahme ist“, fügte ICO-Sprecher James Huyton hinzu.
Die Rüge ist Teil einer umfassenderen Intervention des ICO gegen einwilligungsfreies Cookie-Tracking. Die Regulierungsbehörde verwies auf eine im letzten Jahr durchgeführte Überprüfung der „Top 100 Websites“ Großbritanniens, bei der sie „Probleme“ mit der Verwendung von Werbe-Cookies bei mehr als der Hälfte der Websites feststellte. dann schrieb an die 53 betroffenen Websites und warnte sie, dass ihnen Zwangsmaßnahmen drohen würden, wenn sie ihre Art, Werbe-Cookies einzusetzen, nicht an die Datenschutzgesetze anpassen würden. Das ICO meint, dass die Öffentlichkeitsarbeit dazu beigetragen hat, einige nicht konforme Cookie-Banner zu entfernen.
Die Aufsichtsbehörde wollte die Identität der anderen Websites, die im Rahmen dieser Cookie-Compliance-Überprüfung kontaktiert wurden, nicht bestätigen. Das ICO berichtete jedoch über die Ergebnisse seiner zahlreichen Briefe und teilte mit, dass 52 der kontaktierten Websites Änderungen an der Art und Weise vorgenommen hätten, wie sie die Zustimmung zum Tracking einholen. Laut ICO wurden verschiedene Änderungen beobachtet, darunter die Umstellung einiger Websites auf ein sogenanntes „Pay-or-Consent“-Modell, bei dem Besuchern der Zugriff auf Website-Inhalte verweigert wird, sofern sie nicht dem Tracking zustimmen oder eine Gebühr zahlen.
Pay or Consent ist ein umstrittener Ansatz, der derzeit in der Europäischen Union rechtlich und regulatorisch angefochten wird, unter anderem von Datenschutz- und Verbraucherschutzorganisationen. Metas Umsetzung von Pay or Consent steht zudem im Verdacht, gegen die Marktgerechtigkeitsregeln des Blocks zu verstoßen. (Das ICO wollte nicht angeben, ob Meta einer der Websitebesitzer war, die es wegen der Cookie-Zustimmung kontaktierte.)
In einer Erklärung, die der Berichterstattung über die Ergebnisse der Cookie-Banner-Aktion beigefügt war, behauptete Stephen Bonner, stellvertretender Kommissar des ICO, die Intervention habe dazu geführt, dass 99 der 100 wichtigsten britischen Websites „entweder bereits eine sinnvolle Wahlmöglichkeit gegenüber Werbe-Cookies anbieten oder Änderungen vornehmen, um die Zustimmung der Menschen zu erhalten“. Das ist ein ziemliches Entweder-oder.
Bonners Aussage liefert keine Zahlen, um die tatsächlichen Auswirkungen des ICO auf die Zustimmungsmöglichkeiten britischer Internetnutzer zu quantifizieren. Er sagt lediglich, dass „einige“ der beobachteten Änderungen die Einführung einer Schaltfläche zum Ablehnen aller Cookies auf Websites umfassten, die zuvor keine hatten; andere Websites haben ihre Schaltflächen zum Ablehnen und Akzeptieren aller Cookies gleichermaßen hervorgehoben; und andere Websites haben Alternativen wie „Zustimmen oder Bezahlen“ eingeführt – ein Geschäftsmodell, dessen Rechtmäßigkeit das ICO „derzeit prüft“.
Der Goldstandard für die Einhaltung der britischen Datenschutz-Grundverordnung, die auf dem gleichnamigen EU-Rahmenwerk basiert, wäre, den Website-Besuchern eine einfache Ja/Nein-Auswahl Tracking zu akzeptieren oder abzulehnen. Websites, die dies nicht tun, indem sie beispielsweise den Benutzern nur das Akzeptieren, aber nicht das Ablehnen von Tracking erlauben oder indem sie es sehr einfach machen, auf eine Schaltfläche zum Akzeptieren von Tracking zu klicken, die Ablehnungsoption aber mehrere Menüs weiter unten in verwirrend formulierten Einstellungen verstecken, sollten wegen Nichteinhaltung mit Maßnahmen zur Rechenschaft gezogen werden. Aber allzu oft kommen sie damit durch, manipulative Dark Patterns zu verwenden, um die Zustimmung zu stehlen.
Das ICO muss hier seinen Teil der Schuld auf sich nehmen, da es jahrelang Warnungen von Datenschutzaktivisten vor der außer Kontrolle geratenen Datenerfassung der Adtech-Branche ignoriert hat. Es hat auch versäumt, entschiedene Maßnahmen zu ergreifen, um seine eigenen Bedenken hinsichtlich der Datenerfassungspraktiken des Sektors auszuräumen, wie aus einem Bericht von 2019 hervorgeht. So wurde beispielsweise eine Beschwerde im Jahr 2020 ohne Entscheidung eingestellt, da es sich für eine sanfte Einbindung der Branche anstelle einer energischen Durchsetzung entschied.
Der Cookie-Sweep des letzten Jahres sieht aus wie der Versuch des ICO, endlich etwas zu unternehmen, nachdem es jahrelang Adtech-Player von der Compliance-Haftpflicht befreit hat. Doch sein Vorgehen könnte Fragen aufwerfen, da die Durchsetzung offenbar das Wachstum der umstrittenen „Pay or Consent“-Taktik angeheizt hat. Es ist auch interessant, die Websites, die es an den Pranger stellt, mit anderen zu vergleichen, die den Benutzern ebenfalls keine klare Ja/Nein-Wahlmöglichkeit bieten, deren Namen wir aber erraten müssen.
Das ICO hat nicht nur Sky Betting öffentlich gerügt, sondern auch die Klatsch-Website Tattle Life an den Pranger gestellt – die nach eigenen Angaben die einzige der 53 kontaktierten Websites war, die sich nicht an der Kampagne beteiligte. Das ICO kündigte an, dass es nun eine Untersuchung wegen der Verwendung von Cookies und der „offensichtlichen Unterlassung“ der Registrierung beim ICO einleiten werde.
Doch was ist mit Websites, die mittlerweile auf die Bereitstellung von „Zustimmung oder Bezahlen“-Cookie-Bannern umgestiegen sind und den Webnutzern somit auch keine freie Wahl mehr bieten, das Tracking abzulehnen?
Der Tech-Gigant Meta stieg letztes Jahr in dieses Spiel ein und erzwang sich die Zustimmung der Nutzer von Facebook und Instagram zu seinem Werbe-Tracking, indem er seinen ehemals kostenlos zugänglichen sozialen Netzwerken eine Pay-or-Consent- oder Let-us-Track-You-Paywall auferlegte. Seitdem haben immer mehr britische Nachrichten-Websites diese Taktik nachgeahmt – und überall in den ehemals kostenlos zugänglichen, werbefinanzierten Medien tauchten „Pay-or-Consent“-Walls auf.
Wir fragten das ICO nach seiner Meinung zum zunehmenden Aufkommen von „Pay or Consent“, einschließlich der Übernahme dieser Taktik durch Meta, und sein Sprecher verwies auf frühere Kommentare von Bonner, der schrieb: „Nach der Zusammenarbeit mit Meta prüfen wir, wie das britische Datenschutzgesetz auf einen möglichen werbefreien Abonnementdienst anzuwenden wäre. Wir erwarten von Meta, dass es alle Datenschutzbedenken berücksichtigt, die wir vor der Einführung eines Abonnementdienstes für seine britischen Benutzer äußern.“
Anfang des Jahres fand der ICO statt eine Konsultation zu Pay-or-Consent-Geschäftsmodellen durchgeführt Es hieß, man wolle einen ersten Überblick über den Ansatz geben, habe aber noch keine klare öffentliche Position eingenommen. Und in dieser regulatorischen Grauzone tauchen viele „Zustimmungs- oder Bezahl(mauern)“ auf.
„In Bezug auf Zustimmungs- oder Zahlungsmodelle haben wir den Unternehmen gesagt, dass sie gegenüber der Öffentlichkeit nicht transparent sind und dass sie den Menschen eine sinnvolle Wahlmöglichkeit bieten müssen, wie ihre Daten auf ihren Websites verwendet und weitergegeben werden“, fügte der Sprecher hinzu. „Einige Unternehmen haben alternative Methoden zur Einholung der Zustimmung eingeführt, wie etwa ‚Zustimmung oder Zahlung‘, die wir nun nach unserer Konsultation Anfang 2024 als Geschäftsmodell prüfen. Wir werden unsere Position gegen Ende des Jahres darlegen. In der Zwischenzeit werden wir die Entwicklung neuer Ansätze weiterhin beobachten.“
