Effektive Werbung versus Schutz persönlicher Daten: Die von Google vorangetriebene Privacy-Sandbox-Initiative verspricht eine Ära ohne Drittanbieter-Cookies und mit neuen, datenschutzfreundlich(er)en Standards. Doch was bedeutet das konkret für Werbetreibende? In Legal Update #46 erfahren Sie, mit welchen datenschutzrechtlichen Erleichterungen und Auswirkungen fortan zu rechnen ist.

---

---

Online-Werbung und Datenschutz sind vielfach verflochten, gehen gleichzeitig aber nicht immer Hand in Hand. Nimmt die Effektivität von datengestütztem Marketing zu, müssen datenschutzrechtliche Vorkehrungen rundherum oft aufgeweicht werden. Da die diesbezüglichen Vorgaben in der EU – insb durch die unmittelbar anwendbare Datenschutz-Grundverordnung (“DSGVO“) – allerdings umfassend sind, stellen sich Verstöße vergleichsweise rasch ein. Auch deshalb sieht sich die digitale Landschaft einem ständigen Wandel ausgesetzt.

Die Abkehr von werbungstechnisch relevanten “Drittanbieter-Cookies” hat lange begonnen und soll nun in diesem Jahr 2024 auch von Google umgesetzt werden – nicht aber, ohne Alternativen anzubieten, welche ähnlich wirksam und dennoch (datenschutz-)rechtlich entspannter zu betrachten sein sollen. Ua darauf zielt die unter Googles Führung vorangetriebene “Privacy-Sandbox-Initiative” für das Web ab, wobei parallel auch eine Privacy Sandbox für das Android-Betriebssystem entwickelt wird. Dabei handelt es sich um “datenschutzfreundliche” Web-Standards, im Rahmen derer va das verbreitete website- und anwendungsübergreifende Nutzer-Tracking, aber auch das für Nutzer weitgehend unsichtbare “Fingerprinting” stark eingeschränkt werden soll. Dazu werden Lösungen in enger Abstimmung mit anderen Branchenvertretern erarbeitet. Daneben versucht Google kontinuierlich, Funktionen innerhalb seiner Google-Ads-Landschaft wie “Enhanced Conversions” oder den “Consent Mode” bereitzustellen bzw zu verbessern, um datenschutzrechtliche Notwendigkeiten mit wirksamen Bewerbungsmodellen zu vereinen.

Diese Entwicklungen wirken sich nicht nur auf Werbetreibende und Publisher, sondern auch auf die Endnutzer aus – besonders, weil Google mit dem hauseigenen “Chrome Browser” derzeit auch der unangefochtene Marktführer unter den Browser-Anbietern ist.

1. Das Ende von Drittanbieter-Cookies in Google Chrome

Während Google bereits einzelne Privacy Sandbox APIs und zugehörige Einstellungsmöglichkeiten für den Chrome-Browser ausgerollt hat, wird gegenwärtig die Effektivität der Features getestet, indem Drittanbieter-Cookies für 1 % der Chrome-Nutzer deaktiviert wurden. In der zweiten Hälfte von 2024 sollen sie weitgehend überhaupt der Vergangenheit angehören. Vorangegangen waren Initiativen der Anbieter der Browser “Safari” und “Firefox”. Google hatte das Vorhaben dabei schon verschoben, um nicht zuletzt der Industrie mehr Zeit zu geben, sich anzupassen.

Aus rechtlicher Sicht handelt es sich bei Cookies um den verbreitetsten Anwendungsfall einer Technologie, die mit Nutzerendgeräten interagiert, indem auf dort vorhandene Daten zugegriffen wird oder solche Daten (die Cookie-Informationen) auf den Endgeräten gespeichert werden. Dies eröffnet den Anwendungsbereich von Artikel 5 Absatz 3 der sog ePrivacy-Richtlinie, welcher in Österreich in § 165 Telekommunikationsgesetz 2021, kurz TKG, umgesetzt wurde.

Stark vereinfacht lässt sich sagen: Soweit ein Cookie für die Aufrechterhaltung des gewöhnlichen Websitebetriebs technisch nicht erforderlich ist, muss vor dessen Einsatz eine Einwilligung des Nutzers erteilt werden. Zwar ist es diesfalls völlig irrelevant, ob es sich konkret um ein Erstanbieter-Cookie oder ein Drittanbieter-Cookie handelt – Drittanbieter-Cookies werden im gegebenen Zusammenhang allerdings in keinem Fall als “technisch notwendig” zu qualifizieren sein.

2. Die Privacy Sandbox für das Web

Die Privacy Sandbox für das Web ist ein umfangreiches, von Google initiiertes Projekt, das darauf abzielt, die Privatsphäre der Web-Nutzer zu verbessern, während Werbetreibenden weiterhin zielgerichtete Werbung ermöglicht werden soll.

Wesentliche – prinzipiell bereits veröffentlichte – Teile der Initiative umfassen Folgendes:

• Die “Topics API” klassifiziert die Browseraktivitäten der Nutzer in Themenkategorien, ohne individuelle Nutzerinformationen (aus dem Browser heraus) an Werbeanbieter zu übertragen (diese Initiative ersetzte das ursprünglich geplante “Federated Learning of Cohorts”);
• die “Protected Audience API” ermöglicht Remarketing und andere Formen zielgerichteter Werbung, während die Privatsphäre der Nutzer geschützt sein soll – dazu werden Produkte, für welche ein Nutzer Interesse bekundet hat, gespeichert, woraufhin schlussendlich ein Algorithmus die darauf basierende anzuzeigende Werbung ermittelt (ehemals “FLEDGE”);
• die “Attribution Reporting API” dient als Set aus Berichts- und Analysetools für eine – im Vergleich mit dem Einsatz von Drittanbieter-Cookies – datenschutzfreundlichere Wirksamkeitsmessung von Anzeigen;
• die “Shared Storage API” stellt unter gewissen Umständen nicht partitionierten, geteilten Speicherplatz zur Verfügung, welcher in einer gesicherten Umgebung ausgelesen werden kann (bspw zur Umsetzung personalisierter Nutzererfahrungen auf Basis des Registrierungsstatus innerhalb einer Anwendung);
• die “Fenced Frames API” wiederum ermöglicht eine stärkere Trennung der Website, welche ein Nutzer besucht, von eingebundenen Drittanbieter-Inhalten (Prinzip der Isolierung, indem im Browser gespeicherte Informationen nicht zwischen der Website und der Drittanbieter-Einbindung ausgetauscht werden können).

So soll u.a. ein Ersatz für Drittanbieter-Cookies geschaffen werden, welcher den geltenden Datenschutzanforderungen bestmöglich gerecht wird. Der Chrome-Browser unterstützt die APIs naturgemäß, das Privacy-Sandbox-Angebot (samt der zahlreichen im Einzelnen dargestellten Funktionalitäten) kann und soll allerdings auch von anderen Anbietern implementiert werden.

3. Google Ads: Herausforderungen und Chancen für Werbetreibende

Mit “Google Ads” haben Werbetreibende diverse Möglichkeiten, zielgerichtete Werbung für ihre Angebote zu realisieren. Die Abkehr von Drittanbieter-Cookies und die intendierte Implementierung der Privacy Sandbox schaffen neue Herausforderungen wie Möglichkeiten aus Sicht der Werbebranche. Geht es nach Google, soll die Wirksamkeit und Rentabilität von Online-Werbung jedenfalls nicht signifikant darunter leiden.

Als wichtige Bausteine für (auch zukünftige) zielgerichtete Werbemaßnahmen im Rahmen von Google Ads können dabei Funktionen wie “Enhanced Conversions” und “Consent Mode” dienen: Durch “Enhanced Conversions” lässt sich die Genauigkeit der Conversion-Messung innerhalb von Google Ads verbessern. Dazu werden Erstanbieter-Daten (zB Kunden-E-Mail-Adressen) gehasht an Google gesendet. Diese Daten werden dann verwendet, um die Konversionsmessungen gerade in Szenarien zu verbessern, in denen herkömmliche Tracking-Methoden durch Einschränkungen wie Cookie-Blockierung beeinträchtigt sind. Der “Consent Mode” wiederum erlaubt es, Nutzer-Einwilligungspräferenzen zu respektieren, während auch ohne Einwilligungserteilung gewisse Informationen verwertet werden. Basierend auf der etwaigen Einwilligung der Nutzer passt der “Consent Mode” das Verhalten von Analytics- und Ads-Tags an, die Cookies erstellen oder lesen.

4. Datenschutzrechtliche Einordnung der Privacy-Sandbox-Initiative

Auf den ersten Blick wirken die Vorstöße zur Schaffung neuer Datenschutzstandards für das Web bemüht. Inwiefern sich allerdings tatsächlich kein spürbarer Wirksamkeitsverlust der insgesamten Effektivität von Online-Werbeschaltungen einstellt, wird sich noch zeigen müssen. Auch aus datenschutzrechtlicher Sicht bleiben Fragen offen; nichtsdestotrotz lassen sich bereits einige Kernaussagen zur Privacy Sandbox treffen:

Eine erste oberflächliche Einschätzung der rechtlichen Anforderungen an das Privacy-Sandbox-Angebot in Form von FAQs stammt von Google selbst. Dort wird einerseits klargestellt, dass es sich bei den Aussagen um keine Rechtsberatung handelt und eine solche dadurch auch nicht ersetzt werden kann; andererseits wird die Verantwortung für die Umsetzung rechtlicher Anforderungen innerhalb des Privacy-Sandbox-Angebots – wo möglich – zu den Werbetreibenden verschoben, die sich entsprechend damit auseinandersetzen sollen. Vollumfängliche Rechtssicherheit geht damit nicht einher.

Wie schon im Hinblick auf Cookies hervorgehoben, sind technisch nicht notwendige Zugriffe auf Nutzerendgeräte einwilligungspflichtig; und das betrifft gerade auch den Browser-Speicher – selbst wenn Informationen dort lediglich lokal verarbeitet werden, wird die begleitende Datenverarbeitung von Google (in Bezug auf den Chrome-Browser) bzw den Werbetreibenden bedingt und somit verantwortet. Werden Privacy-Sandbox-APIs genutzt, wird im Rahmen dessen grundsätzlich auf Daten zugegriffen, welche im jeweiligen Nutzerendgerät gespeichert sind. Technisch notwendig sind solche Zugriffe nicht.

Dementsprechend wurde seitens Google bereits angekündigt, dass etwa die “Topics API” im Chrome-Browser nicht standardmäßig aktiviert sein wird, sondern nur nach einer vorherigen Nutzereinwilligung. Für andere APIs wie “Protected Audience”, welche lediglich gängige Verarbeitungsprozesse im Browser oder innerhalb geschützter Umgebungen datenschutzfreundlicher ausgestalten, liege der Fokus hingegen auf Opt-out-Möglichkeiten. Generell stehen Nutzern innerhalb des Chrome-Browsers spezifische Einstellungs- und Deaktivierungsmöglichkeiten zur Verfügung. Messdaten können jederzeit vom Nutzer mit den Browserdaten gelöscht werden.

Darüber hinaus obliegt es den Werbetreibenden festzulegen, welche Einwilligungsmöglichkeiten Nutzern bereitgestellt werden, wie sie diese Entscheidungen speichern sowie (über bestimmte Privacy-Sandbox-APIs) übertragen und wie sich die Verantwortlichkeiten im Einzelfall verteilen. Prinzipiell ist davon auszugehen, dass auch im Rahmen der Privacy-Sandbox-Funktionalitäten personenbezogene Daten verarbeitet werden, weswegen jeweils eine Rechtsgrundlage für Verarbeitungsaktivitäten idZ erforderlich ist, die abseits von Endgerätezugriffen etwa auch in einem berechtigten Interesse bestehen kann. Das gilt bspw allerdings auch für mittels “Enhanced Conversions” gehasht an Google übertragene Erstanbieter-Daten, die dadurch zwar pseudonymisiert sind, aber dennoch personenbezogen bleiben. Dahingehend sind auch die umfassenden Informationspflichten der DSGVO adäquat zu berücksichtigen.

5. Fazit

Während die Privacy Sandbox datenschutzfreundlicher arbeiten dürfte, als dies bei Tracking mittels Drittanbieter-Cookies der Fall ist, heißt das im Umkehrschluss nicht zwangsweise, dass die Anforderungen des Datenschutzrechts nun automatisch umgesetzt sind (oder sich weitaus weniger aufwendig gestalten). Jeder Werbetreibende, welcher eine Technologie für sich nutzt, wird selbst in die Pflicht genommen, die damit einhergehenden datenschutzrechtlichen Implikationen zu beachten, welche sich ua je nach Einzelfall, tatsächlich genutzten Funktionen und konkretem Anwendungsgebiet unterscheiden können.

Während jedes Mehr an Datenschutz, das ohne gröbere Einbußen der Werbebranche erreicht werden kann, begrüßenswert ist, darf gleichzeitig nicht verkannt werden, dass Google durch seine besondere Rolle iZm der Privacy Sandbox eine einflussreiche Stellung einnimmt, welche dem Unternehmen zumindest in einem gewissen Ausmaß Kontrolle über zugrundeliegende Prozesse und deren zukünftige Entwicklung vermittelt, die (auf lange Sicht) durchaus im eigenen Interesse (von Google) ausgeübt werden könnte.

---

---

STADLER VÖLKEL Rechtsanwälte bietet qualifizierte Beratung in ausgewählten Schwerpunktbereichen, wie z.B. Wirtschafts- & Bankenrecht sowie Kryptowährungen. Mehr Infos finden Sie unter: www.sv.law