Bislang haben viele Datenkraken das Thema Consent Management weitgehend ignoriert. Abgesehen von Empfehlungen zur Implementierung und halbherzigen Forderungen danach, das Consent bitteschön zu beachten sei, haben sowohl Marktrisiken wie Google und Meta, als auch kleinere Anbieter für Online-Werbung, wie Criteo, sich darauf ausgeruht, dass die Webseitenbetreiber sich um das Consent Management kümmern müssen. Frei nach dem Motto "Natürlich halten sich alle unsere Partner daran, uns nur Daten zusenden, wenn die Zustimmung des Nutzers vorliegt 😉". Außerdem hofft man auf das European Union-U.S. Data Privacy Framework (die Neuauflage von Privacy Shield (die Neuauflage von Safe Harbour)), das langsam tatsächlich Form annimmt.
Nach Beschwerden durch NOYB ("None of Your Business", das ist die NGO von Max Schrems (ja, der aus Schrems I und Schrems II (das sind die Urteile die Privacy Harbour und Safe Shield gekippt haben (ich mein Safe Harbour und Privacy Shield))) hat die französische Datenschutzbehörde nun ein Exempel statuiert: Criteo darf eine Strafe in Höhe von 40.000.000 € zahlen und sich in Zukunft nicht mehr einfach so darauf verlassen, dass schon irgendwer Consent eingeholt haben wird, bevor Nutzerdaten an Criteo gesendet werden. Das bedeutet aber nicht, dass Criteo etwas an der Datenerfassung selbst ändert. Es sind vielmehr vertragliche Anpassungen, die die Verantwortung für das Consent Management den Partnern wieder zuschieben.
Google hat vorauseilend damit begonnen sicherzustellen, dass man ihnen Ähnliches nicht so leicht vorwerfen kann: Für einzelne Tracking-Requests nachzuweisen, dass es Consent gab, ist technisch kaum abbildbar. Aber in Zukunft müssen Publisher, die Werbeanzeigen via Google Ads ausspielen, ein Consent Management System nutzen, das von Google lizenziert wurde.
Googles Entscheidung hat Dank seiner Marktmacht möglicherweise große Auswirkungen:
-
Domains, die von (Google-)Ads leben, müssen sich an Googles Liste orientieren. Kleinere CMP-Anbieter oder gar Eigenentwicklungen sind (und haben) damit ein Problem.
-
Consent Management Plattformen müssen sich quasi bei Google um einen Platz auf der Liste bewerben. Diese Abhängigkeit könnte Google nutzen, um die eigene Marktposition weiter zu stärken. Zyniker könnten sogar vermuten, dass auf lizenzierungswillige CMPs Druck ausgeübt wird, ihren Code nicht Privatsphäre-freundlicher, sondern Google-freundlicher zu gestalten. Was genau da vermutet wird, hängt davon ab, wie zynisch der jeweilige Zyniker gegenüber Google und der Online Werbebranche ist...
Das TCF der IAB wird dadurch noch weiter gestärkt und von Google als Voraussetzung für Google Ads etabliert. Ja genau, das TCF, das von der belgischen Datenschutzbehörde dafür abgewatscht wurde, dass es personenbezogene Daten überträgt, die es eigentlich schützen soll...