Die Berufung der ehemaligen Meta-Angestellten Niamh Sweeney zur neuen irischen Datenschutzbeauftragten sorgt weiter für Empörung. Mehr als 40 Nichtregierungsorganisationen wenden sich nun in einem offenen Brief an die EU-Kommission.

Mehr als 40 Nichtregierungsorganisationen sprechen sich in einem offenen Brief gegen die neuberufene irische Datenschutzbeauftragte aus. Zu den Unterzeichnern zählen unter anderem Access Now, ARTICLE 19, European Digital Rights (EDRi) und Statewatch. Ihren offenen Brief gegen die Ernennung von Niamh Sweeney zur dritten Datenschutzkommissarin der irischen Data Protection Commission (DPC) reichten die Organisationen gestern bei der irischen Regierung ein.

Die ehemalige Journalistin Sweeney arbeitete mehrere Jahre in unterschiedlichen Funktionen für den Tech-Konzern Meta. Sie war unter anderem die irische „Head of Public Policy“ von Facebook. Im September dieses Jahres hatte die irische Regierung sie zur Commissioner for Data Protection ernannt.

Bereits unmittelbar nach der Personalentscheidung regte sich Protest. Max Schrems von der österreichischen Nichtregierungsorganisation noyb kritisierte die Entscheidung als Selbstregulierung von und durch Big Tech:

„Wir haben jetzt buchstäblich eine Lobbyistin der US-Big-Tech-Branche, die die US-Big-Tech-Branche für Europa überwacht. 20 Jahre lang hat Irland das EU-Recht nicht wirklich durchgesetzt. Aber zumindest hatte die irische Regierung genug Schamgefühl, um die Durchsetzung heimlich zu untergraben.“

Die NGOs sehen in der Entscheidung ein „besorgniserregendes Level von Missachtung von europäischem Recht“. Sweeney habe sich vor wenigen Monaten noch für große Tech-Unternehmen eingesetzt. Auch fürchten die Unterzeichnenden, dass Sweeney an sogenannte Non-disclosure Agreements gebunden sein könnte, die sie dazu verpflichten, Geschäftsgeheimnisse etwa von Meta zu wahren. Ihre Ernennung stelle die Unabhängigkeit der DPC ernsthaft in Zweifel, so die NGOs.

Undurchsichtiges Auswahlverfahren

Auch das Auswahlverfahren von Niamh Sweeney kritisieren die Nichtregierungsorganisationen in ihrem Schreiben. Laut einem Bericht von Politico gehörte dem Ausschuss, der Sweeney rekrutiert hat, unter anderem der Anwalt Leo Moore an. Moore ist Partner bei der Kanzlei William Fry. Er vertritt nationale sowie multinationale Unternehmen in der Technologiebranche. Ein Mitbewerber Sweeneys hatte Moore Interessenskonflikte unterstellt, seine Beschwerde gegen die Zusammenstellung des Ausschusses blieb allerdings erfolglos.

Auch die DPC selbst wird von den NGOs kritisiert. „Das Fehlen einer wirksamen Durchsetzung ist mittlerweile systemisch geworden, wodurch Irland zum Nadelöhr bei der Anwendung der Datenschutz-Grundverordnung wurde“, schreiben die Bürgerrechtsorganisationen.

Um das Vertrauen in die DPC zu fördern, schlagen die NGOs zwei Maßnahmen vor. Sie fordern zum einen ein neues Auswahlverfahren, um die Stelle der Datenschutzbeauftragten mit einer Person zu besetzen, die nachgewiesenermaßen über ausreichend Qualifikationen bei den Themen Grundrechte und Datenschutz verfügt. Zum anderen drängen sie darauf, das bestehende Auswahlverfahren unabhängig prüfen zu lassen.

Der offene Brief in Wortlaut

Date 14-10-2025

Re: Concerns Regarding the Independence of the Irish Data Protection Commission Following Recent Appointment

For the attention of Michael McGrath, European Commissioner for Democracy, Justice, the Rule of Law and Consumer Protection.

Dear Commissioner,

We, a large group of civil society organisations are writing to you to express our extreme concern regarding the recent appointment of the new Commissioner at the Irish Data Protection Commission (DPC). The person in question has held a long-standing senior public affairs position at one of the largest technology platforms that the DPC is mandated to regulate, and indeed in her latest role (which ended only last August) continued to advocate on behalf of these platforms. All this raises serious questions about the perception and reality of the DPC’s independence at a time when its impartiality is of critical importance for the entire Union.

The GDPR requires, under Article 52, that supervisory authorities act with full independence. Equally, Article 41 of the Charter requires that procedures are handled ‚impartially‘ and ‚fairly‘. This principle is fundamental to the credibility of the Regulation and to the rights it is designed to protect. Its importance is amplified in Ireland, where the DPC has responsibility as lead supervisory authority for many of the world’s largest technology companies. Indeed, the importance of independence has already been affirmed by the Court of Justice in Case C-288/12 Commission v. Hungary, where the premature ending of a data protection supervisor’s mandate was found to have violated EU law. This precedent underlines both the necessity of safeguarding supervisory authorities‘ independence and the Commission’s role in ensuring compliance.

Concerns about enforcement are long-standing and ongoing. At the Irish DPC, investigations against major companies have been seldom in the last several years, with critical decisions often only materialising, if at all, under pressure from the European Data Protection Board (EDPB) and other Member State authorities, or indeed even after intervention by the Court of Justice of the European Union (CJEU). Patterns of delayed or limited enforcement continue to undermine trust in the DPC as an effective enforcer of the law.

Furthermore, recent revelations have confirmed that intimate data, including sensitive information about survivors of sexual abuse, is still being traded through real-time bidding systems with the case having been discussed at a session in the Irish parliament in the last weeks. That this continues today is the direct result of years of inaction by the Irish DPC, despite clear evidence of unlawful practices. This failure is not limited to one case. Since 2017, civil society organisations have filed highly important and strategic complaints in Ireland, yet these cases have either not been treated or have faced years of delay. The absence of meaningful enforcement has become systemic, making Ireland the bottleneck in the application of the GDPR.
The appointment of a Commissioner with such close ties to an industry under investigation threatens to only reinforce perceived distrust in the Irish DPC at precisely a time when even greater assurances of independence are needed given wider geo-political events. Any contractual obligations, such as non-disclosure agreements with entities regulated by the DPC, would exacerbate these risks from the outset.

The broader context only further compounds these concerns. Across the Union, data protection is increasingly under pressure, with proposals to weaken safeguards under the guise of simplification. Enforcement of the GDPR has too often been treated as a secondary priority, despite being essential to the protection of fundamental rights. The credibility of the EU’s digital rulebook depends on strong, impartial, and effective supervisory authorities.

We therefore respectfully urge the European Commission to:

• Assess whether the independence of the Irish DPC can be guaranteed under Article 52 GDPR and Article 41 CFR in light of this appointment;
• Clarify the steps the Commission will take if the independence of a supervisory authority is compromised, including the initiation of infringement procedures where appropriate;
• Develop a work programme to demonstrate how the task entrusted to you in this mandate – the effective enforcement of the GDPR (as set out in your mandate letter) – will be put into practice as a political priority, including EU-level safeguards to prevent conflicts of interest in supervisory authorities, including transparent appointment processes and revolving-door restrictions.

Ensuring that supervisory authorities are independent, impartial, and effective is not only a legal requirement but also a political necessity for safeguarding rights and maintaining public trust. Undermining supervisory authority independence also risks weakening protections guaranteed under the Charter of Fundamenta Rights. We remain at your disposal for further discussion and would be glad to contribute to the Commission’s reflections on this matter.

Yours sincerely,

Access Now
AI Accountability Lab, Trinity College Dublin
AI Forensics
Albanian Media Council
Alliance4Europe
ARTICLE 19
Asociația pentru Tehnologie și Internet (ApTI)
Balanced Economy Project
Bits of Freedom
Center for Countering Digital Hate
Civil Liberties Union for Europe
Coalition for Women In Journalism
Corporate Europe Observatory
Defend Democracy
Ekō
Electronic Frontier Norway
European Digital Rights (EDRi)
Global Witness
HateAid
Homo Digitalis
Hope and Courage Collective
ICCL
Irish Network Against Racism
IT-Pol
Lie Detectors
LobbyControl
New School of the Anthropocene
noyb
Open Markets Institute
Panoptykon Foundation
People Vs Big Tech
Politiscope
The Good Lobby
SOMI
Statewatch
SUPERRR Lab
Uplift, People Powered Change
Vrijschrift.org
Waag Futurelab
WHAT TO FIX
Xnet, Institute for Democratic Digitalisation

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Sollen Polizeibehörden Gesichtserkennung einsetzen können, wenn sie mit einem Schild davor gewarnt haben? Macht es für Empfänger:innen von Sozialhilfe einen Unterschied, ob sie mit einem KI-System Probleme kriegen oder mit klassischer Software? Die Zivilgesellschaft hätte dazu gerne mehr Klarheit von der EU-Kommission.

Die EU-Kommission soll dafür sorgen, dass die Verbote aus der europäischen KI-Verordnung möglichst umfangreich ausgelegt werden. Das fordert eine Koalition aus zivilgesellschaftlichen Organisationen in einer heute veröffentlichten Stellungnahme. Sie bezieht sich auf Leitlinien, an denen die Kommission momentan noch arbeitet.

Diese Leitlinien sollen dafür sorgen, dass auch „einfachere“ Systeme von den Regeln der KI-Verordnung betroffen sind, fordern die Organisationen. Die Kommission soll auch klarstellen, welche Arten von Systemen die verbotenen „inakzeptablen“ Risiken für Grundrechte haben. Außerdem sollen Grundrechte die zentrale Basis dafür sein, wie die KI-Verordnung praktisch umgesetzt wird.

Arbeit an Details läuft weiter

Die Europäische Union hat lange an ihren Regeln für Künstliche Intelligenz gefeilt. Intensiv diskutiert wurde etwa die Frage, welche Einsätze von KI in Europa ganz verboten werden sollten. Dabei ging es etwa um die biometrische Gesichtserkennung oder das sogenannte „Predictive Policing“. Die fertige KI-Verordnung schränkt beide Praktiken zwar ein, verbietet sie aber nicht ganz.

Die Verordnung selbst ist seit bald einem Jahr beschlossen und trat auch schon vor einigen Monaten in Kraft. Aber Obacht: Bei EU-Gesetzen heißt das nicht, dass alle ihre Regeln auch direkt gelten.

Zuvor gibt es noch einiges fertigzustellen. Zum Beispiel die sogenannten „Praxisleitfäden“, die genaue Regeln für KI-Modelle mit allgemeinem Verwendungszweck wie GPT-4 festlegen sollen. An denen arbeiten gerade die Anbieter solcher Modelle, andere Unternehmen und Vertreter:innen der Zivilgesellschaft unter Aufsicht der EU-Kommission. Bis April soll es einen fertigen Text geben.

Die Verbote gelten ab dem 2. Februar. Bis dahin will die EU-Kommission noch Leitlinien veröffentlichen, die Unternehmen dabei helfen sollen, sie einzuhalten. Außerdem will sie noch klarstellen, was genau denn ein KI-System überhaupt ist – und welche Systeme deshalb von der KI-Verordnung betroffen sein werden.

Ergebnis soll zählen, nicht die Art der Software

Auf diese Leitlinien bezieht sich nun die zivilgesellschaftliche Koalition, an der unter anderem European Digital Rights (EDRi), Access Now, AlgorithmWatch und Article 19 beteiligt sind. Caterina Rodelli von Access Now hält die Leitlinien für ein „zentrales Werkzeug“, um mangelhafte Menschenrechtsregeln der Verordnung noch auszubessern.

Die erste Forderung der Koalition bezieht sich auf „einfachere“ Software. „Wir sind besorgt, dass Entwickler:innen vielleicht die Definition von KI und die Einstufung von Hochrisiko-KI-Systemen ausnutzen können, um die Verpflichtungen der KI-Verordnung zu umgehen“, schreiben die Organisation. Unternehmen könnten ihre KI-Systeme zu normaler, regelbasierter Software umwandeln und so nicht mehr vom Gesetz betroffen sein, obwohl es die gleichen Risiken geben würde.

Die Organisationen fordern deshalb, dass sich Gesetze an möglichem Schaden orientieren sollten, nicht an den genutzten technischen Mitteln. Sie beziehen sich auf das Beispiel des niederländischen SyRI-Systems. Dieses System beschuldigte Empfänger:innen von Sozialhilfe fälschlicherweise des Betrugs und beeinträchtigte so Tausende von Familien. Der Skandal führte 2021 zum Sturz der damaligen niederländischen Regierung.

Dabei wirkte das zugrundeliegende System einfach und erklärbar, betont das Statement. Die Auswirkungen auf eine Vielzahl an Personen waren trotzdem verheerend.

Mehr Systeme einbeziehen

Die Koalition fordert außerdem, dass die Leitlinien marginalisierte Gruppen besser schützen sollen. Dafür soll die Kommission ausdehnen, welche Fälle unter die verbotenen „inakzeptablen“ Risiken für die Grundrechte fallen.

So soll das Verbot von „Social Scoring“ etwa auf Anwendungen ausgedehnt werden, die heute in Europa schon gang und gäbe sind: Etwa für Empfänger:innen von Sozialhilfe, wie im niederländischen Fall, oder für Migrant:innen. Die Leitlinien sollten deshalb etwa Daten schützen, die über Bande Informationen wie die Ethnie oder den sozioökonomischen Status preisgeben könnten, wie zum Beispiel die Postleitzahl.

Das Verbot für „Predictive Policing“ soll eine weite Bandbreite an Systemen einbeziehen, die kriminalisiertes Verhalten vorhersagen sollen. Im Verbot des allgemeinen Scrapens von Gesichtsbildern sehen die Organisationen einige Schlupflöcher, die sie gerne geschlossen haben würden. Außerdem soll eine Definition einer Gesichtsbild-Datenbank gelöscht werden, weil durch diese Anbieter wie Pimeyes oder Clearview außen vor bleiben würden.

Löcher schließen bei der Gesichtserkennung

Bei den Verhandlungen zur KI-Verordnung wollte das Europäische Parlament ein umfassendes Verbot von Systemen zur Emotionserkennung durchsetzen, ist damit aber gescheitert. Die Leitlinien sollen nun zumindest klar zwischen echten medizinischen Geräten wie Herzmonitoren und Geräten wie „Aggressionsdetektoren“ unterscheiden, fordern die Organisationen – denn medizinische Geräte sind von den Verboten ausgenommen.

Außerdem sollen die Leitlinien die Regeln für automatisierte Gesichtserkennung verschärfen. Auch in Deutschland gab es schon Forderungen, einige der in der KI-Verordnung dafür offen gelassenen Schlupflöcher zu schließen. Auf europäischer Ebene fordert die zivilgesellschaftliche Koalition nun, dass die Entwicklung von Gesichtserkennungssystemen für den Export unter das Verbot fallen soll. Zudem soll es nicht ausreichen, wenn Behörden nur mit einem Schild auf Zonen hinweisen, in denen Gesichtserkennung genutzt wird. Videoaufzeichnungen sollen erst nach 24 Stunden biometrisch ausgewertet werden dürfen.

In Zukunft bitte mehr Zeit

Eine Menge Wünsche für die Leitlinien – die Koalition hat aber auch noch einige Kritik für deren Entstehen übrig. Der Prozess sei nicht vorher angekündigt worden, habe kurze Fristen gelassen, es sei kein Entwurf veröffentlicht worden, schreiben sie. Außerdem seien manche der Fragen suggestiv formuliert gewesen. So habe die Kommission etwa nur nach Systemen gefragt, die aus der Definition von KI ausgeschlossen werden sollten, und nicht nach Systemen, für die die Regeln gelten sollten, bemängeln die Organisationen.

Das Statement fordert deshalb die Kommission auf, in Zukunft die Zivilgesellschaft besser einzubeziehen. „Die EU-Kommission muss Interessengruppen mit begrenzten Ressourcen eine Stimme geben, und dafür muss sie längere Zeiträume für so umfassende Befragungen vorsehen“, so Nikolett Aszodi von AlgorithmWatch.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Anstatt Ägyptens repressive Politik zu unterstützen, soll die EU-Kommission Verhandlungen mit der Militärdiktatur stoppen und Reformen fordern. Das schreiben mehr als 40 Nichtregierungsorganisationen in einem offenen Brief an den Innenkommissar.

Die EU-Kommission sei kurz davor, ein sogenanntes Arbeitsabkommen zwischen Ägypten und der Polizeiagentur Europol zu unterzeichnen, erklärte im vergangenen Herbst die damalige EU-Innenkommissarin Ylva Johansson gegenüber der Presse. Die Regierung unter Abdel Fatah Al-Sisi sei ein „echter strategischer Partner der EU und für die Stabilität in der Region“, hieß es zur Begründung. In einem heute veröffentlichen offenen Brief an den neuen Innenkommissar Magnus Brunner warnen jedoch 41 Menschenrechts-, Flüchtlings-, Digital- und Bürgerrechtsorganisationen vor den Risiken einer solchen Polizeikooperation.

Die Unterzeichnenden sind neben nordafrikanischen Organisationen auch EDRI, Access Now, EuroMed Rights Network, Statewatch und Privacy International. Sie sehen in dem geplanten Abkommen eine Legitimierung des ägyptischen Sicherheitsapparats, der für systematische Menschenrechtsverletzungen bekannt ist. Die Kommission soll deshalb ihre Verhandlungen stoppen und Druck auf Ägypten ausüben, damit das Land Reformen zum Schutz der Menschenrechte, bürgerlicher Freiheiten, der Justiz und der Demokratie verabschiedet.

Die Organisationen verweisen auf die Willkürjustiz in Ägypten: Schätzungsweise 60.000 politische Gefangene befinden sich demnach in Haft – unter ihnen ist auch der Blogger und Aktivist Alaa Abd el-Fattah, über dessen Fall netzpolitik.org regelmäßig berichtet. UN-Gremien bestätigen systematische Folter durch Polizei und Militär, besonders gegen Regierungskritiker:innen. Anti-Terror-Gesetze werden missbraucht, um Oppositionelle zum Schweigen zu bringen.

Unterstützung von repressivem Migrationsregime

Besondere Sorge bereitet den Unterzeichner:innen das Thema Migration. Während die Kommission Ägyptens Behandlung von Geflüchteten und Migrant:innen insbesondere aus dem Sudan lobte, dokumentieren Menschenrechtsorganisationen systematische Verhaftungen und Zwangsrückführungen.

Zwar hat Ägypten mittlerweile ein Asylgesetz erlassen, es enthält aber auch Verschärfungen. Wer Geflüchtete ohne Benachrichtigung der Behörden unterbringt, riskiert strafrechtliche Konsequenzen. Die Regierung hat weitreichende Befugnisse erhalten, um während Sicherheitskrisen, Anti-Terror-Operationen oder in Kriegszeiten „notwendige Maßnahmen“ gegen Flüchtlinge zu ergreifen.

Das repressive ägyptische Migrationsregime wird durch EU-Mittel unterstützt. Die Kommission hat dazu im vergangenen Jahr 200 Millionen Euro für „Schleuserbekämpfung“, Grenzüberwachung und -kontrolle, Rückkehrprogramme sowie Förderung privilegierter Migration für benötigte Arbeitskräfte zur Verfügung gestellt. Die Anstrengungen haben vermutlich dazu beigetragen, dass Ankünfte über die zentrale Mittelmeerroute aus Ägypten im Jahr 2024 um zwei Drittel sanken.

Kommission drängt auf Folgeabkommen

Das nun geplante Arbeitsabkommen mit Europol ist strategischer Natur und soll keinen Austausch personenbezogener Daten umfassen. Auf Basis ähnlicher Abkommen arbeitet Europol etwa mit der Polizei in Singapur, Chile, Mexiko und Israel zusammen. Im Falle Ägyptens plant die Kommission aber offenbar noch ein weitergehendes Folgeabkommen, das den Austausch persönlicher Daten ermöglicht. Das könnte die Repression gegen im ausländischen Exil lebende Menschenrechtsverteidiger erleichtern, warnen die Kritiker:innen.

Problematisch am gegenwärtig verhandelten Abkommen ist auch der Datenschutzaspekt: Obwohl Ägypten 2020 ein erstes entsprechendes Gesetz verabschiedete, wurde dieses nie implementiert. Damit fehlt ein rechtlicher Rahmen für den Datenschutz – eine wesentliche Voraussetzung für ein Abkommen zum Austausch personenbezogener Informationen mit der EU.

Die Organisationen fordern die Kommission deshalb dazu auf, eine umfassende Folgenabschätzung für Menschenrechte und Datenschutz durchzuführen. Sie verweisen auf eine Resolution des Europäischen Parlaments aus dem Jahr 2018, die eine solche Prüfung bereits forderte. Der Rat erlaubte der Kommission jedoch die Verhandlungen mit Ägypten, ohne das Parlament zu konsultieren.

Weitere Abkommen geplant

Auch grundsätzlich kritisieren die Unterzeichner:innen die EU-Strategie der Zusammenarbeit mit autoritären Regimen im Mittelmeerraum in den Bereichen Polizei, Justiz und Migrationskontrolle. Diese stelle Sicherheitsinteressen über Demokratie und Menschenrechte. Statt mehr Polizeikooperation anzustreben, solle die EU ihren Einfluss nutzen, um Reformen für Menschenrechte, bürgerliche Freiheiten und Demokratie in Ägypten zu fordern.

Neben Ägypten plant die EU-Kommission weitere Europol-Abkommen mit Bolivien, Brasilien, Ecuador, Mexiko und Peru. Auch sie sollen den Austausch von personenbezogenen Daten ermöglichen, um die Bekämpfung von schwerer Kriminalität und Terrorismus zu unterstützen. Die Verhandlungen mit Brasilien sind abgeschlossen. Mit Bolivien wurden bislang drei Verhandlungsrunden durchgeführt, mit Ecuador zwei sowie ein technisches Treffen, mit Peru fanden zwei Treffen statt. Mit Mexiko haben die Verhandlungen bisher noch nicht begonnen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Einer der wichtigsten Standards des Ökosystems für Online-Werbung verstößt in einer Vielzahl von Punkten gegen die Datenschutzgrundverordnung. Zu diesem Schluss kommt die belgische Datenschutzbehörde APD in einer lange erwarteten Entscheidung zum sogenannten Transparency and Consent Framework (TCF). Das System, mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising einsammeln, entspreche nicht den Grundsätzen von Rechtmäßigkeit und Fairness, teile die Aufsichtsbehörde mit.

Die Entscheidung ist mit den anderen europäischen Datenschutzbehörden abgestimmt und hat Konsequenzen für Cookie-Banner und verhaltensbasierte Online-Werbung in der gesamten EU. Der Werbeverband IAB Europe, der den TCF-Mechanismus entwickelt und betreibt, muss nun die so gesammelten personenbezogenen Daten löschen und eine Strafe von 250.000 Euro zahlen. Weitaus bedeutender sind jedoch die Auflagen, die die APD der Werbebranche macht, damit sie das Transparency and Consent Framework überhaupt weiter nutzen darf.

Tausende Websitebetreiber:innen, fast alle Online-Medien und auch große Werbefirmen wie Google oder Amazon nutzen den Mechanismus, um das vermeintliche Einverständnis von Nutzer:innen in die Verarbeitung ihrer persönlichen Daten zu Werbezwecken weiterzugeben. „Menschen werden eingeladen, ihre Zustimmung zu geben, doch die meisten von ihnen wissen nicht, dass ihre Profile vielfach am Tag verkauft werden, damit sie personalisierter Werbung ausgesetzt werden“, fasst Hielke Hijmans von der APD die Kritik ihrer Behörde zusammen.

Auch wenn die Entscheidung nicht direkt das gesamte Werbesystem im Netz betreffe, werde sie großen Einfluss auf den Schutz der persönlichen Daten von Internetnutzer:innen haben, so Hijmans.

Zentraler Baustein für Targeting und Cookie-Banner illegal

Vereinfach gesagt funktioniert das System von zielgerichteter Werbung im Netz heute so: Jeder Besuch bei einer teilnehmenden Website löst eine Auktion unter den Anbietern von Werbeanzeigen aus. Unter anderem anhand der gewünschten Preise und des Datenprofils der Nutzerin entscheidet sich in Millisekundenschnelle, welche Werbung sie zu sehen bekommt. Damit dieses Real-Time-Bidding (RTB), also das Bieten in Echtzeit, funktioniert, müssen die Werbefirmen wissen, mit wem sie es zu tun haben: Alter, Geschlecht, Interessen, besuchte Websites, Wohnort, Kaufkraft und so weiter sind wichtige Kriterien, nach denen die Zielgruppen für Anzeigen zusammengestellt werden.

Hier kommt das Transparency and Consent Framework von IAB Europe ins Spiel. Wenn Nutzer:innen auf „Cookies akzeptieren“ klicken oder nicht widersprechen, dass die Nutzung ihrer Daten im legitimen Interesse des Anbieters ist, erzeugt das TCF einen sogenannten TC-String. Dieser Identifier bildet die Grundlage für die Erstellung von individuellen Profilen und für die Auktionen, in denen Werbeplätze und mit ihnen die Aufmerksamkeit der gewünschten Zielgruppe versteigert werden, und wird an aberhunderte Partner in dem OpenRTB-System weitergeleitet.

Den belgischen Datenschützer:innen zufolge sind es vor allem zwei Probleme, die das Consent Framework in seiner heutigen Form praktisch unbenutzbar machen. Zum einen hält die Behörde fest, dass bereits die TC-Strings personenbezogene Daten darstellen. Gemeinsam mit der IP-Adresse und den vom TCF gesetzen Cookies ermöglichen sie es nämlich, Nutzer:innen genau zu identifizieren. Zum anderen ist der Werbeverband IAB Europe nach Ansicht der Datenschutzaufsicht für jede Datenverarbeitung über das Framework rechtlich mitverantwortlich.

Bislang hatte der Verband sich als neutraler Anbieter eines technischen Standards inszeniert und eine Rolle als Datenverarbeiter stets von sich gewiesen – und damit auch die Verantwortung dafür, dass die Prozesse auch wirklich DSGVO-konform sind. Dass Werbetreibende sich in ihren Cookie-Bannern auf ein „legitimes Interesse“ an der Datensammlung berufen, statt um Einwilligung zu bitten, müsste das Framework zum Beispiel grundsätzlich untersagen, um rechtskonform zu sein.

Auch darüber hinaus verstoße der TCF-Mechanismus gegen diverse Vorgaben der DSGVO, zum Beispiel gegen die Grundsätze von Privacy by Design und by Default. Die Aufsichtsbehörde gibt IAB Europe zwei Monate Zeit, um einen Aktionsplan vorzulegen, wie es die Mängel beheben will.

IAB Europe prüft rechtliche Schritte

Der Werbeverband widerspricht unterdessen der Darstellung der Datenschutzbehörde in wesentlichen Punkten und kündigt an, die Entscheidung gerichtlich überprüfen lassen zu wollen. Er betont zudem, dass die Behörde das TCF nicht grundsätzlich verboten habe und dass man die Mängel innerhalb von sechs Monaten beheben könne.

Für die Online-Werbeindustrie und auch für viele Medienhäuser ist die Entscheidung ein herber Rückschlag. Das von ihnen genutzte Ökosystem des Targeted Advertising ist an einer entscheidenden Stelle illegal: der Einwilligungen der Nutzer:innen und damit der Rechtmäßigkeit der Datenverarbeitung.

Datenschützer:innen bezweifeln seit langem, dass es überhaupt möglich ist, dass System des Targeted Advertising und des Real-Time-Biddings datenschutzkonform zu betreiben. Die Datenflüsse zwischen den hunderten Playern des Systems sind für Nutzer:innen weder nachvollziehbar, noch können sie sinnvoll intervenieren und Einwilligungen zurückziehen – von den unlauteren Design-Tricks, um sich die Einwilligung zu erschleichen, mal ganz abgesehen.

„Harter Schlag gegen die Datenindustrie“

Entsprechend euphorisch wird die Entscheidung der belgischen Behörde von vielen begrüßt. „Das war ein langer Kampf“, resümiert etwa Johnny Ryan vom Irish Council for Civil Liberties, der das Verfahren zusammen mit anderen NGOs wie der Digitalen Gesellschaft oder Panoptykon aus Polen in Gang gebracht hatte. Die heutige Entscheidung befreit hunderte Millionen Europäer:innen vom Einwilligungs-Spam und der weitreichenden Gefahr, dass Informationen über ihre intimsten Online-Aktivitäten zwischen Tausenden Firmen hin- und hergereicht werden.

Estelle Masse von der Nichtregierungsorganisation Access Now sieht durch die Klarstellung, dass das Framework keine gültige Rechtsgrundlage habe, „seine gesamte Existenz infrage gestellt“. Für Online-Medien, die auf das TCF setzen, hat sie eine dringende Empfehlung: „Verlage sollten so schnell wie möglich damit aufhören, denn sie tragen eine datenschutzrechtliche Mitverantwortung für die Verarbeitung. Dieses Mal trifft die Strafe IAB Europe, doch das dürfte noch nicht das Ende der Geschichte sein.“

„Die Entscheidung der belgischen Datenschutzaufsicht gegen das TCF ist ein harter Schlag gegen die Datenindustrie, die ihrem invasiven digitalen Tracking gerne einen DSGVO-konformen Anstrich verleihen wollten, indem sie uns allen die permanente Auseinandersetzung mit nutzlosen ‚Einwilligungs“-Bannern aufzwingen“, twittert der österreichische Überwachungsforscher Wolfie Christl.

Ebenfalls auf Twitter begrüßte auch der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber die „wichtige Entscheidung zu Einwilligungsbannern durch die belgischen Kollegen und den europäischen Datenschutzausschuss.“

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.