Wenn Klicks nicht genügen: Warum digitale Werbung beim Datenschutz scheitert

Im digitalen Werbeuniversum ist die Jagd nach Daten allgegenwärtig – doch was passiert, wenn dabei der Datenschutz auf der Strecke bleibt? Eine Untersuchung der Berliner Datenschutzaufsicht im Jahr 2024 wirft genau diese Frage auf. Ziel der Kontrolle war ein datengetriebenes Werbeunternehmen, das personenbezogene Informationen über Dritte bezieht und für gezielte Onlinekampagnen nutzt.

Die Behörde nahm dabei vor allem die Einwilligungen unter die Lupe, auf die sich das Unternehmen bei der Datenverarbeitung stützt. Doch schnell zeigte sich: Die Einwilligungsprozesse waren alles andere als transparent. Formulierungen waren schwer verständlich, Zwecke diffus, und nicht immer ließ sich nachweisen, dass Nutzer überhaupt zugestimmt hatten. Besonders problematisch: Die Einwilligungen wurden nicht selbst eingeholt, sondern von Partnern – häufig ohne ausreichende Kontrolle.

Zudem offenbarten Stichproben erhebliche Inkonsistenzen in den Datensätzen. Einer einzigen Person wurden mitunter widersprüchliche Merkmale wie verschiedene Altersgruppen zugewiesen. Solche Ungenauigkeiten stellen nicht nur die Verlässlichkeit der Werbeausspielung in Frage, sondern auch die Rechtmäßigkeit der zugrundeliegenden Datenverarbeitung.

Ein weit verbreiteter Irrtum: Wer keine direkten Nutzerbeziehungen hat, sei fein raus. Doch die Prüfung machte deutlich – auch Dienstleister, die Daten über Dritte erhalten, müssen die Einhaltung der DSGVO sicherstellen. Dazu gehört insbesondere der Beleg einer freiwilligen, informierten und dokumentierten Einwilligung.

Die Berliner Datenschutzaufsicht plant, die festgestellten Verstöße an die zuständigen Stellen weiterzuleiten. Doch auch ohne sofortige Sanktionen liefert der Fall wertvolle Impulse für die Praxis. So sollten Unternehmen ihre Dienstleister und Datenquellen sorgfältig prüfen, um mögliche Schwachstellen frühzeitig zu erkennen. Ebenso wichtig ist es, Nutzer klar und verständlich über Zwecke der Datennutzung sowie ihre Rechte zu informieren. Einwilligungen müssen dabei jederzeit nachvollziehbar dokumentiert sein. Zudem gilt es, die Nutzung personenbezogener Daten strikt auf das notwendige Maß zu beschränken. Schließlich sollten Unternehmen auch regelmäßig die Qualität und Konsistenz der von Dritten bezogenen Datensätze hinterfragen, um Fehlinterpretationen oder Rechtsverstöße zu vermeiden.

Quelle: https://www.datenschutz-notizen.de

Back

Name	Purpose	Lifetime	Type	Provider
`CookieConsent`	Saves your consent to using cookies.	1 year	HTML	Website
`fe_typo_user`	Assigns your browser to a session on the server.	session	HTTP	Website
`PHPSESSID`	Temporary cookies which is required by PHP to temporarily store data.	session	HTTP	Website
`__cfduid`	missing translation: trackingobject.__cfduid.desc	30 missing translation: duration.days-session	HTTP	Cloudflare/ report-uri.com

Name	Purpose	Lifetime	Type	Provider
`_pk_id`	Used to store a few details about the user such as the unique visitor ID.	13 months	HTML	Matomo
`_pk_ref`	Used to store the attribution information, the referrer initially used to visit the website.	6 months	HTML	Matomo
`_pk_ses`	Short lived cookie used to temporarily store data for the visit.	30 minutes	HTML	Matomo
`_pk_cvar`	Short lived cookie used to temporarily store data for the visit.	30 minutes	HTML	Matomo
`MATOMO_SESSID`	Temporary cookies which is set when the Matomo Out-out is used.	session	HTTP	Matomo
`_pk_testcookie`	missing translation: trackingobject._pk_testcookie.desc	session	HTML	Matomo