Schlagwort: Third-Party Cookies
4. Juli 2023
Vor rund zwei Wochen veröffentlichte die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL), dass sie eine Geldstrafe in Höhe von 40 Mil. EUR verhängt habe. Adressat der Strafe sei „Criteo“, ein Unternehmen, dass Softwarelösungen für Werbeanzeigen im Bereich des Online-Marketings anbiete.
Hintergründe
Der Grund für das Bußgeld sei gewesen, dass Criteo nicht überprüft habe, ob Personen, deren Daten es verarbeitet habe, eine Einwilligung erteilt hätten. Anlass für die Untersuchungen der Behörde bei Criteo seien Beschwerden der Organisationen Privacy International und „None of your business“ gewesen,
Das Unternehmen Criteo habe sich auf das sog. „Retargeting“ spezialisiert. Dies sei eine bestimmte Methode des Online-Marketings. Auf Webseiten von Partnern setzt Criteo eigene Cookies ein. Diese könnten Navigationsdaten der Nutzers tracken. Über die gesammelten Daten ließen sich anschließend personalisierte Werbeanzeigen schalten. Insbesondere könne dem Nutzer Werbeanzeigen zu Produkten angezeigt werden, für die er sich wahrscheinlich interessieren würde.
Verstöße
CNIL stellte zunächst fest, dass bei der Verwendung von Cookies zu Werbezwecke eine Einwilligung der betroffenen Person eingeholt werden müsse. Wenn ein Unternehmen auf seiner Webseite die Cookies von Criteo einsetze, müsse es eine solche Einwilligung einholen. Criteo müsse sicherstellen, dass die entsprechenden Unternehmen diese Einwilligung tatsächlich einholten und dies dokumentieren. Die Pflicht zur Einholung einer Einwilligung sei allerdings nie Vertragsbestandteil im Rahmen der Geschäftsbeziehungen zu Criteo. Damit verstoße das Marketingunternehmen gegen die Datenschutz- Grundverordnung (DSGVO).
Außerdem verstoße Criteo gegen seine Informationspflichten. Das Unternehmen informiere nicht vollständig über die Zwecke der Datenverarbeitungsvorgänge.
Zusätzlich hätten betroffene Person nicht hinreichend Gebrauch von ihrem Recht auf Widerruf der Einwilligung und Löschung personenbezogener Daten nach Art. 7 Abs. 3 und Art. 17 Abs. 1 DSGVO machen können. Den betroffenen Person seien lediglich keine Werbeanzeigen mehr gezeigt worden. Allerdings habe das Unternehmen Kennungsdaten der Nutzer weiter behalten.
Abschließend stellte die CNIL fest, dass Criteo mit seinen Geschäftspartnern keine Vereinbarung über eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO abgeschlossen habe.
Bußgeld
Die CNIL bewertete bei der Bestimmungen der Höhe des Bußgeldes negativ, dass das Unternehmen über die Daten einer sehr großen Personenanzahl verfüge. Außerdem sei, laut CNIL negativ in die Bewertung mit eingeflossen, dass das Unternehmen sich ausschließlich darauf spezialisiert habe, für eine bestimmte Zielgruppe relevante Werbung anzuzeigen. Demnach sei es das Geschäftsmodell des Unternehmens gerade personenbezogene Daten zu sammeln und zu verarbeiten.
Fazit
Alle angesprochenen Kritikpunkte konnte Criteo nach den Untersuchungen der CNIL einstellen. Dabei ist auffällig, dass das Thema Cookies weiterhin Grund für Datenschutzverstöße ist (hier berichten wir über weitere Cookie-Verstöße).
8. März 2021
Es gibt wohl nur wenige kommerzielle Webseiten, die kein Tracking – also die Analyse des Nutzerverhaltens – betreiben und die meisten Seiten verwenden entsprechende Dienste von Google. Nun hat Google angekündigt, künftig – vermutlich ab 2022 – keine Tracking-Cookies mehr anzubieten, welche individualisierte Werbung ermöglichen. Dieser Schritt mag für User und Kunden überraschend erscheinen, war aber durchaus abzusehen. Google legt seit einigen Jahren einen größeren Fokus auf das Thema Datenschutz und Privatsphäre und hatte so beispielsweise vergangenes Jahr für den unternehmenseigenen Browser Chrome erstmals die Möglichkeit eröffnet, sog. third-party-cookies zu löschen.
Kein Verzicht auf Werbung
Gleichwohl wird Google nicht darauf verzichten, seinen Kunden maßgeschneiderte Werbe-Möglichkeiten anzubieten. Zwar hat sich Google – bzw. die Mutter Alphabet Inc. – in den vergangenen Jahren immer breiter aufgestellt, doch noch immer macht der Umsatz aus Werbung rund zwei Drittel des Konzernumsatzes aus. Google selbst verweist darauf, dass diese Cookies angesichts neuer gesetzlicher Vorgaben und dem gestiegenen Interesse der User am Thema Datenschutz/Privacy in Zukunft nicht wirtschaftlich seien. Und so wird Google künftig vermehrt auf das sog. FLoC (Federated Learning of Cohorts) setzen. Dabei wird nicht mehr das Nutzerverhalten einzelner User analysiert, sondern von größeren Nutzer-Gruppen. Diese sollen laut bisheriger Tests so effektiv sein, dass sie mindestens 95 Prozent der bisherigen Conversions generieren können. Bereits im zweiten Quartal will Google seinen Kunden über Google Ads FLoC-basierte Kohorten zur Verfügung stellen.
Ausblick
Durch den künftigen Verzicht auf individualisiertes Tracking wird sich – laut einiger Experten – für Google sowie dessen Kunden nicht viel ändern. Stattdessen wird erwartet, dass die Entscheidung Druck auf die Konkurrenz im Online-Werbe-Markt aufbauen wird, insbesondere auf Facebook. Aber auch aus datenschutzrechtlicher Sicht könnten sich daraus Auswirkungen ergeben, beispielsweise auf den erforderlichen Cookie-Consent. Ob dies der Fall ist, wird jedoch erst abschließend bewertet werden können, wenn die genauen Funktionsweisen der FLoC-basierten Kohorten bekannt sind. Und auch aus User-Sicht wird zu hinterfragen sein, ob die geplanten Neuerungen tatsächlich zu mehr Privatsphäre führen.
27. März 2013
Medienberichten zu folge plant Mozilla einen Patch von Firefox 22, welcher mehr Datenschutz für die Nutzer bringen soll.
In seiner kommenden Version solle er dem Vorbild von Safari folgen und sogenannte Drittanbieter-Cookies blocken. Solche Tracking-Cookies (oder Third-Party-Cookies) stammen nicht direkt von der besuchten Webseite und führen zu dem Phänomen, dass z.B. nach Besuch eines Online-Shops, bei späterem Besuch einer völlig anderen Website, das eben angeschaute Produkt angeziegt wird.
Die neue Firefox-Version solle es Werbetreibenden erschweren, über Third-Party-Cookies das Verhalten von Nutzern zu tracken und zu analysieren, indem nur noch die Website einen Cookie setzen kann, die gerade angesurft wurde und gerade nicht das Werbenetzwerk, mit dem die Seite zusammenarbeitet.
Bereits jetzt können Nutzer in den Browser Einstellungen Cookies von Dritten abweisen, was künftig per Voreinstellung geschehen soll, sodass die Annahme der Drittanbieter-Cookies standardmäßig abgestellt sein soll. Bis jetzt praktiziert nur Apples Safari-Browser eine solche Abweisung von Third-Party-Cookies.
25. Februar 2013
Wie Jonathan Mayer, einer der Entwickler des populären Firefox Browsers, in einem Blogeintrag mitteilte, wird Firefox ab Version 22 in der Standardeinstellung nur noch sogenannte First-Party Cookies akzeptieren. Dabei handelt es sich um Cookies, welche von der explizit aufgerufenen Website gesetzt werden. Im Gegensatz dazu spricht man von Third-Party Cookies, wenn ein externer Dienstleister beim Aufruf einer anderen Website Cookies beim Nutzer hinterlegt. Solche Third-Party Cookies sollen in Zukunft nicht mehr durch den Firefox akzeptiert werden.
Für die Werbebranche stellt ein solches Vorgehen eine durchaus relevante Einschränkung dar, da einige der gängigen Trackingverfahren unter diesen Umständen nicht mehr funktionieren. Mike Zanei, seines Zeichens Leiter der Rechtsabteilung bei dem Internet Advertising Bureau (einer Lobbyvereinigung der Werbewirtschaft), bezeichnete das Vorhaben der Firefox Entwickler daher auch recht drastisch als “ersten Nuklearschlag gegen die Werbewirtschaft”.
Mayer weist hingegen in dem angesprochen Blogbeitrag darauf hin, dass die neue Firefox Haltung nichts weiter sei, als eine “entspannte Version” dessen, was Apples Safari bereits seit mehr als einer Dekade so umsetze. Für die Zukunft kann Mayer sich jedoch vorstellen, den strikten Umgang mit Cookies auf andere Speichertechniken, wie HTML5 Web Storage, auszuweiten.
Zwischen den Zeilen lässt sich herauslesen, dass die Verwässerung und Missachtung des von Mozilla initiierten Do Not Track Ansatzes Anlass für den strengeren Umgang mit Cookies sein könnte. So zieht Mayer Ausnahmen von der generellen Ablehnung von Third-Party Cookies für solche Seiten in Betracht, die den Do Not Track Ansatz honorieren.
