Im Jahr 2024 führte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) eine Vor-Ort-Prüfung bei einem Unternehmen durch, das im Bereich der Onlinewerbung als Datenhändler tätig ist. Die BlnBDI beschreibt in ihrem kürzlich vorgelegten Tätigkeitsbericht 2024 die dabei gewonnenen Erkenntnisse (vgl. Kapitel XII, Abschnitt 2). Der Fokus der Prüfung lag auf der datenschutzkonformen Verarbeitung personenbezogener Daten, insbesondere im Hinblick auf die erforderlichen Einwilligungen der betroffenen Personen.
Verarbeitung personenbezogener Daten für gezielte Werbung
Das Unternehmen bietet verschiedene Dienste an, die auf der Auswertung von Nutzerdaten beruhen. Dabei geht es u. a. um die Analyse von Interessen oder der Aufenthaltsorte von Websitebesuchern, um zielgerichtete Werbung auszuspielen. Grundlage für diese Verarbeitungen ist regelmäßig die Einwilligung der betroffenen Personen.
Die Daten erhebt das Unternehmen nicht selbst, sondern bezieht sie von Dritten – etwa App-Betreibern oder anderen Datenhändlern. Diese sollen im Auftrag die Einwilligungen einholen. Die Prüfung zeigte jedoch, dass die Nachvollziehbarkeit und Qualität der Einwilligungsprozesse teilweise unzureichend waren.
Mängel bei Einwilligungen und Transparenz
Ein zentraler Kritikpunkt betraf die Einwilligungstexte. Diese basierten überwiegend auf dem sog. „Transparency & Consent Framework“ (TCF) des Branchenverbands IAB Europe. Dieses Modell ist in der Onlinewerbung weit verbreitet, stößt jedoch regelmäßig in der Praxis auf Umsetzungsprobleme.
So waren die Einwilligungstexte oft schwer verständlich, enthielten unklare Zweckbeschreibungen oder ermöglichten keine wirksame Ablehnung. In einigen Fällen fehlten konkrete Nachweise, dass überhaupt eine Einwilligung eingeholt wurde. Zudem war unklar, ob die einmal erteilte Einwilligung im weiteren Verlauf tatsächlich beachtet wurde.
Zweifel an der Datenqualität
Die Datenschutzbehörde untersuchte stichprobenartig einige der verwendeten Datensätze. Dabei traten Ungenauigkeiten auf: Ein und derselben Person wurden zum Teil widersprüchliche Eigenschaften wie verschiedene Alters- und Einkommensgruppen zugeschrieben. Diese Feststellungen werfen Fragen zur Verlässlichkeit und Aussagekraft der Daten auf.
Verantwortung auch ohne direkten Nutzerkontakt
Die Prüfung verdeutlicht, dass auch Unternehmen, die keinen direkten Kontakt zu den betroffenen Personen haben, für die Rechtmäßigkeit der Datenverarbeitung verantwortlich sind. Dazu gehört insbesondere der Nachweis einer wirksamen Einwilligung sowie die Einhaltung aller datenschutzrechtlichen Grundsätze gemäß DSGVO.
Konsequenzen und Handlungsempfehlungen
Die Berliner Datenschutzbehörde hat angekündigt, die festgestellten Verstöße an die zuständige Sanktionsstelle weiterzugeben. Auch ohne unmittelbare Sanktionierung bietet der Fall wichtige Impulse für die Praxis:
- Lieferantenmanagement stärken: Datenschutzprüfungen sollten auch Datenlieferanten und deren Einwilligungsprozesse umfassen.
- Transparenz sicherstellen: Einwilligungen müssen für Betroffene klar, verständlich und freiwillig sein – auch wenn sie über Frameworks wie das TCF eingeholt werden.
- Dokumentation und Nachweisführung verbessern: Unternehmen müssen jederzeit belegen können, dass ihre Datenverarbeitung auf einer wirksamen Rechtgrundlage, wie z. B. einer Einwilligung, beruht.
- Verarbeitungsprozesse auf Einwilligungsumfang abstimmen: Daten dürfen nur im Rahmen der erklärten Zwecke verarbeitet werden.
- Datenqualität hinterfragen: Gerade bei der Weiterverwendung externer Daten sollte geprüft werden, ob die Datensätze konsistent und verlässlich sind.
Fazit und Ausblick
Die Berliner Aufsichtsbehörde plant, die festgestellten Verstöße der zuständigen Sanktionsstelle zur Prüfung vorzulegen. Der Fall zeigt exemplarisch, welche praktischen Herausforderungen bei der Umsetzung datenschutzkonformer Einwilligungen im Bereich des Online-Trackings bestehen – insbesondere bei komplexen Datenflüssen und einer Vielzahl beteiligter Akteure.
Anmerkung der Redaktion: Im ersten Satz des Beitrags hieß es erst Informationssicherheit statt Informationsfreiheit. Wir haben den Fehler korrigiert.
23. Juni 2025 @ 9:29
Kleiner Hinweis: Die Behörde ist für Datenschutz und InformationsFREIHEIT zuständig, nicht Informationssicherheit und heißt auch entsprechend. Eine naheliegende Verwechslung, die offensichtlich auch Profis gerne mal unterläuft.