Das französische Unternehmen Vectaury, spezialisiert auf digitale Marketingkampagnen, bietet Werbebetreibenden Drive-to-store Lösungen an, d.h. Marketingmaßnahmen, die zum Einkauf im Einzelhandel führen sollen.
Geolokalisierungsdaten, Cookies der physischen Welt
Dafür nutzt Vectaury die Geolokalisierungsdaten der Smartphones – die Cookies der realen Welt nach Vectaury. Die Erhebung dieser Geodaten und der Ad-IP des Smartphones erfolgt mittels einer SDK (Software Development Kit), die in den Apps von Partnerunternehmen von Vectaury (Wetter-, Nachrichtendienste…) integriert ist.
Die Daten werden mit den Interessenpunkten (physische Verkaufspunkte, d.h. Einzelhandelsgeschäfte), die Vectaury mit seinen Kunden (Werbebetreibende) festgelegt hat zwecks Erstellung und Analyse von Profilen und Zusendung zielgerichteter Werbung auf dem Smartphone abgeglichen.
Bei ihrer Prüfung rügte die CNIL (französische Datenschutzaufsichtsbehörde), dass die App-Nutzer über die Datenerhebung und -übermittlung an Vectaury nicht informiert waren. Im Laufe der Prüfung entwickelte Vectaury in Kooperation mit dem Interactive Advertising Bureau (IAB) einen Consent Management Provider Tool (CMP), der in die meisten Partner-Apps integriert wurde.
Mittels dieses CMP werden die App-Nutzer über die Erhebung ihrer Geolokalisierungsdaten sowie über ihre Verwendung informiert.
Einwilligung nicht wirksam eingeholt
Doch all das reicht der CNIL nicht. Die durch das CMP Tool gelieferten Informationen seien mangelhaft: die App-Nutzer könnten überhaupt keine wirksame Einwilligung erteilen, so dass die Datenverarbeitung keine Rechtsgrundlage habe.
Vectaury wurde aufgefordert, innerhalb von drei Monaten die Daten, die unrechtmäßig erhoben worden sind, zu löschen (Vectaury hat über die SDK über 5 Millionen Ad-ID erhoben).
Der ausführlich begründete Beschluss der CNIL (CNIL Décision n° MED-2018-042 vom 30. Oktober 2018) zeigt, dass die Information der App-Nutzer bei der Erhebung ihrer personenbezogenen Daten mit besonderer Sorgfalt zu verfassen ist.
Nach der CNIL ist die Einwilligung in die Datenerhebung nur dann wirksam, wenn sie in informierter Weise (i), für den bestimmten Fall (ii) und ausdrücklich erteilt wurde (iii). Die CNIL verweist auf den Art. 4 Ziff. 11 DSGVO sowie auf das Working Paper n°187 15/2011 vom 13.11.2011 der Art. 29 Datenschutzgruppe.
Was die CNIL im Fall Vectaury gerügt hat
(i) Das CMP Tool von Vectaury ermögliche keine „informierte Einwilligung“ der App-Nutzer: die durch das CMP Tool übermittelten Informationen seien zu allgemein verfasst, so dass der App-Nutzer nicht verstehen könne, in was er genau einwilligt. Hinzu komme, dass die Informationen zweideutig seien, denn sie erweckten den Eindruck, dass bei fehlender Einwilligung die App kostenpflichtig werde. Außerdem seien die genannten Datenverarbeitungszwecke nicht ausreichend beschrieben und deckten zu viele unterschiedliche Situationen ab. Schließlich werde dem App-Nutzer nicht unmittelbar mitgeteilt, wer seine Daten erhält und verarbeitet. In der Tat erhalte der App-Nutzer diese Information über das CMP Tool erst, wenn er die Einstellungen zur Datenverarbeitung in der App ändern wolle. Das heißt, er erhalte sie nicht bereits dann, wenn er in die Datenverarbeitung einwillige.
(ii) Der App-Nutzer habe nicht die Möglichkeit, in die jeweiligen genannten Zwecke einzuwilligen oder sie abzulehnen; eine globale Einwilligung für mehrere Zwecke entspreche den Anforderungen der Art. 29-Datenschutzgruppe nicht.
(iii) Eine Einwilligung, die standardmäßig erteilt wird (Häkchen ist bereits gesetzt), entspräche den Anforderungen der Art. 29-Datenschutzgruppe nicht.
Zusammengefasst verlangt die CNIL präzise, vollständige und für Laien verständliche Informationen, die unmittelbar erteilt werden und den App-Nutzern ermöglichen, zu entscheiden, für welche Zwecke ihre Daten erhoben werden dürfen. Ob Vectaury sich daran halten wird, wird sich in den nächsten Wochen zeigen. Andernfalls droht Vectaury u.U. eine Geldbuße.
Hinweis: Vectaury erhebt personenbezogene Daten nicht nur über die o.g. SDK, sondern auch anlässlich bid requests; auch diese Datenerhebung wurde durch die CNIL gerügt, dies ist jedoch nicht Gegenstand dieses Beitrages.