Was ist Outbrain?
Outbrain ist eine Plattform für Native Advertising, mit der Unternehmen Inhalte und Anzeigen auf ihrer Webseite bewerben können. Outbrain passt die Ads dabei dem jeweiligen Medienformat und dem Gesamtkontext der Seite an. Der Anbieter ist an weltweit 18 Standorten vertreten, unter anderem in München und Köln. Sein Hauptsitzt ist in New York. Outbrain arbeitet in mehr als 55 Ländern mit Publishern und Werbetreibenden zusammen. Was müssen Unternehmen beim Einsatz von Outbrain datenschutzrechtlich beachten?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist Outbrain datenschutzrechtlich relevant?
Um Anzeigen auszuspielen, nutzen Unternehmen ein Widget von Outbrain. Dies liefert die Ads auf der Seite aus. Um dabei interessenbezogene Inhalte einzublenden, verwendet Outbrain Cookies. Es speichert die Cookies im Browser der User. Sie erheben Daten wie
- Geräte-Quelle,
- Browser-Typ und
- Teile der IP-Adresse.
Über einen sogenannten Universally Unique Identifier (UUID) kann Outbrain Nutzer endgerätbezogen identifizieren, sobald diese eine Webseite mit dem Widget besuchen. Zudem legt Outbrain Benutzerprofile an, die die User-Interaktion auf der Webseite, wie Seitenaufrufe und Klicks, erfassen.
Für die Praxis heißt das: Unternehmen verwenden über das Outbrain-Widget Tracking Cookies. Dafür müssen sie verschiedene Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG (ehemals TTDSG)) beachten.
Outbrain datenschutzkonform verwenden
Um Outbrain datenschutzkonform zu nutzen, müssen Unternehmen diesen Pflichten nachkommen:
Nutzer-Einwilligung einholen
Outbrain verwendet Cookies, um Unternehmen Anzeigen auf ihrer Webseite schalten zu lassen. Dabei handelt es sich nicht um essenzielle Cookies für den Seitenbetrieb, sondern um Tracking Cookies. Diese sind einwilligungspflichtig. Unternehmen müssen daher die Erlaubnis der User in die Cookies einholen. Rechtssicher geht das über ein Cookie Consent Tool. Dies passt die Datenströme auf einer Webseite nach den Vorgaben der Nutzer an.
Vertrag zur Auftragsverarbeitung abschließen
Unternehmen erheben über Outbrain personenbezogene Daten und lassen diese weisungsgebunden verarbeiten, um die Anzeigen auf ihrer Seite zu schalten. Dafür müssen sie gemäß Art. 28 DSGVO einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit Outbrain schließen. Der Vertrag muss festhalten,
- welche Nutzerdaten Outbrain speichert und verarbeitet,
- wie lange der Anbieter die Daten speichert,
- warum er die Daten speichert und verarbeitet und
- welche Rechte und Pflichten beide Seiten haben.
Datenschutzerklärung anpassen
Unternehmen müssen in ihrer Datenschutzerklärung über die Verwendung von Outbrain informieren. Das schreibt Art. 13 DSGVO vor. Dabei müssen sie erklären,
- welche Daten sie über Outbrain erheben,
- warum sie über Outbrain personenbezogene Daten erheben,
- warum sie die Daten an den Anbieter weitergeben,
- welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. a DSGVO),
- dass sie für die Datenübermittlung einen AV-Vertrag mit Outbrain geschlossen haben und
- dass Nutzer der Datenerhebung und Datenweitergabe jederzeit widersprechen können.
Damit User besser versehen, wie Outbrain ihre Daten verarbeitet, sollten Unternehmen zusätzlich auf die Datenschutzbestimmungen und Nutzungsbedingungen des Anbieters verweisen.
Standardvertragsklauseln prüfen
Outbrain hat seinen Hauptsitz in den USA. Das bedeutet: Unternehmen senden personenbezogene Daten in ein Drittland außerhalb der EU. Dafür benötigen sie eine Rechtsgrundlage. Aktuell stellen diese die Standardvertragsklauseln der EU-Kommission. Unternehmen müssen die Klauseln mit Outbrain abschließen.
Zusätzlich müssen Unternehmen eine Risikoabschätzung vornehmen. Diese legt offen, wie der Datentransfer in die USA abläuft und welche organisatorischen und technischen Maßnahmen Outbrain ergreift, um die Nutzerdaten zu schützen. Die Risikoabschätzung untersucht dazu unter anderem,
- welche Art von Daten in die USA gehen,
- welche Rechtsvorschriften in den USA gelten und
- ob Unternehmen weitere Maßnahmen ergreifen können, um die Userdaten zusätzlich zu schützen.
Rechtsprechung zu Outbrain
Für Outbrain ist diese Rechtsprechung relevant:
Bundesgerichtshof zur Erhebung von IP-Adressen
Dynamische IP-Adresse sind personenbezogene Daten, wenn Seitenbetreiber theoretisch die Möglichkeit haben, die Person hinter der IP zu bestimmen. Das stellte der Bundesgerichtshof (BGH) im Mai 2017 fest (Az. VI ZR 135/13).
Europäischer Gerichtshof zur Erhebung von IP-Adressen
IP-Adressen sind personenbezogene Daten, wenn Strafverfolger die Möglichkeit haben, die Person hinter einer Adresse zu bestimmen. Zu diesem Ergebnis kam der Europäische Gerichtshof (EuGH) im Oktober 2016 (Az. C-582/14).
Landgericht Berlin zur Erhebung von IP-Adressen
Seitenbetreiber benötigen eine Einwilligung der Nutzer, wenn sie IP-Adressen erheben wollen. Das entschied das Landgericht (LG) Berlin im September 2007 (Az. 23 S 3/07).
Europäischer Gerichtshof zur Verwendung von Cookies
Cookies, die nicht essenziell für den Seitenbetrieb sind, sind einwilligungspflichtig. Nutzer müssen ihr Einverständnis dabei aktiv erteilen. Das bedeutet für die Praxis: Unternehmen dürfen das Kästchen für die Einwilligung nicht vormarkieren. Das entschied der EuGH am 01.10.2019 (Az. C-673/17).
Bundesgerichtshof zur Verwendung von Cookies
Tracking Cookies sind einwilligungsbedürftig. User müssen das Häkchen für die Erlaubnis selbst setzen. Nur dann liegt eine aktive Einwilligung vor. Zu diesem Schluss kam der BGH am 28.05.2020 (I ZR 7/16).
Aktuelles zu Cookies
Mehrere tausend Unternehmen in Europa verwenden das Transparency & Consent Framework, um ihren Cookie Banner zu schalten. Die belgische Datenschutzbehörde hat kürzlich jedoch festgestellt: Der Cookie Banner des Frameworks ist nicht datenschutzkonform. Denn: Der Banner ist zu schwammig formuliert. Nutzer können nicht erkennen, welche Daten in welchem Umfang verarbeitet werden. Der Anbieter des Frameworks IAB Europe muss daher ein Bußgeld in Höhe von 250.000 Euro zahlen. Er muss einen Aktionsplan vorlegen, wie ein datenschutzkonformer Banner aussehen kann.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Ein fehlender AV-Vertrag kann für Unternehmen teuer werden. So musste im März 2021 der Fußball-Bundesligaclub VfB Stuttgart ein Bußgeld von 300.000 Euro zahlen. Er hatte über mehrere Jahre Mitgliederdaten von Dienstleistern verarbeiten lassen, ohne dafür mit diesen einen AV-Vertrag zu schließen. Die Datenschutzbehörde Baden-Württemberg sprach daher die Strafe gegen den Verein aus.
Datenschutzbehörde Hamburg zum AV-Vertrag
Für ein deutsches Versandunternehmen kam ein fehlender AV-Vertrag teuer zu stehen. Das Unternehmen hatte personenbezogene Daten an einen spanischen Postdienstleister weitergegeben, um diese weisungsgebunden verarbeiten zu lassen. Die beiden Parteien schlossen dafür jedoch keinen AV-Vertrag. Das stufte die Hamburger Datenschutzbehörde als einen Datenschutzverstoß ein. Sie sprach daher im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro aus.