Imens ChatGPT-4, Bard og andre AI-løsninger er på alles læber, er der også andre store nyheder. Datatilsynet i Østrig har igen afsagt dom i en sag, der på længere sigt kan få indflydelse på danske virksomheder. I dette indlæg giver vi indblik i den konkrete sag, hvad det har af implikationer og hvordan man som annoncør skal forholde sig til det.
Det østrigske datatilsyn har i sidste uge, nu også, dømt brugen af Meta’s tracking pixel i strid mod GDPR – og dermed gjort brugen af denne ulovlig. Det er igen nonprofitorganisationen NOYB (None of Your Business) med Max Schrems i front, som står bag søgsmålet. Det er både en skelsættende og samtidig en forventelig dom. Dommen kommer godt og vel et år efter at brugen af Google Analytics, uden foranstaltninger, blev dømt ulovlig – på samme baggrund. Et fokuspunkt i afgørelsen, er at Meta pixlen indsamler personhenførbare datapunkter, herunder, IP-adresse, User ID og en lang række user-agents. Når Meta pixlen indsamler PII-data, så bliver 3. landsoverførsel ulovlig – hvilket er tilfældet med Meta. Selvom afgørelsen principielt er et brud på GDPR, er der ikke nogen information der tyder på at der er udstedt nogle bøder i sagen.
Indtil videre er det kun det østrigske datatilsyn der har afsagt dom. Det danske datatilsyn er blevet efterspurgt en kommentar fra Markedsføring, men ønsker ikke at kommentere på sagen endnu. Det er dog meget forventeligt at vi ser det danske datatilsyn følge de østrigske fodspor, indenfor den nærmeste fremtid. Vi ser med andre ord, formentlig, ind i samme forløb som vi så for et år siden. Denne gang er der dog nogle væsentlige faktorer som gør situationen anderledes.
Situationen er ikke den samme som med Google Analytics
Helt lavpraktisk, så var der mulighed for at implementere nogle tiltag til sit Google Analytics tracking, som gjorde det juridisk compliant igen. Det handlede om pseudonymisering, som en lang række annoncører har fået implementeret. Hvis du har lyst til at genopfriske hvad pseudonymisering går ud på, kan man læse vores blogindlæg her. Denne mulighed ligger ikke lige for, i tilfældet med Meta Pixlen, da den er bygget op omkring at være meget personhenfør. For nuværende har Meta heller ikke valgt at gøre en reverse-proxy mulighed tilgængelig for virksomheder. Det må antages at en sådan løsning, vil lamme pixlen for meget, og essentielt gøre den til en statistik cookie – i stedet for også at være kernen bag deres segmenteringsmotor.
Derudover er det også værd at bemærke, at det østrigske datatilsyn heller ikke udtaler at pseudonymisering af den data man sender til Meta, vil være en mulighed for at gøre brugen heraf, GDPR compliant.
Den anden væsentlig faktor er det 3. forsøg på en EU-US data-delings aftale, Data Privacy Framework (DPF). Aftalen er godkendt fra amerikansk side, men er stadig under behandling af europæiske domstole. Aftalen forventes foreløbigt at være på plads til juli. Skulle denne aftale falde på plads, vil det betyde at det igen bliver muligt at dele personhenførbare data på tværs af Atlanten. Til gengæld forventer vi, så snart DPF skulle træde i kraft, at Max Schrems igen vil lægge sag an – og dermed starte Schrems III. Didier Reynders, EU-kommissær for retlige anliggender, udtaler at han giver aftalen en ’7-8 ud af 10’ chance for at klare det gennem søgsmålet. Det er med andre ord ikke en fuldstændig skudsikker aftale der er på plads.
Hvordan skal man som annoncør forholde sig hvis man har pixlen implementeret?
Når der for nuværende ikke findes en oplagt pseudonymiserings løsning, og DPF-aftalen ikke er 100% sikker, er det så tid til at gå i panik? Nej, det mener vi ikke. For det første, skal vi starte med at afvente det danske datatilsyn, vi ved endnu ikke hvad deres standpunkt bliver. Dernæst skal vi afvente EU domstolenes behandling af DPF-aftalen. Der er ikke fastsat en specifik dato for hvornår den forventes at træde i kraft, men forventes til juli. Når denne aftale er på plads, skal vi så holde vejret, mens den forventelige Schrems III sag starter. Her siger vi holde vejret lidt for sjov, da sådan en sag ikke just bliver afgjort hen over natten. Indtil vi kender de detaljer, kan man kun gøre sig antagelser om hvad udspillet bliver.
Skulle et scenarie udspille sig, hvor USA igen bliver kategoriseret som 3. land, så er bolden på Meta’s banehalvdel, ift. at tilpasse deres forretningsmodel. Den løsning man må formode Meta vil kigge på, er den samme som vi lige har set TikTok melde ud. De vil nemlig til at åbne datacentre i EU, for at sørge for at data ikke flyder ukritisk ud over EU’s grænser. En anden løsning er at Meta kan være tvunget til at stille reverse-proxy muligheden til rådighed for EU-virksomheder på den lange bane. Det virker som den mindre hensigtsmæssige løsning at gå med, af de to.
Ved siden af dette vil arbejdet mellem EU og USA fortsætte, i forsøget på endeligt at lande en aftale der holder juridisk vand.
Hvordan skal man som annoncør forholde sig hvis man køber annoncer på Meta?
Det er vigtigt at understrege, at denne afgørelse udelukkende forholder sig til brugen af Meta’s tracking pixel, og ikke indkøb af annoncer på platformen. Har man som annoncør ikke implementeret Meta’s tracking pixel på sit site, er man måske vant til at bruge interessesegmenter, demografisk data o.lign. til at målrette sine kampagner. Denne data forholder det østrigske datatilsyn sig ikke til i afgørelsen – ligeledes forholder de sig heller ikke til køb af annoncer på Facebook generelt.
Kort opsummeret
For at opsummere, så står vi lige nu i en situation med mange “når” og “hvis’er”. Derfor opfordrer vi ikke til panik. Vi opfordrer heller ikke til at skynde sig ind på sit website, for at fjerne alt Meta-tracking. Det er selvfølgelig altid op til den enkelte juraafdeling at vurdere brugen af Meta-tracking, men på denne front er der som sådan ikke noget der har ændret sig siden 2020 – endnu.
Har du spørgsmål, eller lyst til at høre mere, så kontakt din faste rådgiver eller Head of Ad-tech Anders Palsgaard.