Svenska 
English (UK) 
Русский 
Deutsch 
Polski 
Italiano 
Français 
Ελληνικά 
Türkçe 
한국어 
简体中文 
日本語 
Українська 
Slovenčina 
Română 
Nederlands 
Português 
Suomi 
Čeština 
Español 
العربية 
Riktad reklam och profilering i domstol">
In the age of digital marketing, targeted advertising and user profiling have become key tools for platforms, publishers, and advertisers. However, these data-driven techniques are under intense legal scrutiny, especially under the General Data Protection Regulation (GDPR) and the ePrivacy Directive. European courts and data protection authorities (DPAs) are increasingly examining the legality, transparency, and consent mechanisms behind behavioral advertising, with rulings that carry significant implications for the ad tech ecosystem.
This article explores high-profile case studies and enforcement actions across the EU, focusing on how profiling for advertising purposes has been challenged under privacy laws—and what lessons platforms and marketers should take away.
1. CNIL v Google (France, 2020): Cookie Consent and Tracking
In 2020, the French Data Protection Authority (CNIL) fined Google €100 million for placing advertising cookies without prior user consent on its French domains. The cookies enabled tracking for personalized ads but were activated before users made any meaningful choice.
Key Issues:
- Lack of valid consent under the ePrivacy Directive.
- Users were not sufficiently informed about the purpose of cookies or how to reject them.
- The cookie banner provided only an “Accept” option, without an equivalent “Refuse.”
Legal Grounds:
- ePrivacy Directive (2002/58/EC) as implemented in French law.
- Article 5(3) of the ePrivacy Directive requires prior consent before storing or accessing information on a user’s device.
Outcome:
Google was fined and subsequently updated its consent banners to provide granular choices and symmetric options for acceptance and refusal.
Lesson:
Consent for profiling and targeted advertising must be freely given, specific, informed, and unambiguous—and implemented before any tracking begins.
2. Bundeskartellamt v Meta (Germany, ongoing): Combining Data Across Services
The German Competition Authority (Bundeskartellamt) initiated proceedings against Meta (formerly Facebook) for combining user data from Facebook, Instagram, WhatsApp, and third-party websites without proper consent.
Key Legal Twist:
Although the case originated under competition law, the authority relied heavily on GDPR violations—arguing that Meta’s failure to obtain valid consent gave it an unfair advantage in the advertising market.
Court Developments:
- The German Federal Court of Justice upheld the regulator’s decision to restrict data processing practices.
- The CJEU was asked for a preliminary ruling to clarify the intersection of data protection and competition law (Case C-252/21, pending as of 2025).
Legal Questions:
- Whether the combination of data across services without consent violates Articles 6 and 9 GDPR.
- Whether the user is offered a real choice or is coerced into acceptance via bundled services.
Lesson:
Profiling based on cross-platform data must be backed by a valid legal basis, usually opt-in consent, and must not be a condition for using the core service.
3. NOYB Complaints Against IAB Europe’s TCF (EU-wide): Real-Time Bidding Scrutiny
The nonprofit NOYB (None of Your Business) filed multiple complaints against the IAB Europe’s Transparency and Consent Framework (TCF), which is widely used in real-time bidding (RTB) for targeted ads.
Main Allegations:
- The TCF failed to provide genuine, informed consent.
- Profiling under RTB shared user data with hundreds of vendors in real time, often without user awareness.
- The framework was deemed non-compliant with GDPR’s principles of data minimization, purpose limitation, and lawful basis.
Belgian DPA Ruling (2022):
- Found IAB Europe responsible as a joint controller for data processing in the TCF.
- Ordered significant changes to the consent mechanism and data sharing practices.
Outcome:
IAB Europe var tvungen att gör om TCF, införa starkare skyddsåtgärder och bättre kontrollera downstream-dataanvändningen av leverantörer.
Lesson:
Samtyckesramverk som används för programmatisk annonsering får inte bara uppfylla GDPR-standarder, men också säkerställa verkställbar styrning genom hela ad tech-kedjan.
4. Planet49-fallet (EU-domstolen, C-673/17): Förkryssade rutor och samtyckets giltighet
Den Planet49 mål inför EU-domstolen (CJEU) undersökte om förbockade rutor utgör giltigt samtycke för cookies som används i reklamspel och beteendebaserad annonsering.
CJEU-dom:
- Samtycke måste vara aktiv, vilket innebär att förkryssade rutor inte är tillräckliga.
- Den varaktighet och åtkomst från tredje part av cookies måste också avslöjas för användaren i förväg.
Juridiska implikationer:
- Bekräftade att båda GDPR och ePrivacy require positiv särbehandling och tydlig redovisning för laglig profilering.
Lesson:
Plattformar måste utforma samtyckesgränssnitt som säkerställer rensa användarinteraktion, inte passivt eller underförstått samtycke.
Viktiga slutsatser för plattformar och annonsteknikoperatörer
Samtycke är centralt – och måste vara detaljerat, informerat och återkalleligt.
Profilerering för riktade annonser kräver en giltig rättslig grund, vanligtvis Artikel 6(1)(a) GDPR.
Transparens måste vara omfattande: vem behandlar uppgifterna, för vilka ändamål och hur länge.
Gemensamt personuppgiftsansvar kan gälla – plattformar och reklampartners kan dela ansvaret för efterlevnad av GDPR.
Samtyckesramverk (t.ex. CMP:er, TCF:er) måste vara granskningsbara och verkställbara hos alla mottagare av användardata.
Framåtblick: ePrivacy-förordningens och DSA:s roll
I takt med att tillämpningen av GDPR intensifieras kommer framtiden för profilreglering också att formas av:
- Den länge försenade ePrivacy-förordningen, som kan standardisera samtyckesregler i hela EU.
- Lagen om digitala tjänster (DSA), som inför skyldigheter om transparens för onlineannonsering och rekommendationssystem – särskilt för mycket stora onlineplattformar (VLOP).
Tillsammans kommer dessa ramverk att påverka riktade reklammodeller avsevärt, särskilt de som förlitar sig på realtidsbudgivning, dataförmedling eller ogenomskinlig personalisering.
Slutsats
Profilering och riktad reklam är inte längre gråzoner i EU:s integritetslagstiftning. Domstolarna och tillsynsmyndigheterna sätter tydliga gränser för hur användardata får användas, delas och generera intäkter – särskilt när det gäller beteendemålinriktning. Plattformar och leverantörer av annonsteknik som inte anpassar sig till GDPR- och ePrivacy-standarder står inför växande juridiska, ekonomiska och anseendemässiga risker.