Online-Werbemarkt in Europa vor dem Kollaps?

Es gibt ein neues Kapitel im Verfahren der belgischen Datenschutzbehörde APD gegen den IAB Onlinemarketing-Branchenverband Europe. Es ging um das neue Transparency & Consent Framework (TCF 2.0), welches seit 2020 genutzt wird.

Wir berichteten bereits. Nach der Anhörung der anderen europäischen Datenschutzbehörden hat die APD Anfang Februar veröffentlicht, welche Entscheidung sie in der Untersuchung gegen den IAB Onlinemarketing-Branchenverband getroffen hat. In Verfahren ging es, ob TCF 2.0 mit der Datenschutzgrundverordnung DSGVO konform ist. Dieser Standard ist so von der  gesamten Onlinemarketing-Branche zu nutzen. Es soll die Möglichkeit bieten, Nutzerdaten aus dem Internet datenschutzkonform zu erheben und zu nutzen.

Die Erläuterung TCF 2.0

Das „Transparency & Consent Framework“ TCF 2.0 ist ein Standard, welcher die Erfassung von Nutzerentscheidungen gleich macht. Diese Entscheidungen werden auf Websites und in Apps über eine CMP (Consent Management Plattform) abgefragt – welche auch Cookie-Banner genannt werden. Dabei werden die Entscheidungen der Nutzer kodiert und in einem TC-String gespeichert. Dieser TC-String wird an beteiligte Unternehmen weitergegeben. Diese Unternehmen wissen dann, welche Einwilligung die Nutzer zur Datenverarbeitung gegeben haben oder ob sie an bestimmten Punkten widersprochen haben.

Auf den Geräten der Nutzer wird dabei von der CMP ein Cookie gespeichert. Der TC-String gibt Unternehmen die Möglichkeit, die Nutzer zu identifizieren und zu beachten, was der Wunsch des Nutzers ist. Das TCF in der Version 2.0 gehört zu einem wichtigen Baustein der aktuellen Architektur des Onlinemarketings. Es kann darstellen, welche Entscheidungen die Nutzer bei den verschiedenen Anbietern getroffen haben. So können die Nutzerprofile für die Werbung so genutzt werden, wie es die Nutzer erlaubt haben.

Die Entscheidung der belgischen Aufsichtsbehörde ist wie folgt ausgefallen:

Nach der getroffenen Entscheidung verstößt der IAB gegen die DSGVO, wenn sie das TCF in der Version 2.0 zur Verfügung stellt. Damit entstehen im Bereich der Entwicklung des Onlinemarketings in Europa grundsätzliche Fragen.

Die erste Feststellung der APD war, dass der IAB bezogen auf die Erfassung der Einwilligung der Nutzer und deren Widersprüche durch den TC-String der gemeinsame Verantwortliche bei der Verarbeitung ist. Die Entscheidung ist in diesem Punkt extrem zweifelhaft. Der Verstoß des TCF in der Version 2.0 gegen die Datenschutzgrundverordnung erfolgt in folgender Weise:

 

  1. Ausreichendes berechtigtes Interesse liegt nicht vor, sowie die unwirksame Einwilligungen:
    Die Einwilligung durch das TCF in der Version 2.0 sei nicht wirksam. Dazu kommt, dass das berechtigte Interesse nicht gegen das hohe Risiko ankommt, welches von dem auf Tracking basierenden „Real-Time-Bidding“ ausgeht. Die berechtigten Interessen der Betroffenen überwiegen hier.
  2. Nutzer haben nur mangelnde Information:
    Der Nutzer bekommt über das CMP nur Informationen zur Verfügung gestellt, welche zu allgemein und zu vage sind. Der Betroffene kann nicht beurteilen, in welcher Art und in welchem Umfang die Daten verarbeitet werden sollen, dafür ist das TCF in der Version 2.0 zu komplex.
  3. Es besteht keine ausreichende Datensicherheit:
    Die Ausübung der Rechte und die Einhaltung der Nutzerentscheidungen werden mit organisatorischen und technischen Maßnahmen nicht ausreichend sichergestellt.
  4. Verletzung der Dokumentationspflicht:
    Der IAB Online-Marketingverband Europe kommt seinen Pflichten als Verantwortlicher zur Dokumentation nicht nach. Die Verletzung von Dokumentationspflichten zeigen sich beispielsweise hier: kein Verzeichnis der Verarbeitungstätigkeiten. Es ist kein Datenschutzbeauftragter benannt und es gibt keine Datenschutzfolgenabschätzung.

Was zu tun durch IAB Europe?

Der IAB Branchenverband für das Onlinemarketing Europe hat von der belgischen Aufsichtsbehörde ein Bußgeld von 250.000,- Euro plus Handlungspflichten auferlegt bekommen. Diese Handlungen sollen dafür sorgen, dass die Datenschutz-Grundverordnung und das TCF in der Version 2.0 in Einklang kommen. Diese Handlungen sollen geschehen:

 

  • Die Einwilligung soll durch die Sicherstellung einer gültigen Rechtsgrundlage wirksam werden. Dies gilt in Bezug auf die Weitergabe und die Verarbeitung der Daten zur Nutzung im Rahmen der Möglichkeiten des TCF. Das berechtigte Interesse der am TCF teilnehmenden Organisationen als Grund für die Verarbeitung der personenbezogenen Daten soll verboten werden.

 

  • Die beteiligten Unternehmen haben eine genaue Überprüfung zu tätigen, durch welche sicher ist, dass der Datenschutz gemäß der Verordnung durchgeführt wird.

Es ist zu erwarten, dass der IAB in der nächsten Zeit die Fassung des Branchenstandards überarbeitet und der belgischen Aufsichtsbehörde vorlegt, welche diese dahingehend neu prüfen. Die Version TCF 2.1 wird erwartet.

Bedeutung dieser Entscheidung für die Onlinemarketing-Branche:

Wichtig ist, dass die APD nicht gegen das Prinzip hinter dem TCF entschieden hat, sondern dagegen, wie es aktuell rechtlich ausgestaltet ist. Außerdem betrifft der Bescheid nur der IAB und nicht die Marketing-Unternehmen und Publisher, welche aktuell TCF in der Version 2.0 nutzen. Daher ist zu erwarten, dass die Onlinemarketing-Branche mittelfristig von zwei Entscheidungen betroffen sein werden.

 

  1. Bessere und mehr Informationen für die Nutzer:
    Das TCF muss überarbeitet werden. Die Informationen, welche die betroffenen Personen bekommen, müssen von der CMP detaillierter und ausführlicher dargestellt werden, was die Art und den Umfang der Erhebung und Verarbeitung der Daten betrifft und dies, bevor die Entscheidung gefällt wird.

 

  1. Die einzige Rechtsgrundlage, die Einwilligung:
    Wenn diese Entscheidung bestehen bleibt, hat sei eine weitere Folge. Die Unternehmen können nicht mehr sagen, dass ein „berechtigtes Interesse“ eine Rechtsgrundlage für die Datenverarbeitung ist. Die einzige Rechtsgrundlage wäre dann ausschließlich die Einwilligung des Betroffenen. Ob diese Absage an ein berechtigtes Interesse als Rechtsgrundlage mit der Datenschutz-Grunderordnung übereinstimmt, ist durchaus fraglich.

Was ansonsten gefordert wurde (Bestellung eines Datenschutzbeauftragten, Verzeichnis der Verarbeitungstätigkeiten oder die DPIA Durchführung) betreffen nur das IAB Europe als für die Verarbeitung Verantwortlichen und können bei der Beurteilung dieser Entscheidung ruhig hinten angestellt werden.

 

Was ist jetzt zu tun?

Wird die Auffassung der belgischen Aufsichtsbehörde genau gelesen, verstößt die Art, wie Nutzerdaten mit TCF Version 2.0 verarbeitet werden, gegen die DSGVO, besonders weil es an der Einholung einer wirksamen Willenserklärung mangelt. Den IAB aber kann die TC-Strings nicht kontrollieren. Damit haben die Publisher sich zu kümmern, dass personenbezogene Daten nicht rechtswidrig erfasst wurden. Sollten die Daten rechtswidrig erhoben wurden sein, sind diese dann löschen.

Damit ist das Ende der Geschichte noch nicht erzählt.

Es gibt jetzt einen Zeitraum von zwei Monaten, in dem der IAB einen Aktionsplan vorlegen sollte, wie diese Mängel innerhalb von sechs Monaten behoben werden sollen, hier ist das Stichwort: TCF 3.0. Außerdem könnte und wird wohl das IAB Europe gegen die belgische Aufsichtsbehörde bzw. ihre Entscheidung gerichtlich vorgehen. Erst wenn es eine gerichtliche Entscheidung gibt, welche die Auffassung der APD bestätigt, wird dieser Bescheid rechtswirksam.

Derzeit können wir nur sagen, dass der APD der Ansicht ist, so wie einige andere europäische Datenschutzbehörden, dass die aktuelle Einwilligung zum Tracking über das TCF Version 2.0 nicht mit der Datenschutz-Grundverordnung konform ist und damit nicht zulässig ist.

Jetzt muss abgewartet werden, ob die Gerichte diese Auffassung bestätigen, besonders wichtig, die Entscheidung des Europäischen Gerichtshofes. Wenn TCF in der Version 2.0 nicht genutzt werden darf, bleiben nur selbstgebastelte Einwilligungslösungen, die nicht praktisch sind und ähnliche Probleme in sich bergen.

Daher gilt nun für Publisher, sich darum zu bemühen, dass ihre CMPs so rechtskonform wie möglich sind. Die Datenschutzkonferenz 2021 bietet hier eine Orientierungshilfe. Dienstleister im Onlinemarketing sollten sich überlegen, ob sie sich komplett für ein Modell entscheiden, dass auf der Einwilligung basiert und ob sie es so umsetzen können.

Kurzer Rückblick unserer vorherigen Beiträge zum Thema: