Sind Cookie-Banner nach dem TCF 2.0 Standard DSGVO konform? Belgische Datenschutzbehörde zum IAB „Transparency and Consent Framework“

Der Verband der Onlinemarketing-Branche, Interactive Advertising Bureau (IAB) Europe, hat in einer Mitteilung am 5. November 2021 mitgeteilt, dass die belgische Datenschutzbehörde (APD) sie darüber informiert hat, dass in naher Zukunft ein Entscheidungsentwurf verabschiedet werden soll, der die Untersuchung von IAB Europe und dessen Rolle im Rahmen des TCF abschließen wird.
 
In diesem Entwurf werden wohl Verstöße der IAB Europe gegen die DSGVO festgestellt. Die zentralen Punkte des Entwurfes sind offenbar die Folgenden:

  1. Die APD geht davon aus, dass es sich bei den TCF „TC Strings“ um personenbezogene Daten handelt. Bei den „TC Strings“ handelt es sich um digitale Signale, die auf Websites erstellt werden, um die Entscheidungen der betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten für digitale Werbung, Inhalte und Messungen zu erfassen.
  2. IAB Europe soll in diesem Rahmen als für die Verarbeitung Verantwortlicher anzusehen sein.
  3. IAB Europe wird im spezifischen Kontext von OpenRTB vermutlich als mit vielen anderen Online-Werbetreibenden gemeinsam für die Verarbeitung Verantwortlicher für „TC Strings“ angesehen. Beim OpenRTB (so. Real-Time-Bidding) handelt es sich um ein tracking-basiertes Anzeigesystem, bei dem Werbetreibende bei der Auslieferung von Werbemitteln automatisiert und in Echtzeit Werbeplätze bzw. Ad Impressions auf Websites der Publisher per Höchstgebot kaufen können.

Bisher ist das IAB Europe laut eigener Aussage auf Grundlage der bisherigen Leitlinien anderer Datenschutzbehörden und der Tatsache, dass das IAB Europe spezifische TC Strings weder verarbeitet, besitzt oder sonst über deren Verwendung entscheidet, sowie auf Grundlage bisheriger Rechtsprechungen, offizieller Stellungnahmen und eigenem Verständnis der DSGVO, davon ausgegangen, nicht als für die Verarbeitung Verantwortlicher im Kontext des TCF zu gelten.
 
Dieser Standpunkt lässt sich in Anbetracht der bisherigen Maßstäbe zu den Begriffen des für die Verarbeitung Verantwortlichen und Auftragsverarbeiter, die etwa vom Europäischen Datenschutzausschuss (EDSA) aufgestellt wurden, sehr gut argumentieren. Die Rolle des IAB hat nicht unmittelbar etwas mit der Verarbeitung personenbezogener Daten zu tun. Vielmehr schafft und regelt es lediglich die Rahmenbedingungen sowie eine technische Infrastruktur für den Austausch der „TC Strings“.
 
Entscheidend in dieser Sache wird sein, wo die Grenze gezogen werden soll, ab wann der Einfluss auf die Datenverarbeitung bereits so groß ist, dass von einer Verantwortlichkeit für die Verarbeitung gesprochen werden kann.
 
Unsere Einschätzung:
Endgültig werden wir diese Frage nach den Auswirkungen erst beantworten können, wenn der Entscheidungsentwurf veröffentlicht wurde und andere Aufsichtsbehörden Stellung dazu bezogen haben. In letzter Zeit ist jedenfalls ein Trend zu beobachten, dass zunehmend möglichst viele Datenverarbeitungsprozesse unter den Hut der „Gemeinsamen Verantwortlichkeit“ gebracht und der Stempel „für die Verarbeitung Verantwortlicher“ auf immer mehr Anwendungsfälle ausgeweitet werden soll.

(UNVERZAGT Rechtsanwälte)