Das Verfahren der belgischen Datenschutzbehörde APD gegen den Onlinemarketing-Branchenverband IAB Europe um das seit 2020 genutzte neue „Transparency & Consent Framework“ (TCF 2.0) ist um ein Kapitel reicher (wir berichteten): Anfang Februar hat die APD nach Anhörung der anderen europäischen Datenschutzbehörden Ihre Entscheidung zu den Untersuchungen gegen das IAB Europe veröffentlicht. Gegenstand dieses Verfahrens war die Frage der Konformität des TCF 2.0 mit der Datenschutzgrundverordnung. Dieser von der gesamten Onlinemarketing-Branche genutzte Standard soll es Unternehmen ermöglichen, Nutzerdaten im Internet unter anderem zu Werbezwecken datenschutzkonform zu erheben und zu nutzen.
Was ist das TCF 2.0?
Das TCF 2.0 standardisiert die Erfassung von Nutzerentscheidungen, die auf Websites und in Apps über eine Consent Management Platform (CMP, auch als „Cookie-Banner“ bezeichnet) abgefragt werden. Diese Nutzerentscheidungen werden kodiert und in einem „TC-String“ gespeichert, der an die beteiligten Unternehmen weitergegeben wird, damit diese wissen, inwieweit der Nutzer eine Einwilligung zur Verarbeitung seiner Daten zu bestimmten Zwecken gegeben beziehungsweise ob er dieser widersprochen hat.
Die CMP speichert dabei auch ein Cookie auf dem Gerät des Nutzers. Im Zusammenhang mit dem TC-String ist der Nutzer dadurch identifizierbar und seine Entscheidung kann von teilnehmenden Unternehmen berücksichtigt werden. Das TCF 2.0 spielt eine zentrale Rolle in der Architektur des heutigen Onlinemarketings, da es die Entscheidung der Nutzer in Bezug auf einzelne Anbieter und verschiedene Verarbeitungszwecke wie die Nutzung von individuellen Nutzerprofilen zu Werbezwecken zum Ausdruck bringt.
Was hat die belgische Aufsichtsbehörde entschieden?
Die jetzt vorliegende Entscheidung besagt, dass das IAB Europe bei der Bereitstellung des TCF 2.0 in mehrfacher hinsicht gegen die DSGVO verstößt, was grundsätzliche Fragen für die weitere Entwicklung des Onlinemarketings in Europa aufwirft.
Zunächst stellte die APD als Ausgangspunkt fest, dass das IAB Europe in Bezug auf die Erfassung der Einwilligungen und Widersprüche der Nutzer durch den TC-String als für die Verarbeitung gemeinsamer Verantwortlicher (joint controller) anzusehen ist – gerade dieser Punkt der Entscheidung ist übrigens in höchstem Maße zweifelhaft. Davon ausgehend soll das TCF 2.0 in folgender Weise gegen die DSGVO verstoßen:
- unwirksame Einwilligungen, kein ausreichendes berechtigtes Interesse: Das TCF 2.0 hole zum einen keine wirksamen Einwilligungen ein und berufe sich daneben auf ein berechtigtes Interesse, das aufgrund des hohen Risikos, das von Tracking-basierter „Real-Time Bidding“-Werbung ausgehe, nicht zulässig sei. Hier überwögen die berechtigten Interessen der Betroffenen.
- mangelnde Information der Nutzer: Die Informationen, die den Nutzern über die CMP zur Verfügung gestellt werden, seien zu allgemein und vage, um es den Betroffenen zu ermöglichen, die Art und den Umfang der Verarbeitung ihrer Daten zu verstehen, insbesondere angesichts der Komplexität des TCF 2.0.
- keine ausreichende Datensicherheit: Das TCF 2.0 treffe unter anderem keine ausreichenden organisatorischen und technischen Maßnahmen, gewährleiste den Betroffenen keine wirksame Ausübung ihrer Rechte und stelle die Einhaltung der Nutzerentscheidungen nicht ausreichend sicher.
- Verletzung von Dokumentationspflichten:Schließlich habe das IAB Europe seine Dokumentationspflichten als Verantwortlicher nicht erfüllt, wie ein Verzeichnis der Verarbeitungstätigkeiten zu führen, einen Datenschutzbeauftragten zu benennen und eine Datenschutzfolgenabschätzung durchzuführen.
Was muss das IAB Europe jetzt tun?
Die belgische Aufsichtsbehörde hat dem IAB Europe außerdem ein Bußgeld von 250.000 Euro sowie Handlungspflichten auferlegt, die darauf abzielen, die aktuelle Version des TCF 2.0 in Einklang mit der DSGVO zu bringen. Diese umfassen (unter anderem):
- die Sicherstellung einer gültigen Rechtsgrundlage (also einer wirksamen Einwilligung) für die Verarbeitung und Weitergabe von Daten zur Nutzerentscheidung im Rahmen des TCF 2.0 sowie das Verbot des berechtigten Interesses als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die an der TCF teilnehmenden Organisationen;
- die strenge(re) Überprüfung der teilnehmenden Unternehmen, um sicherzustellen, dass sie die Anforderungen der DSGVO erfüllen.
Es ist also davon auszugehen, dass das IAB Europe in den nächsten Monaten eine überarbeitete Fassung seines Branchenstandards vorlegen und der belgischen Aufsichtsbehörde zur Prüfung vorlegen wird – also quasi ein „TCF 2.1“.
Was bedeutet die Entscheidung für die Onlinemarketing-Branche?
Zunächst ist festzuhalten, dass sich die Entscheidung der APD gegen die konkrete derzeitige rechtliche Ausgestaltung des TCF 2.0 richtet und nicht gegen das dahinter liegende Prinzip (Teilnahme von Vendoren am OpenRTB-Verfahren). Außerdem richtet sich der Bescheid zunächst nur gegen das IAB Europe selbst und nicht gegen die das TCF 2.0 nutzenden Publisher und Marketing-Unternehmen (Vendoren). Für die Onlinemarketing-Branche sind mittelfristig zwei wesentliche Entwicklungen zu erwarten:
- Noch mehr Informationen für Nutzer: Das TCF 2.0 wird nun dergestalt überarbeitet werden müssen, dass die Informationen, die den betroffenen Personen über die CMP bereitgestellt werden, detaillierter und ausführlicher über Art und Umfang der Datenerhebung und -verarbeitung durch die am TCF 2.0 beteiligten Unternehmen aufklären, bevor die Nutzer eine Einwilligungsentscheidung treffen.
- Einwilligung als einzige Rechtsgrundlage: Eine weitere Konsequenz dieser Entscheidung – sollte sie Bestand haben – wäre, dass sich Unternehmen zukünftig nur noch schwer auf ein „berechtigtes Interesse“ als Rechtsgrundlage für die Datenverarbeitung berufen können. Einzig mögliche Rechtsgrundlage wäre dann nur noch die Einwilligung der Betroffenen. Inwieweit diese pauschale Absage an ein berechtigtes Interesse als Rechtsgrundlage wirklich mit der DSGVO vereinbar ist, kann durchaus bestritten werden.
Die weiteren Sanktionen und Maßnahmen (Verzeichnis der Verarbeitungstätigkeiten, Bestellung eines Datenschutzbeauftragten und Durchführung eines DPIA) betreffen ausschließlich das IAB Europe als für die Verarbeitung Verantwortlichen und können bei der Bewertung der Auswirkung der Entscheidung getrost ausgeblendet werden.
Was ist jetzt zu tun?
Nach strenger Lesart der Auffassung der belgischen Aufsichtsbehörde verstößt die derzeitige Verarbeitung von Nutzerdaten nach dem TCF 2.0 gegen die DSGVO, und zwar insbesondere, weil keine wirksamen Einwilligungen eingeholt werden. Da das IAB Europe selbst keine Kontrolle über die TC-Strings hat, wäre es daher prinzipiell Aufgabe der Publisher, sicherzustellen, dass personenbezogene Daten, die womöglich rechtswidrig erhoben werden, nicht weiter verarbeitet und dementsprechend gelöscht werden.
Allerdings ist die Geschichte damit noch nicht zu Ende erzählt. Das IAB Europe hat nun wie erwähnt zwei Monate Zeit, um einen Aktionsplan zur Behebung der fesgestellten Mängel vorzulegen, der anschließend innerhalb eines Zeitraums von höchstens sechs Monaten umzusetzen ist („TCF 3.0“). Darüber hinaus kann das IAB Europe gegen die Entscheidung der belgischen Aufsichtsbehörde gerichtlich vorgehen – was es sehr wahrscheinlich auch tun wird. Erst nach einer die Rechtsauffassung der APD bestätigenden, rechtskräftigen gerichtlichen Entscheidung würde der Bescheid dann wirksam.
Für den Moment lautet unsere Schlussfolgerung, dass nach Ansicht der APD (und anderer europäischer Datenschutzbehörden) die derzeitige Ausgestaltung von Tracking-Einwilligungen über das TCF 2.0 nicht DSGVO-konform und damit unzulässig ist. Ob diese Auffassung allerdings wirklich am Ende auch durch die Gerichte, insbesondere den europäischen Gerichtshof, bestätigt wird, bleibt abzuwarten. Die derzeitige einzige Alternative zum TCF 2.0 als etabliertem Branchenstandard, nämlich „handgestrickte“ Einwilligungslösungen, ist wenig praktikabel und leidet womöglich an denselben Problemen.
Bis dahin sollten sich insbesondere Publisher bemühen, ihre CMPs möglichst rechtskonform auszugestalten, wie in der Orientierungshilfe der deutschen Datenschutzkonferenz vom Dezember 2021 beschrieben (wir berichteten dazu in unserer vorletzten Mandanteninformation). Onlinemarketing-Dienstleister sollten sich mit der Frage beschäftigten, ob ein völliger Umstieg auf ein einwilligungsbasiertes Geschäftsmodell für sie praktikabel ist.
Wie immer stehen wir Ihnen selbstverständlich in allen Fragen diesbezüglich zur Verfügung und beraten Sie gern.
Dr. Frank Eickmeier Dr. Lukas Mezger
Rechtsanwalt Rechtsanwalt