{"id":1254,"date":"2022-02-10T13:42:33","date_gmt":"2022-02-10T12:42:33","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1254"},"modified":"2022-02-17T11:28:18","modified_gmt":"2022-02-17T10:28:18","slug":"die-belgische-datenschutzbehoerde-kassiert-das-transparency-consent-framework-wie-geht-es-jetzt-weiter","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1254&lang=de","title":{"rendered":"Die belgische Datenschutzbeh\u00f6rde kassiert das \u201eTransparency &#038; Consent Framework\u201c \u2013 wie geht es jetzt weiter?"},"content":{"rendered":"\n<p>Das Verfahren der belgischen Datenschutzbeh\u00f6rde APD gegen den Onlinemarketing-Branchenverband IAB\u00a0Europe um das seit 2020 genutzte neue \u201eTransparency &amp; Consent Framework\u201c (TCF 2.0) ist um ein Kapitel reicher (<a href=\"https:\/\/blog.eprivacy.eu\/?p=1196&amp;lang=de\" data-type=\"URL\" data-id=\"https:\/\/blog.eprivacy.eu\/?p=1196&amp;lang=de\">wir berichteten<\/a>): Anfang Februar hat die APD nach Anh\u00f6rung der anderen europ\u00e4ischen Datenschutzbeh\u00f6rden Ihre Entscheidung zu den Untersuchungen gegen das IAB Europe ver\u00f6ffentlicht. Gegenstand dieses Verfahrens war die Frage der Konformit\u00e4t des TCF\u00a02.0 mit der Datenschutzgrundverordnung. Dieser von der gesamten Onlinemarketing-Branche genutzte Standard soll es Unternehmen erm\u00f6glichen, Nutzerdaten im Internet unter anderem zu Werbezwecken datenschutzkonform zu erheben und zu nutzen.<\/p>\n\n\n\n<p><strong>Was ist das TCF 2.0?<\/strong><\/p>\n\n\n\n<p>Das TCF&nbsp;2.0 standardisiert die Erfassung von Nutzerentscheidungen, die auf Websites und in Apps \u00fcber eine Consent Management Platform (CMP, auch als \u201eCookie-Banner\u201c bezeichnet) abgefragt werden. Diese Nutzerentscheidungen werden kodiert und in einem &#8222;TC-String&#8220; gespeichert, der an die beteiligten Unternehmen weitergegeben wird, damit diese wissen, inwieweit der Nutzer eine Einwilligung zur Verarbeitung seiner Daten zu bestimmten Zwecken gegeben beziehungsweise ob er dieser widersprochen hat.<\/p>\n\n\n\n<p>Die CMP speichert dabei auch ein Cookie auf dem Ger\u00e4t des Nutzers. Im Zusammenhang mit dem TC-String ist der Nutzer dadurch identifizierbar und seine Entscheidung kann von teilnehmenden Unternehmen ber\u00fccksichtigt werden. Das TCF&nbsp;2.0 spielt eine zentrale Rolle in der Architektur des heutigen Onlinemarketings, da es die Entscheidung der Nutzer in Bezug auf einzelne Anbieter und verschiedene Verarbeitungszwecke wie die Nutzung von individuellen Nutzerprofilen zu Werbezwecken zum Ausdruck bringt.<\/p>\n\n\n\n<p><strong>Was hat die belgische Aufsichtsbeh\u00f6rde entschieden?<\/strong><\/p>\n\n\n\n<p>Die jetzt vorliegende Entscheidung besagt, dass das IAB Europe bei der Bereitstellung des TCF&nbsp;2.0 in mehrfacher hinsicht gegen die DSGVO verst\u00f6\u00dft, was grunds\u00e4tzliche Fragen f\u00fcr die weitere Entwicklung des Onlinemarketings in Europa aufwirft.<\/p>\n\n\n\n<p>Zun\u00e4chst stellte die APD als Ausgangspunkt fest, dass das IAB Europe in Bezug auf die Erfassung der Einwilligungen und Widerspr\u00fcche der Nutzer durch den TC-String als f\u00fcr die Verarbeitung gemeinsamer Verantwortlicher (joint controller) anzusehen ist \u2013 gerade dieser Punkt der Entscheidung ist \u00fcbrigens in h\u00f6chstem Ma\u00dfe zweifelhaft. Davon ausgehend soll das TCF&nbsp;2.0 in folgender Weise gegen die DSGVO versto\u00dfen:<\/p>\n\n\n\n<ul type=\"1\"><li><strong>unwirksame Einwilligungen, kein ausreichendes berechtigtes Interesse<\/strong>: Das TCF&nbsp;2.0 hole zum einen keine wirksamen Einwilligungen ein und berufe sich daneben auf ein berechtigtes Interesse, das aufgrund des hohen Risikos, das von Tracking-basierter &#8222;Real-Time Bidding&#8220;-Werbung ausgehe, <em>nicht<\/em> zul\u00e4ssig sei. Hier \u00fcberw\u00f6gen die berechtigten Interessen der Betroffenen.<\/li><\/ul>\n\n\n\n<ul><li><strong>mangelnde Information der Nutzer<\/strong>: Die Informationen, die den Nutzern \u00fcber die CMP zur Verf\u00fcgung gestellt werden, seien zu allgemein und vage, um es den Betroffenen zu erm\u00f6glichen, die Art und den Umfang der Verarbeitung ihrer Daten zu verstehen, insbesondere angesichts der Komplexit\u00e4t des TCF&nbsp;2.0.<\/li><\/ul>\n\n\n\n<ul><li><strong>keine ausreichende Datensicherheit<\/strong>: Das TCF&nbsp;2.0 treffe unter anderem keine ausreichenden organisatorischen und technischen Ma\u00dfnahmen, gew\u00e4hrleiste den Betroffenen keine wirksame Aus\u00fcbung ihrer Rechte und stelle die Einhaltung der Nutzerentscheidungen nicht ausreichend sicher.<\/li><\/ul>\n\n\n\n<ul><li><strong>Verletzung von Dokumentationspflichten<\/strong>:Schlie\u00dflich habe das IAB Europe seine Dokumentationspflichten als Verantwortlicher nicht erf\u00fcllt, wie ein Verzeichnis der Verarbeitungst\u00e4tigkeiten zu f\u00fchren, einen Datenschutzbeauftragten zu benennen und eine Datenschutzfolgenabsch\u00e4tzung durchzuf\u00fchren.<\/li><\/ul>\n\n\n\n<p><strong>Was muss das IAB Europe jetzt tun?<\/strong><\/p>\n\n\n\n<p>Die belgische Aufsichtsbeh\u00f6rde hat dem IAB Europe au\u00dferdem ein Bu\u00dfgeld von 250.000 Euro sowie Handlungspflichten auferlegt, die darauf abzielen, die aktuelle Version des TCF&nbsp;2.0 in Einklang mit der DSGVO zu bringen. Diese umfassen (unter anderem):&nbsp;<\/p>\n\n\n\n<ul><li>die Sicherstellung einer g\u00fcltigen Rechtsgrundlage (also einer wirksamen Einwilligung) f\u00fcr die Verarbeitung und Weitergabe von Daten zur Nutzerentscheidung im Rahmen des TCF&nbsp;2.0 sowie das Verbot des berechtigten Interesses als Rechtsgrundlage f\u00fcr die Verarbeitung personenbezogener Daten durch die an der TCF teilnehmenden Organisationen;<\/li><li>die strenge(re) \u00dcberpr\u00fcfung der teilnehmenden Unternehmen, um sicherzustellen, dass sie die Anforderungen der DSGVO erf\u00fcllen.<\/li><\/ul>\n\n\n\n<p>Es ist also davon auszugehen, dass das IAB Europe in den n\u00e4chsten Monaten eine \u00fcberarbeitete Fassung seines Branchenstandards vorlegen und der belgischen Aufsichtsbeh\u00f6rde zur Pr\u00fcfung vorlegen wird \u2013 also quasi ein \u201eTCF 2.1\u201c.<\/p>\n\n\n\n<p><strong>Was bedeutet die Entscheidung f\u00fcr die Onlinemarketing-Branche?<\/strong><\/p>\n\n\n\n<p>Zun\u00e4chst ist festzuhalten, dass sich die Entscheidung der APD gegen die konkrete derzeitige rechtliche Ausgestaltung des TCF&nbsp;2.0 richtet und nicht gegen das dahinter liegende Prinzip (Teilnahme von Vendoren am OpenRTB-Verfahren). Au\u00dferdem richtet sich der Bescheid zun\u00e4chst nur gegen das IAB Europe selbst und nicht gegen die das TCF&nbsp;2.0 nutzenden Publisher und Marketing-Unternehmen (Vendoren). F\u00fcr die Onlinemarketing-Branche sind mittelfristig zwei wesentliche Entwicklungen zu erwarten:<\/p>\n\n\n\n<ol type=\"1\"><li><strong>Noch mehr Informationen f\u00fcr Nutzer:<\/strong> Das TCF&nbsp;2.0 wird nun dergestalt \u00fcberarbeitet werden m\u00fcssen, dass die Informationen, die den betroffenen Personen \u00fcber die CMP bereitgestellt werden, detaillierter und ausf\u00fchrlicher \u00fcber Art und Umfang der Datenerhebung und -verarbeitung durch die am TCF&nbsp;2.0 beteiligten Unternehmen aufkl\u00e4ren, bevor die Nutzer eine Einwilligungsentscheidung treffen.<\/li><li><strong>Einwilligung als einzige Rechtsgrundlage:<\/strong> Eine weitere Konsequenz dieser Entscheidung \u2013 sollte sie Bestand haben \u2013 w\u00e4re, dass sich Unternehmen zuk\u00fcnftig nur noch schwer auf ein \u201eberechtigtes Interesse\u201c als Rechtsgrundlage f\u00fcr die Datenverarbeitung berufen k\u00f6nnen. Einzig m\u00f6gliche Rechtsgrundlage w\u00e4re dann nur noch die Einwilligung der Betroffenen. Inwieweit diese pauschale Absage an ein berechtigtes Interesse als Rechtsgrundlage wirklich mit der DSGVO vereinbar ist, kann durchaus bestritten werden.<\/li><\/ol>\n\n\n\n<p>Die weiteren Sanktionen und Ma\u00dfnahmen (Verzeichnis der Verarbeitungst\u00e4tigkeiten, Bestellung eines Datenschutzbeauftragten und Durchf\u00fchrung eines DPIA) betreffen ausschlie\u00dflich das IAB Europe als f\u00fcr die Verarbeitung Verantwortlichen und k\u00f6nnen bei der Bewertung der Auswirkung der Entscheidung getrost ausgeblendet werden.<\/p>\n\n\n\n<p><strong>Was ist jetzt zu tun?<\/strong><\/p>\n\n\n\n<p>Nach strenger Lesart der Auffassung der belgischen Aufsichtsbeh\u00f6rde verst\u00f6\u00dft die derzeitige Verarbeitung von Nutzerdaten nach dem TCF&nbsp;2.0 gegen die DSGVO, und zwar insbesondere, weil keine wirksamen Einwilligungen eingeholt werden. Da das IAB Europe selbst keine Kontrolle \u00fcber die TC-Strings hat, w\u00e4re es daher prinzipiell Aufgabe der Publisher, sicherzustellen, dass personenbezogene Daten, die wom\u00f6glich rechtswidrig erhoben werden, nicht weiter verarbeitet und dementsprechend gel\u00f6scht werden.<\/p>\n\n\n\n<p>Allerdings ist die Geschichte damit noch nicht zu Ende erz\u00e4hlt. Das IAB Europe hat nun wie erw\u00e4hnt zwei Monate Zeit, um einen Aktionsplan zur Behebung der fesgestellten M\u00e4ngel vorzulegen, der anschlie\u00dfend innerhalb eines Zeitraums von h\u00f6chstens sechs Monaten umzusetzen ist (\u201eTCF&nbsp;3.0\u201c). Dar\u00fcber hinaus kann das IAB Europe gegen die Entscheidung der belgischen Aufsichtsbeh\u00f6rde gerichtlich vorgehen \u2013 was es sehr wahrscheinlich auch tun wird. Erst nach einer die Rechtsauffassung der APD best\u00e4tigenden, rechtskr\u00e4ftigen gerichtlichen Entscheidung w\u00fcrde der Bescheid dann wirksam.<\/p>\n\n\n\n<p>F\u00fcr den Moment lautet unsere Schlussfolgerung, dass nach Ansicht der APD (und anderer europ\u00e4ischer Datenschutzbeh\u00f6rden) die derzeitige Ausgestaltung von Tracking-Einwilligungen \u00fcber das TCF&nbsp;2.0 nicht DSGVO-konform und damit unzul\u00e4ssig ist. Ob diese Auffassung allerdings wirklich am Ende auch durch die Gerichte, insbesondere den europ\u00e4ischen Gerichtshof, best\u00e4tigt wird, bleibt abzuwarten. Die derzeitige einzige Alternative zum TCF&nbsp;2.0 als etabliertem Branchenstandard, n\u00e4mlich \u201ehandgestrickte\u201c Einwilligungsl\u00f6sungen, ist wenig praktikabel und leidet wom\u00f6glich an denselben Problemen.<\/p>\n\n\n\n<p>Bis dahin sollten sich insbesondere Publisher bem\u00fchen, ihre CMPs m\u00f6glichst rechtskonform auszugestalten, wie in der Orientierungshilfe der deutschen Datenschutzkonferenz vom Dezember 2021 beschrieben (wir berichteten dazu in unserer vorletzten Mandanteninformation). Onlinemarketing-Dienstleister sollten sich mit der Frage besch\u00e4ftigten, ob ein v\u00f6lliger Umstieg auf ein einwilligungsbasiertes Gesch\u00e4ftsmodell f\u00fcr sie praktikabel ist.<\/p>\n\n\n\n<p>Wie immer stehen wir Ihnen selbstverst\u00e4ndlich in allen Fragen diesbez\u00fcglich zur Verf\u00fcgung und beraten Sie gern.<\/p>\n\n\n\n<p class=\"has-text-align-center\">Dr. Frank Eickmeier&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Dr. Lukas Mezger<br>Rechtsanwalt&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Rechtsanwalt<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das Verfahren der belgischen Datenschutzbeh\u00f6rde APD gegen den Onlinemarketing-Branchenverband IAB\u00a0Europe um das seit 2020 genutzte neue \u201eTransparency &amp; Consent Framework\u201c (TCF 2.0)<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=1254&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1254"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1254"}],"version-history":[{"count":4,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1254\/revisions"}],"predecessor-version":[{"id":1263,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1254\/revisions\/1263"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1254"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1254"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1254"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}