Belgien: TCF verstößt gegen DSGVO

Der Transparency and Consent Framework (TCF) wurde 2018 vom Interactive Advertising Bureau (IAB)   ins Leben gerufen und 2020 überarbeitet (TCF 2.0). Der Industriestandard soll das digitale Werbe-Ökosystem dabei unterstützen, die Richtlinien der DSGVO zu erfüllen. IAB TCF 2.0 bietet eine technische Standard-Infrastruktur für die Abfrage und Übermittlung der Nutzereinwilligung zwischen Publishern, Advertisern, Verlagen und ihren Technologiepartnern - also entlang der gesamten technologischen Kette.

Die belgische Datenschutzbehörde L'Autorité de protection des données (APD)   stellte nun jedoch "eine Reihe von Verstößen gegen die Datenschutzgrundverordnung durch die IAB Europe" fest. Der Branchenverband muss deshalb 250.000 Euro Strafe zahlen und nachbessern. Ansonsten droht ein Verbot des TCF. Die Entscheidung wurde mit anderen Aufsichtsbehörden in Europa abgestimmt und ist EU-weit gültig.

"Berechtigtes Interesse" reicht nicht

Die wichtigsten Kritikpunkte: Das TCF soll dazu beitragen, dass Organisationen, die auf das OpenRTB-Protokoll zurückgreifen, die DSGVO einhalten. Das OpenRTB-Protokoll kommt beim Real-Time-Bidding zum Einsatz, der automatisierten Online-Auktion von Nutzerprofilen in Echtzeit für den Verkauf und Kauf von Werbeflächen im Internet. Das TCF wird angewendet, wenn ein Nutzer eine Website besucht und seine Auswahl im Consent-Banner über Erhebung und Weitergabe seiner personenbezogenen Daten fällt. Seine Präferenzen werden kodiert und von der Consent-Management-Plattform (CMP) im sogenannten 'TC String' gespeichert und an die anderen Werbemarktteilnehmer weitergegeben, die am OpenRTB-System teilnehmen. Gleichzeitig setzt die CMP einen Cookie. Und genau dies werten die Belgier als Problem: "In Kombination können der TC-String und das euconsent-v2-Cookie mit der IP-Adresse des Nutzers verknüpft werden, wodurch der Urheber der Einstellungen identifizierbar wird." Schon das TC String sei damit personenbezogen und müsse im Sinne der DSGVO behandelt werden. Das "berechtigte Interesse", das bisher als rechtliche Grundlage für die Verarbeitung genutzt wurde, reicht demnach nicht aus.

Weiteren Nachholbedarf sieht die Behörde bei den standardisierten Consent-Bannern, die VerbraucherInnen nicht ausreichend aufklären würden. "Die Informationen, die den Nutzern über die CMP-Schnittstelle zur Verfügung gestellt werden, sind zu allgemein und vage, um es den Nutzern zu ermöglichen, die Art und den Umfang der Verarbeitung zu verstehen, insbesondere angesichts der Komplexität der TCF. Daher ist es für die Nutzer schwierig, die Kontrolle über ihre personenbezogenen Daten zu behalten", so die Datenschützer.

IAB Europe wird als Data Controller eingestuft

Die APD sieht das IAB Europe zudem in der Position des Data Controller nach der DSGVO - obwohl sich der Verband gegen diese Einstufung gewehrt hat. Das heißt: Er muss einen Verantwortlichen stellen, eine Datenschutz-Folgenabschätzung (DPIA) durchführen und damit überprüfen, ob die CMPs korrekt arbeiten.

Die belgischen Datenschützer geben IAB Europe zwei Monate Zeit, um einen Aktionsplan zur Umsetzung der Korrekturmaßnahmen vorzulegen, die innerhalb eines halben Jahres erfolgen müssen. Das IAB bekommt zwei Monate Zeit, um einen Plan vorzulegen, wie die Mängel innerhalb eines halben Jahres behoben werden können.

In einem Statement   äußert sich der Verband optimistisch zum Fortbestand des TCF. Die belgischen Datenschützer hätten den Standard nicht gänzlich verboten, sondern nur einige Punkte beanstandet. Als Data Controller will der Verband jedoch keinesfalls agieren: "Wir glauben, dass dieses Urteil rechtlich falsch ist und große unbeabsichtigte, negative Folgen haben wird, die weit über die digitale Werbeindustrie hinausgehen. Wir erwägen alle Optionen für eine rechtliche Anfechtung."

BVDW: "Jegliche digitale Datenverarbeitung wird in Frage gestellt"

Auch der deutsche Digitalverband BVDW   sieht die Entscheidung kritisch und bemängelt "eine hohe Rechtsunsicherheit für alle Anbieter von digitalen Inhalten". Durch die "einseitige Entscheidung wird nahezu jegliche digitale Datenverarbeitung zur Finanzierung von digitalen Angeboten in Frage gestellt", heißt es in der Stellungnahme. Positiv bewertet der BVDW, dass die Datenschutzbehörden erstmalig den systematischen Ansatz und somit den Kern des TCF anerkenne.

Massive Kritik übt der Verband an den Feststellungen der belgischen Datenschützer zum Einsatz des "berechtigten Interesses". Diese seien "nicht rechtskonform und widersprechen in fundamentaler Weise der DSGVO". Die Datenschutz-Grundverordnung differenziere "mehrere gleichwertige Rechtsgrundlagen zur Verarbeitung personenbezogener Daten und begrenzt eben nicht nur auf die Einwilligung als die einzig anwendbare." Daher müsse es auch weiterhin möglich sein, so die Forderung des Verbandes, Verarbeitungen auf das "Berechtigte Interesse" oder auch einen Vertrag zu stützen, wenn dies der Situation angemessen sei. Der BVDW hält es für nötig und wahrscheinlich, dass das IAB Europe gegen die Entscheidung der Aufsichtsbehörden gerichtlich vorgehen wird.