Consent Management

Belgien: TCF verstößt gegen DSGVO

von Frauke Schobelt

07.02.2022 Die belgische Datenschutzbehörde hat entschieden, dass der digitale Marktstandard für Nutzereinwilligungen, das Transparency and Consent Framework (TCF), in einigen Punkten gegen die DSGVO verstößt. Der Branchenverband IAB Europe muss Strafe zahlen und nachbessern, sonst droht das Aus. Auch der BVDW übt Kritik.

 (Bild:  Gerd Altmann auf Pixabay)
Bild: Gerd Altmann auf Pixabay
Der Transparency and Consent Framework (TCF) wurde 2018 vom Interactive Advertising Bureau (IAB)   ins Leben gerufen und 2020 überarbeitet (TCF 2.0). Der Industriestandard soll das digitale Werbe-Ökosystem dabei unterstützen, die Richtlinien der DSGVO zu erfüllen. IAB TCF 2.0 bietet eine technische Standard-Infrastruktur für die Abfrage und Übermittlung der Nutzereinwilligung zwischen Publishern, Advertisern, Verlagen und ihren Technologiepartnern - also entlang der gesamten technologischen Kette.

Die belgische Datenschutzbehörde L'Autorité de protection des données (APD)   stellte nun jedoch "eine Reihe von Verstößen gegen die Datenschutzgrundverordnung durch die IAB Europe" fest. Der Branchenverband muss deshalb 250.000 Euro Strafe zahlen und nachbessern. Ansonsten droht ein Verbot des TCF. Die Entscheidung wurde mit anderen Aufsichtsbehörden in Europa abgestimmt und ist EU-weit gültig.

"Berechtigtes Interesse" reicht nicht


Die wichtigsten Kritikpunkte: Das TCF soll dazu beitragen, dass Organisationen, die auf das OpenRTB-Protokoll zurückgreifen, die DSGVO einhalten. Das OpenRTB-Protokoll kommt beim Real-Time-Bidding zum Einsatz, der automatisierten Online-Auktion von Nutzerprofilen in Echtzeit für den Verkauf und Kauf von Werbeflächen im Internet. Das TCF wird angewendet, wenn ein Nutzer eine Website besucht und seine Auswahl im Consent-Banner über Erhebung und Weitergabe seiner personenbezogenen Daten fällt. Seine Präferenzen werden kodiert und von der Consent-Management-Plattform (CMP) im sogenannten 'TC String' gespeichert und an die anderen Werbemarktteilnehmer weitergegeben, die am OpenRTB-System teilnehmen. Gleichzeitig setzt die CMP einen Cookie. Und genau dies werten die Belgier als Problem: "In Kombination können der TC-String und das euconsent-v2-Cookie mit der IP-Adresse des Nutzers verknüpft werden, wodurch der Urheber der Einstellungen identifizierbar wird." Schon das TC String sei damit personenbezogen und müsse im Sinne der DSGVO behandelt werden. Das "berechtigte Interesse", das bisher als rechtliche Grundlage für die Verarbeitung genutzt wurde, reicht demnach nicht aus.

Weiteren Nachholbedarf sieht die Behörde bei den standardisierten Consent-Bannern, die VerbraucherInnen nicht ausreichend aufklären würden. "Die Informationen, die den Nutzern über die CMP-Schnittstelle zur Verfügung gestellt werden, sind zu allgemein und vage, um es den Nutzern zu ermöglichen, die Art und den Umfang der Verarbeitung zu verstehen, insbesondere angesichts der Komplexität der TCF. Daher ist es für die Nutzer schwierig, die Kontrolle über ihre personenbezogenen Daten zu behalten", so die Datenschützer.

IAB Europe wird als Data Controller eingestuft

Die APD sieht das IAB Europe zudem in der Position des Data Controller nach der DSGVO - obwohl sich der Verband gegen diese Einstufung gewehrt hat. Das heißt: Er muss einen Verantwortlichen stellen, eine Datenschutz-Folgenabschätzung (DPIA) durchführen und damit überprüfen, ob die CMPs korrekt arbeiten.

Die belgischen Datenschützer geben IAB Europe zwei Monate Zeit, um einen Aktionsplan zur Umsetzung der Korrekturmaßnahmen vorzulegen, die innerhalb eines halben Jahres erfolgen müssen. Das IAB bekommt zwei Monate Zeit, um einen Plan vorzulegen, wie die Mängel innerhalb eines halben Jahres behoben werden können.

In einem Statement   äußert sich der Verband optimistisch zum Fortbestand des TCF. Die belgischen Datenschützer hätten den Standard nicht gänzlich verboten, sondern nur einige Punkte beanstandet. Als Data Controller will der Verband jedoch keinesfalls agieren: "Wir glauben, dass dieses Urteil rechtlich falsch ist und große unbeabsichtigte, negative Folgen haben wird, die weit über die digitale Werbeindustrie hinausgehen. Wir erwägen alle Optionen für eine rechtliche Anfechtung."

BVDW: "Jegliche digitale Datenverarbeitung wird in Frage gestellt"

Auch der deutsche Digitalverband BVDW   sieht die Entscheidung kritisch und bemängelt "eine hohe Rechtsunsicherheit für alle Anbieter von digitalen Inhalten". Durch die "einseitige Entscheidung wird nahezu jegliche digitale Datenverarbeitung zur Finanzierung von digitalen Angeboten in Frage gestellt", heißt es in der Stellungnahme. Positiv bewertet der BVDW, dass die Datenschutzbehörden erstmalig den systematischen Ansatz und somit den Kern des TCF anerkenne.

Massive Kritik übt der Verband an den Feststellungen der belgischen Datenschützer zum Einsatz des "berechtigten Interesses". Diese seien "nicht rechtskonform und widersprechen in fundamentaler Weise der DSGVO". Die Datenschutz-Grundverordnung differenziere "mehrere gleichwertige Rechtsgrundlagen zur Verarbeitung personenbezogener Daten und begrenzt eben nicht nur auf die Einwilligung als die einzig anwendbare." Daher müsse es auch weiterhin möglich sein, so die Forderung des Verbandes, Verarbeitungen auf das "Berechtigte Interesse" oder auch einen Vertrag zu stützen, wenn dies der Situation angemessen sei. Der BVDW hält es für nötig und wahrscheinlich, dass das IAB Europe gegen die Entscheidung der Aufsichtsbehörden gerichtlich vorgehen wird.
alle Optionen Mitglied werden auf neuhandeln
Ihr regelmäßiger Update.

Basis

Die kostenfreie Mitgliedschaft auf neuhandeln.de

Vier Ausgaben des Versandhausberater kostenfrei zum Kennenlernen
  • Kostenfrei
  • Wöchentlicher Newsletter
  • Zugriff auf Beiträge exklusiv nur für Mitglieder
  • Teilnahme an Webinaren und virtuellen Kongressen
  • Kostenloser Eintrag im Dienstleister-Verzeichnis
  • Vier Wochen lang zum Test die Print-Ausgabe des Versandhausberaters frei Haus
-50%
Für ECommerce-Profis.

Premium

Versandhausberater, der Premium-Dienst von neuhandeln.de:

Freitags den Versandhausberater frei Haus
  • Sofort Zugriff auf alle Premium-Inhalte online
  • Wöchentlich neue Exklusiv-Studien und Analysen
  • Zugriff auf das gesamte EMagazin-Archiv
  • Freitags die aktuelle Versandhausberater-Ausgabe als E-Magazin und gedruckt per Post
  • 194,61 Euro pro Quartal (zzgl. MwSt)
    97,31 Euro (zzgl. MwSt)*
-50%
Top-Deal!
Für Dienstleister des Handels.

PremiumPlus

Das Marketingpaket macht Ihr Unternehmen für über 15.000 E-Retailer sichtbar.

  • Alle Leistungen der Premium-Mitgliedschaft
  • Umfassender Eintrag als Dienstleister im Dienstleister-Verzeichnis
  • Bevorzugte Platzierung in Suchergebnissen
  • Alle Platzierungen hervorgehoben mit Firmenlogo
  • Unternehmens-Einblendung unterhalb thematisch relevanter Beiträge
  • Whitepaper veröffentlichen
  • Pressemitteilungen veröffentlichen
  • Gastbeiträge veröffentlichen
  • Referenzkunden pflegen
  • 995 Euro pro Jahr (zzgl. MwSt)
    497,50 Euro (zzgl. MwSt)*

*Der rabattierte Preis gilt für die erste Bezugsperiode. Danach setzt sich die Mitgliedschaft zum regulären Preis fort, wenn sie nicht vor Ablauf gekündigt wird. Premium: 3 Monate/194,61 Euro, PremiumPlus: Jahr/995,00 Euro, Enterprise: Jahr/1998 Euro, jeweils zzgl. Mwst.

alle Veranstaltungen Webcasts zu diesem Thema:
Dienstleister-Verzeichnis Agenturen/Dienstleister zu diesem Thema: