Wichtige Entscheidung für Cookie-Nutzung: TCF v2.0 nicht DSGVO-konform

Erst im Sommer 2020 hat das Interactive Advertising Bureau (IAB) die neue Version des Transparency and Consent Frameworks, TCF v2.0, vorgestellt. Diese Framework sollte ein europaweit einheitliches Einwilligungs-Management ermöglichen. Außerdem galt es als wichtiger Faktor für die rechtssichere Nutzung von Cookies, auch im Kontext der Verwendung von personenbezogenen Daten, etwa für Werbezwecke. Nun hat jedoch die Datenschutzbehörde Belgiens (Autorité de protection des données oder APD) nach einem Verfahren von Beschwerdeführern gegen IAB Europe, koordiniert vom Irish Council for Civil Liberties (ICCL), den Standard TCF v2.0 für nicht DSGVO-konform erklärt. Und das dürfte massive Auswirkungen für die digitale Werbewirtschaft haben.

Entscheidung aus Belgien – Riesenprobleme für Consent-Einholung und personenbezogene Werbung

Obwohl das Support-Ende für Third Party Cookies bei Chrome naht, ist die Nutzung von Cookies für das Sammeln und Verarbeiten von personenbezogenen Daten noch der Standard der digitalen Werbeindustrie. Doch allein der Einsatz von Cookies könnte in Europa nach dem jüngsten Beschluss der APD erheblich komplizierter werden. Denn sehr viele Unternehmen, Seitenbetreiber:innen etc. nutzen das Transparency and Consent Framework des IAB Europe als Standard, um bei der Consent-Einholung von Usern rechtssicher auftreten zu können. Laut IAB Europe erlaubt das Framework,

Verbrauchern, Einwilligungen zu erteilen oder zu verweigern sowie ihr ,Widerspruchsrecht‘ gegen die Datenverarbeitung auszuüben. Verbraucher erhalten auch mehr Kontrolle darüber, ob und wie Anbieter bestimmte Funktionen der Datenverarbeitung verwenden dürfen, beispielsweise die Verwendung einer genauen Geolokalisierung.

Allerdings ist dieser Standard nun als unzulässig erklärt worden, was für das IAB Europe zu einer Geldstrafe von 250.000 Euro und der Aufforderung zur Löschung aller das TCF v2.0 ermittelten personenbezogenen Daten geführt hat. Dabei hatte das IAB Europe das Framework als offenen Standard zur Verfügung gestellt; womöglich, um nicht für die Nutzung und etwaige Probleme in der Verantwortung zu stehen. Genau dort sie die belgische Datenschutzbehörde den Verband jedoch.

Hielke Hijmans, Chef der DPA, erklärt :

The processing of personal data (e.g. capturing user preferences) under the current version of the TCF is incompatible with the GDPR, due to an inherent breach of the principle of fairness and lawfulness. People are invited to give consent, whereas most of them don’t know that their profiles are being sold a great number of times a day in order to expose them to personalised ads. Although it concerns the TCF, and not the whole real time bidding system, our decision today will have a major impact on the protection of the personal data of internet users. Order must be restored in the TCF system so that users can regain control over their data.

Schon der TC String gilt als personenbezogen

Problematisch sowohl für das IAB Europe als auch für alle Anwender:innen des Frameworks ist, dass die APD bereits die TC Strings als ein personenbezogenes Element einschätzt (denn diese könnten mit der IP-Adresse kombiniert werden). TC Strings werden quasi als Identifier erzeugt, wenn User bei Cookie-Bannern ihre Einwilligung zum Datenteilen geben. Dann liefern diese Strings Informationen zu den Einstellungen eines Users und zur Consent-Gewinnung von diesem. Diese Informationen wiederum werden Teilnehmer:innen des OpenRTB-Projekts des IAB zur Verfügung gestellt. Die können anhand der Daten dann im Real-Time-Bidding-Kontext damit arbeiten. Denn bei Publishern, die Version 2.0 des Frameworks integriert haben, wird der TC String bei diversen Anzeigenanfragen gelesen und weitergegeben.

Außerdem könnten User laut der belgischen Behörde die Datenverarbeitung kaum umfassend nachvollziehen, während die durch das TCF bereitgestellten Verarbeitungskategorien nicht differenziert genug seien.

Entscheidung trifft auf die EU zu und sorgt für Probleme

Die Entscheidung aus Belgien darf als Präzedenzfall für das Einwilligungs-Management über TCF v2.0 in der EU gelten. Denn sie wurde im One-Stop-Shop-System mit der Zustimmung der meisten zuständigen EU-Behörden gefällt. Und da die Behörde die TC Strings als personenbezogenes Element ansieht, müssen User im Grund auch über deren Einsatz bei der Datenübertragung detailliert informiert werden. Zudem, so erklärt es auch Torsten Kleinz bei Heise, braucht es eine verantwortliche Stelle oder Person, die für diese Datenverarbeitung geradesteht. Doch das IAB Europe lehnt diese Verantwortung ebenso ab wie die Werbeindustrie; was angesichts der komplexen Sachlage und der Unsicherheit zur rechtssicheren Datenweitergabe zumindest nachvollziehbar ist.

Das IAB Europe erhält zwei Monate Zeit, um das Transparency and Consent Framework an die Gesetzgebungen der DSGVO anzupassen. Der Verband selbst erwägt, rechtlich gegen die Entscheidung vorzugehen:

We reject the finding that we are a data controller in the context of the TCF.  We believe this finding is wrong in law and will have major unintended negative consequences going well beyond the digital advertising industry.  We are considering all options with respect to a legal challenge.

Allerdings wolle man mit der belgischen Behörde zusammenarbeiten, um binnen sechs Monaten eine Ausarbeitung zu erstellen, die gewährleistet, das das TCF v2.0 weiterhin eingesetzt werden kann. Doch eine Lösung ist aktuell noch nicht in Sicht. Deshalb könnte die Entscheidung aus Belgien das Geschäft mit personenbezogenen Daten nachhaltig verändern. Advertiser, aber auch Publisher und jedwede Teilnehmer:innen des digitalen Werbemarktes sollten die Entwicklung rund um das grundlegende Framework im Auge behalten; und sicherstellen, dass sie rechtskonform Consent einholen und Daten verarbeiten. Beides dürfte, ebenso wie das personalisierte Werben, 2022 nur aufwendiger werden.

Die komplette Entscheidung der Autorité de protection des données kannst du hier nachlesen.