Update Datenschutz Nr. 109
Belgische Datenschutzaufsichtsbehörde entscheidet: TCF 2.0 – Weite Teile des programmatischen Online-Marketings – rechtswidrig!
Mit ihrer Entscheidung vom 2. Februar 2022 hat die belgische Datenschutzaufsichtsbehörde das Transparency and Consent Framework 2.0 („TCF 2.0“) und eine Reihe von Datenverarbeitungsvorgänge des Interactive Advertising Bureau Europe („IAB“) für rechtswidrig erklärt. Dies hat potenziell weitreichende Folgen, denn die meisten deutschen Webseiten verwenden zur Einholung von Einwilligungserklärungen Consent-Management-Plattformen („CMPs“), die den Regeln des TCF 2.0 folgen. Zudem richten sich nahezu alle nennenswerten Teilnehmer des weltweiten Online-Werbe-Ökosystems nach diesen Regeln.
Zum Hintergrund: Das IAB TCF 2.0
Um einheitliche Standards für die Einwilligung zur Nutzung von Cookies und ähnlichen Technologien und zur Einholung von Einwilligungserklärungen für verschiedene Aspekte des Online-Marketings zu standardisieren und damit eine möglichst hohe DSGVO-Compliance zu erreichen, hat das IAB das TCF 2.0 entwickelt. Jeder Beteiligte muss sich verpflichten, nur diejenigen Datenverarbeitungen vorzunehmen, deren Zweck transparent dargestellt wurde und für die ein Erlaubnistatbestand nach DSGVO vorliegt. Hierzu wurden Zwecke definiert, die unterschiedliche Aspekte des Online-Marketings abbilden. So wird etwa das Ausspielen einfacher Werbeanzeigen (ohne Personalisierung), die statistische Analyse des Nutzerverhaltens und die Ermittlung eines personalisierten Werbeprofils streng voneinander unterschieden. Sämtliche Werbe-Tool-Anbieter (in der Diktion des TCF 2.0 die sog. „Vendoren“) müssen bei ihrer Registrierung zahlreiche Daten angeben (etwa verschiedene Informationen über eingesetzte Cookies und ähnliche Technologien und Angaben darüber, welche Daten für welchen Zweck verarbeitet werden.
Der „TC-String“ und das technische Ökosystem des IAB
Über das TCF 2.0 hinaus betreibt das IAB auch ein technisches Ökosystem, welches es z. B. erlaubt Aktualisierungen, die ein Vendor zu seinem Werbe-Tool angibt (etwa die Angabe, dass ein weiteres Datum verarbeitet wird) automatisch an alle Anbieter einer CMP übermittelt wird, sodass der Webseitenbetreiber (beim IAB der „Publisher“ genannt) stets über aktuelle Transparenz-Informationen verfügen kann und stets eine aktualisierte Einwilligungserklärung für seine Webseite einholen kann. Zudem wird die Weiterleitung einer Einwilligungserklärung zentral durch das IAB gesteuert. Wenn auf einer Webseite mit einer CMP, die den Regeln des TCF 2.0 folgt, ein Nutzer eine Einwilligungserklärung abgibt, so wird durch die CMP ein sogenannter „TC-String“ erstellt, also ein Pseudonymsdatum, welches die Information darüber enthält, welche Zwecke und welche Vendoren der Nutzer akzeptiert und/oder abgelehnt hat. Dieser TC-String wird sodann über standardisierte Schnittstellen des IAB an diejenige Werbe-Tool-Anbieter weitergeleitet, die der jeweilige Webseitenbetreiber auf seiner Webseite implementiert hat. Es handelt sich hierbei um das technisch und rechtlich komplexeste Projekt zur Standardisierung von Einwilligungserklärungen im Online-Marketing und zur Erreichung eines hohen Levels an DSGVO-Compliance in diesem Gebiet.
Die Bedeutung des TCF 2.0. für das Real Time Bidding
Von großer Bedeutung ist die Vereinheitlichung und Standardisierung durch das TCF 2.0 vor allem für das moderne programmatische Marketing, das sog. Real Time Bidding bzw. Real Time Advertising. Hierbei handelt es sich um eine moderne Ausprägung des Online-Marketings, bei dem automatisiert Online-Auktionen für den Verkauf und den Kauf von Online-Werbeflächen erfolgen. Konkret bedeutet dies, dass, wenn eine Person auf eine Website oder Anwendung zugreift, die eine Werbefläche enthält, diese Werbefläche durch ein automatisiertes Online-Auktionssystem und Algorithmen sofort (in Echtzeit) versteigert wird, um gezielte, speziell auf das (Werbe-)Profil dieser Person zugeschnittene Werbung anzuzeigen. Das Real Time Bidding selbst unterliegt eigenen Standards und Protokollen, die von dem TCF 2.0 zu trennen sind. Führend ist hierbei das OpenRTB-Protokoll, welches durch die IAB Technology Laboratory, Inc. („IAB USA“) entwickelt spezifiziert wurde und welches ebenfalls Gegenstand der Entscheidung der belgischen Datenschutzaufsichtsbehörde war. Wie aufgezeigt, soll das TCF 2.0 mit seinem technischen Ökosystem gerade dazu dienen, um eine wirksame Einwilligung und damit eine taugliche Grundlage für die mit dem Real Time Bidding verbundene Datenverarbeitung, insbesondere das Tracking und die Analyse des Nutzerverhaltens mitsamt der persönlichen Interessen der Nutzer zur Erstellung eines entsprechenden (Werbe-)Profils, einzuholen.
Die Entscheidung der Belgischen Datenschutzaufsichtsbehörde
Dennoch erreichten die belgische Datenschutzaufsichtsbehörde Beschwerden über das IAB und das TCF 2.0 von Seiten verschiedener Datenschutzaktivisten. Da der IAB in Belgien seinen Sitz hat, war die belgische Aufsichtsbehörde zuständig. Ein lang andauerndes Verfahren unter Konsultation sämtlicher Europäischer Datenschutzaufsichtsbehörden endete nun im ersten Schritt am 2. Februar 2022 mit einer 127 seitigen Entscheidung, in welcher die belgische Datenschutzaufsichtsbehörde zahlreiche Detailaspekte des TCF 2.0 untersucht und teilweise für rechtswidrig erklärt.
Eigene Verstöße des IAB ohne Bezug zum TCF 2.0
Teilweise betrifft dies Versäumnisse, die dem IAB alleine zuzurechnen sind und die keine weitere Auswirkung auf das Online-Marketing haben dürften. So hat es der IAB etwa versäumt einen Datenschutzbeauftragten zu benennen, Datenschutzfolgenabschätzungen durchzuführen und ein Verfahrensverzeichnis zu führen. Diese Verstöße können sicher in der Zukunft leicht abgestellt werden.
Systemische Verstöße des TCF 2.0
Auf den 127 Seiten der Entscheidung werden allerdings auch zahlreiche detaillierte rechtliche und technische Erwägungen angestellt, die sich unmittelbar auf den TCF 2.0 beziehen. Die aus unserer Sicht wichtigsten Punkte, die gegen das TCF 2.0 vorgebracht werden, sind die folgenden:
- Gemeinschaftlich Verantwortung
– Es besteh für die Verarbeitung von personenbezogenen Daten im TC-String eine gemeinschaftliche Verantwortlichkeit zwischen IAB und den übrigen Teilnehmern am TCF 2.0 (Rn. 362 ff). Diesbezüglich muss das IAB wohl in Zukunft einen entsprechenden Vertrag über eine gemeinschaftliche Verantwortung entwerfen, in der Branche abstimmen und in seine verpflichtenden Regelungen aufnehmen.
- Berechtigtes Interesse ist keine taugliche Rechtsgrundlage
– Das IAB könne sich für die Datenverarbeitungen in seinem technischen Backend nicht auf das berechtigte Interesse stützen (Rn. 410). Folglich müsse das IAB hierfür ebenfalls eine Einwilligungserklärung einholen.
– Das berechtigte Interesse könne keine passende Rechtsgrundlage für das moderne programmatische Marketing bzw. das Real Time Bidding sein. Dies gelte nicht nur für das IAB, sondern auch für alle übrigen Teilnehmer am TCF 2.0 (Rn. 441.). Diese rechtliche Bewertung entspricht für personalisierte Werbung der herrschenden Meinung. Zu Bedenken ist jedoch, dass über das TCF 2.0 auch viele Datenverarbeitungen organisiert werden, die ohne jede Personalisierung auskommen, wie zum Beispiele die Auswahl einfacher Werbeanzeigen anhand des Kontextes einer Webseite (nicht anhand der Präferenzen des Nutzers) oder die statistische Analyse des Erfolgs einer Werbeanzeige. Zu diesen ebenfalls definierten Zwecken des TCF 2.0 hat sich die belgische Aufsichtsbehörde nicht geäußert.
Fazit – warum sich in den nächsten Monaten noch nicht viel ändern wird
Das IAB hat von der belgischen Datenschutzaufsichtsbehörde eine Umsetzungsfrist von 6 Monaten erhalten. Zudem steht es dem IAB offen, Rechtsmittel einzulegen, die eine aufschiebende Wirkung entfalten können. Dies bedeutet, dass das IAB erst zur Umsetzung verpflichtet wäre, wenn ein Verwaltungsgericht in Belgien eine endgültige Entscheidung getroffen hätte. Bis dahin könnten noch Jahre vergehen.
Dennoch steigt durch die belgische Entscheidung das Risiko für Schadensersatzklagen vor deutschen Gerichten und Beschwerden vor den deutschen Aufsichtsbehörden, da es für Betroffenen und potentielle Schadensersatzkläger anhand der belgischen Entscheidung viel einfacher geworden ist, gegen bestimmte Praktiken des Trackings und Marketings zu argumentieren. Erstmalig kann ein Betroffener für viele Punkte auf eine konkrete Entscheidung einer Aufsichtsbehörde verweisen (und nicht nur auf abstrakte Orientierungshilfen und sonstige Publikationen von Behörden).
Vor diesem Hintergrund empfehlen wir sämtlichen Unternehmen, die das TCF 2.0 nutzen (sei es etwa als Vendor oder Publisher), zu prüfen, in welchem Umfang das TCF 2.0 eingesetzt wird. Wir empfehlen ebenfalls dringend die eingesetzten CMPs, Cookie Banner und ähnliche Consent-Mechanismen auf den eigenen Webseiten und Apps noch einmal unter die Lupe zu nehmen und zu prüfen, ob sämtliche Einstellungen so vorgenommen wurden, dass möglichst transparent die Zwecke, die Vendoren und die verarbeiteten Datenkategorien genannt werden.
Zudem empfehlen wir auch im Hinblick auf unser Update Datenschutz Nr. 108 zu der neuen Orientierungshilfe für Telemedienanbieter und den jüngsten Aktivitäten europäischer Aufsichtsbehörden zu Google Analytics die getroffene Risikoentscheidungen zu überdenken: Noch vor einigen Monaten war es valide zu entschieden, dass aufgrund der geringen Rechtsverfolgungsintensität die Nutzung eher problematischer Tracking- und Marketingtools trotz bestehender rechtlicher Bedenken einzusetzen. Entsprechende Risikoabwägungen müssen nun vor dem Hintergrund der jüngsten Aktivitäten der europäischen Aufsichtsbehörden zumindest überdacht werden.