FAQ: Die Entscheidung der belgischen Datenschutzbehörde bezüglich des TCF des IAB

Dieser Beitrag wurde aktualisiert, um die Entscheidung der belgischen Datenschutzbehörde (APD) vom 2. Februar 2022 zu berücksichtigen, der zufolge das IAB Europe als Datenverantwortlicher gilt. Außerdem wird das IAB Europe verpflichtet, innerhalb von sechs Monaten nach Vorlage eines Aktionsplans innerhalb von zwei Monaten Abhilfe zu schaffen. Die offizielle Pressemitteilung der APD können Sie hier lesen.

HINTERGRUND

Das Transparency & Consent Framework (TCF) des IAB Europe ist das am weitesten verbreitete Rahmenwerk der Werbebranche für die Einhaltung der DSGVO. Der Einwilligungsrahmen wurde 2018 eingeführt und wird von Consent Management Platforms (CMPs) genutzt, die vom IAB Europe validiert wurden. Somit kommt er bei den führenden Medienunternehmen in Europa und den USA zum Einsatz.

Vor einem Jahr reichte ein europaweites Konsortium von Datenschutzaktivisten, darunter Johnny Ryan vom Irish Council for Civil Liberties und ehemaliger Chief Privacy Officer des datenschutzfreundlichen Browsers Brave, eine Reihe von DSGVO-Beschwerden gegen das IAB Europe ein. Diese Beschwerden konzentrierten sich auf das Transparency & Consent Framework des IAB Europe; parallel dazu gab es Beschwerden über Real Time Bidding (RTB). 

Im November 2021 veröffentlichte der Inspektionsausschuss der belgischen Datenschutzbehörde (APD) einen vorläufigen Bericht, in dem er feststellte, dass die Grundsätze der DSGVO in Bezug auf Transparenz, Fairness und Verantwortlichkeit sowie die Rechtmäßigkeit der Verarbeitung vom TCF nicht eingehalten werden. In der Folge wurde die Angelegenheit an die Prozesskammer der APD verwiesen. Der Entscheidungsentwurf wurde veröffentlicht und den anderen europäischen Datenschutzbehörden zur Stellungnahme übermittelt.

Am 2. Februar 2022 traf die APD ihre endgültige Entscheidung.

IST MEINE TCF-CMP NICHT DSGVO-KONFORM?

Im Gegensatz zu den jüngsten irreführenden Schlagzeilen wurde das TCF selbst nicht für illegal befunden.

Das IAB Europe hat zwei Monate Zeit, um den Datenschutzbehörden einen Aktionsplan vorzulegen. Nach dessen Annahme bleiben sechs weitere Monate Zeit, um in Zusammenarbeit mit den Datenschutzbehörden die festgestellten Probleme zu beheben und das TCF entsprechend zu überarbeiten. So könnte das TCF zu einem länderübergreifenden Verhaltenskodex für die DSGVO werden, die vom gesamten Europäischen Datenschutzausschuss (EDSA) gebilligt wird – etwas, das von vielen Datenschutzbehörden schon seit einiger Zeit gefordert wird. Unserer Auffassung nach dürfte das TCF als Rahmen für die Einhaltung der Vorschriften künftig nur stärken. 

Kurzfristig können Publisher, die Bedenken bezüglich der weiteren Eignung des TCF zur Einholung einer gültigen Einwilligung haben, ihre Angaben zu den Datenverarbeitungszwecken durch eine einfachere, klarere Formulierung ergänzen.

WIE LAUTET DAS ENDGÜLTIGE URTEIL DER BELGISCHEN DATENSCHUTZBEHÖRDE (APD)?

Am 2. Februar 2022 gab die APD ihren Beschluss bekannt, dem IAB Europe sechs Monate Zeit einzuräumen, um Korrekturmaßnahmen zu ergreifen. Dazu zählt unter anderem Folgendes:

• die Schaffung einer gültigen Rechtsgrundlage für die Verarbeitung und Weitergabe von Nutzerpräferenzen im Rahmen des TCF sowie das Verbot der Verwendung des berechtigten Interesses als Grundlage für die Verarbeitung personenbezogener Daten durch Organisationen, die am TCF teilnehmen;

• die strenge Überprüfung der teilnehmenden Organisationen, um sicherzustellen, dass sie die Anforderungen der DSGVO erfüllen.

Die wichtigsten Erkenntnisse der Entscheidung sind:

• IAB Europe gilt als Datenverantwortlicher
• Bei der TCF-Zeichenfolge (TC String) handelt es sich um personenbezogene Daten
• Es gibt einige falsche Bezeichnungen für ein berechtigtes Interesse
• Das IAB hat zwei Monate Zeit, einen Aktionsplan vorzulegen, nach dem die Probleme innerhalb von 6 Monaten behoben werden

Diese Entscheidung der APD folgt auf ihre Mitteilung vom 25. November 2021, einen Entscheidungsentwurf bezüglich der Einhaltung der Datenschutzgrundverordnung durch das TCF des IAB Europe erarbeitet und an ihre europäischen Amtskollegen versandt zu haben. 27 Aufsichtsbehörden erklärten sich bereit, sich an diesem Verfahren zu beteiligen.

Die Datenschutzbehörden hatten vier Wochen Zeit für die Bereitstellung von Feedback, bevor eine endgültige Entscheidung getroffen wurde.

Die vollständige Entscheidung der APD können Sie hier lesen.

Das IAB hat angekündigt, gegen die Entscheidung Berufung einzulegen. Das IAB hat hier eine FAQ veröffentlicht.

WAS BEDEUTET DAS FÜR DIE ZUKUNFT DES TCF?

Unserer Meinung nach ist dies eine Gelegenheit, den Standard weiter zu verbessern. Die Situation wird bei Sourcepoint genau beobachtet, wir raten unseren Kunden derzeit jedoch nicht dazu, umfassende Änderungen vorzunehmen.

Wir werden Ihnen auch weiterhin als Partner zur Seite stehen und Sie bei der Anpassung an die sich ständig ändernden rechtlichen Rahmenbedingungen unterstützen.

Standards sind eine sehr gute Sache für die Einhaltung von Vorschriften, und wir wissen, dass sich viele Datenschutzbehörden darin einig sind. 

WANN MUSS ICH ÄNDERUNGEN AN MEINER CMP-IMPLEMENTIERUNG VORNEHMEN?

Die APD stellte unter anderem fest, dass ein berechtigtes Interesse keine akzeptable Rechtsgrundlage darstellt. Kunden sollten wie immer ihre eigene Rechtsabteilung konsultieren, doch wir empfehlen Ihnen, die Gelegenheit zu nutzen, die Rechtsgrundlage für jeden Anbieter oder Zweck mit flexiblen Rechtsgrundlagen in eine Einwilligung zu ändern. 

Darüber hinaus sollten Sie Ihre Anbieterliste und Ihre CMP bei dieser Gelegenheit gemeinsam mit Ihrer Rechtsabteilung überprüfen, um eine umfassende Einhaltung der aktuellen TCF-Richtlinien zu gewährleisten.

Es wird zweifellos Änderungen am TCF geben, doch in der Zwischenzeit sollten Sie sicherstellen, dass bei Ihnen alles korrekt zugeht, damit Sie weiterhin vom TCF profitieren können. Wenn Sie Hilfe benötigen, um aktive Anbieter auf Ihrer Website aufzuspüren, fordern Sie eine Demo unserer Diagnose-Plattform zur Compliance Überwachung an.

Schließlich darf man nicht vergessen, dass dies alles seine Zeit braucht. Das IAB Europe hat sechs Monate Zeit, um die von der Datenschutzbehörde festgestellten Probleme zu beheben und das TCF entsprechend zu überarbeiten. Im Rahmen der Zusammenarbeit könnte das TCF zu einem länderübergreifenden Verhaltenskodex für die DSGVO werden – etwas, das von vielen Datenschutzbehörden schon seit einiger Zeit gefordert wird. Dies dürfte das TCF als Rahmen für die Einhaltung der Vorschriften künftig nur stärken. 

Registrieren Sie sich für unser Webinar zur Entscheidung der APD

Nehmen Sie am Dienstag, den 1. März um 17 Uhr MEZ an einem Webinar teil. Wir werden einen Überblick über die Entscheidung der APD geben, verschiedene Maßnahmen besprechen, die Publisher und Werbetreibende jetzt in Betracht ziehen sollten, und eine Fragerunde durchführen. Melden Sie sich hier an.

Ein wesentlicher Teil unseres Geschäftsmodells besteht darin, Veränderungen im Bereich des Datenschutzes zu antizipieren und unsere Produkte und Dienstleistungen so anzupassen, dass sie Ihnen bei der Bewältigung dieser Veränderungen helfen. Wir stehen Ihnen gerne zur Seite, um Sie bei den erforderlichen Änderungen zu unterstützen. Diese Unterstützung ist auch der Grund, warum sich die größten europäischen Publisher für eine Partnerschaft mit Sourcepoint entscheiden, um die Einhaltung der DSGVO zu gewährleisten.

Lesen Sie hier die Erklärung unseres Mitbegründers und CEOs zur Entscheidung der belgischen Datenschutzbehörde.

Der Blog von Sourcepoint dient lediglich allgemeinen Informationszwecken. Er stellt keine Rechtsberatung dar und sollte nicht als Grundlage für rechtliche Entscheidungen herangezogen werden. Bitte lassen Sie sich von einem Anwalt beraten, um festzustellen, wie sich die rechtlichen Änderungen auf Sie oder Ihr Unternehmen auswirken können.