Zentraler Einwilligungs-Standard für rechtswidrig erklärt
Zentraler Einwilligungs-Standard (TCF) von belgischer Aufsichtsbehörde als unrechtmäßig erklärt; Begründung: Tracking-Identifier, IP-Adresse und Cookies als personenbezogene Daten und berechtigtes Interesse nicht ausreichend begründet; Verantwortlicher Werbeverband (IAB Europe) wird zu einem Bußgeld von 250.00 Euro und zum Löschen der personenbezogenen Daten verurteilt;
Der zentrale Standard, das sogenannte Transparency and Consent Framework (TCF), mit dem Werbefirmen und Onlinemedien ihre Einwilligungen für zielgerichtete Werbung im Netz einsammeln, wird von der belgischen Datenschutzbehörde (APD) für rechtswidrig erklärt.
Die Entscheidung ist mit den anderen Aufsichtsbehörden abgestimmt und wird mit einem grundlegenden Verstoß gegen die Grundsätze von Rechtmäßigkeit und Fairness (Treu und Glauben) begründet.
Das europäische Interactive Advertising Bureau (IAB) wurde mit einem Bußgeld von 250.000 Euro belegt und angewiesen, die gesammelten personenbezogenen Daten zu löschen. Eine weitere Nutzung des TCFs ist nur unter Einhaltung von weitreichenden Auflagen möglich.
Auch wenn die Entscheidung primär große Werbenetzwerke wie Google Ads, MSN oder DoubleClick betrifft, sind die Kriterien für die nicht rechtskonforme Verarbeitung von personenbezogenen Daten auch für einzelne Verantwortliche interessant. Vor allem zwei Entscheidungspunkte sind von Relevanz.
Tracking-Identifier als personenbezogene Daten
Zentraler Kritikpunkt war das Handling von Einwilligung seitens des TCFs. Bei jedem Click auf die Option “Cookies akzeptieren” werden Tracking-Identifier (TC-Strings) [1] erzeugt, welche die Grundlage für die Erstellung von individuellen Profilen und Werbeanzeigen bilden. Die belgische Aufsichtsbehörde geht in ihrer Begründung davon aus, dass bereits diese Identifier zu den personenbezogenen Daten zählen, da sie gemeinsam mit der IP-Adresse und den vom Framework gesetzten Cookies die Identifikation einzelner Nutzer ermöglichen.
Berechtigtes Interesse nicht ausreichend begründet
Zum anderen ist IAB Europe nach Ansicht der APD für jede Verarbeitung über das Framework mitverantwortlich. Diese Rolle hat die IAB bis dato immer verneint und sich als neutraler Anbieter eines technischen Standards deklariert, der keinerlei Verantwortung im Zusammenhang mit der Verarbeitung der personenbezogenen Daten zufiele. Dass Werbetreibende sich in ihren Cookie-Bannern auf ein „legitimes Interesse“ an der Datensammlung berufen, statt um Einwilligung zu bitten, müsste das Framework zum Beispiel grundsätzlich untersagen, um rechtskonform zu sein.
Der Werbeverband widerspricht unterdessen der Darstellung der Datenschutzbehörde in wesentlichen Punkten und kündigt an, die Entscheidung gerichtlich überprüfen lassen zu wollen.
Auch darüber hinaus verstoße der TCF-Mechanismus gegen diverse Vorgaben der DSGVO, zum Beispiel gegen die Grundsätze von Privacy by Design und by Default.
[1] Der TC String ist eine codierte Zeichenkette, die alle relevanten Informationen rund um die Consent-Entscheidung des Nutzers enthält.