Autoren
Datum

07. Februar 2022

Diesen Beitrag teilen

Die belgische Datenschutzbehörde Autorité de protection des données („APD“) hat in ihrer Entscheidung vom 2. Februar 2022 große Teile eines weit verbreiteten Einwilligungsmanagers (Cookie-Banner) als rechtswidrig eingestuft und gegen den Entwickler Interactive Advertising Bureau Europe („IAB“) ein Bußgeld in Höhe von 250.000 Euro verhängt. Die Entscheidung hat weitreichende Folgen für die E-Commerce-Praxis und betrifft etliche Webseiten-Betreiber sowie Werbetreibende.

Der Einwilligungsmanager Transparency & Consent Framework („TCF”) des IAB ist ein zentraler Standard, der bei vielen Cookie-Bannern verwendet wird. Er ermöglicht insbesondere die Nutzung personenbezogener Daten von Betroffenen zu Werbezwecken. Das TCF bietet eine technische Standard-Infrastruktur für die Abfrage und Übermittlung von Nutzereinwilligungen zwischen Werbetreibenden, Seitenbetreibern und Technologiepartnern.

Dies geschieht unter anderem in Form von Echtzeit-Auktionen, sog. Open Real-time Bidding-Verfahren („RTB“), durch welche Werbemittel und Plätze in Echtzeit verkauft und (personenbezogen) ausgespielt werden können.

Für die Nutzung des Systems ist eine Einwilligung des Betroffenen erforderlich, welche üblicherweise durch den bekannten Klick im Cookie-Banner auf „Alles Akzeptieren“ erfolgt (oder alternativ durch separate Erteilung von Einwilligungen für einzelne (Werbe-)Cookies).  Geschieht dies, wird innerhalb des TCF-Systems ein Nutzerprofil erstellt, auf dessen Basis mittels individualisierbaren Profilen, sog. Transparency and Consent Strings („TC-Strings“) Werbemittel verkauft und ausgespielt werden können. 

Die APD stuft diese TC-Strings als personenbezogene Daten ein, wodurch der Anwendungsbereich der DSGVO eröffnet ist. Das IAB, welches sich selber als Plattformanbieter für den Standard TCF einstuft, sieht es als (Mit-)Verantwortlichen im Sinne der DSGVO. In der Folge gelten bei der Verwendung von TC-Strings und dem TCF die Anforderungen der DSGVO, gegen die nach Auffassung der Behörde derzeit wie folgt verstoßen wird: 

Keine Rechtsgrundlage für die Verarbeitung

Die APD geht davon aus, dass die derzeit verwendeten TCF keine Rechtsgrundlage für die Verarbeitung von Nutzerpräferenzen in Form eines TC-Strings gewährleisten und dadurch ein Verstoß gegen Art. 5 Abs. 1 lit. a, 6 DSGVO vorliegt. Insofern könnten keine der zwei angegebenen Rechtsgrundlagen (Art. 6 Abs. 1 lit. a und f DSGVO) für die Verarbeitung von personenbezogenen Daten durch die teilnehmenden Adtech-Anbieter verwendet werden.

So seien 1.) die Einwilligungen der betroffenen Personen derzeit nicht hinreichend bestimmt, informiert und in einer granular gegebenen Weise erteilt und 2.) überwiegen die berechtigten Interessen der betroffenen Personen gegenüber den Interessen der an der TCF teilnehmenden Organisationen, da die (im Rahmen der TCF erhobenen) Präferenzen der Nutzer in großem Umfang verarbeitet werden und erhebliche Auswirkungen für die Betroffenen haben können. 

Fehlende Transparenz

Weiterhin bestünden Transparenz-Verstöße (Art. 12, 13, 14 DSGVO), da Nutzer keine ausreichenden, bzw. zu allgemeine Informationen über die Kategorien von personenbezogenen Daten erhalten, die über sie erhoben werden und es ihnen nicht möglich ist, im Voraus den Umfang und die Folgen der Verarbeitung zu erkennen. Die betroffenen Personen seien daher nicht in der Lage, den Umfang und die Folgen der Verarbeitung im Voraus zu bestimmen und hätten daher keine ausreichende Kontrolle über die Verarbeitung ihrer Daten.

Kein Nachweis geeigneter technischer und organisatorischer Maßnahmen

Der Verantwortliche verstoße zudem gegen Art. 24, 25, 5 Abs. 1 lit. f, 32 DSGVO, da nicht hinreichend die Sicherheit der Verarbeitung und die Integrität der verarbeiteten personenbezogenen Daten  gewährleistet werde. Danach muss der Verantwortliche nachweisen, dass geeignete technische und organisatorische Maßnahmen in transparenter und nachvollziehbarer Weise bestehen. Im derzeit umgesetzten TCF erhielten die Anbieter von Werbetechnik ein Zustimmungssignal ohne technische oder organisatorische Maßnahmen, die sicherstellen, dass dieses Zustimmungssignal gültig ist oder dass ein Anbieter es tatsächlich erhalten hat. Mangels einer systematischen Überwachung der Teilnehmenden Werbe-Anbieter durch den Verantwortlichen sei nicht gewährleistet, dass z.B. ein gefälschter Consent-Cookie erstellt und damit eine falsche Einwilligung generiert werde. Die APD betont an dieser Stelle zudem, dass die Betroffenen gegenüber jedem Mitverantwortlichen innerhalb der TCF ausgeübt werden können.

Keine Datenschutzfolgeabschätzung 

Das IAB hat zudem keine umfassende Datenschutzfolgeabschätzung (Art. 35 DSGVO) für das TCF umgesetzt, obgleich eine erhebliche Anzahl von Personen betroffen sind, die Websites und Anwendungen, welche das TCF verwenden, nutzen. Hinzu tritt, dass im Rahmen des OpenRTB eine groß angelegte Verarbeitung personenbezogener Daten stattfindet. Die Behörde stellt dazu insbesondere fest, dass das TCF unter anderem für das RTB-System entwickelt wurde, bei dem das Online-Verhalten von Betroffenen zu Werbezwecken systematisch und automatisiert beobachtet, gesammelt, aufgezeichnet oder beeinflusst wird und in großem Umfang Daten von Dritten erhoben werden, um die wirtschaftliche Lage, die Gesundheit, Vorhersage der wirtschaftlichen Lage, , der persönlichen Vorlieben oder Interessen, der Zuverlässigkeit oder des Verhalten, Standort oder Bewegungen natürlicher Personen zu analysieren. Das IAB habe zudem gegen Art. 30 und 37 DSGVO verstoßen, indem kein hinreichendes Verarbeitungsverzeichnung geführt wurde und kein Datenschutzbeauftragter benannt wurde.

Ausblick: Handlungsbedarf für Webseiten-Betreiber

Die Entscheidung ist für inländische Webseiten-Betreiber relevant, als dass sie im Rahmen des sog. One-Stop-Shop-Verfahrens ergangen ist (Art. 56 DSGVO). Nationale Datenschutz-Behörden werden sich daher vermutlich zeitnah mit der weiteren Umsetzung der Entscheidung befassen und Cookie-Banner sowie Datenschutzerklärungen inländischer Verwender von TCF überprüfen. 

Das verhängte Bußgeld in Höhe von 250.000 Euro ist somit für alle Webseiten-Betreiber, welche auf TCF setzen, als Warnschuss  zu verstehen, soweit diese künftig auf den unangepassten TFC-Standard setzen. 

Problematisch wird hierbei insbesondere die vermutlich erforderliche Ausgestaltung einer gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) mit dem TCF-Betreiber sein, da diese zu weiteren, kaum einschätzbaren Haftungs-Szenarien führen kann und den Pflichtenkatalog des einzelnen Verantwortlichen erheblich erweitert. Ebenso stellen sich praktische Fragen zur Umsetzung des Transparenz-Gebots, da sich komplexe Echtzeit-Auktionen von Werbemitteln angesichts der kaum greifbaren Anzahl von Prozessen und Akteuren kaum nachvollziehbar und verständlich für Betroffene abbilden lassen. 

Zwar hat das IAB angekündigt, gegen die Entscheidung vorzugehen und zudem wurde eine insgesamt sechsmonatige Umsetzung von Maßnahmen durch die Behörde eingeräumt (nach zwei Monaten muss das IAB einen Aktionsplan für weitere Anpassungen vorliegen). Es ist unabhängig davon aber damit zu rechnen, dass deutsche Aufsichtsbehörden verstärkt in die Details von Cookie-Bannern und Datenschutzerklärungen schauen. Mit der zuletzt veröffentlichten „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien vom 20. Dezember 2021“ der Datenschutzkonferenz haben die Behörden bereits sehr klare Ausführungen an die Anforderungen eines Cookie-Banners getroffen. 

Webseiten-Betreiber, die insbesondere verstärkt auf das Ausspielen von Werbemitteln setzen und Marketing-Cookies verwenden, sollten auf die aktuellen Entwicklungen daher möglichst zeitnah reagieren:

  • Cookie-Banner und Datenschutzerklärungen sollten bereits jetzt auf eine datenschutzkonforme Umsetzung hin überprüft werden, die sich insbesondere an der Orientierungshilfe der Datenschutzkonferenz orientieren kann.
  • Das weitere TCF-Verfahren sollte genauestens beobachtet und auf aktuelle Entwicklungen zeitnah reagiert werden. Insbesondere bleibt abzuwarten, ob ein mit der Behörde (innerhalb von zwei Monaten durch das IAB) abzustimmender Aktionsplan neue Erkenntnisse und Umsetzungserfordernisse mit sich bringt. 
  • Unter Umständen kann es aus Transparenzgründen vorzugswürdig sein, bereits jetzt genauere Hinweise zur Datenverarbeitung in Cookie-Bannern und Datenschutzerklärungen abzubilden, um Transparenz-Erfordernissen zu genügen. 
  • Sicherstellung, dass die Verarbeitungsprozesse in einer Datenschutzfolgeabschätzung (Art. 35 DSGVO) hinreichend dargestellt und gewürdigt werden. Soweit erforderlich sollten hierzu bei der IAB entsprechende Details (Technisch-Organisatorische Maßnahmen, Verarbeitungsprozesse) angefordert werden. 

Erhöhte Anforderungen beim Einsatz von Cookie-Bannern

Die belgische Datenschutzbehörde Autorité de protection des données („APD“) hat in ihrer Entscheidung vom 2. Februar 2022 große Teile eines weit verbreiteten Einwilligungsmanagers (Cookie-Banner) als rechtswidrig eingestuft und gegen den Entwickler Interactive Advertising Bureau Europe („IAB“) ein Bußgeld in Höhe von 250.000 Euro verhängt. Die Entscheidung hat weitreichende Folgen für die E-Commerce-Praxis und betrifft etliche Webseiten-Betreiber sowie Werbetreibende.

Der Einwilligungsmanager Transparency & Consent Framework („TCF”) des IAB ist ein zentraler Standard, der bei vielen Cookie-Bannern verwendet wird. Er ermöglicht insbesondere die Nutzung personenbezogener Daten von Betroffenen zu Werbezwecken. Das TCF bietet eine technische Standard-Infrastruktur für die Abfrage und Übermittlung von Nutzereinwilligungen zwischen Werbetreibenden, Seitenbetreibern und Technologiepartnern.

Dies geschieht unter anderem in Form von Echtzeit-Auktionen, sog. Open Real-time Bidding-Verfahren („RTB“), durch welche Werbemittel und Plätze in Echtzeit verkauft und (personenbezogen) ausgespielt werden können.

Für die Nutzung des Systems ist eine Einwilligung des Betroffenen erforderlich, welche üblicherweise durch den bekannten Klick im Cookie-Banner auf „Alles Akzeptieren“ erfolgt (oder alternativ durch separate Erteilung von Einwilligungen für einzelne (Werbe-)Cookies).  Geschieht dies, wird innerhalb des TCF-Systems ein Nutzerprofil erstellt, auf dessen Basis mittels individualisierbaren Profilen, sog. Transparency and Consent Strings („TC-Strings“) Werbemittel verkauft und ausgespielt werden können. 

Die APD stuft diese TC-Strings als personenbezogene Daten ein, wodurch der Anwendungsbereich der DSGVO eröffnet ist. Das IAB, welches sich selber als Plattformanbieter für den Standard TCF einstuft, sieht es als (Mit-)Verantwortlichen im Sinne der DSGVO. In der Folge gelten bei der Verwendung von TC-Strings und dem TCF die Anforderungen der DSGVO, gegen die nach Auffassung der Behörde derzeit wie folgt verstoßen wird: 

Keine Rechtsgrundlage für die Verarbeitung

Die APD geht davon aus, dass die derzeit verwendeten TCF keine Rechtsgrundlage für die Verarbeitung von Nutzerpräferenzen in Form eines TC-Strings gewährleisten und dadurch ein Verstoß gegen Art. 5 Abs. 1 lit. a, 6 DSGVO vorliegt. Insofern könnten keine der zwei angegebenen Rechtsgrundlagen (Art. 6 Abs. 1 lit. a und f DSGVO) für die Verarbeitung von personenbezogenen Daten durch die teilnehmenden Adtech-Anbieter verwendet werden.

So seien 1.) die Einwilligungen der betroffenen Personen derzeit nicht hinreichend bestimmt, informiert und in einer granular gegebenen Weise erteilt und 2.) überwiegen die berechtigten Interessen der betroffenen Personen gegenüber den Interessen der an der TCF teilnehmenden Organisationen, da die (im Rahmen der TCF erhobenen) Präferenzen der Nutzer in großem Umfang verarbeitet werden und erhebliche Auswirkungen für die Betroffenen haben können. 

Fehlende Transparenz

Weiterhin bestünden Transparenz-Verstöße (Art. 12, 13, 14 DSGVO), da Nutzer keine ausreichenden, bzw. zu allgemeine Informationen über die Kategorien von personenbezogenen Daten erhalten, die über sie erhoben werden und es ihnen nicht möglich ist, im Voraus den Umfang und die Folgen der Verarbeitung zu erkennen. Die betroffenen Personen seien daher nicht in der Lage, den Umfang und die Folgen der Verarbeitung im Voraus zu bestimmen und hätten daher keine ausreichende Kontrolle über die Verarbeitung ihrer Daten.

Kein Nachweis geeigneter technischer und organisatorischer Maßnahmen

Der Verantwortliche verstoße zudem gegen Art. 24, 25, 5 Abs. 1 lit. f, 32 DSGVO, da nicht hinreichend die Sicherheit der Verarbeitung und die Integrität der verarbeiteten personenbezogenen Daten  gewährleistet werde. Danach muss der Verantwortliche nachweisen, dass geeignete technische und organisatorische Maßnahmen in transparenter und nachvollziehbarer Weise bestehen. Im derzeit umgesetzten TCF erhielten die Anbieter von Werbetechnik ein Zustimmungssignal ohne technische oder organisatorische Maßnahmen, die sicherstellen, dass dieses Zustimmungssignal gültig ist oder dass ein Anbieter es tatsächlich erhalten hat. Mangels einer systematischen Überwachung der Teilnehmenden Werbe-Anbieter durch den Verantwortlichen sei nicht gewährleistet, dass z.B. ein gefälschter Consent-Cookie erstellt und damit eine falsche Einwilligung generiert werde. Die APD betont an dieser Stelle zudem, dass die Betroffenen gegenüber jedem Mitverantwortlichen innerhalb der TCF ausgeübt werden können.

Keine Datenschutzfolgeabschätzung 

Das IAB hat zudem keine umfassende Datenschutzfolgeabschätzung (Art. 35 DSGVO) für das TCF umgesetzt, obgleich eine erhebliche Anzahl von Personen betroffen sind, die Websites und Anwendungen, welche das TCF verwenden, nutzen. Hinzu tritt, dass im Rahmen des OpenRTB eine groß angelegte Verarbeitung personenbezogener Daten stattfindet. Die Behörde stellt dazu insbesondere fest, dass das TCF unter anderem für das RTB-System entwickelt wurde, bei dem das Online-Verhalten von Betroffenen zu Werbezwecken systematisch und automatisiert beobachtet, gesammelt, aufgezeichnet oder beeinflusst wird und in großem Umfang Daten von Dritten erhoben werden, um die wirtschaftliche Lage, die Gesundheit, Vorhersage der wirtschaftlichen Lage, , der persönlichen Vorlieben oder Interessen, der Zuverlässigkeit oder des Verhalten, Standort oder Bewegungen natürlicher Personen zu analysieren. Das IAB habe zudem gegen Art. 30 und 37 DSGVO verstoßen, indem kein hinreichendes Verarbeitungsverzeichnung geführt wurde und kein Datenschutzbeauftragter benannt wurde.

Ausblick: Handlungsbedarf für Webseiten-Betreiber

Die Entscheidung ist für inländische Webseiten-Betreiber relevant, als dass sie im Rahmen des sog. One-Stop-Shop-Verfahrens ergangen ist (Art. 56 DSGVO). Nationale Datenschutz-Behörden werden sich daher vermutlich zeitnah mit der weiteren Umsetzung der Entscheidung befassen und Cookie-Banner sowie Datenschutzerklärungen inländischer Verwender von TCF überprüfen. 

Das verhängte Bußgeld in Höhe von 250.000 Euro ist somit für alle Webseiten-Betreiber, welche auf TCF setzen, als Warnschuss  zu verstehen, soweit diese künftig auf den unangepassten TFC-Standard setzen. 

Problematisch wird hierbei insbesondere die vermutlich erforderliche Ausgestaltung einer gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) mit dem TCF-Betreiber sein, da diese zu weiteren, kaum einschätzbaren Haftungs-Szenarien führen kann und den Pflichtenkatalog des einzelnen Verantwortlichen erheblich erweitert. Ebenso stellen sich praktische Fragen zur Umsetzung des Transparenz-Gebots, da sich komplexe Echtzeit-Auktionen von Werbemitteln angesichts der kaum greifbaren Anzahl von Prozessen und Akteuren kaum nachvollziehbar und verständlich für Betroffene abbilden lassen. 

Zwar hat das IAB angekündigt, gegen die Entscheidung vorzugehen und zudem wurde eine insgesamt sechsmonatige Umsetzung von Maßnahmen durch die Behörde eingeräumt (nach zwei Monaten muss das IAB einen Aktionsplan für weitere Anpassungen vorliegen). Es ist unabhängig davon aber damit zu rechnen, dass deutsche Aufsichtsbehörden verstärkt in die Details von Cookie-Bannern und Datenschutzerklärungen schauen. Mit der zuletzt veröffentlichten „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien vom 20. Dezember 2021“ der Datenschutzkonferenz haben die Behörden bereits sehr klare Ausführungen an die Anforderungen eines Cookie-Banners getroffen. 

Webseiten-Betreiber, die insbesondere verstärkt auf das Ausspielen von Werbemitteln setzen und Marketing-Cookies verwenden, sollten auf die aktuellen Entwicklungen daher möglichst zeitnah reagieren:

  • Cookie-Banner und Datenschutzerklärungen sollten bereits jetzt auf eine datenschutzkonforme Umsetzung hin überprüft werden, die sich insbesondere an der Orientierungshilfe der Datenschutzkonferenz orientieren kann.
  • Das weitere TCF-Verfahren sollte genauestens beobachtet und auf aktuelle Entwicklungen zeitnah reagiert werden. Insbesondere bleibt abzuwarten, ob ein mit der Behörde (innerhalb von zwei Monaten durch das IAB) abzustimmender Aktionsplan neue Erkenntnisse und Umsetzungserfordernisse mit sich bringt. 
  • Unter Umständen kann es aus Transparenzgründen vorzugswürdig sein, bereits jetzt genauere Hinweise zur Datenverarbeitung in Cookie-Bannern und Datenschutzerklärungen abzubilden, um Transparenz-Erfordernissen zu genügen. 
  • Sicherstellung, dass die Verarbeitungsprozesse in einer Datenschutzfolgeabschätzung (Art. 35 DSGVO) hinreichend dargestellt und gewürdigt werden. Soweit erforderlich sollten hierzu bei der IAB entsprechende Details (Technisch-Organisatorische Maßnahmen, Verarbeitungsprozesse) angefordert werden. 
Footer Mood

Bitte warten...