Gegen einzelne Bestandteile dieser Entscheidung hat IAB Europe bereits Widerspruch eingelegt.
Die IAB Europe hatte nach dieser Entscheidung ferner zwei Monate Zeit, einen Plan vorzulegen, der zeigt, wie sich die DS-GVO Verstöße beseitigen lassen, sowie weitere sechs Monate, um den vorgestellten und von der APD validierten Plan umzusetzen. Ohne Anerkennen der ergangenen Entscheidung ist die Vorlage eines solchen Plans am 01.04.2022 erfolgt. Die IAB Europe zeigt sich zuversichtlich, dass die APD der geplanten Umsetzung und Anpassung des TC-Frameworks zustimmen wird.
Eine One Stop Shop Entscheidung nach der Art. 56 DS-GVO wird bei grenzüberschreitenden Verarbeitungen von personenbezogenen Daten (alle Daten die eine Person identifizieren oder identifizierbar machen) getroffen. So wird vermieden, dass unterschiedliche Aufsichtsbehörden mit teilweise unterschiedlichen Auffassungen sich mit demselben Sachverhalt befassen. Im vorliegenden Fall war die APD die federführende Aufsichtsbehörde. Die Entscheidung wurde im Einvernehmen mit weiteren 27 EU-Datenschutzaufsichtsbehörden aus 19 Staaten getroffen. Eine One Stop Shop Entscheidung entfaltet in allen EU-Mitgliedstaaten ihre Wirkung.
(Im Folgenden angegebene Randnummern beziehen sich auf die Entscheidung der APD)
Hintergrundwissen zum Transparency & Consent Framework (TCF)
Im Allgemeinen ist ein Framework, ein Programmiergerüst mit verschiedenen bereits enthaltenen Funktionen, auf welche die Programmierer zurückgreifen können. Es bietet ferner genormte Schnittstellen, die beispielsweise zu unterschiedlichen Datenbanken führen können.
Das TCF Framework wurde von IAB Europe für den Zweck entwickelt, Einverständniserklärungen der Internetnutzer in die Verarbeitung ihrer Daten für Werbezwecke im Zuge des Real Time Biddings (RTB) einzuholen. Real Time Biddings sind in Echtzeit abgegebene Gebote von Werbetreibenden für Werbeflächen auf unterschiedlichsten Webseiten. In Echtzeit werden dabei Profile der Websitebesucher mit den Anforderungen der Werbetreibenden abgeglichen, Gebote der Werbetreibenden eingeholt und an die Websitebetreiber (Publisher) übermittelt. Wenn das Gebot angenommen wird, werden dem Websitebesucher die entsprechenden Werbeanzeigen präsentiert. Die beschriebene Transaktion und der umfassende Informationsaustausch dürfen dabei erst erfolgen, wenn der Nutzer in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat.
Bei Nutzung des IAB TCF wird bei einem Abrufversuch einer Website ein TC-String (eine Zahlen-Buchstaben-Kombination) erzeugt. Dieser wird mit einer Datenbank (siehe oben, Schnittstelle im Framework) von TC-Strings abgeglichen, um zu erfahren, ob der Websitebesucher bereits in der Vergangenheit in die Nutzung seiner personenbezogenen Daten eingewilligt hat. Wenn keine Übereinstimmung gefunden wird, so wird der neue TC-String gespeichert. Zusätzlich wird auf dem Gerät des Nutzers ein Cookie (eusonsent-v2-Cookie) abgelegt. Zu beachten gilt, dass dieser TC-String Abgleich im Vorfeld zum Anzeigen eines Cookie-Banners erfolgt (Rn. 43).
Die Einwilligung des Nutzers wird vor Erzeugung des TC-Strings somit nicht eingeholt.
Das TCF hat sich seit der Einführung 2018 zum Standard hinter den gängigen Cookie Bannern entwickelt. Die Irish Council for Civil Liberties (ICCL) schätzt, dass TCF`s auf 80 % der europäischen Websites Anwendung finden.
Entscheidungsbegründung
Nach Auffassung der APD ermöglicht der TC-String an sich keine direkte Identifizierung von Personen oder Geräten. Sobald der TC-String jedoch auf dem Gerät des Nutzers platziert ist, würde eine CMP (Content Management Plattform – die Cookie-Banner Anbieterplattform) diesem TC-String eine eindeutige Kennung zuweisen, d. h. die IP-Adresse des Geräts, auf dem er in Form eines euconsent-v2-Cookies platziert ist (Rn.375).
IP-Adressen gelten nach ständiger Rechtsprechung als personenbezogenes Datum (EuGH, C‑582/14). Folglich müsse sich die Verarbeitung auch des TC-Strings in jedem Fall auf einen der in Art. 6 DS-GVO abschließend aufgeführten Verarbeitungsgründe stützen.
Art. 6 Abs. 1 lit. a) DS-GVO scheide bereits deswegen aus, weil die Nutzer nicht vor der Erzeugung eines TC-Strings nach einer Einwilligung gefragt werden. Die Rechtsgrundlagen gem. Art. 6 Abs. 1 lit. b) – e) DS-GVO scheiden wegen fehlender Anwendbarkeit ebenfalls aus.
Einer eingehenden Anwendbarkeitsprüfung durch die APD wird Art. 6 Abs. 1 lit. f) DS-GVO unterzogen. Unter der Voraussetzung, dass die folgenden Prüfungspunkte im Ergebnis zum überwiegenden berechtigten Interesse des Verantwortlichen führen, kann diese Rechtsgrundlage eine Verarbeitung legitimieren:
- Zweckprüfung – Die mit der Verarbeitung verfolgten Interessen müssen als rechtmäßig anerkannt werden können.
Der Zweck der Erfassung der Zustimmung und Präferenzen der Nutzer in Bezug auf die Verarbeitung ihrer personenbezogenen Daten zu Werbezwecken wird von der Aufsichtsbehörde als legitimer Zweck angesehen (Rn. 413).
- Erforderlichkeitsprüfung – die vorgesehene Verarbeitung ist für die Verwirklichung dieser Interessen erforderlich.
Die erfolgte Verarbeitung wurde zudem als erforderlich angesehen. Insbesondere sei festzuhalten, dass der Grundsatz der Datenminimierung durch die Beschränkung auf den TC-String grundsätzlich erfüllt sei.
- Interessensabwägung – die Abwägung zwischen den benannten Interessen und den Interessen, Grundfreiheiten und Rechten der betroffenen Personen.
An dieser Stelle, so die Aufsichtsbehörde, sei fraglich, ob die betroffenen Personen zu dem Zeitpunkt und in dem Zusammenhang, in dem die personenbezogenen Daten erhoben werden (Aufrufversuch einer Website, noch nicht die Darstellung der Website) vernünftigerweise erwarten kann, dass die Verarbeitung zu diesem Zweck erfolgt (vernünftige Erwartungen gem. EG 47 S. 1 DS-GVO).
Insbesondere sei dem Umstand Beachtung zu schenken, dass die Verarbeitung ungeachtet der anschließenden Wahl der betroffenen Person hinsichtlich der Nutzung seiner Daten zu Werbezwecken erfolge. Dem Nutzer sei somit nicht klar, dass ein euconsent-v2-Cookie auch dann auf seinem Endgerät gesetzt wird, wenn er keine Einwilligung erteilt. Dies stelle einen schweren Verstoß gegen die Rechte und Freiheiten der betroffenen Person dar, sodass ein überwiegendes Interesse des für die Verarbeitung verantwortlichen nicht bejaht werden könne.
Für die Aufsichtsbehörde sei deshalb unbestreitbar, dass IAB Europe als Verwaltungsorganisation keine Rechtsgrundlage für die TCF, insbesondere für die Verarbeitung von Nutzerpräferenzen in Form eines TC-Strings geliefert und somit gegen Artikel 6 DS-GVO verstoßen hat. (Rn. 412-425).
Weitere festgestellte Verstöße gegen die DS-GVO (Rn.: 572 ff.):
- Artt. 12, 13, 14 DS-GVO – Nichtbeachtung der Transparenz und Informationspflichten gegenüber den betroffenen Personen (Websitebesucher). Eine Unterrichtung darüber wie genau die personenbezogenen Daten verarbeitet werden ist unterblieben.
- Artt. 5 Abs. 1 f), 32, 24, 25 DS-GVO – Kein Ergreifen zusätzlichen Maßnahmen, um sicherzustellen, dass die Datenverarbeitung im Einklang mit der DS-GVO erfolgt.
- Artt. 30, 35, 37 DS-GVO – Fehlende Führung eines Verzeichnisses von Verarbeitungstätigkeiten, Fehlen einer Datenschutzfolgenabschätzung (DSFA) sowie die Nichtbestellung eines Datenschutzbeauftragten.
Auswirkungen
Das TCF wird von IAB Europe zwingend vorgegeben, wenn Akteure am Real Time Bidding teilnehmen möchten. Somit betrifft die Entscheidung der ADP insbesondere die Publisher (Website oder App Besitzer mit Werbeflächen, i.d.R. Medienschaffende) und Werbetreibende, sowie die in diesem Zuge involvierten Handelspartner.
Jedoch hat diese Entscheidung auch Auswirkungen auf allgemeine Websitebetreiber, die sich eines nicht selbstgehosteten, Consent-Management Dienstes bedienen.
Einwilligungen, die über Consent –Tools eingeholt werden, die auf dem TCF basieren werden aufgrund der fehlenden Einwilligung in die Erzeugung und Übermittlung eines TC-Strings, regelmäßig verspätet eingeholt und sind damit jedenfalls insoweit unwirksam.
Niederländischen Zeitungsberichten zur Folge rät die niederländische Aufsichtsbehörde AP (Autoriteit Persoonsgegevens) bereits von der Nutzung TCF gestützter Dienste ab. Eine entsprechende Empfehlung der deutschen Aufsichtsbehörden liegt noch nicht vor, wird jedoch erwartet, insbesondere da sie an der One Stop Shop Entscheidung beteiligt waren. Entsprechend einer Stellungnahme eines deutschen Cookie Consent Manager Anbieters CCM19 sind die technischen Voraussetzungen zu einer rechtskonformen Gestaltung des TCF-Frameworks grundsätzlich gegeben.
Empfehlungen
Unsere Empfehlungen richten sich ausschließlich an Websitebetreiber, welche nicht am RTB teilnehmen. Im Bereich RTB gilt es ausnahmslos die weitere Entwicklung abzuwarten. Eine fehlende TCF Implementierung könnte in diesen Fällen zum Ausschluss vom RTB führen, da dies eine zentrale Voraussetzung für die Teilnahme darstellt.
Obwohl viele der Consent Manager Dienste auf dem TCF-Framework basieren, so gibt es doch Anbieter, die das TCF-Framework lediglich optional anbieten. In diesen Fällen werden ein TCF- Framework und damit der TC-String erst implementiert, wenn diese durch den Inhaber der Webseite aktiviert werden.
Überprüfen Sie deshalb im ersten Schritt das von Ihnen eingesetzte Tool und insbesondere die im Tool getroffenen Einstellungen. Ermöglicht das von Ihnen verwendete Einwilligungstool die Implementierung des IAB TCF auszuschließen und auf die Teilnahme am RTB zu verzichten, so sollten Sie diese Option nutzen.
Besteht diese Möglichkeit nicht, lohnt es sich über einen Wechsel des Consent Managers nachzudenken.
Mögliche Alternativen sind:
- CCM19 Cookie Consent Manager – Bietet die Möglichkeit optionaler TCF Implementierung. CCM19 gibt explizit an, nicht von der Entscheidung der APD betroffen zu sein. Möglichkeiten zur Nutzung umfassen die Option zum Einsatz als Software-as-a-Service mit Hosting in Deutschland, als auch ein Hosting auf eigenen Servern (Stand: 07.02.2022).
- Osano Consent Management – Bietet die optionale Möglichkeit der TCF Implementierung (Stand: 07.02.2022). Jedoch gilt es hier den möglicherweise vorliegenden Drittlandbezug zu beachten (USA). Nähere Informationen zur möglichen Problematik in Verbindung mit einem Drittlandtransfer finden Sie in unserem Artikel: „Cookie Consent Tool „Cookiebot“ – Verstoß gegen die DS-GVO?“.