Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

FAQ zum Beschluss der belgischen Datenschutzbehörde zum IAB

In dieser FAQ

Über den Beschluss

  • Die wichtigsten Feststellungen der Entscheidung
  • Durch die Entscheidung vorgeschriebene Maßnahmen

Ist der TCF jetzt rechtswidrig?

  • Das Risiko der Nichteinhaltung der Vorschriften
  • Berechtigtes Interesse

Was muss ich tun?

  • Empfehlungen für unsere Kunden
  • Was kommt als Nächstes?

Über den Beschluss

Am 2. Februar 2022 veröffentlichte die belgische Datenschutzbehörde (APD) einen Beschluss über IAB Europe und den Transparency and Consent Framework (TCF).

Zunächst eine kurze Zusammenfassung: was ist der IAB, und was ist das TCF?

  • IAB Europe ist der europäische Verband für die digitale Marketing- und Werbebranche. Ihr Ziel ist es, die politische Interessenvertretung zu leiten und die Zusammenarbeit der Branche zu fördern, um Rahmenbedingungen, Normen und Branchenprogramme zu schaffen, die den Unternehmen helfen, auf dem europäischen Markt erfolgreich zu sein.
  • Das TCF ist ein freiwilliger Open-Source-Standard, der im April 2018 vom IAB Europe lanciert wurde, um Unternehmen in der digitalen Werbebranche bei ihren Bemühungen zu unterstützen, die EU-Vorschriften zum Schutz der Privatsphäre und des Datenschutzes einzuhalten. Anders ausgedrückt: Das TCF bietet einen Standardprozess für die Einholung der Einwilligung der Nutzer nach der DSGVO und die Übermittlung dieser Einwilligungspräferenzen über die gesamte Werbelieferkette hinweg. (Sie können die Rahmenrichtlinien hier lesen).

Die APD war der Ansicht, dass einige Funktionen des TCF nicht DSGVO-konform sind und entschied Folgendes:

1) Der TC String gilt als personenbezogene Daten

TC Strings sind die digitalen Signale, die von Consent Management Platforms (CMPs) erzeugt werden. Diese Signale ermöglichen es den Publishern (d. h. denjenigen, die die Inhalte auf ihrer Website/App monetarisieren), die Entscheidungen der Betroffenen über die Verarbeitung ihrer personenbezogenen Daten für digitale Werbung, Inhalte und Messungen zu erfassen. Anbieter können diese Signale direkt von CMPs oder von anderen TCF-Teilnehmern erhalten, um zu überprüfen, ob sie die Einwilligung oder das berechtigte Interesse für einen bestimmten Zweck erhalten haben.

2) IAB Europe ist ein Verantwortlicher für den TC String und daher
3) hat der IAB keine Rechtsgrundlage für die Verarbeitung des TC Strings geschaffen

Infolge der Schlussfolgerungen wurden mehrere Maßnahmen auferlegt.

Auswirkungen auf das TCF

  • Verbot der Verwendung berechtigter Interessen als Rechtsgrundlage für die Verarbeitung.
  • Anforderung an CMPs, einen noch stärker harmonisierten und DSGVO-konformen Ansatz bei der Offenlegung von Informationen für Nutzer zu verfolgen.
  • Gewährleistung der “Konformität des TCF mit den Verpflichtungen zur Integrität und Sicherheit“.
Auswirkung auf den IAB
  • Eine Geldstrafe von 250.000 Euro
  • Schaffung einer Rechtsgrundlage für die Verarbeitung des TC Strings
  • Löschung personenbezogener Daten, die in ihrer Eigenschaft als Verantwortlicher für den TC String im Rahmen des globalen Geltungsbereichs erhoben wurden

    Was ist der globale Geltungsbereich (global-scope)?

    Die TCF-Richtlinie erlaubte bisher, dass Rechtsgrundlagen mit “globalem Geltungsbereich” festgelegt werden konnten, das bedeutete, dass eine Rechtsgrundlage, z. B. die Einwilligung, nicht nur für die Website gelten konnte, auf der sie eingeholt wurde, sondern auch für alle anderen Websites, die ebenfalls Präferenzen für den globalen Geltungsbereich anwenden. Auch wenn die Einwilligung in diesem Beispiel nicht direkt auf den anderen Websites eingeholt wurde.

    Der globale Geltungsbereich war bereits am 22. Juni 2021 obsolet gemacht worden, weil er von den Publishern nur in geringem Umfang genutzt wurde und mehrere Datenschutzbehörden darauf hinwiesen, dass die Nutzer klar darüber informiert werden sollten, für welche digitalen Eigenschaften ihre Wahl gilt, z. B. durch eine Liste von Domänen.

  • Der IAB muss ein Verzeichnis der Verarbeitungstätigkeiten führen, eine Datenschutz-Folgenabschätzung durchführen und einen Datenschutzbeauftragten benennen.

Hat die belgische Datenschutzbehörde das TCF für rechtswidrig erklärt?

Nein. Der APD-Beschluss verbietet weder das TCF, noch legt er nahe, dass das digitale Werbe-Ökosystem keine Einwilligungsaufforderungen verwenden sollte, um die rechtlichen Anforderungen des EU-Datenschutzregelwerks zu erfüllen.

Stattdessen hat der APD den IAB Europe aufgefordert, Korrekturmaßnahmen vorzuschlagen, einschließlich der Bereitstellung zusätzlicher Compliance-Funktionen.

Ist mein Risiko der Nicht-Konformität höher, wenn ich das TCF verwende?

Im Prinzip nein, wobei Folgendes zu berücksichtigen ist:

  • aus dem Beschluss selbst geht nicht hervor, dass die Verwendung von TC Strings oder des TCF im weiteren Sinne unzulässig ist;
  • der Beschluss kommt nicht zu dem Schluss, dass Anbieter, Publisher oder CMPs, die sich an das TCF halten, damit automatisch personenbezogene Daten unter Verstoß gegen die DSGVO erfassen. Mit anderen Worten: Jede Feststellung eines Verstoßes durch einen Publisher, Anbieter oder CMP muss sich aus einer gezielten Untersuchung ergeben, bei der alle relevanten Fakten berücksichtigt werden;
  • der Beschluss ist ein Verwaltungsakt und kann angefochten werden.

Ist es nicht mehr möglich, sich auf ein berechtigtes Interesse zu berufen?

Auch wenn es noch unklar erscheinen mag, ist der IAB der Ansicht, dass das Verbot der APD in Bezug auf das berechtigte Interesse nur für solche Zwecke gilt, die mit personalisierter Werbung und Profiling verbunden sind, und nicht ein generelles Verbot des berechtigten Interesses für alle Zwecke, die durch das TCF unterstützt werden.

Bedenken Sie, dass andere nationale Datenschutzbehörden, wie der italienische Garante, die Verwendung des berechtigten Interesses als gültige Rechtsgrundlage bereits ausgeschlossen haben (weitere Informationen zu diesem Thema finden Sie hier).

Was muss ich tun, bis ein endgültiger Beschluss gefasst wird?

Im Moment scheint es wenig zu geben, was getan werden kann, außer abzuwarten, wie sich das Berufungsverfahren zusammen mit den zukünftigen TCF-Anforderungen entwickeln wird.

Hinweis

Da es sich um eine fortlaufende Rechtsangelegenheit handelt, muss jedes Unternehmen selbst entscheiden, wie es vorgehen will.

Diese FAQ können nicht als Rechtsberatung angesehen werden und sind lediglich als praktische Zusammenfassung des Urteils gedacht. Wenn Sie also das Gefühl haben, dass Sie gefährdet sein könnten, sollten Sie sich an Ihren Rechtsberater wenden.

In Anbetracht des Beschlusses sollten Unternehmen, die TCF einsetzen, jedoch auf wesentliche Änderungen (Verbesserungen) aufgrund des Beschlusses vorbereitet sein und möglicherweise Pläne und Strategien zur Abschwächung verschiedener Situationen entwickeln, die eintreten könnten.

Was wir unseren Kunden empfehlen

Während wir auf einen endgültigen Beschluss warten, empfehlen wir den iubenda Kunden, Folgendes zu tun.

So geht’s mit der iubenda Privacy Controls and Cookie Solution

1) Klicken Sie im IAB TCF-Bereich des iubenda Privacy Controls and Cookie Solution Konfigurators auf “Bearbeiten”

2) Wählen Sie dann die Option “Zwecke einschränken”
3) Wählen Sie dann “Nur Einwilligung” für aktive Zwecke.

Es wird empfohlen, nur die TCF-Anbieter anzuzeigen, mit denen Sie tatsächlich zusammenarbeiten, und nicht die gesamte Liste der TCF-Anbieter. Anbieter müssen demnächst zusätzliche Informationen in der Global Vendor List (GVL) bereitstellen, damit die Publisher leichter entscheiden können, mit welchen Anbietern sie zusammenarbeiten wollen.

So geht’s mit der iubenda Privacy Controls and Cookie Solution

1) Klicken Sie im IAB TCF-Bereich des iubenda Privacy Controls and Cookie Solution Konfigurators auf “Bearbeiten”
2) Wählen Sie die Option “Nur Anbieter berücksichtigen, die in Ihren Datenschutz- und Cookie-Richtlinien genannt werden”

So geht’s mit der iubenda Privacy Controls and Cookie Solution

  • Wir kümmern uns diesbezüglich für Sie. Wir fügen derzeit die entsprechenden Angaben zum TCF-bezogenen Einstellungen-Panel hinzu.

So geht’s mit der iubenda Privacy Controls and Cookie Solution

1) Wählen Sie im iubenda Privacy Controls and Cookie Solution Konfigurator den Bereich zur DSGVO-Compliance und klicken Sie auf “Bearbeiten”

2) Klicken Sie auf Manuelle Konfiguration
3) Wählen Sie dann “Weisen Sie ausdrücklich auf das Recht hin, die Einwilligung zu widerrufen”.
4) Unter “Stil & Text” im iubenda Privacy Controls and Cookie Solution Konfigurator können Sie das Datenschutzwidget hinzufügen/bearbeiten. Das Datenschutzwidget ermöglicht Ihren Nutzern den einfachen Zugriff und die Bearbeitung ihrer Datenschutzeinstellungen, entweder über einen permanenten Button auf jeder Seite oder über einen Link Ihrer Wahl. Wir stellen Ihnen auch einen zusätzlichen Text zur Verfügung, den Sie in Ihre Bannerkopie einfügen können, um auf die Folgen der Ablehnung der Einwilligung hinzuweisen.

Wenn das alles erledigt ist, sollten Sie sich überlegen, ob Sie die Einwilligung Ihrer Nutzer erneut einholen wollen.

Was kommt als Nächstes?

Was Timing und Vorgehensweise angeht, so erwartet der APD, dass der IAB Europe innerhalb von zwei Monaten nach der Veröffentlichung des Beschlusses einen Aktionsplan vorlegt. Sobald die belgische Datenschutzbehörde den Aktionsplan validiert hat, sollten die Compliance-Maßnahmen innerhalb eines Zeitraums von höchstens sechs Monaten durchgeführt werden.

Der IAB ist davon überzeugt, dass der Aktionsplan und der kommende Dialog mit der APD eine Chance darstellen. Es ist möglich, dass die Umsetzung der APD-Vorgaben in dieser Situation zu einer neuen Version des TCF führen könnte, die mehr mit den Erwartungen des APD übereinstimmt und sich als potenzieller Kandidat für einen Verhaltenskodex mit dem APD als Hauptaufsichtsbehörde qualifiziert.

IAB Europe hat angekündigt, dass es gegen einen Teil des Beschlusses vor dem belgischen Handelsgericht Berufung einlegen wird.

Haben Sie noch Fragen?

Nehmen Sie an einem unserer kostenlosen Webinare teil Senden Sie uns eine E-Mail Live-Chat