Achtung bei Affiliate-Marketing: Belgische Datenschutzbehörde APD: IAB Transparency and Consent Framework (TCF) für Cookie-Banner nicht DSGVO-konform

cookie ga1b6ba61d 640Die belgische Datenschutzaufsichtsbehörde APD entschied im Einvernehmen mit 27 anderen EU-Datenschutzaufsichtsbehörden am 02.02.2022 , dass das vom Marketingverband IAB Europe entwickelte Einwilligungssystem „Transparency and Consent Framework“ (TCF) mehrfach gegen die DSGVO verstößt (Case number: DOS-2019-01377). Aufgrund des „One-Stop-Shop“- Mechanismus gilt die belgische Entscheidung automatisch für die ganze Europäische Union mit sofortiger Wirkung.

Mit dieser Entscheidung erklärte  die APD einen für die digitale Werbewirtschaft zentralen Mechanismus für datenschutzrechtlich unzulässig. Das vom europäischen Wirtschaftsverband der Online-Werbebranche IAB Europe entwickelte Tool ermöglicht ein europaweit einheitliches Einwilligungs-Management insbesondere für Affiliate-Marketing und sollte ursprüngliche alle am digitalen Marketing- und Werbeprozess Beteiligten bei der Einhaltung der DSGVO unterstützen. Hat der Seitenbesucher auf einer Website erst einmal in das Werbetracking eingewilligt, sollte diese Einwilligung auch für andere Websites mit IAB-System gelten. Auf diese Weise sollte bei Affiliate-Marketing vermieden werden, dass der Seitenbesucher allzu oft einwilligen muss. Die Verarbeitungstätigkeit sollte vor allem über die Rechtsgrundlage „Berechtigtes Interesse" verfügen. 

Aufgrund der vielen Datenschutzverstöße muss nun der Branchenverband eine Geldstrafe in Höhe von 250.000 Euro zahlen und sein Werbe-Framework TCF nachbessern. Ansonsten droht der IAB Europe ein Verbot des TCF.

Nach Angaben des Irish Council for Civil Liberties (ICCL) ist das Zustimmungs-Popup-System des IAB Europe derzeit bereits auf knapp 80 Prozent der Webseiten in Europa eingebunden. Insbesondere wenn auf Websites Affiliate-Marketing verwendet ist, funktionieren diese Systeme oft mit dem IAB-Framework.

Mitglieder des IAB-Frameworks sind unter anderem die großen Internetwerbeanbieter und Technologiekonzerne wie Google, Taboola, The ADEX, Meta, Triton, Yahoo, Adobe Advertising Cloud, Automtatic (Entwickler von WordPress), Criteo, eBay, Huawei, MediaMath, Microsoft, Oracle Advertising, Pubmatic und TikTok.

Ebenfalls Mitglied sind viele große Medienhäuser wie Axel Springer, ProSiebenSat.1 Group, BBC, Bloomberg, CNN, RTL Group, und United Internet Media (WEB.DE, GMX, 1&1).

Wir erwarten, dass sich die belgische Entscheidung weitreichend auf die digitale Werbewirtschaft auswirkt, ungeachtet dessen, ob ein Verbot des Werbenetzwerk TCF letztlich tatsächlich erfolgt.

Real-Time-Bidding: Individuelle Werbung benötigt auch individuelles Tracking

Das IAB-Framework dient vor allem dazu, Real-Time-Bidding (RTB, oder auch Real-Time-Advertising) zu ermöglichen.  Beim Real-Time-Bidding stellen Websitebetreiber (Affiliate, Publisher, Partner) ihre Website für Werbebanner zur Verfügung als digitale Plakatwand. Über eine Advertiser-Plattform schalten Werbende (Merchant, Advertiser, Verkäufer, Händler) dann Werbung definiert nach einer bestimmten Zielgruppe bzw. einem Interessenkreis. Die Advertiser-Plattformen (Affiliate-Marketing-Netzwerk) besitzen diesbezüglich ein Auktionssystem, auf der Werbebanner wie bei einer Börse angeboten werden und an den Meistbietenden versteigert werden. Auf den Websites der Affiliates wird dann die Werbung angezeigt, die für den jeweiligen Seitenbesucher am erfolgversprechensten ist. In der Regel ist die Werbung am erfolgreichsten, die auf den Seitenbesucher am individuellsten zugeschnitten ist.

Beispielsweise hat sich ein Seitenbesucher sich in einem Onlineshop für bestimmte Produkte interessiert. Diese Produktvorlieben werden vom Onlineshop des Advertisers durch Tracking ermittelt und an die Werbeplattform weitergeleitet. Besucht der Seitenbesucher dann andere Websites wie z.B. die Website einer Online-Zeitung, werden ihm die Produkte als Werbung am Seitenrand oder im Text angezeigt. Der Affiliate erhält über das Affiliate-Netzwerk eine entsprechende Vergütung z.B. für jeden Bannerklick oder für abgeschlossene Kaufverträge aufgrund seiner Bewerbung. Dieser Vorgang läuft im Hintergrund ohne Zutun des Seitenbesuchers ab.

Um zu ermitteln, welche Werbung für den Seitenbesucher am erfolgversprechendsten ist, muss durch Tracking und Zusammenführung der vorhandenen Informationen die Interessen der Kundin bzw. des Kunden möglichst breit gesammelt und automatisiert ausgewertet werden. Das IAB-Network gibt diese Daten hierzu innerhalb des Networks weiter und ermöglicht die zielgenaue Anzeigenschaltung und Anzeigenvergütung mittels Klickmessung.   

Cookie-Consent Tool „TCF“ verstößt mehrfach gegen die DSGVO

Die belgische Datenschutzbehörde legte in seiner Entscheidung fest, dass das TCF-Werbenetzwerk gegen eine Reihe von Bestimmungen der DSGVO verstößt.

Die belgische Datenschutzbehörde hat die folgenden Verstöße festgestellt:

  • Integrität und Vertraulichkeit: Es sei unter anderem nicht sichergestellt, dass personenbezogene Daten sicher und vertraulich behandelt werden (Art. 5 Abs. 1 lit. f DSGVO und 32 Abs. 1 lit. b DSGVO).
  • Fehlende Rechtsgrundlagen: Weiterhin wird die Einwilligung des Nutzers nicht ordnungsgemäß eingeholt. TCF beruft sich auf die Rechtsgrundlage „berechtigtes Interesse“, die jedoch aufgrund des schwerwiegenden Risikos, das von tracking-basierter Werbung wie dem Real-Time-Bidding ausgeht, vorliegend unzulässig ist (Art. 5 Abs. 1 lit. a und Art. 6 DSGVO).
  • Transparenz: Auch verstoße das TCF gegen das Transparenzgebot und Informationspflichten, indem der Nutzer nicht darüber informiert wird, was mit den erhobenen Daten geschieht (Art. 12, 13 und 14 DSGVO).
  • „TOMs“: Insgesamt wurde es versäumt, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass Daten im Einklang mit der DSGVO verarbeitet werden (Art. 24 DSGVO).
  • Weitere rechtliche Probleme: Das IAB Europe hat zudem noch kein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO erstellt und keinen Datenschutzbeauftragten bestellt (Art. 37 DSGVO). Auch ist bisher keine umfassende Datenschutz-Folgeabschätzung gem. Art. 35 DSGVO für das TCF Werbenetzwerk erfolgt.

Was ist das sog. Transparency and Consent Framework (TCF)

Das 2020 überarbeitete TCF 2.0 Werbenetzwerk bietet eine technische Standard-Infrastruktur, um Nutzereinwilligungen zur Datenverarbeitung in der Theorie datenschutzkonform abzufragen und zu verwalten. Vereinfacht ausgedrückt handelt es sich um ein Cookie-Banner, das die für das Werbetracking benötigten Einwilligungen gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO einholen soll und die datenschutzrechtlichen Transparenzgebote gewährleisten soll.

Bei Zustimmung eines Benutzers erfolgt eine Übermittlung der Nutzerpräferenzen durch den TCF-Mechanismus für personalisierte Online-Werbung an Werbemarktteilnehmer (Publisher, Werbetreibende und Technologiepartnern), die am Open Real-Time Bidding (RTB)-Projekt des IAB teilnehmen.

Bei der Einwilligung in das Werbetracking auf der ersten Website mit IAB-Framework sollte somit eine Einwilligung generiert werden, die auch für die Folgewebsites mit IAB-Framework rechtlichen Bestand haben sollte.

 

Funktionsweise des IAB-Banners: Verwendung der „C-String“ Zeichenkette bereits personenbezogen

Bei erstmaligem Aufruf einer Website erscheint ein vorgeschaltetes Banner oder ein Pop-Up mittels Consent Management-Plattform (CMP), auch Cookie-Banner genannt, über den der Benutzer/in  der Erfassung und Weitergabe seiner personenbezogenen Daten zustimmen oder verschiedenen Arten der Verarbeitung auf der Grundlage der berechtigten Interessen von Ad-Tech-Anbietern widersprechen kann (IAB TCF 2.0 Consent-Banner).

Bei Implementierung des IAB TCF 2.0 Consent-Banners speichert die Plattform CMP die Nutzerpräferenzen im sogenannten TC String und stellt diese den anderen Werbemarktteilnehmern des OpenRTB-Systems zur Verfügung. Der TC String ist eine codierte Zeichenkette, die unter anderem alle Tracking-Informationen des Nutzers speichert oder den Schlüssel darstellt, bereits gespeicherte Daten über die Seitenbesucher leicht zuordnen zu können. Gleichzeitig setzt die CMP das euconsent-v2-Cookie auf dem Gerät des Endbenutzers. Der TC-String und das Cookie sind gemeinsam mit der IP-Adresse des Users verknüpft, wodurch spätestens dann eine Identifizierung des Users möglich ist.

Die belgische Datenschutzbehörde schätzt insofern den TC-String bereits als ein personenbezogenes Element ein, das auch so im Sinne der DSGVO zu behandeln ist. Daher reiche hier auch das berechtigte Interesse nicht als Rechtsgrundlage für die Datenverarbeitung aus.

Auch seien die dem Seitenbesucher über das Cookie-Banner zur Verfügung gestellten Informationen zu vage und allgemein gehalten, so dass die Art und der Umfang der Datenverarbeitung für den Betroffenen kaum nachzuvollziehen sind.

Der TCF-Mechanismus bei Echtzeit-Auktionen (sog. Real-Time Bidding) – Verstoß gegen Gebot der Datenminimierung

Anhand der im TC-String gespeicherten Nutzerpräferenzen stellen Drittanbieter personalisierte Nutzerprofile zur Verfügung, die im Rahmen von automatisierten Echtzeitauktionen (sog. Real-Time Bidding, RTB) für den Verkauf und Ankauf von Online-Werbeflächen benötigt werden. Die Websitebetreiber, die die Werbung auf ihren Websites aufnehmen (Affiliates, Publisher, Partner) geben über die OpenRTB-Angebotsplattform Werbegebote in Echtzeit ab, um gezielte Werbung anzeigen zu dürfen, die speziell auf das Nutzerprofil zugeschnitten sind. Die technischen Standards OpenRTB legen die Abwicklung dieser Prozesse und den Datenaustausch fest.

Die belgische Datenschutzbehörde stellte mitunter fest, dass die auf der Grundlage des OpenRTB-Protokolls durchgeführten Verarbeitungsvorgänge nicht den datenschutzrechtlichen Grundprinzipien der Zweckbindung und Datenminimierung entsprechen.

Zudem unterstütze der TC-String hierbei „[…] ein System, das große Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen birgt, insbesondere in Anbetracht des großen Umfangs der betroffenen personenbezogenen Daten, der Profiling-Aktivitäten, der Vorhersage von Verhalten und der daraus resultierenden Überwachung der Betroffenen“ (APD, Urteil vom 02.02.2022 – DOS-2019-01377 - Rn. 545).

Dies liegt daran, dass das Netzwerk zur stetigen Individualisierung der Werbung selbstverständlich alle vorliegenden Informationen stetig vervollständigen will um ein immer komplexeres Bild des Seitennutzers zu erzeugen und Werbung immer optimierter und individueller Anzeigen zu lassen.

Darüber hinaus könne „[…] keine der von dem TCF vorgeschlagenen und umgesetzten Rechtsgrundlagen von TCF-Teilnehmern rechtmäßig geltend gemacht werden“ (APD, Urteil vom 02.02.2022 – DOS-2019-01377 - Rn. 428).

Einstufung der IAB Europe als Data Controller

Auf Grundlage der Verwendung von Werbesystems TCF stufte die belgische Aufsichtsbehörde nunmehr das IAB Europe als Data Controller (Verantwortliche im Sinne des Datenschutzrechts) ein, die für die Einhaltung der datenschutzrechtlichen Grundsätze aus Art. 5 Abs. 1 DSGVO verantwortlich ist. Gegen diese Einstufung wehrte sich der Verband allerdings.

Das IAB Europe habe das Framework schließlich in enger Zusammenarbeit mit Datenschutzbehörden erstellt und der Verband könne nicht die Haftung für die gesamte Branche übernehmen.

Der Verband erwägt rechtlich gegen die Entscheidung der belgischen Behörde vorzugehen:

„Wir weisen die Feststellung zurück, dass wir ein Datenverantwortlicher im Rahmen der TCF sind. Wir glauben, dass diese Feststellung rechtlich falsch ist und erhebliche unbeabsichtigte negative Folgen haben wird, die weit über die digitale Werbebranche hinausgehen. Wir prüfen alle Optionen in Bezug auf eine rechtliche Anfechtung“(IAB, 2022: APD Ruling Clears Way For Work on Developing TCF into a Formal GDPR Code of Conduct: IAB Europe Statement on the APD Decision Announced Today, [Stand 11.04.22]] https://iabeurope.eu/all-news/apd-ruling-clears-way-for-work-on-developing-tcf-into-a-formal-gdpr-code-of-conduct-iab-europe-statement-on-the-apd-decision-announced-today/).

250. 000 Euro Bußgeld gegen IAB Europe verhängt

Auf Grundlage dieser Feststellungen verhängte die belgische Datenschutzbehörde gegen IAB Europe ein Bußgeld in Höhe von 250.000 Euro und forderte das Unternehmen zur unverzüglichen Löschung aller bereits erhobenen Nutzerdaten auf. Davon betroffen sind eine hohe Anzahl von Publishern, Advertisern und Ad-Tech Unternehmen wie Google, Microsoft oder Amazon und enorme Mengen gespeicherte Trackinginformationen.

Ebenfalls räumte das APD dem europäischen Marketing-Verband eine Nachbesserungsfrist von zwei Monaten ein, um einen Aktionsplan zur Umsetzung von effektiven Korrekturmaßnahmen zu erarbeiten, durch die die Mängel innerhalb eines halben Jahres behoben werden.

Zu diesen Korrekturmaßnahmen gehören unter anderem:

  • die Sicherstellung einer gültigen Rechtsgrundlage (wahrscheinlich einer wirksamen Einwilligung) für die Verarbeitung und Weitergabe der Nutzerpräferenzen im Rahmen des TCF, wenn es um zielgerichtete Werbung oder die Erstellung von Nutzerprofilen geht,
  • das Verbot der Verwendung des berechtigten Interesses als ausreichende Rechtsgrundlage für die Datenverarbeitung durch TCF-Teilnehmer sowie
  • die strenge Überprüfung der teilnehmenden Organisationen, um sicherzustellen, dass sie die Anforderungen der DSGVO erfüllen.

 

Fazit: Auswirkungen der belgischen Entscheidung zum TCF

Die jüngste belgische Entscheidung wird massive Auswirkungen in ganz Europa und den USA nach sich ziehen.

Von Seiten der belgischen Datenschutzaufsichtsbehörde heißt es diesbezüglich:

„[…] Obwohl es sich um das TCF-System und nicht um das gesamte Echtzeitgebotssystem handelt, wird unsere heutige Entscheidung erhebliche Auswirkungen auf den Schutz der persönlichen Daten der Internetnutzer haben. Die Ordnung im TCF-System muss wiederhergestellt werden, damit die Nutzer wieder die Kontrolle über ihre Daten erlangen können“ (ADP, 2022: The BE DPA to restore tot he online advertising industry: IAB Europe held responsible for a mechanism that infringes the GDPR, [Stand:11.04.2022] https://www.dataprotectionauthority.be/citizen/iab-europe-held-responsible-for-a-mechanism-that-infringes-the-gdpr)  .

In einem Statement äußerte sich der Branchenverband IAB Europe zuversichtlich zum Fortbestand des TCF. Der Verband betonte hierbei, dass die belgische Datenschutzbehörde das Framework nicht grundsätzlich verboten, sondern nur die konkrete Ausgestaltung beanstandet habe. Der IAB behält sich zwar juristische Schritte gegen den Beschluss vor, jedoch wolle man mit der belgischen Datenschutzbehörde zusammenarbeiten, um Korrekturmaßnahmen auszuarbeiten, durch die das TCF Werbenetzwerk mit der DSGVO in Einklang gebracht wird.

Publisher, Werbetreibende und insbesondere Marketing-Unternehmen, die im europäischen Marketing-Verband IAB Europe zusammengeschlossen sind, sollten sich jedenfalls über die weiteren Entwicklungen rund um das TCF auf dem Laufenden halten und bereits jetzt sicherstellen, dass Consent-Einholung und Datenverarbeitungsprozesse stets DSGVO-konform erfolgen müssen.

Die vollständige Entscheidung der belgischen Datenschutzbehörde ist unter folgendem Link einsehbar: https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-21-2022-english.pdf.

Co-Autor: Wissenschaftliche Mitarbeiterin – Stud. jur. Martina Hajas

Bildquelle: Bild von Sandra Pape auf Pixabay 

Thomas Heß
Autor: Thomas Heß
Wissenschaftlicher Mitarbeiter
Autoren-Info:
Herr Thomass Heß ist wissenschaftlicher Mitarbeiter bei DURY LEGAL Rechtsanwälte im Bereich der rechtlichen Prüfung von Webseiten und Online-Shops. Er arbeitet dabei im Team von Fachanwalt Michael Pfeiffer und Diplomjurist Benjamin Schmidt und unterstützt diese in der Zusammenarbeit mit unserer Tochtergesellschaft, der Website-Check GmbH.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de