Die Diskussion um die rechtlichen Anforderungen an „Cookie-Einwilligungen“ geht weiter: Am 11. Januar hat die belgische Datenschutzaufsichtsbehörde APD nun die Entscheidung veröffentlicht, dass sie den „action plan“ des Branchenverbands der Online-Werbebranche, IAB Europe, in Bezug auf den TCF 2.0-Standard „akzeptieren“ wird.
Was bedeutet die Entscheidung für Unternehmen aus der Online-Werbebranche?
Es geht um die Frage, ob der mittlerweile auf den meisten Websites genutzte Branchenstandard TCF 2.0 rechtswirksam für die Einholung von Einwilligung für die Nutzung von Cookies und Nutzerdaten zu Werbezwecken genutzt werden kann. Aus Belgien waren daran zuletzt grundsätzliche Zweifel zu hören:
Die Erstellung eines „action plan“ war eine Auflage der Entscheidung der APD vom 2. Februar 2022 an IAB Europe, neben der Zahlung eines Bußgelds das TCF 2.0 mit ihrer Auslegung der DSGVO in Einklang zu bringen (wir hatten berichtet).
Der am 1. April 2022 von IAB Europe bei der APD eingereichte „action plan“ zur Anpassung der TCF Policies an die Entscheidung der APD wurde bislang vom IAB Europe (bewusst) nicht veröffentlicht.
Gleichzeitig zur Erstellung des „action plan“ war das IAB Europe nämlich gegen die Entscheidung der APD vor das zuständige Gericht in Belgien gezogen, welches wiederum bestimmte Rechtsfragen dem EuGH zur Vorabentscheidung vorgelegt hat. Streitig ist hier, (1) ob das IAB Europe bei der Verarbeitung der Nutzerdaten tatsächlich gemeinsamer Verantwortlicher ist (unsere Meinung: nein) und (2) ob das TCF-Signal (auch „consent string“) ein personenbezogenes Datum darstellt (unsere Meinung: zusammen mit einer Nutzer-ID ja, sonst nein). Dieses Verfahren läuft zunächst weiter.
Mit der Entscheidung, den „action plan“ von IAB Europe zu „akzeptieren“, macht die APD den Weg dafür frei, dass das TCF in überarbeiteter Form von der Branche weiterhin zum Einholen von Nutzer-Einwilligungen zur Verarbeitung von personenbezogenen Daten in der Online-Werbung genutzt werden kann. Andere europäische Aufsichtsbehörden waren an dieser Entscheidung jedoch nicht beteiligt und sie ist weder für diese noch für die Gerichte bindend.
IAB Europe soll den „action plan“ nun binnen sechs Monaten umsetzen. Aus dem TCF 2.0 würde dann ein „TCF 2.1“.
Weder die APD noch IAB Europe haben bislang den Inhalt des „action plan“ veröffentlicht, um das parallel weiter laufende Gerichtsverfahren nicht zu beeinflussen. Es ist unklar, ob IAB Europe die Klage nun möglicherweise zurücknimmt, wenn es mit dem „action plan“ zufrieden ist.
Erst mit dieser Umsetzung, also der Veröffentlichung einer neuen Fassung der komplexen TCF Policies, die dem TCF-Standard zu Grunde liegen, ändern sich die Anforderungen für an das TCF angeschlossene Publisher und Vendoren.
Es kann aber auch sein, dass der „action plan“ nie umgesetzt wird, wenn die Klage des IAB Europe gegen die ursprüngliche Entscheidung der APD Erfolg hat.
Damit ist zu hoffen, dass die Rechtsunsicherheit hinsichtlich der DSGVO-Konformität bei Einhaltung des TCF 2.0 endlich abnimmt. Insbesondere die Frage, ob ein Nutzer über eine TCF-CMP angesichts der Masse an Beteiligten und der gleichzeitig sowohl vagen als auch überbordenden Informationen überhaupt eine wirksame Einwilligung abgeben kann, ist weiterhin offen – das Landgericht München I hat sie kürzlich in Sachen focus.de verneint (wir berichteten).
Bis dahin sollten Unternehmen sich bemühen, den aktuell geltenden Branchenstandard so gut wie möglich einzuhalten – wir beraten unsere Mandanten dazu laufend.