Autor: Dr. Frank Eickmeier

Das TCF 2.2 geht an den Start – das sollten Sie jetzt wissen:

Geschrieben am von Dr. Frank Eickmeier

Um den Akteuren im Online-Ökosystem dabei zu helfen, die Anforderungen der EU-Datenschutzrichtlinie sowie der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, hat der europäische Verband der Onlinebranche IAB eine überarbeitete Fassung des als „Transparency & Consent Framework“ bezeichneten Branchenstandards verabschiedet, das so genannte TCF 2.2. Eine Arbeitsgruppe aus Vetretern der beteiligten Unternehmen hat intensiv an einer überarbeiten Standardisierung der Pflicht-Informationen und Auswahlmöglichkeiten gearbeitet, die den Nutzern vor der Verarbeitung ihrer Daten zur Verfügung gestellt werden sollten, sowie an der Art und Weise, wie darauf aufbauenden Entscheidungen der Nutzer umgesetzt werden.

Ziel der Änderung ist die Anpassung des Branchenstandards an die Anforderungen der Rechtsprechung und der europäischen Datenschutzbehörden. Das IAB möchte es deshalb den betroffenen Marktteilnehmern ermöglichen, über das Transparency & Consent Framework 2.2 diesen Vorgaben gerecht zu werden. Das TCF 2.2 tritt bereits am 16. Mai 2023 in Kraft – und die Umsetzungsfristen für betroffene Unternehmen sind extrem kurz.

Die wichtigste Neuerungen des TCF 2.2 sind:

  • Abschaffung der Rechtsgrundlage des berechtigten Interesses für die Personalisierung von Online-Werbung und -Inhalten: Unternehmen können nun nur noch auf der Grundlage einer wirksamen Einwilligung der Nutzer pseudonyme Daten verarbeiten, um individuelle Werbung und Inhalte auszuspielen.
  • erweiterte Informationen für Nutzer in Bezug auf die Verarbeitungszwecke: Die in der Einwilligungsabfrage enthaltenen Angaben zu den Zwecken, für die die erhobenen Daten genutzt werden können, wurden überarbeitet. Die Informationen sollen jetzt verständlicher sein und wurden dazu auch um konkrete Beispiele ergänzt.
  • erweiterte Informationen für Nutzer in Bezug auf die Datenempfänger: Zu den Empfängern der Daten der Nutzer werden zusätzliche Informationen bereitgestellt, nämlich:
    • konkret vom jeweiligen Datenempfänger erhobene Datenkategorien
    • Speicherfristen für die erhobenen Daten beim jeweiligen Datenempfänger
    • falls einschlägig (und noch zulässig): die berechtigten Interessen des Datenempfängers für die Datenverarbeitung
  • Transparenz über die Anzahl der Datenempfänger: In der Einwilligungsabfrage muss zukünftig die Gesamtzahl der Datenempfänger bereits auf der ersten Ebene offen gelegt werden.
  • neue Anforderungen für den Widerruf der Einwilligung durch die Nutzer: Über eine spezielle Schaltfläche muss es möglich sein, die Einwilligungsabfrage erneut aufzurufen und die Einwilligung zu widerrufen.

Die meisten Anbieter von Websites und Apps werden sich zur Umstellung auf das TCF 2.2 an den Anbieter ihrer Einwilligungsabfrage (auch als „Cookie-Banner“ oder Consent Management Platform (CMP) bezeichnet) wenden. Auf Datenempfänger kommen dagegen größere technische Umstellungen zu.

Falls Sie Fragen zur Umsetzung des TCF 2.2 haben, melden Sie sich gern direkt bei uns.

Wirksame Anonymisierung – oder doch nur Pseudonymisierung?

Geschrieben am von Dr. Frank Eickmeier

EU-Gericht urteilt zum Personenbezug bei verschlüsselten Daten

Personenbezogene Daten werden häufig pseudonymisiert verarbeitet, indem unmittelbar identifizierende Klardaten (zum Beispiel Namen) mit Kennungen oder Codes ersetzt werden. Die Stelle, die eine Pseudonymisierung vornimmt, behält aber in der Regel Mittel in der Hand, um die hinter den pseudonymen Kennungen stehenden Personen weiterhin zu identifizieren, sodass das Datenschutzrecht und die DSGVO auf diese Daten weiterhin unmittelbar anwendbar bleiben.

Wie ist jedoch der Fall zu bewerten, wenn diese verschlüsselten Daten an ein anderes Unternehmen weitergegeben werden? Genau diese Frage musste das Europäische Gericht („EuG“) kürzlich beantworten (Urteil vom 26. April 2023, Az. T-557/20). (Hinweis: Das EuG ist eine Vorinstanz zum Europäischen Gerichtshof („EuGH“) und mit diesem daher nicht zu verwechseln!)

Der Sachverhalt

Das Single Resolution Board („SRB“), das als EU-Institution die Abwicklung von Insolvenz im Finanzsektor begleitet, erfasste über ein Online-Formular persönliche Stellungnahmen und gab diese Daten an eine Beratungsfirma weiter, ohne die Betroffenen darüber zu informieren. Vor der Weitergabe ersetzte das SRB die Namen jedoch jeweils mit einem Code.

Der nach einer Beschwerde eingeschaltete Europäische Datenschutzbeauftragte („EDSB“) sah hierin eine Weitergabe von pseudonymisierten – und damit personenbezogenen – Daten der Betroffenen an einen Dritten. Entsprechend hätte das SRB die Betroffenen über die Datenweitergabe informieren müssen.

Der SRB führte hiergegen an, dass es sich bei den weitergegebenen Daten um anonymisierte Daten handeln würde. So habe der SRB die für die Reidentifizierung der Interessenten erforderlichen Daten nicht mit der Beratungsfirma geteilt. Außerdem stünde letzterer kein Recht zu, auf die beim SRB liegenden Informationen zuzugreifen, um die Interessenten hinter den Codes zu ermitteln.

Urteil: Die Perspektive des Datenempfängers muss berücksichtigt werden

Das EuG führte in seiner Entscheidung aus, dass es für die Frage, ob pseudonymisierte Daten, die an ein anderes Unternehmen übermittelt werden, als personenbezogene Daten nach der DSGVO einzustufen sind, auf die Sicht des Datenempfängers ankommt. Es muss insoweit geprüft werden, ob der Datenempfänger (zulässige) Mittel besitzt, die er vernünftigerweise einsetzen kann, um die betroffenen Personen zu identifizieren. Diese Prüfung hatte der EDSB in dem vorliegenden Verfahren jedoch unterlassen und es für ausreichend befunden, dass jedenfalls das SRB eine Identifizierung vornehmen konnte.

Einordnung für die Praxis

Das EuG setzt mit seinem Urteil die bekannte „Breyer“-Rechtsprechung des EuGH aus dem Jahr 2016 konsequent fort. Es deutet hiermit an: Wenn ein Datenempfänger tatsächlich nicht über zusätzliche Informationen verfügt, die ihm eine erneute Identifizierung der betroffenen Personen ermöglichen, und wenn ihm keine rechtlichen Mittel zur Verfügung stehen, um auf diese Informationen zuzugreifen, stellen die ihm übermittelten (pseudonymisierten) Daten keine personenbezogenen Daten dar. Die DSGVO ist für die Verarbeitung dieser Daten in der Konsequenz auch nicht anwendbar.

Auf den ersten Blick sind dies gute Nachrichten insbesondere für Unternehmen in der Werbebranche, die pseudonymisierte Daten für das Anzeigen von Werbung speichern und verwenden, wie zum Beispiel Data Management Plattformen.

Die Feststellungen im Urteil gelten jedoch nur unter dem Vorbehalt, dass Identifier in diesen Datensätzen nicht doch noch andere Identifikatoren vorhanden sind. In der Praxis sind solche vollverschlüsselten und damit anonymisierten Datensätze allerdings nur selten anzutreffen, da die Kombination der unterschiedlichen Datenkategorien in der Regel doch einen Rückschluss zu den betroffenen Personen erlauben. Die praktischen Auswirkungen des Urteils werden daher gering sein.

In Übrigen ist eine Berufung zum EuGH möglich und auch nicht unwahrscheinlich. Es bleibt daher abzuwarten, ob das Urteil des EuG vor dem Gerichtshof bestehen wird.

Frankreich: Die Nutzung von Google Analytics verstößt gegen die DSGVO

Geschrieben am von Dr. Frank Eickmeier

Die französische Datenschutzbehörde CNIL gab am 10. Februar bekannt, dass sie gegen einen ungenannten französischen Website-Betreiber eine Anordnung zur Einhaltung der DSGVO erlassen hat, nachdem sie festgestellt hat, dass die Übermittlung personenbezogener Daten in die USA durch die Nutzung von Google Analytics nicht mit Art. 44 DSGVO vereinbar ist. Dies geschah im Lichte des Urteils des Europäischen Gerichtshofs in Sachen „Schrems II“ und im Anschluss an eine von None of your business („NOYB“) an die CNIL gerichtete Beschwerde.

Hintergrund des Rechtsstreits

Am 17. August 2020 reichte NOYB 101 Beschwerden gegen EU-Webseitenbetreiber ein, die weiterhin Daten von Webseitenbesuchern an Google LLC und Facebook Inc. (jetzt Meta Platforms, Inc.) übermitteln und damit angeblich trotz des Urteils in der Rechtssache Schrems II weiterhin gegen die Datenschutz-Grundverordnung verstoßen. Am 13. Januar 2022 veröffentlichte NOYB bekanntlich die erste Entscheidung, die nach der Einreichung seiner Beschwerden erging – eine Entscheidung der österreichischen Datenschutzbehörde DSB, in der festgestellt wurde, dass die Verwendung von Google Analytics durch einen nicht genannten Website-Betreiber gegen die DSGVO verstößt. Die vorliegende Verfügung der CNIL ist die zweite Entscheidung, die von einer EU-Datenschutzbehörde als Reaktion auf die 101 Beschwerden von NOYB veröffentlicht wurde.

Zur weiteren Erläuterung führte die CNIL aus, dass Google Analytics, um die Anzahl der Besuche von Internetnutzern zu messen, jedem Besucher eine eindeutige Kennung zuweist, die, wie die CNIL hervorhob, ein personenbezogenes Datum darstelle, das anschließend zusammen mit weiteren dazugehörigen Daten in die USA übermittelt werde, was somit unter Kapitel V der Datenschutz-Grundverordnung falle. Darüber hinaus erklärte die CNIL, dass sie mit ihren europäischen Kollegen zusammengearbeitet habe, um die Rechtmäßigkeit der Bedingungen zu bewerten, unter denen die durch diesen Dienst gesammelten Daten an die USA übermittelt werden.

Feststellungen der CNIL

Die CNIL hob insbesondere hervor, dass nach der DSGVO die Übermittlung personenbezogener Daten in die USA nur dann erfolgen darf, wenn angemessene Garantien zur Gewährleistung der Datensicherheit gegeben sind und stellte fest, dass dies bei der Verwendung von Google Analytics durch den Website-Betreiber nicht der Fall war. Konkret wies die CNIL darauf hin, dass Google zwar zusätzliche Maßnahmen zur Regelung der Datenübermittlung im Zusammenhang mit der Google-Analytics-Funktionalität ergriffen habe, diese jedoch nicht ausreichten, um die Zugänglichkeit dieser Daten für US-Geheimdienste auszuschließen. Folglich stellte die CNIL fest, dass die Verwendung von Google Analytics in diesem Fall bedeutet, dass die Daten von Internetnutzern in die USA übermittelt werden, was einen Verstoß gegen die Art. 44 ff. DSGVO darstelle.

Deshalb wies die CNIL den Betreiber der Website an, seine Verarbeitung mit der DSGVO in Einklang zu bringen, gegebenenfalls durch Einstellung der Verwendung von Google Analytics (unter den derzeitigen Bedingungen) oder durch Verwendung eines Tools, das keine Übermittlung personenbezogener Daten in Länder außerhalb der EU beinhaltet. Darüber hinaus stellte die CNIL fest, dass der Website-Betreiber einen Monat Zeit habe, um der Richtlinie nachzukommen.

Darüber hinaus wies die CNIL darauf hin, dass sich die laufenden Untersuchungen der CNIL und ihrer EU-Kollegen auch auf andere Tools erstrecken, die von Websites verwendet werden, die zur Übermittlung von Daten von EU-Internetnutzern in die USA führen, und betonte, dass in naher Zukunft diesbezügliche Korrekturmaßnahmen ergriffen werden könnten.

Kippt das TCF 2.0? Neues zur Auseinandersetzung mit der belgischen Aufsichtsbehörde

Geschrieben am von Dr. Frank Eickmeier

Vor etwa einem Jahr hat die belgische Datenschutzbehörde (APD) ihre Untersuchungen gegen das Interactive Advertising Bureau (IAB) Europe und deren 2018 ins Leben gerufene und 2019 als 2.0 Version überarbeitete „Transparency And Consent Framework“ (kurz TCF 2.0) begonnen. Dabei handelt es sich um einen Standard, der die Digitalwerbe-Branche bei der Einhaltung der datenschutzrechtlichen Vorschriften im Rahmen der eigenen Datenverarbeitungsprozesse unterstützen soll, insbesondere bei der Einholung von Einwilligungen für Online-Tracking durch Dritte, so genannte Vendoren.

Was ist der aktuelle Stand?

Das IAB Europe hat in einer Mitteilung am 5. November 2021 mitgeteilt, dass die belgische Datenschutzbehörde einen Entscheidungsentwurf veröffentlichen will, der die Untersuchung zur Rolle von IAB Europe im Rahmen des TCF abschließt. Dieses Verfahren war von einer Gruppe von Beschwerdeführern, koordiniert vom Irish Council for Civil Liberties (ICCL), gegen IAB Europe und dessen Einwilligungs-Standard TCF 2.0 eingeleitet worden.

In diesem Entwurf werden wohl Verstöße der IAB Europe gegen die DSGVO festgestellt. Die zentralen Punkte des Entwurfes sind offenbar die Folgenden:

  1. Die APD geht davon aus, dass es sich bei den „Consent Strings“ um personenbezogene Daten handelt. Bei den „Consent Strings“ handelt es sich um digitale Signale, die auf Websites erstellt werden, um die Entscheidungen der Betroffenen über die Verarbeitung ihrer Daten für digitale Werbung, Inhalte und Messungen zu erfassen. Der ICCL beschreibt es in seiner Pressemitteilung vom 5. November als „Identifizierungscode, der über eine Person erstellt wird, basierend darauf, welche Apps sie nutzt und welche Websites sie besucht, und was sie in Zustimmungs-Popups anklickt“.
  2. IAB Europe ist in diesem Rahmen als für die Datenverarbeitung Verantwortlicher anzusehen.
  3. IAB Europe wird im spezifischen Kontext von OpenRTB vermutlich als mit vielen anderen Online-Werbetreibenden gemeinsam für die Verarbeitung Verantwortlicher für Consent Strings angesehen. Beim OpenRTB (Real-Time-Bidding) handelt es sich um ein tracking-basiertes Anzeigen-System, bei dem Werbetreibende bei der Auslieferung von Werbemitteln automatisiert und in Echtzeit Werbeeinblendungen auf Websites der Publisher kaufen können.

IAB Europe sah sich bisher nicht als Verantwortlicher

Bisher ist das IAB Europe laut eigener Aussage auf Grundlage der bisherigen Leitlinien anderer Datenschutzbehörden und der Tatsache, dass das IAB Europe einzelne Consent Strings weder verarbeitet, besitzt oder sonst über deren Verwendung entscheidet, sowie auf Grundlage der bisherigen Rechtsprechung davon ausgegangen, nicht als für die Datenverarbeitung im Kontext des TCF Verantwortlicher zu gelten. Etwaige Pflichten eines Verantwortlichen hat das IAB Europe dementsprechend bisher nicht erfüllt.

Die Entscheidung der belgischen Aufsichtsbehörde ist daher durchaus überraschend, auch weil das TCF in Zusammenarbeit mit Datenschutzbehörden erarbeitet wurde. Dies soll laut Aussage des IAB jetzt erneut geschehen um das TCF datenschutzkonform anzupassen und den Anforderungen der DSGVO zu entsprechen.

Mögliche Folgen der Entscheidung für die Onlinemarketing-Branche

Endgültig werden wir die Auswirkungen dieser Entscheidung erst beantworten können, wenn der Entscheidungsentwurf veröffentlicht wurde und andere Aufsichtsbehörden Stellung dazu beziehen. Das kann noch etwas dauern, da der Entwurf zunächst an andere Datenschutzbehörden weitergeleitet wird und die belgische Datenschutzbehörde davon ausgehend eine endgültige Entscheidung treffen oder aber die Angelegenheit an den Europäischen Datenschutzausschuss (EDPB) zur verbindlichen Entscheidung weiterleiten wird.

Das IAB ist insofern zuversichtlich, dass die festgestellten Verstöße innerhalb von sechs Monaten unter Zusammenarbeit von IAB, der belgischen Aufsichtsbehörde und den anderen Aufsichtsbehörden behoben werden können. So steht es angeblich auch im besagten Entscheidungsentwurf. Einen anderen Ton schlägt hingegen der ICCL an, der in seiner Pressemitteilung jubelt „We have won“ und den Entscheidungsentwurf so bewertet, dass festgestellt wurde, dass IAB Europe und dessen TCF hundert Millionen Europäern ihrer Grundrechte beraubt habe und das TCF rechtswidrig sei.

Was lässt sich bereits jetzt sagen?

Für die Frage, ob das IAB Europe tatsächlich als für die Verarbeitung Verantwortlicher angesehen werden kann, ist maßgeblich, wo die Grenze gezogen wird, ab wann der Einfluss auf die Datenverarbeitung bereits so groß ist, dass von einer Verantwortlichkeit gesprochen werden kann. Dass eine hauptsächlich verwaltende Rolle, in der lediglich die Richtlinien festgelegt und eine Liste der teilnehmenden Vendoren verwaltet werden, aber in keiner Weise eine Verarbeitung spezifischer TC Strings durch IAB erfolgt, dafür ausreichen soll, kann angezweifelt werden. Eine Argumentation in die andere Richtung ist zwar denkbar, würde jedoch dazu führen, dass die Schwelle, ab wann eine datenverarbeitende Stelle bereits als Verantwortlicher gilt sehr niedrig angesetzt wird. Die Konsequenz davon wäre, dass viele datenschutzrechtliche Rollenverteilungen und Beziehungen zwischen Verantwortlichen und (vermeintlichen) Auftragsverarbeitern neu überdacht werden müssten. Die Entscheidung der belgischen Aufsichtsbehörde, IAB Europe als für die Verarbeitung Verantwortlicher einzustufen, ist insofern überraschend und könnte, sollte sie Bestand haben, richtungsweisend in der Frage der Abgrenzung von Verantwortlicher, gemeinsam Verantwortliche und Auftragsverarbeiter sein.

In letzter Zeit ist jedenfalls ein Trend zu beobachten, dass zunehmend möglichst viele Datenverarbeitungsprozesse unter den Hut der gemeinsamen Verantwortlichkeit gebracht und der Stempel des Mit-Verantwortlichen auf immer mehr Anwendungsfälle ausgeweitet werden soll. Das wird nicht erst seit der FashionID-Entscheidung des Europäischen Gerichtshofs deutlich. Die Entscheidung der belgischen Aufsichtsbehörde könnte sich insofern in diese Entwicklung einreihen.

Wir werden diese Entwicklung für Sie weiter beobachten. Sobald der Entwurf im Wortlaut veröffentlicht wurde und andere Aufsichtsbehörden dazu Stellung bezogen haben, werden wir die Rechtslage für Sie erneut näher beleuchten.

Bis dahin stehen wir Ihnen selbstverständlich in allen Fragen diesbezüglich zur Verfügung und beraten Sie gern.

Neues aus Frankreich – die CNIL hat (schon wieder) ein Rundschreiben versandt

Geschrieben am von Dr. Frank Eickmeier

Die CNIL (die französische Datenschutzbehörde) hat am 4. Februar 2021 angekündigt, dass sie Briefe und E-Mails an etwa 300 Organisationen, sowohl private als auch öffentliche, verschickt hat, um sie an die neuen Cookie-Regeln und die Notwendigkeit zu erinnern, Websites und Apps bis zum 31. März 2021 auf die Einhaltung dieser Regeln zu überprüfen.

Was hatte die CNIL gesagt ?

Am 1. Oktober 2020 veröffentlichte die CNIL eine überarbeitete Version ihrer Richtlinien zu Cookies und ähnlichen Technologien (die „Richtlinien“), ihre endgültigen Empfehlungen zu den praktischen Modalitäten für die Einholung der Zustimmung der Nutzer zur Speicherung oder zum Auslesen nicht wesentlicher Cookies und ähnlicher Technologien auf ihren Geräten (die „Empfehlungen“) sowie eine Reihe von Fragen und Antworten zu den Empfehlungen. Auch wir hatten auf diesem Blog berichtet.  Die CNIL hatte beschlossen, eine Übergangsfrist von sechs Monaten für die Einhaltung der Empfehlungen einzuräumen (d. h. bis zum 31. März 2021) und kündigte an, dass sie nach dieser Übergangsfrist Inspektionen zur Durchsetzung der Empfehlungen durchführen wird.

Die CNIL hatte im Rahmen ihrer Untersuchungen festgestellt, dass eine Vielzahl von Unternehmen  diese Vorgaben die CNIL immer noch nicht einhält. Sie machte daher in Rundschreiben auf Folgendes aufmerksam:

Das Cookie-Banner muss zum einen detailliert angeben, für welche Zwecke Cookies auf den Geräten der Nutzer gesetzt werden. Allgemeine Informationen wie „diese Seite verwendet Cookies“ oder „Cookies werden verwendet, um die Effizienz der Dienste, die wir Ihnen anbieten, zu verbessern“ sind nicht ausreichend.

Die Benutzer müssen zum anderen die Möglichkeit haben, Cookies mit der gleichen Leichtigkeit zu akzeptieren oder abzulehnen. Wenn der Cookie-Banner eine Schaltfläche „Alle akzeptieren“ enthält, müssen Webbetreiber eine Schaltfläche „Alle ablehnen“ auf derselben Ebene und im selben Format wie die Schaltfläche „Alle akzeptieren“ hinzufügen. Alternativ können Web-Betreiber den Nutzern die Möglichkeit geben, Cookies abzulehnen, indem sie den Cookie-Banner schließen, aber dies muss den Nutzern deutlich gemacht werden, z. B. durch die Aufnahme eines Links „Fortfahren ohne zu akzeptieren“ in den Cookie-Banner. Die CNIL erinnerte Organisationen daran, dass das bloße Vorhandensein von „Alle akzeptieren“- und „Cookie-Einstellungen“-Schaltflächen nicht ausreichend ist.

Die CNIL analysiert in regelmäßigen Abständen die Cookie-Praktiken der beliebtesten 1.000 Websites in Frankreich. Basierend auf den Ergebnissen ihrer bisherigen Analyse hat die CNIL beschlossen, Briefe an etwa 100 Betreiber der beliebtesten Websites in Frankreich zu senden, die Cookies von mehr als sechs Drittanbieter-Domains setzen, ohne die vorherige Zustimmung der Nutzer einzuholen. Die CNIL erinnerte die Unternehmen an die Notwendigkeit, ihre Cookie-Zustimmungsschnittstellen für die Verwendung von Tracking-Technologien auf ihren Websites oder Apps anzupassen, z. B. wenn sie Inhalte aus externen Quellen wie Social-Media-Plug-ins hinzufügen.

Was sagt die CNIL zu Analyse-Cookies ?

Die CNIL erinnerte  außerdem daran, dass Analytics-Cookies von der Einwilligung ausgenommen werden können, wenn

  • die Cookies nur zur Erstellung anonymer Statistiken verwendet werden,
  • die für das ordnungsgemäße Funktionieren des Dienstes unbedingt erforderlich sind und
  • ausschließlich für den Betreiber der betreffenden Website oder App bestimmt sind.

In den kommenden Wochen wird die CNIL weitere Informationen zu den Analyselösungen veröffentlichen, die von der Einwilligung ausgenommen sind.