Um dem gesteigerten Interesse des Auftragsverarbeiters an einer eigenen Verarbeitung personenbezogener Daten – wie zur Produktverbesserungen oder Entwicklung neuer Dienstleistungen – zu begegnen, hat die französische Datenschutzbehörde CNIL im Januar Richtlinien veröffentlicht, nach denen eine solche Weiterverarbeitung rechtmäßig erfolgen kann.

Nach Ansicht der CNIL kann der Verantwortliche dem Auftragsverarbeiter unter bestimmten Voraussetzungen die Weiterverarbeitung für eigene Zwecke erlauben. Dafür muss der Verantwortliche im Rahmen eines „Kompatibilitätstests“ für jede konkrete Datenweiterverarbeitung überprüfen, ob die Weiterverarbeitung mit dem Zweck vereinbar ist, für den die Daten ursprünglich erhoben wurden. Die Erlaubnis muss analog zur Auftragsverarbeitungsvereinbarung schriftlich erfolgen. Die Informationspflicht hinsichtlich der geplanten Weiterverarbeitung trifft den ursprünglichen Verantwortlichen, der diese aber auch an den Auftragsverarbeiter (und nunmehr „Verantwortlicher für die Weiterverarbeitung“) delegieren kann. Letztlich wird dieser für die Weiterverarbeitung der Daten selbst zum Verantwortlichen und hat die Einhaltung der DSGVO für diese Verarbeitung sicherzustellen.

Die CNIL stützt die Erlaubnis der Weiterverarbeitung hauptsächlich auf die selten zitierte Regelung zur so genannten Zweckänderung in Art. 6 Abs. 4 DSGVO. Als Begründung knüpft die CNIL hier lediglich an den Wortlaut der Norm an, der eine Weiterverarbeitung von Daten grundsätzlich nach einem „Kompatibilitätstest“ gestattet. Im Übrigen verlangt sie die Einhaltung der weiteren Normen zur Auftragsdatenverarbeitung wie Textform der Vereinbarung nach Art. 28 Abs. 9 DSGVO, aber auch die Einhaltung der Informationspflicht gegenüber den Betroffenen nach den Artt. 13 f. DSGVO.

Offen bleibt, wie die CNIL den hier entstehenden Konflikt mit der Systematik der DSGVO löst, die eine Anwendung des Art. 6 Abs. 4 DSGVO auf Auftragsverarbeiter eigentlich nicht vorsieht. Folgt man den Richtlinien, so ist das Endergebnis ein ehemaliger Auftragsverarbeiter, der zwar mit Erlaubnis, aber dennoch weisungsfrei als neuer Verantwortlicher gegenüber den Betroffenen auftritt.

Das verstößt einerseits gegen den Grundsatz des Art. 28 Abs. 3 S. 2 DSGVO, nachdem Auftragsverarbeiter nur unter Aufsicht und auf Weisung tätig werden dürfen und verwundert andererseits und insbesondere im Hinblick auf Art. 28 Abs. 10 DSGVO. Hiernach gilt es wörtlich als „Verstoß gegen die Verordnung“, wenn ein Auftragsverarbeiter die Zwecke und Mittel der Verarbeitung selbst bestimmt.

Dem kann eigentlich auch kaum entgegengehalten werden, dass der ursprüngliche Verantwortliche hierfür seine Erlaubnis erteilt hat und der neue Verantwortliche (Ex-Auftragsverarbeiter) im Rahmen einer Weisung handelt. Hierbei handelt es sich um eine Vertragsgestaltung, die dem Auftragsverarbeiter Rechte einräumt, die in der DSGVO so nicht vorgesehen wurden. Die eigentliche Folge wäre demnach ein Verstoß gegen die DSGVO.

Es bleibt abzuwarten, wie weitere europäische Aufsichtsbehörden auf diesen Lösungsvorschlag der CNIL reagieren. Jedenfalls besteht ein großes und wohl auch berechtigtes Interesse der Auftragsverarbeiter an einer Verarbeitung personenbezogener Daten zum eigenen Zweck – im Hinblick auf die eher schwache dogmatische Begründung sind die Richtlinien der CNIL wohl zunächst mit etwas Vorsicht zu genießen.

Bereits kurz vor Weihnachten hat es sich die deutsche Datenschutzkonferenz (DSK) nicht nehmen lassen, erneut für ordentlich Wirbel im Datenschutz zu sorgen und „beschenkte“ uns mit einer neuen „Orientierungshilfe für Anbieter*innen von Telemedien“, die sich mit der Rechtslage nach der Einführung des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) am 1. Dezember 2021 befasst.

Wir wollen Ihnen das für die Onlinemarketing-Branche Wesentliche näherbringen, insbesondere die Ausführungen der DSK zum Einsatz von Cookies und anderen Technologien, speziell zur Frage des Einwilligungsmanagements.

Wichtig: Bei der Orientierungshilfe handelt es sich bisher nur um einen Entwurf. Es wird noch ein öffentliches Konsultationsverfahren stattfinden, nach dem sich der Text noch ändern kann. Nähere Informationen dazu sollen laut DSK noch in diesem Monat folgen.

Ebenfalls erwähnenswert ist, dass Bezahlmodelle (auch „Pur-Modelle“, wie sie zum Beispiel bei Spiegel Online oder mittlerweile auch auf bild.de zum Einsatz kommen), von der Orientierungshilfe ausdrücklich nicht behandelt werden.

Einwilligungen nach TTDSG und DSGVO können zusammen eingeholt werden

Wenig überraschend: Die nach TTDSG und DSGVO erforderlichen Tracking-Einwilligungen können nach Ansicht der DSK durch ein und dieselbe Handlung zusammen eingeholt werden. Das setzt jedoch voraus, dass den Nutzern deutlich gemacht wird, dass sich ihre Einwilligungserklärung sowohl auf Speicherung auf und Auswertung von Informationen von der Endeinrichtung als auch auf die darauf folgende Datenverarbeitung bezieht. Außerdem ist über beide Rechtsgrundlagen se­parat zu informieren. Das bedeutet: In den Einwilligungsbannern sind zukünftig noch mehr und deutlichere Informationen bereitzustellen.

Mehr Informationen über den Einsatz von Cookies und ähnlichen Technologien

Die Nutzer sollen über das Einwilligungsbanner außerdem transparent und nachvollziehbar darüber informiert werden, wer in welcher Form zu welchem Zweck für wie lange auf seine Endeinrichtung zugreift und wer die Informationen auslesen kann. Ebenso muss der Nutzer erfahren, in­wieweit die ausgelesenen Informationen für weitere Datenverarbeitungszwecke verarbeitet werden. Es reicht nicht aus, nur vage über die Zwecke zu informieren (wie zum Beispiel „Marketingzwecke“ oder „Verbesserung der Nutzererfahrung“).

Zwar können entsprechende Informationen auch weiterhin auf einer zweiten Ebene des Einwil­li­gungsbanners erfolgen, wenn jedoch auf der ersten Ebene die Möglichkeit besteht, in verschie­dene Zwecke einzuwilligen, sollen Sie auch auf dieser Ebene hinreichend informieren. Wie das praktikabel und übersichtlich umzusetzen sein soll, lässt die DSK offen.

Wie wichtig der DSK die informierte Einwilligung des Endnutzers ist, wird auch in den weiteren Ausführungen deutlich. So stellt die DSK klar, dass ein „OK“-Button in keinem Fall eine unmissverständliche Willenserklärung im Sinne einer Einwilligung darstellt. Selbst „akzeptieren“ oder „ich stimme zu“ ist nur dann für eine wirksame Einwilligung ausreichend, sofern aus dem Einwilligungstext deutlich hervorgeht, wozu eingewilligt wird.

Es müssen zwei gleichwertige Handlungsmöglichkeiten angeboten werden

Das Einwilligungsbanner soll so gestaltet sein, dass dem Endnutzer zwei gleichwertige Handlungs­möglichkeiten mit demselben Kommunikationseffekt offenstehen. Kann der Nutzer eine freiwillige und informierte Entscheidung nur mit einem Mehraufwand an Klicks und/oder Aufmerk­samkeit treffen, steht das nach Ansicht der DSK einer wirksamen Einwilligung entgegen

Zwei gleichwertige Handlungsmöglichkeiten sind daher regelmäßig nur dann anzunehmen, wenn bereits auf der ersten Ebene der Einwilligungsplattform eine „alles akzeptieren“ und eine „ablehnen“- oder „jetzt nicht akzeptieren“-Schaltfläche als Optionen angeboten werden.

Die DSK fordert darüber hinaus ein Einwilligungsmanagement, dass dem Nutzer granulare Teil-Einwilligungen nach dem Vorbild des IAB TCF 2.0 ermöglicht. Gleiches gilt für den Widerruf. Auch dieser muss auf die gleiche Art und Weise möglich sein, wie die Erteilung der Einwilligung (zum Beispiel per Schaltfläche auf der Website).

Analytics-Cookies als „unbedingt erforderlich“?

Für die Ausnahme für „unbedingt erforderliche“ Cookies nach § 25 Abs. 2 Nr. 2 TTDSG muss laut der DSK zwischen der Bereitstellung eines Basisdienstes, zusätzlichen Funktionen und allgemeinen Funktionen unterschieden werden. Eine rein wirtschaftliche Erforderlichkeit ist nicht ausreichend.

Die DSK möchte sich aus diversen Gründen ausdrücklich nicht dazu äußern, ob Analyse-Cookies, die der Reichweitenmessung dienen (sowie andere spezielle Kategorien von Cookies), unter bestimmten Bedingungen als „unbedingt erforderlich“ zu klassifizieren und damit nach § 25 Abs. 2 Nr. 2 TTDSG von der Einwilligungspflicht ausgenommen sind. Dies wird damit begründet, wdass es zum Beispiel für den Fall der Analytics-Cookies immer vor allem auf den konkreten Zweck, für den die Reichweitenmessung im Einzelfall eingesetzt wird ankommt.

Hier folgt die DSK also nicht dem Vorbild anderer Aufsichtsbehörden, wie zum Beispiel der französischen Aufsichtsbehörde CNIL, die den Standpunkt vertritt, dass Analytics-Cookies von der Einwilligung ausgenommen werden können, wenn

• die Cookies nur zur Erstellung anonymer Statistiken verwendet werden,
• die für das ordnungsgemäße Funktionieren des Dienstes unbedingt erforderlich und
• ausschließlich für den Betreiber der betreffenden Website oder App bestimmt sind.

Die DSK gibt uns nur an die Hand, dass für die Frage, inwiefern Cookies „unbedingt erforderlich“ sind, neben dem „ob“ auch noch zeitliche, inhaltliche sowie personelle Dimensionen zu berücksichtigen sind und versorgt uns mit maßgeblichen Kriterien:

• Zeitpunkt der Speicherung: Der Auslese- und Speichervorgang darf erst dann beginnen, wenn die konkrete Funktion tatsächlich in Anspruch genommen wird.
• Inhalt der Information: Die Informationen, welche gespeichert und ausgelesen werden, müssen für die Funktion unbedingt erforderlich sein.
• Dauer der Speicherung der Information: Die Informationen dürfen nur so lange gespeichert und ausgelesen werden, wie unbedingt erforderlich.
• Auslesbarkeit der Informationen: Es muss technisch sichergestellt werden, dass die Informationen nur vom Anbieter ausgelesen werden können; bei Third-Party-Cookies, dass die Informationen nur für die vom Nutzer aufgerufene Website verwendet werden können.

Ablehnung des „Axel-Springer-Modells“ für internationale Datentransfers

Zum Schluss äußert sich die DSK auch dazu, dass nach ihrer Ansicht personenbezogene Daten, die im Zusammenhang mit der Nachverfolgung von Nutzerverhalten auf Websites oder in Apps verarbeitet werden, nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO an Datenempfänger außerhalb der EU übermittelt werden können. Denn Umfang und Regelmäßigkeit solcher Datentransfers widersprächen regelmäßig dem Charakter des Art. 49 DSGVO als Ausnahmevorschrift.

Die DSK erteilt damit dem „Axel-Springer-Modell“ eine Absage. Ob sich diese Ansicht durchsetzen wird, insbesondere ob sie mit dem Wortlaut des Art. 49 Abs. 1 S. 2 DSGVO zu vereinbaren ist, kann zumindest angezweifelt werden.

Was ist nun zu tun?

Erst einmal können das Konsultationsverfahren und die endgültige Version der Orientierungshilfe abgewartet werden – auch wenn uns bereits aufsichtsbehördliche Prüfverfahren bekannt sind, die offenbar auf der Grundlage der hier beschriebenen Positionen angestoßen wurden.

Wie bereits erwähnt ist auch zu berücksichtigen, dass die Orientierungshilfe selbst keinen Gesetzescharakter hat. Es handelt sich nur um die unverbindliche Stellungnahme der Aufsichtsbehörden. Es bleibt insbesondere abzuwarten, wie sich die Gerichte dazu positionieren. Zu recht wird bei vielen Positionen der DSK seitens der Berufsverbände der Einwand erhoben, dass sich eine derart strenge Auslegung, wie sie in der Orientierungshilfe vorgenommen wurde, keineswegs aus dem Wortlaut der DSGVO ergäbe.

Viele Anforderungen, wie zum Beispiel gleichwertige Gestaltung der einzelnen Schaltflächen (insbesondere der Verzicht auf übermäßiges Nudging), keine voreingestellten Kästchen oder Opt-Outs oder die Möglichkeit, nicht notwendige Cookies einfach ablehnen zu können, wurden zudem bereits seit geraumer Zeit empfohlen und dürften daher für Sie nicht neu sein und keine Änderungen nötig machen.

Die DSK stellt in der neuen Orientierungshilfe jeodch teilweise noch einmal strengere Anforderungen an das Einwilligungsmanagement. Das TTDSG dient hier nur als Anlass – Unternehmen sollen dazu bewegt werden, den Umfang der zur Verfügung gestellten Informationen und die im Einwil­li­gungsbanner angezeigten Schaltflächen anzupassen.

Wollen Sie einem Verfahren durch die Aufsichtsbehörden entgehen, raten wir daher, Ihr Einwilligungsmanagement entsprechend unserer Ausführungen zu überprüfen und gegebenenfalls anzupassen.

Als ein mahnendes Beispiel können die vor wenigen Tagen Google und Facebook in Frankreich auferlegten Bußgelder in Höhe von 150 Mio. und 60 Mio. Euro dienen, weil diese ihren Nutzern die Ablehnung von Cookies nicht ebenso einfach machten wie die Einwilligung. Wir werden für Sie die weitere Entwicklung beobachten und Sie bei Bedarf informieren. Bei allen weiteren notwendigen Schritten, insbesondere der rechtskonformen Gestaltung Ihres Online-Angebots, beraten wir Sie wie immer gern.

Das Verfahren der belgischen Datenschutzbehörde APD gegen den Onlinemarketing-Branchenverband IAB Europe um das seit 2020 genutzte neue „Transparency & Consent Framework“ (TCF 2.0) ist um ein Kapitel reicher (wir berichteten): Anfang Februar hat die APD nach Anhörung der anderen europäischen Datenschutzbehörden Ihre Entscheidung zu den Untersuchungen gegen das IAB Europe veröffentlicht. Gegenstand dieses Verfahrens war die Frage der Konformität des TCF 2.0 mit der Datenschutzgrundverordnung. Dieser von der gesamten Onlinemarketing-Branche genutzte Standard soll es Unternehmen ermöglichen, Nutzerdaten im Internet unter anderem zu Werbezwecken datenschutzkonform zu erheben und zu nutzen.

Was ist das TCF 2.0?

Das TCF 2.0 standardisiert die Erfassung von Nutzerentscheidungen, die auf Websites und in Apps über eine Consent Management Platform (CMP, auch als „Cookie-Banner“ bezeichnet) abgefragt werden. Diese Nutzerentscheidungen werden kodiert und in einem „TC-String“ gespeichert, der an die beteiligten Unternehmen weitergegeben wird, damit diese wissen, inwieweit der Nutzer eine Einwilligung zur Verarbeitung seiner Daten zu bestimmten Zwecken gegeben beziehungsweise ob er dieser widersprochen hat.

Die CMP speichert dabei auch ein Cookie auf dem Gerät des Nutzers. Im Zusammenhang mit dem TC-String ist der Nutzer dadurch identifizierbar und seine Entscheidung kann von teilnehmenden Unternehmen berücksichtigt werden. Das TCF 2.0 spielt eine zentrale Rolle in der Architektur des heutigen Onlinemarketings, da es die Entscheidung der Nutzer in Bezug auf einzelne Anbieter und verschiedene Verarbeitungszwecke wie die Nutzung von individuellen Nutzerprofilen zu Werbezwecken zum Ausdruck bringt.

Was hat die belgische Aufsichtsbehörde entschieden?

Die jetzt vorliegende Entscheidung besagt, dass das IAB Europe bei der Bereitstellung des TCF 2.0 in mehrfacher hinsicht gegen die DSGVO verstößt, was grundsätzliche Fragen für die weitere Entwicklung des Onlinemarketings in Europa aufwirft.

Zunächst stellte die APD als Ausgangspunkt fest, dass das IAB Europe in Bezug auf die Erfassung der Einwilligungen und Widersprüche der Nutzer durch den TC-String als für die Verarbeitung gemeinsamer Verantwortlicher (joint controller) anzusehen ist – gerade dieser Punkt der Entscheidung ist übrigens in höchstem Maße zweifelhaft. Davon ausgehend soll das TCF 2.0 in folgender Weise gegen die DSGVO verstoßen:

1. unwirksame Einwilligungen, kein ausreichendes berechtigtes Interesse: Das TCF 2.0 hole zum einen keine wirksamen Einwilligungen ein und berufe sich daneben auf ein berechtigtes Interesse, das aufgrund des hohen Risikos, das von Tracking-basierter „Real-Time Bidding“-Werbung ausgehe, nicht zulässig sei. Hier überwögen die berechtigten Interessen der Betroffenen.
2. mangelnde Information der Nutzer: Die Informationen, die den Nutzern über die CMP zur Verfügung gestellt werden, seien zu allgemein und vage, um es den Betroffenen zu ermöglichen, die Art und den Umfang der Verarbeitung ihrer Daten zu verstehen, insbesondere angesichts der Komplexität des TCF 2.0.
3. keine ausreichende Datensicherheit: Das TCF 2.0 treffe unter anderem keine ausreichenden organisatorischen und technischen Maßnahmen, gewährleiste den Betroffenen keine wirksame Ausübung ihrer Rechte und stelle die Einhaltung der Nutzerentscheidungen nicht ausreichend sicher.
4. Verletzung von Dokumentationspflichten:Schließlich habe das IAB Europe seine Dokumentationspflichten als Verantwortlicher nicht erfüllt, wie ein Verzeichnis der Verarbeitungstätigkeiten zu führen, einen Datenschutzbeauftragten zu benennen und eine Datenschutzfolgenabschätzung durchzuführen.

Was muss das IAB Europe jetzt tun?

Die belgische Aufsichtsbehörde hat dem IAB Europe außerdem ein Bußgeld von 250.000 Euro sowie Handlungspflichten auferlegt, die darauf abzielen, die aktuelle Version des TCF 2.0 in Einklang mit der DSGVO zu bringen. Diese umfassen (unter anderem): 

• die Sicherstellung einer gültigen Rechtsgrundlage (also einer wirksamen Einwilligung) für die Verarbeitung und Weitergabe von Daten zur Nutzerentscheidung im Rahmen des TCF 2.0 sowie das Verbot des berechtigten Interesses als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die an der TCF teilnehmenden Organisationen;
• die strenge(re) Überprüfung der teilnehmenden Unternehmen, um sicherzustellen, dass sie die Anforderungen der DSGVO erfüllen.

Es ist also davon auszugehen, dass das IAB Europe in den nächsten Monaten eine überarbeitete Fassung seines Branchenstandards vorlegen und der belgischen Aufsichtsbehörde zur Prüfung vorlegen wird – also quasi ein „TCF 2.1“.

Was bedeutet die Entscheidung für die Onlinemarketing-Branche?

Zunächst ist festzuhalten, dass sich die Entscheidung der APD gegen die konkrete derzeitige rechtliche Ausgestaltung des TCF 2.0 richtet und nicht gegen das dahinter liegende Prinzip (Teilnahme von Vendoren am OpenRTB-Verfahren). Außerdem richtet sich der Bescheid zunächst nur gegen das IAB Europe selbst und nicht gegen die das TCF 2.0 nutzenden Publisher und Marketing-Unternehmen (Vendoren). Für die Onlinemarketing-Branche sind mittelfristig zwei wesentliche Entwicklungen zu erwarten:

1. Noch mehr Informationen für Nutzer: Das TCF 2.0 wird nun dergestalt überarbeitet werden müssen, dass die Informationen, die den betroffenen Personen über die CMP bereitgestellt werden, detaillierter und ausführlicher über Art und Umfang der Datenerhebung und -verarbeitung durch die am TCF 2.0 beteiligten Unternehmen aufklären, bevor die Nutzer eine Einwilligungsentscheidung treffen.
2. Einwilligung als einzige Rechtsgrundlage: Eine weitere Konsequenz dieser Entscheidung – sollte sie Bestand haben – wäre, dass sich Unternehmen zukünftig nur noch schwer auf ein „berechtigtes Interesse“ als Rechtsgrundlage für die Datenverarbeitung berufen können. Einzig mögliche Rechtsgrundlage wäre dann nur noch die Einwilligung der Betroffenen. Inwieweit diese pauschale Absage an ein berechtigtes Interesse als Rechtsgrundlage wirklich mit der DSGVO vereinbar ist, kann durchaus bestritten werden.

Die weiteren Sanktionen und Maßnahmen (Verzeichnis der Verarbeitungstätigkeiten, Bestellung eines Datenschutzbeauftragten und Durchführung eines DPIA) betreffen ausschließlich das IAB Europe als für die Verarbeitung Verantwortlichen und können bei der Bewertung der Auswirkung der Entscheidung getrost ausgeblendet werden.

Was ist jetzt zu tun?

Nach strenger Lesart der Auffassung der belgischen Aufsichtsbehörde verstößt die derzeitige Verarbeitung von Nutzerdaten nach dem TCF 2.0 gegen die DSGVO, und zwar insbesondere, weil keine wirksamen Einwilligungen eingeholt werden. Da das IAB Europe selbst keine Kontrolle über die TC-Strings hat, wäre es daher prinzipiell Aufgabe der Publisher, sicherzustellen, dass personenbezogene Daten, die womöglich rechtswidrig erhoben werden, nicht weiter verarbeitet und dementsprechend gelöscht werden.

Allerdings ist die Geschichte damit noch nicht zu Ende erzählt. Das IAB Europe hat nun wie erwähnt zwei Monate Zeit, um einen Aktionsplan zur Behebung der fesgestellten Mängel vorzulegen, der anschließend innerhalb eines Zeitraums von höchstens sechs Monaten umzusetzen ist („TCF 3.0“). Darüber hinaus kann das IAB Europe gegen die Entscheidung der belgischen Aufsichtsbehörde gerichtlich vorgehen – was es sehr wahrscheinlich auch tun wird. Erst nach einer die Rechtsauffassung der APD bestätigenden, rechtskräftigen gerichtlichen Entscheidung würde der Bescheid dann wirksam.

Für den Moment lautet unsere Schlussfolgerung, dass nach Ansicht der APD (und anderer europäischer Datenschutzbehörden) die derzeitige Ausgestaltung von Tracking-Einwilligungen über das TCF 2.0 nicht DSGVO-konform und damit unzulässig ist. Ob diese Auffassung allerdings wirklich am Ende auch durch die Gerichte, insbesondere den europäischen Gerichtshof, bestätigt wird, bleibt abzuwarten. Die derzeitige einzige Alternative zum TCF 2.0 als etabliertem Branchenstandard, nämlich „handgestrickte“ Einwilligungslösungen, ist wenig praktikabel und leidet womöglich an denselben Problemen.

Bis dahin sollten sich insbesondere Publisher bemühen, ihre CMPs möglichst rechtskonform auszugestalten, wie in der Orientierungshilfe der deutschen Datenschutzkonferenz vom Dezember 2021 beschrieben (wir berichteten dazu in unserer vorletzten Mandanteninformation). Onlinemarketing-Dienstleister sollten sich mit der Frage beschäftigten, ob ein völliger Umstieg auf ein einwilligungsbasiertes Geschäftsmodell für sie praktikabel ist.

Wie immer stehen wir Ihnen selbstverständlich in allen Fragen diesbezüglich zur Verfügung und beraten Sie gern.

Vor etwa einem Jahr hat die belgische Datenschutzbehörde (APD) ihre Untersuchungen gegen das Interactive Advertising Bureau (IAB) Europe und deren 2018 ins Leben gerufene und 2019 als 2.0 Version überarbeitete „Transparency And Consent Framework“ (kurz TCF 2.0) begonnen. Dabei handelt es sich um einen Standard, der die Digitalwerbe-Branche bei der Einhaltung der datenschutzrechtlichen Vorschriften im Rahmen der eigenen Datenverarbeitungsprozesse unterstützen soll, insbesondere bei der Einholung von Einwilligungen für Online-Tracking durch Dritte, so genannte Vendoren.

Was ist der aktuelle Stand?

Das IAB Europe hat in einer Mitteilung am 5. November 2021 mitgeteilt, dass die belgische Datenschutzbehörde einen Entscheidungsentwurf veröffentlichen will, der die Untersuchung zur Rolle von IAB Europe im Rahmen des TCF abschließt. Dieses Verfahren war von einer Gruppe von Beschwerdeführern, koordiniert vom Irish Council for Civil Liberties (ICCL), gegen IAB Europe und dessen Einwilligungs-Standard TCF 2.0 eingeleitet worden.

In diesem Entwurf werden wohl Verstöße der IAB Europe gegen die DSGVO festgestellt. Die zentralen Punkte des Entwurfes sind offenbar die Folgenden:

1. Die APD geht davon aus, dass es sich bei den „Consent Strings“ um personenbezogene Daten handelt. Bei den „Consent Strings“ handelt es sich um digitale Signale, die auf Websites erstellt werden, um die Entscheidungen der Betroffenen über die Verarbeitung ihrer Daten für digitale Werbung, Inhalte und Messungen zu erfassen. Der ICCL beschreibt es in seiner Pressemitteilung vom 5. November als „Identifizierungscode, der über eine Person erstellt wird, basierend darauf, welche Apps sie nutzt und welche Websites sie besucht, und was sie in Zustimmungs-Popups anklickt“.
2. IAB Europe ist in diesem Rahmen als für die Datenverarbeitung Verantwortlicher anzusehen.
3. IAB Europe wird im spezifischen Kontext von OpenRTB vermutlich als mit vielen anderen Online-Werbetreibenden gemeinsam für die Verarbeitung Verantwortlicher für Consent Strings angesehen. Beim OpenRTB (Real-Time-Bidding) handelt es sich um ein tracking-basiertes Anzeigen-System, bei dem Werbetreibende bei der Auslieferung von Werbemitteln automatisiert und in Echtzeit Werbeeinblendungen auf Websites der Publisher kaufen können.

IAB Europe sah sich bisher nicht als Verantwortlicher

Bisher ist das IAB Europe laut eigener Aussage auf Grundlage der bisherigen Leitlinien anderer Datenschutzbehörden und der Tatsache, dass das IAB Europe einzelne Consent Strings weder verarbeitet, besitzt oder sonst über deren Verwendung entscheidet, sowie auf Grundlage der bisherigen Rechtsprechung davon ausgegangen, nicht als für die Datenverarbeitung im Kontext des TCF Verantwortlicher zu gelten. Etwaige Pflichten eines Verantwortlichen hat das IAB Europe dementsprechend bisher nicht erfüllt.

Die Entscheidung der belgischen Aufsichtsbehörde ist daher durchaus überraschend, auch weil das TCF in Zusammenarbeit mit Datenschutzbehörden erarbeitet wurde. Dies soll laut Aussage des IAB jetzt erneut geschehen um das TCF datenschutzkonform anzupassen und den Anforderungen der DSGVO zu entsprechen.

Mögliche Folgen der Entscheidung für die Onlinemarketing-Branche

Endgültig werden wir die Auswirkungen dieser Entscheidung erst beantworten können, wenn der Entscheidungsentwurf veröffentlicht wurde und andere Aufsichtsbehörden Stellung dazu beziehen. Das kann noch etwas dauern, da der Entwurf zunächst an andere Datenschutzbehörden weitergeleitet wird und die belgische Datenschutzbehörde davon ausgehend eine endgültige Entscheidung treffen oder aber die Angelegenheit an den Europäischen Datenschutzausschuss (EDPB) zur verbindlichen Entscheidung weiterleiten wird.

Das IAB ist insofern zuversichtlich, dass die festgestellten Verstöße innerhalb von sechs Monaten unter Zusammenarbeit von IAB, der belgischen Aufsichtsbehörde und den anderen Aufsichtsbehörden behoben werden können. So steht es angeblich auch im besagten Entscheidungsentwurf. Einen anderen Ton schlägt hingegen der ICCL an, der in seiner Pressemitteilung jubelt „We have won“ und den Entscheidungsentwurf so bewertet, dass festgestellt wurde, dass IAB Europe und dessen TCF hundert Millionen Europäern ihrer Grundrechte beraubt habe und das TCF rechtswidrig sei.

Was lässt sich bereits jetzt sagen?

Für die Frage, ob das IAB Europe tatsächlich als für die Verarbeitung Verantwortlicher angesehen werden kann, ist maßgeblich, wo die Grenze gezogen wird, ab wann der Einfluss auf die Datenverarbeitung bereits so groß ist, dass von einer Verantwortlichkeit gesprochen werden kann. Dass eine hauptsächlich verwaltende Rolle, in der lediglich die Richtlinien festgelegt und eine Liste der teilnehmenden Vendoren verwaltet werden, aber in keiner Weise eine Verarbeitung spezifischer TC Strings durch IAB erfolgt, dafür ausreichen soll, kann angezweifelt werden. Eine Argumentation in die andere Richtung ist zwar denkbar, würde jedoch dazu führen, dass die Schwelle, ab wann eine datenverarbeitende Stelle bereits als Verantwortlicher gilt sehr niedrig angesetzt wird. Die Konsequenz davon wäre, dass viele datenschutzrechtliche Rollenverteilungen und Beziehungen zwischen Verantwortlichen und (vermeintlichen) Auftragsverarbeitern neu überdacht werden müssten. Die Entscheidung der belgischen Aufsichtsbehörde, IAB Europe als für die Verarbeitung Verantwortlicher einzustufen, ist insofern überraschend und könnte, sollte sie Bestand haben, richtungsweisend in der Frage der Abgrenzung von Verantwortlicher, gemeinsam Verantwortliche und Auftragsverarbeiter sein.

In letzter Zeit ist jedenfalls ein Trend zu beobachten, dass zunehmend möglichst viele Datenverarbeitungsprozesse unter den Hut der gemeinsamen Verantwortlichkeit gebracht und der Stempel des Mit-Verantwortlichen auf immer mehr Anwendungsfälle ausgeweitet werden soll. Das wird nicht erst seit der FashionID-Entscheidung des Europäischen Gerichtshofs deutlich. Die Entscheidung der belgischen Aufsichtsbehörde könnte sich insofern in diese Entwicklung einreihen.

Wir werden diese Entwicklung für Sie weiter beobachten. Sobald der Entwurf im Wortlaut veröffentlicht wurde und andere Aufsichtsbehörden dazu Stellung bezogen haben, werden wir die Rechtslage für Sie erneut näher beleuchten.

Bis dahin stehen wir Ihnen selbstverständlich in allen Fragen diesbezüglich zur Verfügung und beraten Sie gern.