Vor etwa einem Jahr hat die belgische Datenschutzbehörde (APD) ihre Untersuchungen gegen das Interactive Advertising Bureau (IAB) Europe und deren 2018 ins Leben gerufene und 2019 als 2.0 Version überarbeitete „Transparency And Consent Framework“ (kurz TCF 2.0) begonnen. Dabei handelt es sich um einen Standard, der die Digitalwerbe-Branche bei der Einhaltung der datenschutzrechtlichen Vorschriften im Rahmen der eigenen Datenverarbeitungsprozesse unterstützen soll, insbesondere bei der Einholung von Einwilligungen für Online-Tracking durch Dritte, so genannte Vendoren.

Was ist der aktuelle Stand?

Das IAB Europe hat in einer Mitteilung am 5. November 2021 mitgeteilt, dass die belgische Datenschutzbehörde einen Entscheidungsentwurf veröffentlichen will, der die Untersuchung zur Rolle von IAB Europe im Rahmen des TCF abschließt. Dieses Verfahren war von einer Gruppe von Beschwerdeführern, koordiniert vom Irish Council for Civil Liberties (ICCL), gegen IAB Europe und dessen Einwilligungs-Standard TCF 2.0 eingeleitet worden.

In diesem Entwurf werden wohl Verstöße der IAB Europe gegen die DSGVO festgestellt. Die zentralen Punkte des Entwurfes sind offenbar die Folgenden:

1. Die APD geht davon aus, dass es sich bei den „Consent Strings“ um personenbezogene Daten handelt. Bei den „Consent Strings“ handelt es sich um digitale Signale, die auf Websites erstellt werden, um die Entscheidungen der Betroffenen über die Verarbeitung ihrer Daten für digitale Werbung, Inhalte und Messungen zu erfassen. Der ICCL beschreibt es in seiner Pressemitteilung vom 5. November als „Identifizierungscode, der über eine Person erstellt wird, basierend darauf, welche Apps sie nutzt und welche Websites sie besucht, und was sie in Zustimmungs-Popups anklickt“.
2. IAB Europe ist in diesem Rahmen als für die Datenverarbeitung Verantwortlicher anzusehen.
3. IAB Europe wird im spezifischen Kontext von OpenRTB vermutlich als mit vielen anderen Online-Werbetreibenden gemeinsam für die Verarbeitung Verantwortlicher für Consent Strings angesehen. Beim OpenRTB (Real-Time-Bidding) handelt es sich um ein tracking-basiertes Anzeigen-System, bei dem Werbetreibende bei der Auslieferung von Werbemitteln automatisiert und in Echtzeit Werbeeinblendungen auf Websites der Publisher kaufen können.

IAB Europe sah sich bisher nicht als Verantwortlicher

Bisher ist das IAB Europe laut eigener Aussage auf Grundlage der bisherigen Leitlinien anderer Datenschutzbehörden und der Tatsache, dass das IAB Europe einzelne Consent Strings weder verarbeitet, besitzt oder sonst über deren Verwendung entscheidet, sowie auf Grundlage der bisherigen Rechtsprechung davon ausgegangen, nicht als für die Datenverarbeitung im Kontext des TCF Verantwortlicher zu gelten. Etwaige Pflichten eines Verantwortlichen hat das IAB Europe dementsprechend bisher nicht erfüllt.

Die Entscheidung der belgischen Aufsichtsbehörde ist daher durchaus überraschend, auch weil das TCF in Zusammenarbeit mit Datenschutzbehörden erarbeitet wurde. Dies soll laut Aussage des IAB jetzt erneut geschehen um das TCF datenschutzkonform anzupassen und den Anforderungen der DSGVO zu entsprechen.

Mögliche Folgen der Entscheidung für die Onlinemarketing-Branche

Endgültig werden wir die Auswirkungen dieser Entscheidung erst beantworten können, wenn der Entscheidungsentwurf veröffentlicht wurde und andere Aufsichtsbehörden Stellung dazu beziehen. Das kann noch etwas dauern, da der Entwurf zunächst an andere Datenschutzbehörden weitergeleitet wird und die belgische Datenschutzbehörde davon ausgehend eine endgültige Entscheidung treffen oder aber die Angelegenheit an den Europäischen Datenschutzausschuss (EDPB) zur verbindlichen Entscheidung weiterleiten wird.

Das IAB ist insofern zuversichtlich, dass die festgestellten Verstöße innerhalb von sechs Monaten unter Zusammenarbeit von IAB, der belgischen Aufsichtsbehörde und den anderen Aufsichtsbehörden behoben werden können. So steht es angeblich auch im besagten Entscheidungsentwurf. Einen anderen Ton schlägt hingegen der ICCL an, der in seiner Pressemitteilung jubelt „We have won“ und den Entscheidungsentwurf so bewertet, dass festgestellt wurde, dass IAB Europe und dessen TCF hundert Millionen Europäern ihrer Grundrechte beraubt habe und das TCF rechtswidrig sei.

Was lässt sich bereits jetzt sagen?

Für die Frage, ob das IAB Europe tatsächlich als für die Verarbeitung Verantwortlicher angesehen werden kann, ist maßgeblich, wo die Grenze gezogen wird, ab wann der Einfluss auf die Datenverarbeitung bereits so groß ist, dass von einer Verantwortlichkeit gesprochen werden kann. Dass eine hauptsächlich verwaltende Rolle, in der lediglich die Richtlinien festgelegt und eine Liste der teilnehmenden Vendoren verwaltet werden, aber in keiner Weise eine Verarbeitung spezifischer TC Strings durch IAB erfolgt, dafür ausreichen soll, kann angezweifelt werden. Eine Argumentation in die andere Richtung ist zwar denkbar, würde jedoch dazu führen, dass die Schwelle, ab wann eine datenverarbeitende Stelle bereits als Verantwortlicher gilt sehr niedrig angesetzt wird. Die Konsequenz davon wäre, dass viele datenschutzrechtliche Rollenverteilungen und Beziehungen zwischen Verantwortlichen und (vermeintlichen) Auftragsverarbeitern neu überdacht werden müssten. Die Entscheidung der belgischen Aufsichtsbehörde, IAB Europe als für die Verarbeitung Verantwortlicher einzustufen, ist insofern überraschend und könnte, sollte sie Bestand haben, richtungsweisend in der Frage der Abgrenzung von Verantwortlicher, gemeinsam Verantwortliche und Auftragsverarbeiter sein.

In letzter Zeit ist jedenfalls ein Trend zu beobachten, dass zunehmend möglichst viele Datenverarbeitungsprozesse unter den Hut der gemeinsamen Verantwortlichkeit gebracht und der Stempel des Mit-Verantwortlichen auf immer mehr Anwendungsfälle ausgeweitet werden soll. Das wird nicht erst seit der FashionID-Entscheidung des Europäischen Gerichtshofs deutlich. Die Entscheidung der belgischen Aufsichtsbehörde könnte sich insofern in diese Entwicklung einreihen.

Wir werden diese Entwicklung für Sie weiter beobachten. Sobald der Entwurf im Wortlaut veröffentlicht wurde und andere Aufsichtsbehörden dazu Stellung bezogen haben, werden wir die Rechtslage für Sie erneut näher beleuchten.

Bis dahin stehen wir Ihnen selbstverständlich in allen Fragen diesbezüglich zur Verfügung und beraten Sie gern.

Bisher konnten Betroffene einer Datenpanne vor deutschen Gerichten nicht auf hohen immateriellen Schadensersatz auf Grundlage der DSGVO hoffen. Das könnte sich nun ändern: Vor kurzem bat das Bundesarbeitsgericht den Europäischen Gerichtshof (EuGH) um Klärung der Frage, ob immaterieller Schadensersatz in „abschreckender“ Höhe auch ohne Verschulden des Verantwortlichen auf Grundlage von Art. 82 Abs. 1 DSGVO an den Betroffenen zu leisten ist.

Dem Gericht ist dabei zuzustimmen, wenn es für die Bemessung des immateriellen Schadensersatzes die Berücksichtigung aller Umstände des Einzelfalls fordert, um einen vollständigen und wirksamen Schadensersatz zu erreichen. Indes verkennt es jedoch, dass eine Sanktionswirkung über den Schadensausgleich hinaus – wie auch bekannt aus anderen Bereichen des Unionsrechts – im Datenschutzrecht über das Instruments des Bußgelds nach Art. 83 DSGVO erreicht wird.

Die Aufsichtsbehörden haben sicherzustellen, dass Verstöße gegen die DSGVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend mittels Geldbußen geahndet werden. Die Höhe richtet sich dabei auch nach dem Verschulden sowie erschwerenden oder mildernden Umständen im jeweiligen Fall. Weshalb das Gericht dennoch davon ausgeht, dass eine verschuldensunabhängige und über den Ausgleich hinausgehende Schadensersatzzahlung von der DSGVO gefordert werden könnte, ist unklar, erfüllen doch bereits die Aufsichtsbehörden diese Funktion.

Von Vergleichbarem geht auch der österreichische Oberste Gerichtshof aus, wenn er in seinen ebenfalls kürzlich eingereichten Vorlagefragen an den EuGH davon ausgeht, dass für die Zahlung eines immateriellen Schadensersatzes zumindest ein „Verstoß einigen Gewichts“ vorliegen muss, der über eine gewöhnliche Verletzung von Bestimmungen der DSGVO hinausgeht.

Anderenfalls wäre mit einer Welle von Klagen auf immateriellen Schadensersatz bei bereits kleinsten Verstößen gegen die DSGVO zu rechnen, die sowohl die Justiz als auch die einzelnen Unternehmen deutlich über die Gebühr belasten würde. Neben dem zu zahlenden Schadensersatz käme zudem das erwähnte Bußgeld nach Maßgabe des Art. 83 DSGVO von bis zu 20 Millionen Euro, so dass eine doppelte „Bestrafung“ das Resultat wäre. Vorzugswürdig wäre daher allenfalls, dass die Aufsichtsbehörden ihre Sanktionsaufgabe künftig ernster nehmen und der Art. 82 Abs. 1 DSGVO weiter seiner grundsätzlichen Bedeutung – dem Ausgleich eines entstandenen Schadens dient. Ob dies auch so entschieden wird, bleibt abzuwarten.

Fraglich ist überdies, ob die Entscheidung des EuGH nicht dennoch eine großzügigere Bemessung des immateriellen Schadens im Einzelfall vorgibt. Sicherlich wird die anstehende Entscheidung erneut den Fokus auf den Datenschutz in Unternehmen intensivieren, sodass eine sorgfältige datenschutzrechtliche Aufstellung spätestens nun Thema sein sollte.

Fazit: Es ist aufgrund der wachsenden Aufmerksamkeit wichtiger denn je, ein Unternehmen datenschutzrechtlich sauber aufzustellen, um hohe Zahlungen vermeiden. Es bleibt zu hoffen, dass der EuGH einem vermittelnden Ansatz folgt und die in der DSGVO angelegte Aufgabenverteilung zwischen Aufsichtsbehörde und Gerichten entsprechend würdigt.

Die französische Datenschutzbehörde CNIL hat in einer Pressemitteilung vom 14. September 2021 angekündigt, ihre Cookie-Überwachungs-Kampagne fortzusetzen und dabei wie bisher sowohl nationale wie auch internationale Akteure aus dem Privatsektor aber auch öffentliche Einrichtungen, deren Websites einen erheblichen Datenverkehr generieren, in den Blick zu nehmen, sofern sie auf französische Nutzer abzielen.

Im Zentrum ihrer Überprüfung steht dabei weiterhin, ob dem Nutzer das Ablehnen von Cookies genauso einfach gemacht wird, wie das Akzeptieren. Ebenso will sie aber auch die tatsächliche Einhaltung dieser Wahl überprüfen.

Im Zuge dieser Mitteilung verkündet die CNIL außerdem die Ergebnisse einer Aufforderung an 38 Website-Betreiber, ihre Cookie-Banner entsprechend anzupassen. Davon kamen 30 dieser Aufforderung nach und vier beantragten wegen technischer oder organisatorischer Einschränkungen eine Fristverlängerung, die derzeit geprüft wird. Die vier Betreiber, die nicht reagiert haben, müssen laut der CNIL mit finanziellen Sanktionen von bis zu 2 % ihres Umsatzes rechnen.

Fazit: Die Einhaltung der Cookie-Vorschriften, insbesondere die Gestaltung der Cookie-Banner, steht nicht nur bei der CNIL, sondern fast allen Datenschutzbehörden weiterhin sehr weit oben auf der Agenda. Der Standpunkt der CNIL kann als erste Orientierung angesehen werden. Es bleibt abzuwarten, ob andere Aufsichtsbehörden ihr folgen und ebenfalls in ähnlicher Weise Stellung beziehen.

Das Thema „Newsletter-Einwilligung“ steht bei unseren Mandanten immer wieder auf der Tagesordnung – denn die rechtlichen Hürden in DSGVO und UWG stellen das E-Mail-Marketing vor große Herausforderungen.

Ein wichtiger Ankerpunkt in dieser Diskussion war dabei eine Entscheidung des Oberlandesgerichts Frankfurt aus dem Jahr 2019, nach der die Einwilligung in den Erhalt eines Newsletters zur Teilnahmevoraussetzung eines kostenlosen Gewinnspiels gemacht werden darf – ohne, dass dies einen Verstoß gegen die Voraussetzungen einer wirksamen Einwilligung darstellt. Diese Ausnahme vom „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO hatten auch Gerichte in Österreich und Italien bestätigt (wir hatten darüber informiert).

Jetzt sorgt ein kurzer Abschnitt im kürzlich veröffentlichten aktuellen Jahresbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) einerseits für Erleichterung, aber auch für Verwirrung: Zum ersten Mal äußert sich eine einflussreiche Datenschutzaufsichtsbehörde zu dieser für die Praxis so wichtige Frage – und bestätigt im Ergebnis, dass die Newsletter-Einwilligung zur Teilnahmevoraussetzung für ein kostenloses Gewinnspiel gemacht werden darf.

Leider argumentiert die LDI NRW jedoch rechtlich völlig anders als das OLG Frankfurt: Rechtsgrundlage für die Datenverarbeitung im Rahmen des Newsletterversands soll nicht die Einwilligung der Empfänger sein, sondern der Gewinnspiel-Vertrag. Das bedeutet, dass nach Ansicht der Behörde mit der Preisgabe seiner E-Mail-Adresse quasi für die Teilnahmemöglichkeit „bezahlt“. Dies müsse in den Teilnahmebedingungen entsprechend kommuniziert werden.

Der Lösungsweg der LDI NRW ist einerseits etwas umständlich und außerdem befremdlich – denn in unserer Rechtsordnung stehen die Gerichte über den Aufsichtsbehörden. Die Behörde bleibt die Antwort auf die Frage schuldig, warum sie sich in ihrer Stellungnahme nicht mit der Rechtsauffassung des OLG Frankfurt auseinandergesetzt hat.

Im Ergebnis ist jedoch erfreulich, dass das Konzept „Newsletter-Einwilligung gegen Gewinnspielteilnahme“ jedenfalls als zulässig erachtet wird. In der Praxis wird derselbe Rechtsgedanke auch bei anderen kostenlosen Angeboten wie Whitepaper-Downloads und bei der Anmeldung zu Webinaren angewandt. Hierzu gibt es jedoch bislang weder Gerichtsurteile noch Stellungnahmen der Aufsichtsbehörden.

Wir werden die Rechtsansicht des LDI NRW in der Beratung unserer Mandanten berücksichtigen. Wichtig wird in jedem Fall sein, für ausreichende Transparenz zu sorgen. Bei Fragen zu diesem und weiteren Aspekten des E-Mail-Marketings stehen wir Ihnen gern zur Verfügung.