IT & Datenschutz
Vorheriger Beitrag
Nächster Beitrag
IT & Datenschutz » Bußgeld der belgischen Datenschutzaufsichtsbehörde gegen IAB Europe wegen Transparency and Consent Framework (TCF)

Bußgeld der belgischen Datenschutzaufsichtsbehörde gegen IAB Europe wegen Transparency and Consent Framework (TCF)

4. Februar 2022 von Robert Faußner, M.A.

Die belgische Datenschutzbehörde (APD) verhängte am 02.02.2022 ein Bußgeld in Höhe von 250.000 EUR gegen das IAB Europe und bewertet das Verfahren zur Einholung von Einwilligungen auf Grundlage des Transparency and Consent Framework (TCF) des IAB Europe und damit das sog. Real-Time-Bidding (RTB) bzw. Real-Time-Advertising  als datenschutzwidrig. Das IAB Europe hat nun sechs Monate Zeit, das Einwilligungsverfahren datenschutzkonform auszugestalten.

Der Begriff des sog. Real-Time-Bidding beschreibt eine Methode durch welche Anbieter, sog. „Vendors“ bzw. „Advertisers“, Werbeplätze in Echtzeit über einen Bieterwettbewerb auf Webseiten der Webseitenbetreiber, sog. „Publisher“, ersteigern.

Das Real-Time-Advertising basiert auf einer Nutzer-Identifikationsnummer bzw. der "TC-String", welche wiederum auf der IP-Adresse der Webseitennutzer basiert und auf die Werbeprofile der Nutzer verweist. So ist eine Zuordnung der Werbeprofile der Webseitennutzer möglich.

Das IAB Europe als europäischer Verband für digitales Marketing und Werbung hat Regeln für die Einholung von Einwilligungen für das sog. Transparency & Consent Framework (TCF) festgelegt. Dieses weitgenutzte Verfahren wurde nun als datenschutzwidrig bewertet.

Im Folgenden möchte ich die Aspekte, auf welchen die Entscheidung beruht, und die erfassten Datenschutzverletzungen zusammenfassen:

1. Die Nutzer-Identifikationsnummer ist ein personenbezogenes Datum.

2. Es mangelt an einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

a. Eine datenschutzkonforme Verarbeitung aufgrund einer Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DS-GVO scheidet aus, da durch das TCF die Voraussetzungen des Art. 7 i.V.m. Erwägungsgrund 32 der DS-GVO für eine Einwilligungen nicht eingehalten werden (freiwillig, konkreter Fall, in informierter Weise und unmissverständliche Bekundung).

  • Die Verarbeitungszwecke sind nicht klar und irreführend beschrieben, und die betroffenen Personen können den Umfang der Verarbeitung nicht erkennen.
  • Die betroffenen Personen erhalten keinen Überblick über die Kategorien der erhobenen Daten.      
  • Die betroffenen Personen können nur sehr schwer Informationen über die Identität aller für die Datenverarbeitung Verantwortlichen erhalten, welchen sie ihre Einwilligung gegeben haben. Insbesondere sind die Empfänger, für die eine Einwilligung eingeholt wird, so zahlreich, dass die betroffenen Personen unverhältnismäßig viel Zeit benötigen würden, um diese Informationen zu lesen.         
  • Die Informationen sind zu allgemein, um die spezifischen Verarbeitungen der einzelnen Anbieter widerzuspiegeln.   
  • Die Konzeption des TCF ist intransparent, da dieses in seiner derzeitigen Form nicht vorsieht, dass die teilnehmenden Organisationen angeben, über welche personenbezogenen Daten sie bereits verfügen und welche Verarbeitungen sie mit diesen Daten bereits vornehmen.         
  • Die eingeholten Einwilligungen können nicht so einfach widerrufen werden, wie diese erhoben wurden.

b. Eine Verarbeitung zur Erfüllung eines Vertrages gemäß Art. 6 Abs. 1 S. 1 lit. b DS-GVO scheidet aus, da kein Vertrag zwischen den betroffenen Personen und der IAB Europe besteht.

c. Die Verarbeitung der personenbezogenen Daten aufgrund des berechtigten Interesses gemäß Art. 6 Abs. 1 S. 1 lit. f
DS-GVO scheidet aus, da eine Interessenabwägung zugunsten der betroffenen Personen ausfällt, insbesondere da die Datenverarbeitung intransparent ist und den betroffenen Personen keine ausreichende Möglichkeit zum Widerruf der Verarbeitung geboten wird.

 

3.  Es mangelt an einer transparenten Information zur Datenverarbeitung nach Art. 13, 14 DS-GVO.

a. Es erfolgt keine Information über die Verarbeitung des IAB Europe.

b. Das TCF erfüllt nicht die gemäß DS-GVO verlangten Anforderungen an eine transparente Einwilligung. Die betroffenen Personen sind nicht in der Lage, im Voraus den Umfang und die zugrundeliegenden Zwecke zu überblicken und können nicht nachvollziehen welche Anbieter welche Daten verarbeiten, was auch der hohen Anzahl an Anbietern geschuldet ist.

4.  Es wird gegen das Prinzip der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DS-GVO verstoßen.

Es existieren unzureichende Sicherheitsvorkehrungen, um zu verhindern, dass die in einem TC-String enthaltenen Informationen unbefugt geändert werden können. Dies kann dazu führen, dass Daten zu nicht eingewilligten Zwecken und von Anbietern verarbeitetet werden, denen die betroffenen Personen keine Einwilligung erteilt haben.

5.  Die betroffenen Personen können ihre Betroffenenrechte nicht in ausreichendem Umfang geltend machen.

Die betroffenen Personen können die Einwilligungs-Banner nicht einfach und jederzeit aufrufen, um Ihre Präferenzen zu ändern und die Identität der Anbieter nachzuvollziehen.

6.  Das IAB Europe, die Anbieter und die Webseitenbetreiber sind gemeinsam Verantwortliche nach
Art. 26 DS-GVO.

7.  Das IAB Europe führt die Datenverarbeitungen nicht in einem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DS-GVO.

8.  Das IAB Europa hat keinen Datenschutzbeauftragten benannt und dadurch gegen Art. 37 DS-GVO verstoßen.

Fazit

  • Der Beschluss der belgischen Behörde ist in einem sog. One-Stop-Shop-Verfahren (Zusammenarbeit der Aufsichtsbehörden bei grenzüberschreitenden Verarbeitungen) erfolgt und gilt europaweit und somit auch für Deutschland. Das IAB Europe hat 30 Tage Zeit, gegen diesen Beschluss Einspruch zu erheben.        
  • Das IAB Europe behauptete bisher, nicht datenschutzrechtlich verantwortlich zu sein und wird nun aber selbst mit einem Bußgeld belangt. Das IAB muss nun innerhalb von sechs Monaten sicherstellen, das Einwilligungsverfahren datenschutzkonform auszugestalten.
  • Es ist sehr wahrscheinlich, dass diesem Beschluss Gerichtsverfahren folgen werden.
  • Unternehmen, welche das TCF nutzen, müssen nun prüfen, ob Sie dieses Verfahren in der jetzigen Form noch nutzen möchten. Es ist derzeit davon auszugehen, dass sie mit diesem Verfahren keine wirksame Einwilligung einholen können und auch die personenbezogenen Daten nicht aufgrund des berechtigten Interesses verarbeiten dürfen.

Es drohen durch die Nutzung des Transparency & Consent Frameworks Bußgelder, Schadensersatzansprüche Dritter und ggf. Abmahnungen.

 

English version5

Rechtsgebiete