Christina Etteldorf

Belgien: Datenschutzbehörde erklärt TCF der Online-Werbebranche für nicht-DS-GVO-konform


MMR-Aktuell 2022, 447012   Die belgische Datenschutzbehörde (Autorité de protection des données – APD) hat am 2.2.2022 festgestellt, dass der Transparency and Consent Framework (TCF) – ein Tool, das hochfrequentiert von der Online-Werbebranche beim sog. Real Time Bidding (RTB) eingesetzt wird – gegen die DS-GVO verstößt. Der Entwickler IAB Europe wurde nicht nur mit einem Bußgeld iHv 250.000 EUR belegt, sondern auch aufgefordert, innerhalb von zwei Monaten einen Aktionsplan vorzulegen, um das TCF mit geltendem Datenschutzrecht in Einklang zu bringen. Da das Tool von zahllosen Unternehmen im Rahmen ihrer Online-Angebote eingesetzt wird, um die Verwaltung von Benutzerpräferenzen für personalisierte Werbung zu erleichtern, kann die Entscheidung unionsweit für die Online-Werbebranche massive Auswirkungen haben.

Das TCF wurde eigentlich entwickelt, um einerseits die Interessen der Werbebranche iRd automatisierten Echtzeitauktion von Nutzerprofilen für den Verkauf und Kauf von (personalisierten) Werbeflächen im Internet (das sog. OpenRTB-Protokoll) zu schützen, aber anderseits dabei auch die Einhaltung der DS-GVO zu gewährleisten. Beim Zugriff auf eine Website oder App, die personalisierbare Werbeflächen anbietet, findet im Hintergrund eine Echtzeitauktion statt, die automatisiert unter Verwendung von Algorithmen den Zuschlag für die Werbefläche einem Werbetreibenden zuteilt, dessen beworbene Produkte oder Dienstleistungen zu dem Profil des jeweiligen Besuchers passen. Das ermöglicht also zielgerichtete Werbung, die für Werbetreibende besonders attraktiv ist. Die hierzu erforderlichen Informationen über die Nutzer bzw. Nutzerprofile stammen aus einer Schnittstelle (Consent Management Platform – CMP): Beim ersten Besuch einer Website oder App, die das OpenRTB-Protokoll nutzt, werden Nutzer teils zur Einwilligung in die Verarbeitung ihrer personenbezogenen Daten zu (bestimmten, individualisierbaren) Werbezwecken aufgefordert und teils wird ihnen die Möglichkeit eingeräumt, der Verarbeitung ihrer Daten auf Basis der berechtigten Interessen der Betreiber zu widersprechen. Die dann generierte Nutzer-ID wird mit Hilfe von Cookies auf dem Endgerät des Nutzers mit werberelevanten Informationen befüllt. Damit dies nicht bei jedem einzelnen Besuch und durch jeden einzelnen Werbetreibenden erfolgen muss, ermöglicht das TCF – vereinfacht ausgedrückt – die diensteübergreifende Speicherung der Einstellungen des jeweiligen Nutzers. Es wird ein „consent-string“ für die Nutzer-ID generiert, der Werbetreibenden im OpenRTB-Protokoll Auskunft darüber gibt, zu was der Nutzer etwa zuvor seine Einwilligung gegeben hat, ob und inwieweit sie also die Nutzerdaten zum Ausspielen von Werbung verarbeiten dürfen. IAB Europe prüft die am TCF teilnehmenden Unternehmen (deren Umgang mit Nutzerdaten) und verwaltet die im „consent-string“ enthaltenen Daten.

 

Dies erfolgt, laut Entscheidung der APD, aber nicht-DS-GVO-konform. Auch wenn der „consent-string“ nur aus einer Abfolge von Zeichen bestehe, handele es sich dabei um personenbezogene Daten, da in der Gesamtschau eine Individualisierbarkeit der dahinterstehenden Person gegeben sei. Für die Verarbeitung dieser Daten mangele es bereits an einer ausreichenden rechtlichen Grundlage für das TCF selbst und damit auch für die weitere Verarbeitung der Daten durch die teilnehmende Werbebranche. Die Richtlinien des TCF sähen insb. keine Verpflichtung der teilnehmenden Unternehmen vor, zwingend eine Einwilligung der Nutzer einzuholen, wodurch das Vorliegen einer solchen auch nicht gesichert sei. Zudem würden Nutzer auch nicht ausreichend über die Reichweite und Auswirkungen einer Einwilligung informiert, könnten insb. nicht absehen, an welche Verarbeiter eine Weitergabe möglicherweise erfolgt (im Prinzip möglicherweise an alle TCF-Teilnehmer) und wie lange ihre Daten gespeichert würden. Zudem stellte die APD auch eine Verletzung von Informationspflichten fest – die Erklärungen hinsichtlich der CMP-Schnittstelle seien zu allgemein und zu vage, insb. angesichts der Komplexität des TCF. Auch seien keine ausreichenden technischen und organisatorischen Schutzmaßnahmen getroffen, die den Prinzipien des Data Protection by Design und Data Protection by Default entsprächen, und Nutzerrechte seien nicht ausreichend garantiert. Zudem habe IAB Europe versäumt, seinen weiteren Pflichten als Verantwortlicher nachzukommen, insb. keine Aufzeichnungen über Verarbeitungstätigkeiten geführt, keinen Datenschutzbeauftragten bestellt und keine Datenschutz-Folgenabschätzung durchgeführt.

 

Diese Faktoren spielten auch bei der Bemessung des auferlegten Bußgelds eine Rolle. IAB Europe wurde zudem aufgegeben, die Verstöße abzustellen, insb. eine geeignete Rechtsgrundlage (ausdrücklich außerhalb der Berufung auf berechtigte Interessen) für die Verarbeitung und Weitergabe der Daten zu schaffen sowie die teilnehmenden Unternehmen streng(er) zu überwachen.

 

Die APD hatte außerdem bereits im November 2021 bekannt gegeben, ihren Entscheidungsentwurf iRd Kooperations- und Kohärenzmechanismus der DS-GVO an ihre europäischen Kollegen übermittelt zu haben. Der Einsatz des TCF wird daher wohl unionsweit Aufmerksamkeit durch die mitgliedstaatlichen Datenschutzbehörden erfahren.

Ass. iur. Christina Etteldorf ist Wissenschaftliche Mitarbeiterin am Institut für Europäisches Medienrecht e.V. (EMR), Saarbrücken/Brüssel.