Das IAB Europe bessert aufgrund einer Erklärung der EU-Datenschutzbehörden beim TCF nach
Die belgische Datenschutzbehörde Autorité de protection des données (APD) hat einen für die Onlinewerbung zentralen Standard für datenschutzrechtlich unzulässig erklärt und der Werbe-Organisation IAB Europe ein Bußgeld von 250.000 Euro aufgebürdet.
Zudem wurde die IAB aufgefordert, alle gesammelten Daten zu löschen, was enorme Auswirkungen auf die Werbe- und Medienbranche haben könnte.
80 % des europäischen Internets nutzen das „Transparency & Consent Framework“ (TCF) bekannte “Zustimmungs-Popup-System”, welches über sog. CMPs (z.B. Sourcepoint) gesteuert wird. Jetzt hat die DSGVO entschieden, dass Milionen Europäer durch die Zustimmungs-Popups ihrer Grundrechte beraubt wurden.
Nach Meinung der EU-Datenschutzbehörde verstößt das TCF-Zustimmungssystem in folgender Weise gegen die Datenschutz-Grundverordnung:
- Es stellt nicht sicher, dass personenbezogene Daten sicher und vertraulich behandelt werden (Artikel 5 Absatz 1 Buchstabe f und Artikel 32 DSGVO).
- Die Einwilligung wird nicht ordnungsgemäß eingeholt, sondern es wird auf eine Rechtsgrundlage (legitimes Interesse) zurückgegriffen, die aufgrund des hohen Risikos, das von Online-Tracking-basierter „Real-Time Bidding“-Werbung ausgeht, nicht zulässig ist (Artikel 5(1)a und Artikel 6 DSGVO)Versäumt es, Transparenz darüber zu schaffen, was mit den Daten von Personen geschieht (Artikel 12, 13 und 14 DSGVO)
- Versäumt es, Maßnahmen zu ergreifen, die sicherstellen, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt (Artikel 24 DSGVO)
- Nichteinhaltung der Anforderung des „eingebauten Datenschutzes“ (Artikel 25 GDPR)
Die belgische Datenschutzbehörde erklärte, IAB Europe sei sich der Risiken im Zusammenhang mit der Nichteinhaltung der Vorschriften bewusst gewesen und habe fahrlässig gehandelt.
Die IAB hat daraufhin folgende Stellungnahme verfasst:
Die Entscheidung bestätigt die Feststellung, dass IAB Europe ein Datenverantwortlicher für den TC String ist, den der APD als personenbezogene Daten betrachtet. Es wird eine Reihe von Abhilfemaßnahmen auferlegt, darunter eine Geldstrafe von 250 000 EUR. IAB Europe muss innerhalb von zwei Monaten einen Aktionsplan vorlegen, um die behaupteten Verstöße in Bezug auf seine eigene Rolle im TCF zu beheben, und diesen Plan dann innerhalb von sechs Monaten umsetzen, sobald der APD ihn genehmigt hat. Der APD nutzt die Gelegenheit des Urteils auch, um Änderungen an der TCF zu fordern, einschließlich des Ausschlusses der berechtigten Interessen als Rechtsgrundlage für alle, zumindest aber für bestimmte Datenverarbeitungszwecke.
Die TCF wurde nicht verboten, wie die Beschwerdeführer in ihren ursprünglichen Beschwerden und während des gesamten Verfahrens gefordert hatten. Sie ist nach wie vor das wichtigste Instrument der Branche, um die Einhaltung bestimmter Anforderungen des EU-Rechts zum Schutz der Privatsphäre und des Datenschutzes im Zusammenhang mit der Auslieferung und Messung digitaler Werbung zu gewährleisten, weshalb die APD-Entscheidung von uns verlangt, den Aktionsplan zu entwickeln und durchzuführen.
Wir haben die untenstehende Erklärung abgegeben (Darin bekräftigen wir, dass wir die Auslegung des Begriffs der Datenkontrolle durch den APD ablehnen und dass wir alle Optionen für eine rechtliche Anfechtung prüfen.
APD-Entscheidung macht den Weg frei für die Entwicklung von TCF zu einem formellen GDPR-Verhaltenskodex: Erklärung des IAB Europe zu der heute verkündeten APD-Entscheidung
2. Februar, Brüssel, Belgien: IAB Europe nimmt die heute bekannt gegebene Entscheidung der belgischen Datenschutzbehörde (APD) im Zusammenhang mit ihrer Untersuchung von IAB Europe zur Kenntnis. Wir nehmen zur Kenntnis, dass die Entscheidung kein Verbot des Transparency & Consent Framework (TCF) enthält, wie es von den Beschwerdeführern gefordert worden war, und dass die APD die von ihr festgestellten mutmaßlichen Verstöße von IAB Europe als innerhalb von sechs Monaten behebbar ansieht.Wir weisen die Feststellung zurück, dass wir ein für die Datenverarbeitung Verantwortlicher im Sinne des TCF sind. Wir glauben, dass diese Feststellung rechtlich falsch ist und erhebliche unbeabsichtigte negative Folgen haben wird, die weit über die digitale Werbebranche hinausgehen. Wir erwägen alle Optionen für eine rechtliche Anfechtung.Ungeachtet unserer schwerwiegenden Vorbehalte gegen den Inhalt der Entscheidung freuen wir uns darauf, mit dem APD an einem Aktionsplan zu arbeiten, der innerhalb der vorgeschriebenen sechs Monate umgesetzt werden soll, um den weiteren Nutzen des TCF auf dem Markt zu gewährleisten. Wie wir bereits mitgeteilt haben, war es immer unsere Absicht, den Rahmen als länderübergreifenden Verhaltenskodex für die Datenschutz-Grundverordnung zur Genehmigung vorzulegen. Mit der heutigen Entscheidung scheint der Weg frei zu sein, um mit der Arbeit daran zu beginnen.
Möglichkeiten der Einholung des Consents
In diesem Zusammenhang möchten wir Euch noch einmal über Möglichkeiten der Einholung des Consents der User informieren. Mit der Orientierungshilfe der Datenschutzkonferenz sind die Datenschutzbehörden der Meinung, dass der “Alles Ablehnen”-Button auf der ersten Ebene bei der Consent-Abfrage, Pflicht sei.
Verschiedene Verbände wie z. B. der Bundesverband Digitale Wirtschaft (BVDW) e.V. können diese Verpflichtung aus den Gesetzen nicht entnehmen. Da hier Meinungen aufeinanderprallen, die irgendwann rechtlich geklärt werden müssen, kann hier noch keine rechtsbasierte Aussage getroffen werden.
Allerdings gibt es derzeit auch Optionen, die Publisher helfen können, die Diskussion ohne wirtschaftliches Risiko wenigstens vorläufig zu beenden.
Eine Option ist es, den Nutzer vor die Wahl zu stellen, als Alternative zur Zustimmung ihm ein PUR-Modell (Bezahlangebot) anzubieten und damit die einfache und freie Auswahl anzubieten, wie Nutzer die Site besuchen wollen.
Das erweiterte Pur Modell:
Kein Zugang ohne Entscheidung => User hat Wahl wischen Abo- und kostenfreien Zugang
Kostenfreier Zugang:
- User gibt Consent zu Tracking
- User deaktiviert Ad-Blocker
- Volle Monetarisierung über Werbung
Bezahlpflichtiger Zugang:
- User bekommt keine Werbung
- User wird nicht getrackt
- Monetarisierung über Subscription
Bei Fragen stehen wir Euch gerne zur Verfügung, bitte berücksichtigt, dass wir keine Rechtsberatung durchführen können und bezieht Euren Datenschutzbeauftragten in den Prozess mit ein.
Euer QUARTER MEDIA Team