IAB TCF illegal? Alle Fakten hier im FAQ

Die Belgische Datenschutzbehörde APD hat in einem seit gut einem Jahr laufenden Verfahren am 02. Feb 2022 eine Enscheidung getroffen. Die rund 130 Seiten Begründungstext, zeigen viele Schwachstellen des IAB TCF, aber auch viele Möglichkeiten zur Reform. Ist das Transparency and Consent Framework nun illegal? Was müssen Publisher beachten? Und wie geht es weiter? Unser FAQ klärt auf.

Update April 2022

(Update vom April 2022) Das IAB Europe hat mittlerweile Beschwerde beim zuständigen Gericht (Market Court) eingereicht und das Verfahren bzw die Entscheidung als solche angefochten. Zeitgleich wurde vom IAB Europe der angeforderte Action-Plan eingereicht. Die APD wird den Action-Plan nun prüfen; mit einer Entscheidung ist jedoch nicht vor Ende Juni 2022 zu rechnen. Sollte der Action-Plan von der APD akzeptiert werden, muss das IAB Europe diesen anschließend innerhalb von 6 Monaten umsetzen.

Update Mai 2022

(Update vom Mai 2022) Das IAB Europe eine geforderte Aussetzung des Verfahrens zurückgezogen, nachdem die APD den Zeitplan für die Prüfung des Action-Plan bestätigt hat. Demnach wird die APD keine Entscheidung über den Action-Plan vor dem 01. September 2022 treffen. Bis dahin wird das belgische Gericht (Market Court) ebenfalls über das Verfahren entschieden haben und die Umsetzung des Action-Plans kann in den anschließenden 6 Monaten erfolgen.

Was ist passiert?

Die Belgische Datenschutzbehörde APD hat in Ihrem Abschlussbericht diverse Probleme an das IAB Europe bzw das IAB TCF formuliert. Zentraler Knackpunkt ist dabei, dass die APD das IAB Europe als Auftraggeber ansieht. Ferner wir der durch das TCF erzeugte TC String (die Zustimmungsinformationen) als personenbezogenes Datum angesehen wäre damit selbst bereits zustimungspflichtig.

Was hat Belgien damit zu tun?

Seit die DSGVO 2018 in Kraft getreten ist, gab es mehrere Beschwerden in verschiedenen Ländern gegen das IAB Europe als das Organ hinter dem IAB TCF Standard und den damit verbundenen Policies und CMPs. Da das IAB Europe in Brüssel ansäßig ist, hat die belgische Datenschutzbehörde das Verfahren federführend geleitet („One-stop-shop“ Regelung der DSGVO).

Gilt das Belgische Urteil auch in anderen Ländern?

Ja, alle Datenschutzbehörden müssen sich entsprechend des Urteils orientieren und dürfen davon nicht abweichen.

Was sagt das Urteil konkret?

Der Urteilstext ist mehr als 120 Seiten lang und kann hier als PDF herunter geladen (englisch) werden. „Interessant“ wird es ab Abschnitt 535 in dem die eigentlichen Vergehen dargelegt werden:

  • Das TCF stellt keine valide Rechtsgrundlage für die Verarbeitung von Nutzerentscheidungen dar. Die Zustimmung ist nicht ausreichend gegeben (siehe nächster Punkt)
  • Das TCF gibt nicht transparent genug die Informationen wieder, die ein Nutzer zur Entscheidungsfindung benötigt.
  • Die Sicherheit des TCF als Mechanismus ist nicht ausreichend genug (etwa um Fehlverhalten von CMPs zu verhindern).
  • Der IAB wird als Auftraggeber (Controller) und der Daten angesehen. Daraus ergeben sich bestimmte Pflichten für den IAB Europe, dem bislang nicht nachgekommen wurde; konkret fehlt ein Verzeichnis der Datenverarbeitung.
  • Der IAB Europe hat keinen DPIA durchgeführt, obwohl dies nötig wäre.
  • Der IAB Europe hat keinen Datenschutzbeauftragen beauftragt, obwohl dies nötig wäre.
Consentlösung für IAB und TCF Standard

Was sind die Folgen?

Die Sanktionen gegen den IAB Europe ergeben sich letztlich aus den Vergehen (siehe oben) und sind:

  • Das TCF so (um-)gestalten, dass sich eine valide Rechtsgrundlage daraus ergibt.
  • Daten die das IAB Europe bisher gesamelt hat, müssen gelöscht werden.
  • Die Rechtsgrundlade „Berechtigtes Interesse“ darf im TCF nicht mehr verwendet werden.
  • Das TCF so umgestelaten, dass CMPs einen „harmonisierten“ Weg haben um DSGVO-konform die Zustimmung einzuholen. Informationen sollen in einer prezisen, konkreten aber verständlichen Weise dargestellt werden.
  • Entsprechende Sicherheitsmechanismen sind zu entwickeln um das TCF zu schützen.
  • Das IAB Europe muss ein Verzeichnis der Datenverarbeitung anlegen.
  • Das IAB Europe muss ein DPIA durchführen.
  • Das IAB Europe muss einen Datenschutzbeauftragen benennen.

Ferner wird dem IAB Europe auferlegt, innerhalb von 2 Monaten einen „Action Plan“ zu erarbeiten. In diesem soll dargestellt werden, mit welchen Schritten das TCF künftig konform gemacht werden soll. Sobald der Plan von der APD akzeptiert wurde, hat das IAB dann nochmal 6 Monate Zeit um diesen entsprechend umzusetzen.

Bleiben Sie auf dem Laufenden!

Newsletter abonnieren

Sind alle CMPs jetzt illegal?

Nein. Ein CMP wie das von consentmanager ist generell erst mal davon unabhängig – schließlich kann ein Webseitenbetreiber das CMP so konfigurieren, dass es konform wird oder das TCF ganz im CMP abschalten.

Ist das TCF jetzt illegal?

Jein. Die aktuelle Form wird als nicht ausreichend angesehen. Das IAB Europe hat nun die Aufgabe, entsprechende Maßnahmen einzuleiten und das TCF wieder konform zu machen.

Wie geht es weiter?

Das IAB Europe hat nun 2 Monate Zeit um Maßnahmen zu erarbeiten und/oder Widerspruch einzureichen. Es wird davon ausgegangen, dass beides passiert: Gegen einzelne Bestandteile der Entscheidung wird es sicherlich einen Widerspruch geben – gleichzeitig wird man schauen, wie man das TCF auf sichere Beine stellen kann. Insbesondere ist hier auch das Ziel, das TCF in einen Code of Conduct (CoC) zu überführen. Daran wird beim IAB bereits seit längerem gearbeitet. Ein CoC hätte weitere Vorteile und größere rechtliche Sicherheit.

Wen betrifft das Urteil?

Direkt betrifft es zunächst erstmal nur das IAB Europe. Indirekt betrifft es mittelfristig CMPs, Anbieter und Publisher – spätestens wenn neue Zwecke und Rechtsgrundlagen im Consent Layer eingestellt werden müssen oder sich der technische Unterbau ändert.

Wie sollte ich jetzt reagieren?

Wie bei allem. ist es nicht falsch, ersteinmal genau zu schauen und abzuwarten wie sich die Akteure verhalten.

Als eine generelle Empfehlung kann abgeleitet werden, dass „berechtigtes Interesse“ nicht als ausreichende Rechtsgrundlage für Onlinewerbung angesehen wird – das hatte sich ebenso bereits im Vorfeld und bei anderen Urteilen angekündigt. Sofern Sie also Marketingtools in Ihrer Webseite einsetzen, sollten Sie überprüfen, ob diese eine Zustimmung brauchen.

Generell empfehlen wir, das TCF nur dann einzusetzen, wenn es wirklich nötig ist. Für die meisten E-Commerce-Websites dürfte das z.B. nicht zutreffen. Gleichzeitig werden die meisten Nachrichtenseiten weiterhin auf das TCF angewiesen sein. Hier empfehlen wir, die Beschreibungstexte und Anbieterlisten genau zu kontrollieren und ggf. genauere Beschreibungen und weitere Informationen zu liefern.

Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste

Checkliste herunterladen

Muss ich jetzt alle meine Daten löschen?

Nein. Das Urteil betrifft erstmal nur das IAB Europe. Indirekt kann allerdings davon ausgegangen werden, dass ein „reines TCF CMP“ ebenfalls unter die Bedingungen des Urteils fällt und damit die Zustimmung nicht rechtsmäßig eingeholt hat.

Sind Webseiten die das TCF verwenden nun in Gefahr?

Jein. Einerseits werden Akteure erst einmal abwaren – das betrifft auch die anderen Datenschutzbehörden in anderen Ländern. Solange das Verfahren noch „schwebt“, macht es keinen wirklichen Sinn, das Verfahren als Grundlage für Abmahnungen oder neue Verfahren zu nutzen.

Andererseits ist weiterhin unklar, ob das TCF ansich, unter bestimmten Bedingungen, nicht doch auch konform verwendet werden kann. Auch hier bleibt insofern also abzuwarten und ggf. die Entwicklung des TCF im Auge zu behalten.

Was tut consentmanager für mich? Was muss ich tun?

consentmanager ist, als Mitglied beim IAB Europe und in diversen Landesverbänden und anderen Gruppen, aktiv an den Beratungen und Entscheidungen innerhalb des IAB beteiligt. Insofern wird consentmanager alle nötigen Schritte zeitnah umsetzen können, um seine Kunden entsprechend rechtlich oder technisch schützen zu können.

Sie als consentmanager-Kunde müssen daher erst einmal nichts konkretes tun (Ausnahmen siehe oben). Alle technischen und prozeduralen Anpassungen, die ein „neues“ TCF erfordert, können von uns direkt intern vorgenommen werden – es ist nicht nötig Codes jetzt auszutauschen.

Ihre Frage nicht dabei?

Nehmen Sie gern direkt mit uns Kontakt auf.

CMP

Ihre Fragen zu CMP & Co.

Wenn Sie sich nicht sicher sind, ob Sie ein CMP brauchen oder nicht, treten Sie gern in Kontakt mit uns – wir werden Ihnen helfen die richtige Lösung für Ihr Unternehmen zu finden.