Entdecken Sie den neuen Google Consent Mode v2! Jetzt mehr erfahren »
Neues

IAB TCF illegal? Alle Fakten hier im FAQ


Die Belgische Datenschutzbehörde APD hat in einem seit gut einem Jahr laufenden Verfahren am 02. Feb 2022 eine Enscheidung getroffen. Die rund 130 Seiten Begründungstext, zeigen viele Schwachstellen des IAB TCF, aber auch viele Möglichkeiten zur Reform. Ist das Transparency and Consent Framework nun illegal? Was müssen Publisher beachten? Und wie geht es weiter? Unser FAQ klärt auf.

eine Web-Seite mit dem Gesicht eines Mannes darauf

Update März 2024 

Der Europäische Gerichtshof hat in der Rechtssache IAB TCF entschieden, dass der TC-String („Consent String“) personenbezogene Daten im Sinne der DSGVO darstellt. Die im String enthaltenen Daten beziehen sich auf identifizierbare Nutzer und könnten daher zur Erstellung von Nutzerprofilen und zur Identifizierung von Nutzern verwendet werden. Darüber hinaus wird das IAB Europe nun als „gemeinsam Verantwortlicher“ im Sinne der DSGVO identifiziert, was bedeutet, dass es die Verantwortung für die Datenverarbeitung teilt, wenn die Einwilligungspräferenzen der Nutzer in einem TC-String erfasst werden. Das bedeutet, dass es Entscheidungen über die Zwecke und Methoden der Datenverarbeitung mit seinen Mitgliedern teilt, jedoch nicht die Datenverarbeitung selbst. Die Rolle des IAB Europa als Verantwortlicher erstreckt sich nicht auf die Datenverarbeitungsaktivitäten, nachdem die Einwilligung des Nutzers in einem TC-String gespeichert wurde, es sei denn, es kann nachgewiesen werden, dass das IAB Europa Einfluss auf die Zwecke und Mittel der nachfolgenden Datenverarbeitungsaktivitäten hat.

Für Unternehmen, die als Publisher oder Ad Tech Vendor am TCF teilnehmen, ist es wichtig, ihre Rechtsdokumente zeitnah zu aktualisieren, um Endnutzer über diese Änderungen auf dem Laufenden zu halten. Insbesondere im Hinblick auf Artikel 26 der DSGVO sollten Unternehmen ihre Endnutzer über das Bestehen einer gemeinsamen Kontrollvereinbarung mit IAB Europe und dem Anbieter der jeweiligen Website informieren.

Update September 2023

(Update vom 21. September 2023) Am 21. September fand vor der Vierten Kammer des EuGH eine öffentliche Anhörung statt, bei der auch die beteiligten Parteien von den Richtern befragt wurden. Da es keine Schlussanträge des Generalanwalts geben wird, ist zu erwarten, dass der EuGH sein Urteil zwischen Ende 2023 und Anfang 2024 verkündet. Sobald das Urteil veröffentlicht ist, kann das belgische Gericht (Market Court) seine Beurteilung der in der Beschwerde von IAB Europe vorgebrachten Argumente finalisieren.

(Update vom September 2023) Das belgische Gericht (Market Court) hat entschieden, das Urteil des Europäischen Gerichtshofs (EuGH) abzuwarten und seine Beurteilung des von der belgischen Datenschutzbehörde (APD) validierten Action-Plan von IAB Europe auszusetzen. IAB Europe hatte im Januar 2023 Berufung gegen die vorzeitige Validierung des Plans durch die APD eingelegt. Dies zeigt, dass die APD übereilt gehandelt hat, und das Urteil des EuGH wird Einfluss darauf haben, ob die ursprüngliche Entscheidung der APD rechtmäßig war und wie der Plan umgesetzt wird. Für IAB Europe und die TCF-Teilnehmer/innen ist dies eine gute Nachricht, da es verhindert, dass unnötige Änderungen ohne sorgfältige Prüfung vorgenommen werden. Townsend Feehan, CEO von IAB Europe, betonte, dass Änderungen am TCF mit äußerster Vorsicht und in Übereinstimmung mit dem EuGH-Verfahren vorgenommen werden müssen.

Update Juni 2023

(Update vom Juni 2023) Das IAB hat mit dem TCF 2.2 wichtige Weichen gestellt um die im Action-Plan genannten Schritte zu gehen. Bis 30. September 2023 läuft nun eine Übergangsphase in der Anbieter und Webseiten auf den neuen Standard updaten können. Ab Oktober 2023 gilt dann nur noch das IAB TCF in Version 2.2.

Update Januar 2023

(Update vom Januar 2023) Der vom IAB Europe eingereichte Action-Plan wurde von der APD akzeptiert und damit weitere Schritte in Richtung DSGVO-Konformität eingeleitet. Das IAB Europe hat nun 6 Monate zeigt, den Action-Plan umzusetzen.

Update April 2022

(Update vom April 2022) Das IAB Europe hat mittlerweile Beschwerde beim zuständigen Gericht (Market Court) eingereicht und das Verfahren bzw die Entscheidung als solche angefochten. Zeitgleich wurde vom IAB Europe der angeforderte Action-Plan eingereicht. Die APD wird den Action-Plan nun prüfen; mit einer Entscheidung ist jedoch nicht vor Ende Juni 2022 zu rechnen. Sollte der Action-Plan von der APD akzeptiert werden, muss das IAB Europe diesen anschließend innerhalb von 6 Monaten umsetzen.

Update Mai 2022

(Update vom Mai 2022) Das IAB Europe eine geforderte Aussetzung des Verfahrens zurückgezogen, nachdem die APD den Zeitplan für die Prüfung des Action-Plan bestätigt hat. Demnach wird die APD keine Entscheidung über den Action-Plan vor dem 01. September 2022 treffen. Bis dahin wird das belgische Gericht (Market Court) ebenfalls über das Verfahren entschieden haben und die Umsetzung des Action-Plans kann in den anschließenden 6 Monaten erfolgen.

Was ist passiert?

Die Belgische Datenschutzbehörde APD hat in Ihrem Abschlussbericht diverse Probleme an das IAB Europe bzw das IAB TCF formuliert. Zentraler Knackpunkt ist dabei, dass die APD das IAB Europe als Auftraggeber ansieht. Ferner wir der durch das TCF erzeugte TC String (die Zustimmungsinformationen) als personenbezogenes Datum angesehen wäre damit selbst bereits zustimungspflichtig.

Was hat Belgien damit zu tun?

Seit die DSGVO 2018 in Kraft getreten ist, gab es mehrere Beschwerden in verschiedenen Ländern gegen das IAB Europe als das Organ hinter dem IAB TCF Standard und den damit verbundenen Policies und CMPs. Da das IAB Europe in Brüssel ansäßig ist, hat die belgische Datenschutzbehörde das Verfahren federführend geleitet („One-stop-shop“ Regelung der DSGVO).

Gilt das Belgische Urteil auch in anderen Ländern?

Ja, alle Datenschutzbehörden müssen sich entsprechend dem belgischen Urteil orientieren und dürfen davon nicht abweichen.

Was sagt das Urteil konkret?

Der Urteilstext ist mehr als 120 Seiten lang und kann hier als PDF herunter geladen (englisch) werden. „Interessant“ wird es ab Abschnitt 535 in dem die eigentlichen Vergehen dargelegt werden:

  • Das TCF stellt keine valide Rechtsgrundlage für die Verarbeitung von Nutzerentscheidungen dar. Die Zustimmung ist nicht ausreichend gegeben (siehe nächster Punkt)
  • Das TCF gibt nicht transparent genug die Informationen wieder, die ein Nutzer zur Entscheidungsfindung benötigt.
  • Die Sicherheit des TCF als Mechanismus ist nicht ausreichend genug (etwa um Fehlverhalten von CMPs zu verhindern).
  • Der IAB wird als Auftraggeber (Controller) und der Daten angesehen. Daraus ergeben sich bestimmte Pflichten für den IAB Europe, dem bislang nicht nachgekommen wurde; konkret fehlt ein Verzeichnis der Datenverarbeitung.
  • Der IAB Europe hat keinen DPIA durchgeführt, obwohl dies nötig wäre.
  • Der IAB Europe hat keinen Datenschutzbeauftragen beauftragt, obwohl dies nötig wäre.
Eine Frau, die ein Megaphon neben einem Cookie hält und einen zertifizierten IAB europe Stempel

Was sind die Folgen?

Die Sanktionen gegen den IAB Europe ergeben sich letztlich aus den Vergehen (siehe oben) und sind:

  • Das TCF so (um-)gestalten, dass sich eine valide Rechtsgrundlage daraus ergibt.
  • Daten die das IAB Europe bisher gesamelt hat, müssen gelöscht werden.
  • Die Rechtsgrundlade „Berechtigtes Interesse“ darf im TCF nicht mehr verwendet werden.
  • Das TCF so umgestelaten, dass CMPs einen „harmonisierten“ Weg haben um DSGVO-konform die Zustimmung einzuholen. Informationen sollen in einer prezisen, konkreten aber verständlichen Weise dargestellt werden.
  • Entsprechende Sicherheitsmechanismen sind zu entwickeln um das TCF zu schützen.
  • Das IAB Europe muss ein Verzeichnis der Datenverarbeitung anlegen.
  • Das IAB Europe muss ein DPIA durchführen.
  • Das IAB Europe muss einen Datenschutzbeauftragen benennen.

Ferner wird dem IAB Europe auferlegt, innerhalb von 2 Monaten einen „Action Plan“ zu erarbeiten. In diesem soll dargestellt werden, mit welchen Schritten das TCF künftig konform gemacht werden soll. Sobald der Plan von der APD akzeptiert wurde, hat das IAB dann nochmal 6 Monate Zeit um diesen entsprechend umzusetzen.

 

Bleiben Sie auf dem Laufenden!

Newsletter abonnieren

Sind alle CMPs jetzt illegal?

Nein. Ein CMP wie das von consentmanager ist generell erst mal davon unabhängig – schließlich kann ein Webseitenbetreiber das CMP so konfigurieren, dass es konform wird oder das TCF ganz im CMP abschalten.

Ist das TCF jetzt illegal?

Jein. Die aktuelle Form wird als nicht ausreichend angesehen. Das IAB Europe hat nun die Aufgabe, entsprechende Maßnahmen einzuleiten und das TCF wieder konform zu machen.

Wie geht es weiter?

Das IAB Europe hat nun 2 Monate Zeit um Maßnahmen zu erarbeiten und/oder Widerspruch einzureichen. Es wird davon ausgegangen, dass beides passiert: Gegen einzelne Bestandteile der Entscheidung wird es sicherlich einen Widerspruch geben – gleichzeitig wird man schauen, wie man das TCF auf sichere Beine stellen kann. Insbesondere ist hier auch das Ziel, das TCF in einen Code of Conduct (CoC) zu überführen. Daran wird beim IAB bereits seit längerem gearbeitet. Ein CoC hätte weitere Vorteile und größere rechtliche Sicherheit.

Wen betrifft das Urteil?

Direkt betrifft es zunächst erstmal nur das IAB Europe. Indirekt betrifft es mittelfristig CMPs, Anbieter und Publisher – spätestens wenn neue Zwecke und Rechtsgrundlagen im Consent Layer eingestellt werden müssen oder sich der technische Unterbau ändert.

Wie sollte ich jetzt reagieren?

Wie bei allem. ist es nicht falsch, ersteinmal genau zu schauen und abzuwarten wie sich die Akteure verhalten.

Als eine generelle Empfehlung kann abgeleitet werden, dass „berechtigtes Interesse“ nicht als ausreichende Rechtsgrundlage für Onlinewerbung angesehen wird – das hatte sich ebenso bereits im Vorfeld und bei anderen Urteilen angekündigt. Sofern Sie also Marketingtools in Ihrer Webseite einsetzen, sollten Sie überprüfen, ob diese eine Zustimmung brauchen.

Generell empfehlen wir, das TCF nur dann einzusetzen, wenn es wirklich nötig ist. Für die meisten E-Commerce-Websites dürfte das z.B. nicht zutreffen. Gleichzeitig werden die meisten Nachrichtenseiten weiterhin auf das TCF angewiesen sein. Hier empfehlen wir, die Beschreibungstexte und Anbieterlisten genau zu kontrollieren und ggf. genauere Beschreibungen und weitere Informationen zu liefern.

Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste

Checkliste herunterladen

Muss ich jetzt alle meine Daten löschen?

Nein. Das belgische Urteil betrifft erstmal nur das IAB Europe. Indirekt kann allerdings davon ausgegangen werden, dass ein „reines TCF CMP“ ebenfalls unter die Bedingungen des Urteils fällt und damit die Zustimmung nicht rechtsmäßig eingeholt hat.

Sind Webseiten die das TCF verwenden nun in Gefahr?

Jein. Einerseits werden Akteure erst einmal abwaren – das betrifft auch die anderen Datenschutzbehörden in anderen Ländern. Solange das Verfahren noch „schwebt“, macht es keinen wirklichen Sinn, das Verfahren als Grundlage für Abmahnungen oder neue Verfahren zu nutzen.

Andererseits ist weiterhin unklar, ob das TCF ansich, unter bestimmten Bedingungen, nicht doch auch konform verwendet werden kann. Auch hier bleibt insofern also abzuwarten und ggf. die Entwicklung des TCF im Auge zu behalten.

Was tut consentmanager für mich? Was muss ich tun?

consentmanager ist, als Mitglied beim IAB Europe und in diversen Landesverbänden und anderen Gruppen, aktiv an den Beratungen und Entscheidungen innerhalb des IAB beteiligt. Insofern wird consentmanager alle nötigen Schritte zeitnah umsetzen können, um seine Kunden entsprechend rechtlich oder technisch schützen zu können.

Sie als consentmanager-Kunde müssen daher erst einmal nichts konkretes tun (Ausnahmen siehe oben). Alle technischen und prozeduralen Anpassungen, die ein „neues“ TCF erfordert, können von uns direkt intern vorgenommen werden – es ist nicht nötig Codes jetzt auszutauschen.

Ihre Frage nicht dabei?

Nehmen Sie gern direkt mit uns Kontakt auf.


Weitere Beiträge

Videos

Webinar: No cookies = revenue losses? 

Die Online-Welt steht vor großen Veränderungen, insbesondere für Publisher und Werbetreibende. Am 11. März haben wir gemeinsam mit Refinery89.com das Webinar „No Cookies = Revenue Losses” veranstaltet, um einen Blick in die Zukunft zu werfen.   Das Webinar fand in englischer Sprache statt.   Folgende Themen wurden besprochen:   Überblick Das Webinar lieferte wertvolle Einblicke, wie sich Publisher […]
webinar consentmanager and oxid
Videos

Webinar: Cookie Banner: DSGVO-konform mit consentmanager & OXID

Am 04.10.2023 haben wir zusammen mit unserem Partner OXID das Webinar „Cookie Banner: DSGVO-konform mit consentmanager & OXID“ veranstaltet. Einblicke in die internationale Rechtslage und die Integration eines Cookie-Banners in Verbindung mit dem neuen OXID-Plugin wurden neben rechtlichen Grundlagen rund um die DSGVO praxisnah erklärt. Folgende Themen wurden besprochen:  Überblick In dem „Webinar: Cookie-Banner: DSGVO-konform mit […]

CMP

Ihre Fragen zu CMP & Co.

Wenn Sie sich nicht sicher sind, ob Sie ein CMP brauchen oder nicht, treten Sie gern in Kontakt mit uns – wir werden Ihnen helfen die richtige Lösung für Ihr Unternehmen zu finden.