Die belgische Datenschutzbehörde APD hat ein grundlegendes Element von Cookie-Bannern für rechtswidrig erklärt. Es geht dabei um die Schaltstelle, die in der weiteren Verarbeitung personalisierte Werbung ermöglicht und von unzähligen Webseitenbetreibern und Werbefirmen genutzt wird, auch von Google und Amazon. Die Entscheidung gilt für die gesamte EU und wird somit Auswirkungen auf unzählige Unternehmen haben.
Die belgische Datenschutzbehörde Autorité de protection des données (APD) hat eine weitreichende Entscheidung getroffen: Sie hat einen der wichtigsten Bausteine für Onlinewerbung für unzulässig erklärt. Es geht um das sogenannte Transparency and Consent Framework (TCF). Der Werbeverband IAB Europe, der diese Technik entwickelt hat und betreibt, muss nun ein Bußgeld von 250.000 Euro wegen datenschutzrechtlichen Verstößen zahlen (Entsch. v. 02.02.2022, Case number: DOS-2019-01377).
Die Entscheidung entfaltet in der gesamten Europäischen Union (EU) Wirkung. Gemäß Art. 56 Abs. 6 Datenschutz-Grundverordnung (DSGVO) gilt nämlich das sogenannte „One Stop Shop“-Prinzip. Demnach ist die federführende Aufsichtsbehörde alleiniger Ansprechpartner für grenzüberschreitende Datenverarbeitung durch den gleichen Verantwortlichen. Da IAB Europe den TCF-Mechanismus europaweit anwendet, kommt das Prinzip zum Tragen und die Entscheidung gilt auch für die Datenverarbeitung in Deutschland. Somit werden tausende Webseitenbetreiber, darunter Online-Shops und fast alle Online-Medien betroffen sein.
Was ist TCF?
Cookie-Banner sind schon seit Jahren immer wieder Gegenstand von datenschutzbehördlichen Entscheidungen. Sie werden ständig weiterentwickelt und immer wieder werden in einzelnen Vorgehensweisen Verstöße erkannt. Nun steht das TCF im Fokus. Es ist elementarer Bestandteil der Datenweitergabe von Webseiten.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Der Mechanismus kommt bei sogenanntem Real-Time-Bidding zum Einsatz. Real-Time-Bidding findet fast jedes Mal statt, wenn wir eine Webseite aufrufen. Jeder Besuch einer Webseite löst eine Auktion unter den Anbietern von Werbeanzeigen aus. Im Bruchteil einer Sekunde wird dafür ein Datenprofil des Nutzers an hunderte oder tausende von Unternehmen gesendet. Dieses enthält Informationen wie Alter, Geschlecht, Interessen, Kaufkraft und Wohnort – wichtige Kriterien, nach denen die Zielgruppen für Werbeanzeigen zusammengestellt werden. Diese Nutzerprofile werden durch das TCF von IAB Europe erstellt, sobald Nutzer bei einem Cookie-Banner auf „Akzeptieren“ klicken. Das TCF erzeugt dadurch einen sogenannten TC-String, der die Grundlage für die Erstellung der individuellen Profile bildet.
Verstöße gegen die DSGVO
Die belgischen Datenschützer sehen vor allem zwei Probleme, die das TCF in seiner aktuellen Form mit sich bringt. Nicht nur die Werbeprofile, sondern schon die TC-Strings selbst seien personenbezogene Daten. Kombiniert mit der IP-Adresse können Nutzer nämlich genau identifiziert werden. Deshalb müssen die TC-Strings selbst nach den Regeln der DSGVO behandelt werden. Das bedeutet, dass Nutzer vorab informiert zustimmen müssen, damit die Daten problemlos übertragen werden können – es ist also ihr Einverständnis erforderlich.
Außerdem muss es einen offiziellen Verantwortlichen geben, der für die Datenweiterverarbeitung der zahlreichen Unternehmen geradesteht. Nach Ansicht der Datenschutzaufsicht ist dies die Aufgabe der IAB Europe. Der Verband wäre insofern für jede Datenverarbeitung über das System rechtlich mitverantwortlich. Bisher hatte er deutlich gemacht, dass er diese Rolle nicht einnehmen will und sich als neutraler Anbieter eines technischen Standards verstanden.
Darüber hinaus verstoße der TCF-Mechanismus auch gegen diverse weitere DSGVO-Vorgaben. Die Kategorien, denen die Nutzer bei Cookie-Bannern zustimmen sollen, sind laut der Entscheidung zu vage. Die Nutzer können dadurch nicht verstehen, welchen Umfang die Datenweitergabe im Hintergrund habe. Auch bestehe für sie keine Möglichkeit, die verarbeiteten Daten effektiv nachzuvollziehen. Die Aufsichtsbehörde gibt IAB Europe zwei Monate Zeit, um zu erklären, wie sie die Probleme künftig beseitigen will.
IAB Europe prüft rechtliche Schritte
Der Werbeverband kündigte bereits an, rechtliche Schritte gegen die Entscheidung einzuleiten. Er betonte zudem, dass die Behörde das TCF nicht grundsätzlich verboten, sondern nur die konkrete Ausgestaltung für unzulässig befunden habe. Man könne die Mängel innerhalb von sechs Monaten beheben.
Die Zukunft der Cookie-Banner ist damit weiterhin ungewiss. Jedenfalls kann das Geschäft mit personalisierter Werbung nach der Entscheidung der belgischen Datenschützer aber nicht wie bisher weitergeführt werden.
ses/lrü