Skip to main content

IAB Europe erhält Geldstrafe von der belgischen Datenschutzbehörde wegen DSGVO-Verstößen

Die jüngste Entscheidung über einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) kommt aus Belgien. Die belgische Datenschutzbehörde verhängte gegen IAB Europe eine Geldstrafe in Höhe von 250.000 Euro wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) im Zusammenhang mit dem Transparency and Consent Framework (TCF). Wir untersuchen den Hintergrund dieses Falles und die Auswirkungen, die er auf Marketing- und Werbeagenturen in ganz Europa haben wird.

Was ist IAB Europe?

IAB (Interactive Advertising Bureau) Europe ist ein Verband für digitales Marketing und Werbung, der sich aus nationalen IABs, Medienunternehmen, Technologiefirmen sowie Marketing- und Werbeagenturen zusammensetzt. Ihre Aufgabe ist es, die Zusammenarbeit zwischen Politikern und der Werbe- und Marketingbranche zu fördern, um branchenweite Standards und Praktiken zu schaffen, die die Geschäftsentwicklung in ganz Europa unterstützen.

Was ist das Transparency and Consent Framework (TCF)?

Eine der größten Errungenschaften der Organisation war die Schaffung und Umsetzung des TCF. Es wird als "die einzige DSGVO-Einwilligungslösung, die von der Branche für die Branche entwickelt wurde und einen echten Industriestandardansatz schafft" beschrieben.

Grundsätzlich schafft das TCF eine Umgebung, in der Webseitenbesitzer ihre Besucher darüber informieren können, welche Arten von personenbezogenen Daten gesammelt werden, wie die Daten verarbeitet und verwendet werden und welche anderen Dritten Zugang zu ihnen haben. Das TCF gibt Fachleuten auch eine gemeinsame Sprache an die Hand, die sie verwenden können, wenn sie Informationen über die informierte Zustimmung zur Erhebung personenbezogener Daten geben.

Damit sollte sichergestellt werden, dass alle am digitalen Marketing- und Werbeprozess Beteiligten bei der Verarbeitung personenbezogener Daten, oder der Speicherung von Informationen auf Geräten durch die Verwendung von Cookies, IDs und anderen Tracking-Technologien mit der DSGVO und der ePrivacy-Verordnung konform sind.

Dies war besonders wichtig für Unternehmen, die das OpenRTB-Protokoll verwenden - eines der am weitesten verbreiteten Protokolle für Echtzeitgebote, das für Werbetreibende wichtig ist, die für Werbeplätze auf Webseiten bieten. Alltägliche Nutzer wissen oft nichts von diesen Protokollen und Algorithmen, die auf sie abzielen und die Prozesse hinter den Kulissen steuern, kennen aber die Pop-ups hierzu. Diese Pop-ups oder Banner - die in der Regel von Zustimmungsmanagement-Plattformen (CMP) betrieben werden - ermöglichen es den Nutzern, der Erhebung und Verwendung ihrer personenbezogenen Daten zuzustimmen. Das TCF hilft dabei, über die CMP die Präferenzen der Nutzer zu erfassen.

Anschließend werden die Präferenzen in einem TC-String gespeichert, der mit anderen Organisationen im OpenTRB-System geteilt werden kann. Diese Zeichenkette ist zusammen mit den Cookies an die IP-Adresse eines Nutzers gebunden, wodurch dieser identifizierbar wird.

Der Fall gegen IAB Europe

Seit 2019 sind bei der belgischen Datenschutzbehörde zahlreiche Beschwerden über IAB Europe eingegangen, die sich speziell auf die TCF und deren Verletzung der DSGVO beziehen. Erst diese Woche hat sie den Fall abgeschlossen und den Argumenten in den Beschwerden zugestimmt.

Auf der Grundlage der Verwendung von TCF stellte die Datenschutzbehörde fest, dass IAB Europe "als für die Datenverarbeitung Verantwortlicher im Hinblick auf die Registrierung der Zustimmungen, Einwände und Präferenzen der einzelnen Nutzer mittels einer eindeutigen Transparenz- und Zustimmungszeichenkette (TC) handelt, der mit einem identifizierbaren Nutzer verknüpft ist". Das bedeutet, dass sie an die DSGVO gebunden und für etwaige Verstöße verantwortlich sind. Sie listeten verschiedene Verstöße gegen die DSGVO auf:

  • Rechtmäßigkeit: IAB Europe hat keine Rechtsgrundlage für die Verarbeitung des TC-Strings geschaffen.
  • Transparenz: Die von der CMP bereitgestellten Informationen sind zu allgemein und vage, was es den Nutzern erschwert, die Kontrolle über ihre personenbezogenen Daten zu behalten.
  • Rechenschaftspflicht und Sicherheit: Es gibt keine organisatorischen oder technischen Maßnahmen im Sinne des Datenschutzes by Design und by Default.
  • Andere Verpflichtungen: IAB Europe hatte keinen Datenschutzbeauftragten ernannt, keine Datenschutz-Folgenabschätzung (DPIA) durchgeführt und kein Protokoll über die Verarbeitungstätigkeiten geführt.

Auf der Grundlage dieser Feststellungen hat die belgische Datenschutzbehörde gegen IAB Europe eine Geldstrafe in Höhe von 250.000 Euro verhängt und dem Unternehmen zwei Monate Zeit gegeben, einen Aktionsplan zur Behebung dieser Verstöße zu erstellen, und sechs Monate, um diesen umzusetzen. Die Datenschutzbehörde hat außerdem erklärt, dass IAB Europe alle Nutzerdaten, die derzeit im Rahmen des aktuellen TCF-Systems verarbeitet werden, unverzüglich löschen muss.

IAB Europe plant, gegen diese Entscheidung Berufung einzulegen, wie das Magazin Forbes berichtet: "Wir lehnen die Feststellung ab, dass wir ein für die Datenverarbeitung Verantwortlicher im Zusammenhang mit der TCF sind. Wir glauben, dass diese Feststellung rechtlich falsch ist und erhebliche unbeabsichtigte negative Folgen haben wird, die weit über die digitale Werbebranche hinausgehen. Wir erwägen alle Optionen für eine rechtliche Anfechtung".

Die Auswirkungen der belgischen DPA-Entscheidung

Genau wie die österreichische DPA-Entscheidung gegen Google Analytics wird auch die jüngste belgische Entscheidung weitreichende Auswirkungen in ganz Europa und den USA haben.

Hielke Hijmans, Vorsitzender der Prozesskammer der belgischen Datenschutzbehörde, erklärte zu der Entscheidung: "Die Verarbeitung personenbezogener Daten (z. B. die Erfassung von Nutzerpräferenzen) im Rahmen der aktuellen Version des TCF ist aufgrund eines inhärenten Verstoßes gegen den Grundsatz der Fairness und Rechtmäßigkeit nicht mit der Datenschutz-Grundverordnung vereinbar. Die Menschen werden aufgefordert, ihre Zustimmung zu geben, während die meisten von ihnen nicht wissen, dass ihre Profile mehrmals täglich verkauft werden, um sie mit personalisierter Werbung zu konfrontieren. Auch wenn es sich um das TCF und nicht um das gesamte Echtzeitgebotssystem handelt, wird unsere heutige Entscheidung erhebliche Auswirkungen auf den Schutz der personenbezogenen Daten der Internetnutzer haben. Die Ordnung im TCF-System muss wiederhergestellt werden, damit die Nutzer wieder die Kontrolle über ihre Daten erlangen können.

Aufgrund des One-Stop-Mechanismus ist diese Entscheidung in Belgien sofort in der gesamten EU durchsetzbar. Nach Angaben des Irish Council for Civil Liberties stützen sich derzeit rund 80 % des europäischen Internets auf TCF. Die Entscheidung, das IAB Europe zu sanktionieren und die Verwendung von TCF einzuschränken, wird sich zusammen mit der Anforderung, alle aktuellen Daten zu löschen, auf Verlage, Werbetreibende, Tech-Unternehmen und große Tech-Unternehmen wie Google und Amazon auswirken.

Viele Werbetreibende suchen nach einem Ausweg, aber für Verlage und Webseitenbetreiber könnten die nächsten Schritte darin bestehen, Cookie-freie Optionen zu implementieren, die keine IP-Adressen mehr verfolgen, keine Daten auf den Geräten der Nutzer speichern und keine Zustimmungspräferenzen durch CMPs erfordern.

Das bedeutet, dass unser Produkt DSGVO/CCPA-konform ist und ohne Cookies, Zustimmungsbanner oder die Speicherung von Daten funktioniert.