Belgiens Datenwächter stellte fest, dass der Industriestandard für die Verwaltung von Benutzereinstellungen in Europa gegen mehrere Bestimmungen der Allgemeinen Datenschutzverordnung (DSGVO) verstößt, und forderte Werbetreibende auf, die gesammelten Daten zu löschen.
Die belgische Datenschutzbehörde hat am Mittwoch (2. Februar) eine lang erwartete Entscheidung getroffen, die auf einer Reihe von Beschwerden basiert, die 2019 gegen das Interactive Advertising Bureau Europe (IAB), den Fachverband für digitale Werbung, eingereicht wurden.
Die Beschwerden bezogen sich auf das Transparency & Consent Framework (TCF) des IAB Europe, das Werbetreibende verwenden, um Benutzerpräferenzen zu erfassen. Diese Präferenzen werden in Echtzeitauktionen geteilt, die in Sekundenbruchteilen stattfinden, um Werbeflächen zuzuweisen.
„Die Verarbeitung personenbezogener Daten (z. B. die Erfassung von Benutzereinstellungen) gemäß der aktuellen Version des TCF ist aufgrund eines inhärenten Verstoßes gegen den Grundsatz der Fairness und Rechtmäßigkeit nicht mit der DSGVO vereinbar“, sagte Hielke Hijmans, der Vorsitzende der Prozesskammer der Behörde .
Durch das Framework werden Benutzer aufgefordert, ihre Präferenzen beim Besuch einer Website über ein Popup-Banner zu äußern. Der TCF speichert diese Präferenz und stellt sie den an der Online-Auktion teilnehmenden Organisationen zur Verfügung.
„Die Leute werden aufgefordert, ihr Einverständnis zu geben, wobei die meisten von ihnen nicht wissen, dass ihre Profile viele Male am Tag verkauft werden, um sie personalisierten Anzeigen auszusetzen“, fügte Hijmans hinzu.
Benutzereinstellungen werden auch über ein Cookie auf dem Gerät gespeichert, das in Kombination mit den vom TCF gespeicherten Daten mit der IP-Adresse verknüpft ist, einem eindeutigen Code, der den Benutzer identifizieren kann.
Die belgische Behörde betrachtete das IAB Europe als einen für Verstöße gegen die DSGVO verantwortlichen Datenverantwortlichen, ein Punkt, den der Verband mit der Begründung bestreitet, dass er lediglich die Branche bei der Entwicklung eines gemeinsamen Standards unterstützt habe.
„Die Verantwortlichkeit scheint auf das IAB ausgeweitet worden zu sein, genau weil sie das System entwickelt haben, nicht weil sie Daten verarbeiten“, sagte Otto Lindholm, Leiter der Abteilung Daten und Datenschutz bei Dottir Attorneys.
„Jetzt kratzen sich die Anbieter am Kopf und fragen sich, wie weit sie ihr Fachwissen bei der Empfehlung von Systemen und Lösungen für ihre Kunden bringen können, ohne die unscharfe Grenze der Kontrolle zu überschreiten“, bemerkte Lindholm.
Für Charles-Albert Helleputte, Leiter der Datenschutzpraxis bei Steptoe, bestätigt die Entscheidung „einen Trend; Die Aufsichtsbehörden arbeiten daran, eine breite Erweiterung grundlegender DSGVO-Konzepte zu untersuchen.“
Helleputte argumentiert, dass der Grund in diesem Fall opportunistisch war, da es wahrscheinlich bequemer ist, die standardsetzende Organisation ins Visier zu nehmen, als gegen das gesamte Ökosystem vorzugehen.
Die belgische Behörde stellte fest, dass IAB Europe keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten hatte und die Rechtsgrundlage für die Weitergabe dieser Daten an Anbieter „unzureichend“ war.
„Die Datenschutzbehörde hat deutlich gemacht, was viele Beobachter schon seit einiger Zeit sagen: dass ‚legitime Interessen‘ keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten sind, die über nicht unbedingt notwendige Cookies erlangt werden“, sagte Robert Bateman, Forschungsleiter bei den GRC World Forums, sagte EURACTIV.
Bateman bemerkte, dass, da Benutzer nicht aufgefordert werden sollten, sich von nicht wesentlichen Cookies abzumelden, „dies das Ende dieser langen Dropdown-Listen von Anbietern sein könnte, die auf vielen Websites standardmäßig automatisch aktiviert werden“.
Auch die Pflichten eines Auftragsverarbeiters wie das Führen eines Registers oder die Durchführung von Folgenabschätzungen sei der Berufsverband nicht erfüllt.
Darüber hinaus war die Behörde der Ansicht, dass die Nutzer nicht angemessen über die Funktionsweise von TCF informiert wurden. Sie stellten fest, dass das System die Daten nicht sicher und vertraulich behandeln konnte, was gegen die Anforderung des „Datenschutzes durch Design“ verstieß.
„Die heutige Entscheidung befreit Hunderte Millionen Europäer von lästigen und irreführenden Einwilligungsanfragen. Es sollte sie auch vor illegaler Überwachung durch Technologiefirmen schützen“, sagte Johnny Ryan, Senior Fellow beim Irish Council for Civil Liberties (ICCL) und einer der Architekten hinter den Beschwerden.
ICCL schätzt, dass der TCF 80 % des europäischen Internets ausmacht, darunter über 1.000 Unternehmen und bedeutende Werbetreibende wie Google, Amazon und Microsoft. Als Folge der Entscheidung werden alle über TCF erhobenen Daten gelöscht.
Die belgische Datenaufsicht verhängte gegen IAB Europe eine Geldstrafe von 250.000 € und mehrere Korrekturmaßnahmen, um sicherzustellen, dass die TCF mit der DSGVO konform ist.
Diese Rechtsbehelfe umfassen die Schaffung einer Rechtsgrundlage und die Überprüfung der teilnehmenden Organisationen, um sicherzustellen, dass sie auch die EU-Datenschutzvorschriften einhalten.
„Dies könnte große Auswirkungen auf die digitale Werbelandschaft haben, aber es bleibt abzuwarten, wie effektiv das IAB sicherstellen kann, dass TCF-Teilnehmer DSGVO-konform sind“, fügte Bateman hinzu.
IAB Europe hat nun zwei Monate Zeit, um einen Aktionsplan vorzulegen, der zeigt, wie es der Entscheidung der Behörde nachkommen wird, und sechs Monate, um ihn umzusetzen.
In einer Erklärung verpflichtete sich IAB Europe, in den kommenden Monaten mit der belgischen Behörde zusammenzuarbeiten, und begrüßte, dass die Entscheidung die TCF nicht vollständig verbietet, wie die Beschwerdeführer forderten.
„Wir prüfen alle Optionen im Hinblick auf eine rechtliche Anfechtung“, heißt es in der Erklärung weiter.
[Edited by Alice Taylor]