EU-Datenschutzbehörde: Zustimmungs-Popups des IAB Europe sind rechtswidrig

IAB Europe - Interactive Advertising Bureau Europe (der europäische Verband für das Ökosystem des digitalen Marketings und der Werbung) wurde zu einem Bußgeld in der Höhe von € 250.000 verdonnert.

Google, Amazon und die gesamte Tracking-Branche verlassen sich auf das Zustimmungssystem von IAB Europe [1], das sich nach von ICCL (Irish Council for Civil Liberties, Dublin) [2] koordinierten Beschwerden nun als illegal erwiesen hat.

Ausschnitt aus einem Screenshot der IAB Europe Webseite vom 03.03.2022. © by IAB Europe

In einer Entscheidung vom 2. Februar 2022 stellten 28 EU-Datenschutzbehörden, angeführt von der belgischen Datenschutzbehörde als führendes Aufsichtsorgan [3], im One-Stop-Mechanismus der DSGVO fest, dass der Handelsverband der Online-Werbebranche IAB Europe bei der Verarbeitung personenbezogener Daten im Rahmen seines Transparency and Consent Framework (TCF) [4] und des Real-Time Bidding (RTB)-Systems [5] mehrere Verstöße gegen die DSGVO begeht.

Mit anderen Worten, die Zustimmungs-Popups des TCFs, die die Europäer jahrelang geplagt haben, sind illegal. Alle durch sie gesammelten Daten müssen gelöscht werden! Diese Entscheidung wirkt sich auf die Online-Werbegeschäfte von Google, Amazon und Microsoft aus.

Das als Transparency & Consent Framework (TCF) bekannte Einwilligungs-Popup-System ist in 80% des europäischen Internets vertreten und wird von zahlreichen Cookie-Bannern, darunter auch kostenpflichtige, als Basis eingesetzt. Die Tracking-Branche behauptete, es sei eine Maßnahme zur Einhaltung der DSGVO. Heute haben die DSGVO-Vollstrecker entschieden, dass dieser Einwilligungs-Spam tatsächlich hunderte von Millionen Europäern ihrer Grundrechte beraubt hat.

Die Ergebnisse (ohne Gewähr, aus Übersetzung entnommen)

Es wurde festgestellt, dass das TCF-Einwilligungssystem auf folgende Weise gegen die DSGVO verstößt [6]:

  • TCF stellt nicht sicher, dass personenbezogene Daten sicher und vertraulich behandelt werden
    (Artikel 5 Absatz 1 Buchstabe f und 32 DSGVO).
  • TCF fordert die Zustimmung nicht ordnungsgemäß an und stützt sich auf eine rechtmäßige Grundlage (berechtigtes Interesse), die aufgrund des schwerwiegenden Risikos, das von Online-Tracking-basierter "Real-Time Bidding"-Werbung ausgeht, nicht zulässig ist
    (Artikel 5 Absatz 1 Buchstabe a und Artikel 6 DSGVO).
  • TCF schafft keine Transparenz darüber, was mit den Daten der Menschen passieren wird
    (Artikel 12, 13 und 14 DSGVO)
  • TCF versäumt es, Maßnahmen zu ergreifen, um sicherzustellen, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt
    (Artikel 24 DSGVO)
  • TCF verstößt gegen das Erfordernis des Datenschutzes durch Technikgestaltung
    (Art. 25 DSGVO)
  • Internationale Übermittlungen der Daten bieten keinen angemessenen Schutz
    (Artikel 44, Artikel 45, Artikel 46, Artikel 47, Artikel 48, Artikel 49) [A]

IAB Europa wird Fahrlässigkeit vorgeworfen

In der Entscheidung heißt es,

  • IAB Europe sei sich "der mit der Nichteinhaltung verbundenen Risiken bewusst" [B]
  • und "habe fahrlässig gehandelt" [B]

Es wurde auch festgestellt, dass IAB Europe seinen internen Datenschutzverpflichtungen nicht nachgekommen ist:

  • Versäumnis des IAB Europe, Aufzeichnungen über die Datenverarbeitung zu führen
    (Artikel 30 DSGVO)
  • Versäumnis des IAB Europe, eine Datenschutz-Folgenabschätzung durchzuführen
    (Art. 35 DSGVO)
  • Versäumnis des IAB Europe, einen Datenschutzbeauftragten zu bestellen
    (Art. 37 DSGVO)

Real-Time Bidding

Unter Berufung auf die "systematischen Mängel" [C] des TCF stellte die Entscheidung fest, dass "die auf der Grundlage des OpenRTB-Protokolls durchgeführten Verarbeitungsvorgänge nicht den Grundprinzipien der Zweckbindung und Datenminimierung entsprechen" [D].

Statement:
"Der TC String spielt eine zentrale Rolle in der aktuellen Architektur des OpenRTB-Systems. Damit unterstützt der TC String ein System, das große Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen darstellt, insbesondere angesichts des großen Umfangs der betroffenen Personenbezogenen Daten, der Profiling-Aktivitäten, der Vorhersage des Verhaltens und der anschließenden Überwachung der betroffenen Personen. [E]"

Darüber hinaus "ist die Einwilligung keine gültige Grundlage für die verarbeitungsvorgänge im OpenRTB, die vom TCF erleichtert werden". [F]

Löschung von Daten

Alle über den TCF gesammelten Daten müssen nun von den mehr als 1.000 Unternehmen gelöscht werden, die IAB Europe für die Nutzung des TCF bezahlen. Dazu gehören die Online-Werbegeschäfte von Google, Amazon und Microsoft. In der Entscheidung heißt es, dass diejenigen, die den TCF umsetzen, "die geeigneten Maßnahmen im Einklang mit den Artikeln 24 und 25 DSGVO ergreifen müssen, um sicherzustellen, dass personenbezogene Daten, die unter Verstoß gegen die Artikel 5 und 6 DSGVO erhoben wurden, nicht mehr verarbeitet und entsprechend entfernt werden". [F][G]

Hintergrund - eine langwierige Geschichte

Diese Feststellungen sind das Ergebnis eines Verfahrens, das von Beschwerdeführern bei der belgischen Datenschutzbehörde eingeleitet und vom Irish Council for Civil Liberties [8] koordiniert wurde. Zu den Beschwerdeführern gehören: Dr. Johnny Ryan vom Irish Council for Civil Liberties [8], Katarzyna Szymielewicz von der Panoptykon Foundation [9] (Polen), Stichting Bits of Freedom [10] (Niederlande), Ligue des Droits Humains [11] (Belgien), Dr. Jef Ausloos [12] und Dr. Pierre Dewitte [13]. Das belgische Verfahren folgt auf Beschwerden über die Unsicherheit des Online-Werbesystems "Real-Time Bidding" (RTB), das Dr. Ryan bereits 2018 initiiert hat.

Die Entscheidung wurde von der belgischen Datenschutzbehörde im Einvernehmen mit 27 anderen EU-Datenschutzbehörden getroffen und ist im Rahmen des "One-Stop-Shop"-Mechanismus der DSGVO in der gesamten Europäischen Union sofort bindend und durchsetzbar.

"Dies war ein langer Kampf", sagte Dr. Johnny Ryan vom Irish Council for Civil Liberties. "Der heutige Beschluss befreit Hunderte von Millionen Europäern von Einwilligungs-Spam und der größeren Gefahr, dass ihre intimsten Online-Aktivitäten von Tausenden von Unternehmen weitergegeben werden."

Die vollständige Entscheidung (in nicht offizieller) englischer Übersetzung[6] bzw. in niederländischer Originalfassung [7] als Download.

Quellenangabe:
[1] https://iabeurope.eu/
[2] https://www.iccl.ie/
[3] https://www.gegevensbeschermingsautoriteit.be
[4] https://iabeurope.eu/transparency-consent-framework/
[5] https://en.wikipedia.org/wiki/Real-time_bidding
[6] https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-21-2022-english.pdf
[7] https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-21-2022.pdf
[8] https://www.iccl.ie/
[9] https://en.panoptykon.org/
[10] https://www.bitsoffreedom.nl/
[11] https://www.liguedh.be/
[12] https://twitter.com/Jausl00s
[13] https://twitter.com/PiDewitte

Fußnoten:
[A] Paragraph 490 der Entscheidung
[B] Paragraph 547 der Entscheidung
[C] Paragraph 546 der Entscheidung
[D] Paragraph 429 der Entscheidung
[E] Paragraph 545 der Entscheidung
[F] Paragraph 495 der Entscheidung
[G] Paragraph 535 der Entscheidung

Bildnachweis:
Screenshot vom 03.03.2022 der IAB Webseite [1]

Changelog:
04.03.2022 - Überarbeitung Titel, Quellenangabe, Originalentscheid der Gegevensbeschermingsautoriteit
03.03.2022 - Erstfassung