Die belgische Datenschutzaufsichtsbehörde hat mit Entscheidung vom 02. Februar 2022 im Einvernehmen mit den übrigen 27 EU-Datenschutzaufsichtsbehörden festgestellt, dass die Consent Pop-ups des Tracking-Branchengremiums Interactive Advertising Bureau Europe (IAB Europe) gegen die DSGVO verstoßen.
Gegenstand des vorausgegangenen Kooperationsverfahrens unter Federführung der belgischen Datenschutzaufsichtsbehörde war die Prüfung der datenschutzrechtlichen Zulässigkeit der vom IAB Europe entwickelten „Transparency & Consent Framework“ (TCF) Technologie. Diese Technologie wird seit mehreren Jahren von über 80 % der europäischen Websites und Apps verwendet, darunter namhafte Unternehmen wie Amazon, Google und Microsoft.
Nach Auffassung der belgischen Datenschutzaufsichtsbehörde, der sich die übrigen 27 EU-Datenschutzaufsichtsbehörden angeschlossen haben, verstößt das TCF-Zustimmungssystem gleich in mehrfacher Hinsicht gegen die DSGVO:
· Artikel 5 Absatz 1 a) und Artikel 6 DSGVO: Die Einwilligung ist nicht wirksam und es gibt keine gesetzliche Grundlage, auf die das Tracking von Online-Werbung gestützt werden kann.
· Artikel 12, 13 und 14 DSGVO: Die Internetnutzer werden nicht transparent darüber informiert, wie ihre Daten verarbeitet werden.
· Artikel 5 Absatz 1 f), 32, 24, 25 DSGVO: Es werden keine zureichenden Maßnahmen ergriffen, um sicherzustellen, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt
· Artikel 30, 35 und 37 DSGVO: Den Datenschutzverpflichtungen zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten, zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) und zur Bestellung eines Datenschutzbeauftragten wird nicht nachgekommen.
In seiner Entscheidung führt die belgische Datenschutzaufsichtsbehörde aus, dass sich IAB Europe „der Risiken im Zusammenhang mit der Nichteinhaltung bewusst war“ und „fahrlässig gehandelt hat“.
Die belgische Datenschutzaufsichtsbehörde hat aufgrund dieser Feststellungen entschieden, dass die IAB Europe den Verstößen innerhalb von sechs Monaten abhelfen muss, wobei der IAB Europe für den Fall der Nichtabhilfe ein Bußgeld in Höhe von EUR 5.000,00 pro Tag droht. Zudem muss die IAB Europe ein Bußgeld in Höhe von insgesamt EUR 250.000,00 zahlen.
Aufgrund des Verbreitungsgrades des TCF sowie der Vielzahl an betroffenen Internetnutzern dürfte es sich um einen der größten bislang festgestellten datenschutzrechtlichen Verstöße seit Bestehen der DSGVO handeln. Vor diesem Hintergrund verwundert es sehr, dass die belgische Datenschutzaufsichtsbehörde die Verstöße – trotz festgestellter Fahrlässigkeit – mit einem Bußgeld von lediglich EUR 250.000,00 sanktioniert hat. Allein vor dem Hintergrund des Art. 83 Absatz 1 DSGVO sowie des dort normierten Prinzips der Abschreckung wäre ein wesentlich höheres Bußgeld zu erwarten gewesen.
Unternehmen, die TCF verwendet haben, müssen zunächst keine Sanktionen befürchten. Sie sollten allerdings unverzüglich sicherstellen, dass die Daten von Internetnutzern, die mit oder auf Grundlage von TCF erhoben wurden, umgehend gelöscht werden.
Falls Sie Fragen zum datenschutzkonformen Einsatz von (digitalen) Kommunikations- und Werbemitteln und/oder zum Einsatz von Consent Management Systemen haben, können Sie sich gerne jederzeit an unsere zertifizierten Datenschutzexperten wenden.