Am 2. Februar 2022 hat die belgische Datenschutzbehörde eine sehr wichtige Entscheidung mit weitreichenden Folgen für die Werbebranche (Publisher, Werbetreibende und Anbieter) getroffen. Viele Kunden, Partner und Interessenten haben uns dazu spannende Fragen gestellt.
Als Anbieter einer Consent Management Platform (CMP) unterstützen wir unsere Kunden bei der Erfassung und Verwaltung von Einwilligungen. Deshalb ist es uns wichtig, dieses Thema anzusprechen und nützliche Dokumentationen bereitzustellen.
In unserem Bemühen nach mehr Transparenz haben wir am 10. Februar ein Webinar veranstaltet. Darin haben wir diese Entscheidung besprochen und mit Kunden, Interessenten und Partnern über unsere empfohlenen Maßnahmen, die möglichen geschäftlichen Auswirkungen und zukünftige Szenarien diskutiert.
Didomis Chief Technology Officer (CTO) Jawad Stouli, Chief Privacy Officer (CPO) Thomas Adhumeau, Vice-President (VP) of Product Antonio Anguiano und Agnostiks Gründer Frank Ducret moderierten die Veranstaltung.
Sehen Sie sich die Aufzeichnung (auf Englisch) hier an und erfahren Sie im Folgenden mehr zum Thema:
Zusammenfassung
-
Die Entscheidung der belgischen Datenschutzbehörde im Überblick
-
Mögliche Zukunftsszenarien und wie sich Unternehmen dafür wappnen können
Was ist das Transparency and Consent Framework (TCF)?
Werfen wir zunächst einen Blick auf das Transparency and Consent Framework (TCF), bevor wir auf die Entscheidung der belgischen Datenschutzbehörde eingehen.
Das vom IAB Europe geschaffene TCF wird beschrieben als eine „weltweite, branchenübergreifende Bemühung, Publisher, Tech-Anbieter, Agenturen und Werbetreibende dabei zu unterstützen, die Transparenz- und Nutzerauswahlanforderungen der DSGVO zu erfüllen“.
Die digitale Werbebranche soll Nutzern ein angemessenes Maß an Transparenz bieten und gleichzeitig Publishern ausreichend Kontrolle einräumen. Dazu war allerdings ein standardisiertes, weitgehend akzeptiertes System zur Verwaltung von Einwilligungen notwendig. Und dieses besteht aus vier Säulen:
-
Richtlinien für Publisher, Anbieter und CMPs
-
Vorgaben, die Beteiligte umsetzen müssen
-
Eine globale Anbieterliste für eine zentrale und aktuelle Auflistung aller Beteiligten
-
CMPs, die nicht direkt vom IAB Europe verwaltet werdenThis decision from the Belgian APD has impacted all four pillars.
Die Entscheidung der belgischen Datenschutzbehörde wirkt sich auf alle vier Säulen aus.
Die Entscheidung der belgischen Datenschutzbehörde im Überblick
Die Entscheidung der belgischen Datenschutzbehörde ist ein äußerst komplexes Werk. Deshalb fassen wir diese in vier zentralen Punkten zusammen:
-
TC-Strings unter dem TCF, also die von der Werbeindustrie gespeicherten Zustimmungssignale, gelten als personenbezogene Daten, die eine Rechtsgrundlage erfordern. Das könnte eine Einwilligung, das berechtigte Interesse oder eine andere Grundlage sein.
-
IAB Europe handelt in diesem Sinne als ein für die Datenverarbeitung Verantwortlicher („Data Controller“), auch wenn es die Einwilligungsdaten nicht verarbeitet.
-
IAB Europe und die TCF-Teilnehmer (Anbieter, CMPs, Publisher) sind Mitverantwortliche für die Datenverarbeitung. Laut Auffassung der Datenschutzbehörde fehlt es daher an einer Rechtsgrundlage für die Verarbeitung von TC-Strings.
-
Die bestehenden Sicherheitsmaßnahmen zum Schutz der Daten des Einwilligungssignals sind nicht ausreichend.
Aus diesem Grund wurde eine Geldstrafe von 250.000 Euro gegen das IAB Europe verhängt. IAB Europe hat nun zwei Monate Zeit, um einen Maßnahmenplan vorzulegen. Anschließend muss sie diesen innerhalb von sechs Monaten umsetzen, sobald ihn die Datenschutzbehörde genehmigt hat.
Was heißt das für unsere Kunden? Wie wirkt sich das auf Publisher und Werbetreibende aus?
-
TCF-Beteiligte dürfen sich künftig bei der Datenverarbeitung nicht mehr auf das berechtigte Interesse berufen (jedenfalls bei verhaltensorientierter Werbung). Dies gilt zumindest für das TCF in seiner derzeitigen Form.
-
Bei einer Liste mit Hunderten von Anbietern können Nutzer keine informierte Zustimmung erteilen. Die Einwilligungseinholung ist in der derzeitigen Form also ungültig.
-
Die aktuell den Nutzern vorgelegten Informationen reichen nicht aus, um informiert zuzustimmen.
Was können unsere Kunden schon jetzt unternehmen, während das IAB Europe einen Plan entwirft?
Empfohlene Maßnahmen für unsere Kunden
Unser Team hat eine Liste mit sechs Empfehlungen zu dieser Thematik zusammengestellt. Damit möchten wir Sie und unsere anderen Partner in den kommenden Monaten unterstützen. Da wir ein Datenverarbeiter sind, schreiben wir unseren Kunden keine Maßnahmen vor, sondern geben lediglich Empfehlungen ab.
Empfehlung 1: Verlangen Sie die Zustimmung für alle TCF-Anbieter und -Zwecke mittels Publisher-Einschränkungen
Die belgische Datenschutzbehörde hat darauf hingewiesen, dass ein berechtigtes Interesse keine akzeptable Rechtsgrundlage für die TCF-Zwecke ist.
Wir empfehlen, über unser entsprechendes Feature in der Konsole Publisher-Einschränkungen hinzuzufügen, um Anbieter auf der Grundlage des berechtigten Interesses zu filtern und nur die Einwilligung als Rechtsgrundlage zu akzeptieren..
Empfehlung 2: Bewerten und begrenzen Sie die Anzahl der Anbieter, für die Sie Einwilligungen einholen
Die belgische Datenschutzbehörde weist darauf hin, dass Nutzer nicht informiert zustimmen können, wenn die Anzahl von Anbietern in einer Einwilligungserklärung zu hoch ist.
Ihre Anbieter-Liste sollte vollständig sein und ein hohes Maß an Kontrolle über Ihre Wertschöpfungskette garantieren. Insbesondere raten wir Ihnen, die Anbieter zu bewerten und herauszufinden, welche den höchsten Stellenwert für Ihre Geschäftstätigkeiten haben. Das können Sie über Plattformen wie der von Agnostik erledigen. Diese unterstützt sie mit einzigartigem Know-how in der Bewertung der Identität und des Verhaltens von Anbietern.
Die belgische Datenschutzbehörde gab keine Empfehlung zur Anbieter-Anzahl ab. Halten Sie diese Liste am besten möglichst übersichtlich (und dokumentieren Sie, wie Sie zu dieser Anzahl gekommen sind). Analysieren Sie, was aus Compliance-Sicht sinnvoll und richtig ist. Berücksichtigen Sie dabei die notwendige Transparenz gegenüber Ihren Nutzern, Ihre Geschäftsprioritäten sowie die Monetarisierungs- und allgemeinen Werbeeinschränkungen.
Empfehlung 3: Geben Sie die Kategorien der erfassten Daten im Text Ihrer Einwilligungserklärung oder in den Präferenzen an
Hier geht es um Transparenz und Klarheit. Wir raten Ihnen dringend dazu, die auf Ihren Seiten erhobenen Datenkategorien in der Einwilligungserklärung offenzulegen. Das können Sie über unsere CMP implementieren. Indem Sie die Kategorien der erfassten Daten (z. B. „Wir erheben Kontaktinformationen und berufsbezogene Daten“) in Ihrer Einwilligungserklärung angeben, kommunizieren Sie offen und transparent mit Ihren Nutzern.
Die meisten unserer Kunden legen ohnehin bereits großen Wert darauf. Da es aber in der Entscheidung ausdrücklich erwähnt wird, heben wir diesen Punkt noch einmal hervor.
Empfehlung 4: Teilen Sie die IAB-Zwecke in Kategorien ein
Die belgische Datenschutzbehörde weist in ihrer Entscheidung auch darauf hin, dass die TCF-Zwecke in seiner derzeitigen Form nicht klar genug kommuniziert werden. Das könnte die Gültigkeit der gesammelten Zustimmungen gefährden, da Endnutzer möglicherweise nicht verstehen, was sie überhaupt akzeptieren.
Teilen Sie die Zwecke nach Möglichkeit in leicht verständliche Kategorien ein. So gehen Sie sicher, dass Nutzer diese auch wirklich verstehen. Auch dies können Sie über unsere Plattform einfach konfigurieren.
Empfehlung 5: Machen Sie den Widerruf der Zustimmung einfach und leicht zugänglich
Wenn Nutzer nicht wissen, wie sie eine Einwilligung widerrufen können, gefährdet das deren Gültigkeit.
Kunden sollen ihre Einwilligung einfach widerrufen können, z. B. direkt über die Nutzereinstellungen oder ihr Profil.
Empfehlung 6: Legen Sie die Einwilligungserklärung Ihren Benutzern wiederholt vor
Die belgische Datenschutzbehörde ist der Ansicht, dass alle vor der Entscheidung gesammelten Einwilligungssignale womöglich gegen die DSGVO verstoßen. Deshalb empfehlen wir Ihnen, die CMP-Einwilligungserklärung erneut für Ihre Nutzer anzuzeigen, nachdem Sie die oben erwähnten Empfehlungen implementiert haben.
In unserem Hilfecenter-Artikel finden Sie weitere Informationen zu unseren Ratschlägen bezüglich der Entscheidung der belgischen Datenschutzbehörde.
Mögliche Zukunftsszenarien und wie sich Unternehmen dafür wappnen können
In Hinblick auf die Entscheidung der Datenschutzbehörde halten wir zwei zukünftige Szenarien für möglich.
-
Szenario 1: Das TCF wird nach Abstimmung mit der Datenschutzbehörde und Umsetzung der erforderlichen Änderungen akzeptiert.
-
Szenario 2: Das TCF wird von der Datenschutzbehörde auch nach Umsetzung der geforderten Änderungen abgelehnt.
In jedem Fall brauchen wir alternative Lösungen für Unternehmen, deren Existenz von Werbemaßnahmen abhängt, seien es Publisher oder Werbetreibende. Angesichts der Entscheidung ist die Werbung im Rahmen des Open RTB („Echtzeit-Bieten“) aus Compliance-Sicht schwierig.
Nachfolgend finden Sie Antworten auf einige der nützlichsten Fragen, die während des Webinars gestellt wurden. Sie haben weitere Fragen? Werfen Sie bitte einen Blick auf unsere Dokumentation zu diesem Thema und kontaktieren Sie Ihren Account Manager, wenn Sie ein Didomi-Kunde sind.
Häufig gestellte Fragen
- Allgemeine Fragen
- Didomi und die Entscheidung der belgischen Datenschutzbehörde
- Transparency and Consent Framework (TCF)
- Konkrete Maßnahmen und Empfehlungen
Allgemeine Fragen
Gilt die Entscheidung nur für Belgien? Sollten Unternehmen anderer europäischer Länder den Entscheid der belgischen Datenschutzbehörde auch berücksichtigen?
Auch andere Datenschutzbehörden haben den Entwurf der Entscheidung bekommen. Die belgische Datenschutzbehörde hat von zwei Behörden Stellungnahmen zu Folgendem erhalten:
-
Die von der belgischen Behörde geschaffene Mitverantwortung
-
Die Nutzung des berechtigten Interesses für bestimmte Verarbeitungsprozesse
-
Der Umfang der Korrekturmaßnahmen
-
Das vorgesehene Bußgeld und die Beziehung zwischen IAB Inc. und IAB Europe
Der überarbeitete Entwurf wurde dann an die anderen betroffenen Datenschutzbehörden weitergeleitet. Diese haben jedoch keine weiteren Kommentare abgegeben. Das spricht dafür, dass sie den Feststellungen zugestimmt haben. Die Datenschutzbehörden werden die Entscheidung wohl bei der Beurteilung künftiger Fälle berücksichtigen.
Wie lautet der Zeitplan der Entscheidung?
Die Entscheidung der Datenschutzbehörde wurde angefochten. Dem IAB Europe wurde zunächst eine Frist von zwei Monaten gewährt, um der belgischen Datenschutzbehörde einen entsprechenden Plan vorzulegen, der die Feststellungen der Behörde berücksichtigt. Außerdem hat sie weitere sechs Monate für die Umsetzung dieser Änderungen Zeit, sobald der Plan von der Datenschutzbehörde genehmigt wurde.
Gibt es rechtliche Risiken für mich, wenn ich weiterhin eine TCF-integrierte CMP nutze?
Wenn Sie das TCF nicht aktivieren, wirkt sich die Entscheidung nicht auf Sie aus.
Falls Sie das TCF über unsere CMP nutzen, sehen Sie sich bitte unsere Empfehlungen zur Risikominderung an.
Didomi und die Entscheidung der belgischen Datenschutzbehörde
CMPs werden von der Datenschutzbehörde als für die Datenverarbeitung Mitverantwortliche betrachtet. Was denken Sie darüber?
Wir haben uns immer als Datenverarbeiter gesehen. Schließlich schreiben wir unseren Kunden nicht vor, wie sie mit ihren Nutzern interagieren sollen. Wir werden das in Zukunft vielleicht ändern und als ein für die Datenverarbeitung Verantwortlicher handeln, um der Entscheidung der Datenschutzbehörde gerecht zu werden.
Wie wirkt sich die Entscheidung der belgischen Datenschutzbehörde auf die Didomi-CMP im Sinne des TCF aus?
Wir bewerten derzeit die Auswirkungen der Entscheidung. Die belgische Datenschutzbehörde ist scheinbar der Auffassung, dass CMP-Anbieter mitverantwortlich für die Verarbeitung der Einwilligungsdaten sind (in diesem Fall der TC-String). CMPs sollten daher eine Rechtsgrundlage schaffen, wie jeder andere für die Verarbeitung Verantwortliche auch.
Werden Sie Ihrerseits irgendwelche Maßnahmen ergreifen oder Änderungen an der CMP vornehmen?
Wir haben uns immer als Datenverarbeiter betrachtet. Wir bieten lediglich eine TCF-Integration an, aber wir schreiben deren Nutzung nicht vor.
Unserer Ansicht nach sollten wir als CMP-Anbieter den einzelnen Publishern und deren Kunden keine bestimmte Auffassung über die Einhaltung von Vorschriften aufzwingen.
Bis auf Weiteres sehen wir das auch so. Da die Datenschutzbehörde jedoch scheinbar davon ausgeht, dass die CMPs auch Verantwortliche für die Verarbeitung von Einwilligungsdaten sind, müssen wir gegebenenfalls ein paar Dinge ändern.
Wir legen großen Wert darauf, unsere Kunden, Interessenten und Partner transparent über solche wichtigen Neuigkeiten der Branche zu informieren. Doch wir stehen in dieser Thematik erst am Anfang. Wir informieren Sie darüber, falls wir Änderungen an der CMP beschließen, die alle Publisher betreffen würden.
Wird Didomi personenbezogene Daten löschen, die anhand eines TC-Strings erhoben wurden?
Die belgische Datenschutzbehörde fordert das IAB Europe auf, alle Daten zu löschen, die im globalen Rahmen des TCF erfasst wurden. Es ist unklar, ob dies auch für andere TCF-Beteiligte gilt.
Wir empfehlen unseren Publisher-Kunden, Einwilligungen ihrer Nutzer möglicherweise erneut einzuholen, sodass die zuvor gesammelten TC-Signale gelöscht werden.
Wird das berechtigte Interesse als Rechtsgrundlage aus der Didomi-CMP gestrichen?
Das berechtigte Interesse als Grundlage reicht laut der belgischen Datenschutzbehörde nicht aus, wenn es um zielgerichtete Werbung oder die Erstellung von Nutzerprofilen geht. Ausgenommen davon sind nicht-marketingbezogene Zwecke wie Zielgruppen- und Performance-Messung.
Es ist unklar, ob Sie sich bei allen TCF-Zwecken nicht mehr auf das berechtigte Interesse als Rechtsgrundlage für die Datenverarbeitung berufen können oder dies nur für TCF-Zwecke in der personalisierten Werbung und Profilerstellung gilt.
Bis das geklärt ist, sollten Sie Publisher-Einschränkungen hinzufügen, um die Zustimmung als alleinige Rechtsgrundlage festzulegen.
Das Transparency and Consent Framework (TCF)
Sollte ich das TCF auf meiner Webseite deaktivieren?
Wir raten Ihnen nicht unbedingt dazu, aber Sie können das TCF deaktivieren. Damit beseitigen Sie die Risiken im Zusammenhang mit der Entscheidung der Datenschutzbehörde sofort. Allerdings kann sich das beträchtlich auf Ihre Einnahmen auswirken.
Jedes Unternehmen muss die Angelegenheit selbst bewerten. Wir helfen Ihnen aber, die Rahmenbedingungen zu verstehen, empfehlen Ihnen Maßnahmen und unterstützen Sie bei allen künftigen Ereignissen. Wir halten unsere Kunden auf dem Laufenden über die Entwicklung der Situation.
Warum empfehlen Sie das TCF weiterhin?
Wir geben keine Empfehlung für das TCF ab. Wir unterstützen die Publisher, die sich bei der Umsetzung der TCF-Struktur an uns wenden.
Jedoch glauben wir, dass die Nutzer im Falle einer Abschaffung des TCF schlechter gestellt werden. Schließlich wurde das Transparency and Consent Framework geschaffen, um User besser über die Vorgänge hinter den Einwilligungsbannern zu informieren.
Das Rahmenwerk ist wohl noch lange nicht perfekt, aber es ist derzeit das einzig vorhandene Mittel.
Empfehlen Sie die Verwendung von TCF-Stacks?
Die Datenschutzbehörde weist darauf hin, dass die TCF-Sprache nicht klar genug ist, um Nutzern eine informierte Zustimmung zu ermöglichen. Stacks können zwar weiterhin genutzt werden. Sie stellen aber nicht genügend Informationen für die Nutzer bereit. Ergänzen Sie sie also am besten durch zusätzliche Erläuterungen in einfacher und klarer Sprache.
Wenn ich keine Anbieter im Rahmen des IAB habe, die Werbung (als Zielgruppenmessung) durchführen, bin ich dann trotzdem betroffen?
Wenn Sie mit gar keinen TCF-Anbietern arbeiten, sind Sie nicht betroffen. Sie sollten das TCF auf Ihren Websites, mobilen und TV-Anwendungen deaktivieren.
Konkrete Maßnahmen und Empfehlungen
Wie viele Anbieter sind laut Auffassung der Datenschutzbehörde maximal erlaubt?
Die belgische Datenschutzbehörde hat leider nicht explizit angegeben, auf wie viele Anbieter Sie sich beschränken sollen. Wir haben festgestellt, dass eine Webseite in der Regel mit etwa 200 Anbietern und eine App mit etwa 50 Anbietern optimal funktioniert. Wahrscheinlich sind 200 für die Datenschutzbehörde immer noch zu viel, aber das ist schwer zu beurteilen.
Es ist kompliziert, hier eine universelle Empfehlung zu geben. Das muss für jede Webseite und App sowie von jedem Publisher individuell bewertet werden, auch im Hinblick auf die Monetarisierungsgrenzen.
Wie können die erhobenen Datenkategorien im CMP-Einwilligungstext dargestellt werden?
Wenn Sie Kunde von Didomi sind, können Sie einen Text zu den Datenkategorien hinzufügen. Das lässt sich einfach über das entsprechende Formularfeld in der Konsole erledigen. Oder Sie gehen wie wir vor und zeigen die Kategorien auf der ersten Ebene der Einwilligungserklärung an, um für noch mehr Transparenz zu sorgen.
Soll ich das berechtigte Interesse als Rechtsgrundlage für sämtliche Zwecke streichen?
Nein. Die Datenschutzbehörde bezieht sich nur auf das berechtigte Interesse als Rechtsgrundlage für das Real Time Bidding. Wir sprechen also nur über diesen Bereich des TCF. Das berechtigte Interesse in anderen Bereichen steht derzeit nicht zur Diskussion.
Für spezielle Funktionen des TCF müssen Sie immer vorab eine Einwilligung einholen. In Hinblick auf spezielle Verwendungszwecke ist das berechtigte Interesse immer noch die einzig verfügbare Rechtsgrundlage im Rahmen des TCF. Die Publisher werden vorerst nichts dagegen unternehmen können. Der IAB Europe muss bei Bedarf Änderungen vornehmen.
Welche Lösung eignet sich für Funktionen, spezielle Funktionen sowie Verwendungszwecke?
Diese Frage muss das IAB Europe mit seinen Aktualisierungen des TCF beantworten.
Spezielle Zwecke stützen sich derzeit auf das berechtigte Interesse, und das TCF gewährt den CMPs/Publishern keine Kontrolle darüber. Funktionen sowie spezielle Funktionen beruhen auf dem Opt-in (nicht unbedingt auf Zustimmung) und sollten so noch akzeptiert werden.
Sie sind neugierig auf Didomi geworden? Vereinbaren Sie gerne eine Demo mit einem unserer Experten:
