Belgische Aufsicht nimmt Cookie-Banner ins Visier

Diese Entscheidung kann erhebliche Auswirkungen auf Tausende Unternehmen in ganz Europa haben. Denn die belgische Datenschutzaufsicht hat die Cookie-Banner ins Visier genommen und jüngst einen Bußgeldbescheid über 250.000 Euro gegen IAB (Interactive Advertising Bureau) Europe veröffentlicht.
Doch der Reihe nach. Die IAB Europe hat das Transparency & Consent Framework (TCF 2.0) entwickelt. Dies legt fest, wie Consent Management Plattformen, die für den Nutzer als Cookie-Banner sichtbar sind, auf Webseiten arbeiten müssen. Dieses Verfahren stellt sicher, dass die dort generierten Einwilligungen auch richtig umgesetzt werden. Das ganze Verfahren wurde von der belgischen Aufsicht – IAB Europe sitzt in Brüssel – nun als unzulässig bewertet. 

Die belgischen Datenschützer sind der Auffassung, dass IAB mit dem TCF 2.0 in mehrfacher Hinsicht gegen die DSGVO verstößt. Demnach fehle es zunächst an einer ausreichenden Rechtsgrundlage für die Datenverarbeitung im Rahmen des TCF 2.0. Zudem seien die Informationen über die Datenverarbeitungen in einer  Consent Management Plattform nicht hinreichend transparent. Die Behörde verweist weiterhin auf Verstöße im Bereich der Rechenschaftspflichten und hat mehrere interne Defizite des IAB aufgedeckt. 
Bislang ging IAB Europe davon aus, dass keine datenschutzrechtliche Verantwortlichkeit für das TCF 2.0 bestand, da nur ein mit den Mitgliedern abgestimmter Prozess vorgegeben wurde. IAB Europe hat nun zwei Monate Zeit, einen Plan zur Behebung der festgestellten Defizite vorzulegen. Zudem prüfen die Verantwortlichen aktuell die zur Verfügung stehenden rechtlichen Möglichkeiten, um gegen diese Entscheidung der belgischen Aufsichtsbehörde vorzugehen. Gleichzeitig kooperiert IAB Europe mit der belgischen Aufsicht, um eine datenschutzkonforme Lösung zu erarbeiten. 

Online Marketing ist auf eine verlässliche Generierung von Einwilligungen für den Zugriff auf Informationen im Endgerät des Nutzers angewiesen. Die von der belgischen Datenschutzaufsicht festgestellten Mängel sind aber nicht die einzigen Defizite des TCF 2.0. Erst vor Weihnachten hatte die norwegische Datenschutzaufsicht ebenfalls Datenschutzverstöße bei Nutzung des TCF 2.0 für die Generierung von Einwilligungen festgestellt und ein Bußgeld i.H.v. ca. 6,5 Millionen Euro verhängt. Auch werden nicht alle Beteiligten des Online-Marketing hinreichend vom TCF 2.0 erfasst. Daher sollte IAB Europe möglichst schnell die gebotenen Anpassungen am TCF 2.0 vornehmen, damit für die Unternehmen im Online-Marketing Rechtssicherheit besteht. Ohne verlässliche Rahmenbedingungen kann das Online-Marketing sich nicht fortentwickeln. Für Unternehmen ist es wichtig, diese Entwicklungen weiter zu beobachten und die sich aus diesen Entwicklungen ergebenden Anpassungen zeitnah vorzunehmen.