Knowledge Hub

Update zu 3 Monaten TCF 2.0 – Kritik der belgischen Datenschutzbehörde und Stellungnahme des IAB Europe

Knowledge Hub Knowledge Update zu 3 Monaten TCF 2.0 – Kritik der belgischen Datenschutzbehörde und Stellungnahme des IAB Europe

Seit dem 15. August ist das Transparency and Consent Framework (TCF) in der Version 2.0 des Branchenverbands Interactive Advertising Bureau (IAB Europe) offiziell in Kraft. 

Mit TCF 2.0 sollte endlich ein einheitlicher technischer Marktstandard eingeführt werden, der das Abrufen und Übertragen der Einwilligungssignale eines Nutzers zwischen Publishern und Drittanbietern, die sich dem Framework angeschlossen haben (wie etwa Google, Criteo oder Taboola) festlegt. 

Von einigen Mitgliedern der digitalen Werbeindustrie als langersehnter Standard gefeiert, der Einheitlichkeit in einen unübersichtlichen Markt bringt, werden kritische Stimmen nun lauter. Doch was genau ist passiert?

 

Laut belgischer Datenschutzbehörde verstößt das TCF 2.0 gegen die DSGVO

Erst kürzlich veröffentlichte die belgische Datenschutzbehörde (APD-GBA) die vorläufigen Ergebnisse einer Untersuchung zum TCF 2.0 mit Signalwirkung. Denn die zentrale Aussage lautete: Das TCF 2.0 verstößt ihrer Einschätzung nach gegen mehrere Punkte der Datenschutzgrundverordnung (DSGVO). So heißt es im Report:

“IAB Europe’s approach demonstrates that it neglects the risks that would impact on the rights and freedoms of data subjects”.

Besonders der Vorwurf, dass das TCF 2.0 die Verarbeitung von besonders sensiblen Daten wie beispielsweise Gesundheitsdaten, Informationen zur sexuellen Orientierung, etc. durch Werbetreibende im Real-time Bidding (RTB) auch ohne die Zustimmung des Nutzers technisch möglich macht, wiegt schwer. 

“The TCF does not provide adequate rules for the processing of special categories of personal data. However, the OpenRTB standard, framed by IAB Europe’s TCF, does allow the processing of special categories of personal data”. 

 

Was sagt das IAB Europe?

Als Reaktion auf den Report, veröffentlichte das IAB Europe bereits eine Stellungnahme, in der man der belgischen Datenschutzbehörde widerspricht. Das IAB Europe verweist darauf, dass es sich lediglich um vorläufige Zwischenergebnisse ohne Rechtswirkung handelt.  

„The APD’s report represents the preliminary views of the APD’s investigations unit and has no binding effect with regard to any breach of the law by IAB Europe.“

Zudem merkt das IAB an, dass das TCF 2.0 in Zusammenarbeit mit europäischen Datenschutzbehörden erstellt wurde, gleichwohl es einen freiwilligen Standard darstellt. Im Wortlaut heißt es:

„The TCF is a voluntary standard whose purpose is precisely to assist companies from the digital advertising ecosystem in their compliance efforts with EU data protection law. […] „We find it regrettable that a standard whose requirements reflect an interpretation of the law that errs on the side of consumer protection and aligns with multiple DPA guidance materials across the EU (CNIL, DPC, ICO, etc.), should be the focus of an enforcement action, rather than an opportunity for a constructive, good-faith dialogue on how the TCF can be improved in ways that better align with the APD’s vision and with consumer and industry needs.“ […]“ We will also continue to work with regulators and seek their guidance on how the TCF can promote compliance with both the GDPR and the ePrivacy Directive.“

Quelle IAB: https://iabeurope.eu/all-news/iab-europe-comments-on-belgian-dpa-report/

 

 

Wir halten fest: Es gibt aktuell generell viele Diskussionen hinsichtlich der Konformität  bestimmter TCF 2.0 CMP-Implementierungen. Daher gilt: Da der Markt sehr dynamisch ist, bleibt abzuwarten, welche Standards sich nach und nach herauskristallisieren werden.