Breaking News - IAB / TCF Framework illegal?

Diese Entscheidung hat es in sich – ein echter – harter – Hammer für die AdTech-Industrie und für alle Kunden, die das TCF Framework nutzen. Die belgische ADP (Autorité de protection des données) – das ist die zuständige Datenschutzbehörde für die IAB – hat in einer lange erwarteten Entscheidung die gesamte Infrastruktur des IAB / TFC Frameworks und alle bisher gesammelten Daten als Verstoß gegen die DSGVO erklärt. Die IAB kassiert dabei eine Strafe von 250.000 EUR und alle Partner müssen alle bisher gewonnenen Daten löschen.

Hinweis: Dieses Problem betrifft nur Kunden, die das TCF-Framework nutzen!

Woher weiß ich ob bei uns TCF aktiv ist?

Ganz einfach - gehen Sie in die Administration von CCM19 - dort in Ihre Domain und dann auf den Punkt "IAB-Framework (TCFv2)" wie auf dem Screenshot zu sehen. Nur wenn dort der rot umrahmte Haken auf grün steht - dann nutzen Sie TCF.

Und hier auch nochmal der explizite Hinweis: CCM19 basiert nicht auf TCF - TCF ist ein zusätzlich aktivierbares Modul innerhalb des CCM19 Systems. TCF KÖNNEN Sie aktivieren, müssen es nicht und CCM19 funktioniert auch vollständig OHNE TCF.

Entscheidung mit sofortiger Wirkung

Diese Entscheidung gilt ab sofort und EU-weit! Die Entscheidung erfolgte nach dem "One Stop Shop"-Prinzip der Datenschutz-Grundverordnung und gilt daher sofort und überall in der EU.

„Die Verarbeitung personenbezogener Daten (zum Beispiel die Erfassung von Nutzerpräferenzen) im Rahmen der aktuellen Version des TCF ist nicht mit der Datenschutz-Grundverordnung vereinbar, da sie gegen den Grundsatz der Fairness und Rechtmäßigkeit verstößt", Zitat Hielke Hijmans, Vorsitzender der Prozesskammer der Behörde.

Die Entscheidung in der Presse

Hier einige Links zu Kommentaren in der Presse zu dieser Entscheidung.

• Artikel bei heise.de "... Zentraler Standard für Cookie-Banner rechtswidrig"
• Netzpolitik.org "Wichtiger Baustein für Cookie-Banner ist illegal"
• Techcrunch - auf Englisch

Hintergrund - was ist das TCF Framework

Im Grunde funktioniert das System der zielgerichteten Werbung im Rahmen des TCF Frameworks folgendermaßen: Jeder Aufruf eines Besuchenden bei einer Website die im TCF Framework teilnimmt, führt zu einer Auktion unter den Anbietern von Werbeanzeigen.

Innerhalb von Millisekunden wird anhand eines detaillierten Profils über die Besuchenden entschieden, welche Werbung diese zu sehen bekommen. Das nennt man Real-Time-Bidding (RTB) - Bieten in Echtzeit. Damit das gut bzw. überhaupt funktioniert, müssen die Anbieter möglichst viel über die Besucher wissen: Alter, Geschlecht, besuchte Websites, Interessen, Wohnort, vermutetete Kaufkraft usw sind nur einige der Kriterien. Alle Informationen zusammen stellen das Profil eines Besuchers dar - dies kann beliebig detailliert sein.

Um diese Profile zu vermitteln, wird das Transparency and Consent Framework von IAB Europe genutzt. Wenn Besuchende auf den Button „Cookies akzeptieren" klicken oder auch schlicht nicht widersprechen,  erzeugt das TCF Framework den sogenannten TC-String. Der TC-String bildet die Grundlage für die Erstellung der oben genannten individuellen Profilen und für die Auktionen an denen tausende von internationalen Partnern teilnehmen.

Diese Verstöße wurden gefunden.

Es wurden die folgenden Verstöße gegen die Datenschutz-Grundverordnung dokumentiert und bemängelt.

• Artikel 5.1.a und 6 (Rechtmäßigkeit der Verarbeitung; Fairness und Transparenz)
• Artikel 12, 13 und 14 (Transparenz)
• Artikel 24, 25, 5.1.f und 32 (Sicherheit der Verarbeitung; Unversehrtheit der personenbezogenen Daten; Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen)
• Artikel 30 (Register der Verarbeitungstätigkeiten);
• Artikel 35 (Datenfolgenabschätzung);
• Artikel 37 (Ernennung eines Datenschutzbeauftragten).

Und noch eine Menge mehr an diversen Details. Unterm Strich ist festzuhalten, dass diese Probleme mit der derzeitigen Struktur des TCF-Frameworks nicht zu fixen sind. 

Was tut die IAB?

Diese hat "entschlossen" reagiert und erst mal eine Pressemitteilung veröffentlicht, in der sie schreibt, dass Sie rechtliche Optionen erwägt, und sich darauf freut, mit der ADP in den nächsten 6 Monaten eine konforme Version des TCF Frameworks zu erarbeiten.

Außerdem wird geschrieben, dass man der Meinung ist, dass das TCF-Framework nicht verboten wurde. 

Das ist zwar in dieser Form sicher richtig, die Nutzung in seiner jetzigen Form ist aber nicht DSGVO konform und so für die Nutzer dieses Frameworks ein sehr großes Problem! Die IAB muss sich dann schon die Kritik gefallen lassen, warum man die letzten Jahre, als dieser Prozess lief, nicht gehandelt hat. Für mindestens die nächsten 6 Monate hängen also alle erst mal in der Luft, da es keine belastbare und DSGVO konforme Struktur gibt.

Offiziell hat die IAB Europe nach dieser Entscheidung zwei Monate Zeit, um einen Aktionsplan vorzulegen, der zeigt, wie sie der Entscheidung der Behörde nachkommen wird, und sechs Monate, um diesen dann zufriedenstellend auszuführen.

Dazu Dr. Euwens - CEO von CCM19: "Wir wollen gerne weiter mit der IAB zusammenarbeiten, auf technischer und kommunikativer Ebene lief das immer sehr gut. Aber bitte ein zuverlässiges Konstrukt liefern, das zukunftsfähig ist, das wir unseren Kunden auch vermitteln können."

Welche Konsequenz hat das für CCM19 und für Sie als Nutzer des IAB / TCF Frameworks?

Auch uns als CMP stellt diese Entscheidung vor eine große Herausforderung – wie sollen wir einen DSGVO-konformes TCF-Consent Banner unseren Kunden zur Verfügung stellen, wenn die Grundlage, die verpflichtend genutzt werden muss, nicht DSGVO-konform ist? Das wird in dieser Form nicht möglich sein, die IAB lässt uns und alle Kunden, die das TCF Framework nutzen, nun doch deutlich im Regen stehen.

Beruhigend für alle Kunden, die KEIN TCF nutzen, sondern nur die Standard-Banner: Sie betrifft das nicht.

Welche weiteren Folgen diese Entscheidung im Detail haben wird, ist derzeit noch nicht klar absehbar, sie werden aber enorm sein. Zum jetzigen Zeitpunkt ist aber definitiv klar: Das TCF-Framework in dieser Form weiter zu nutzen, verstößt gegen die DSGVO. Die IAB bietet aber keine Möglichkeit, dies zu ändern. Es gibt keine Form des TCF-Frameworks, das DSGVO-konform wäre zum jetzigen Zeitpunkt. Ob es in Zukunft eines gibt, bleibt offen. Wir hoffen, dass sich die AdTech-Industrie mit der IAZ zusammen ein funktionierendes Konzept überlegt. 

Die Technik dazu gibt es – auch von unserer Seite. Also IAB – get your Job done!

In unserer Oberfläche gibt es mit dem nächsten Update heute in der Oberfläche einen Hinweis auf diesen Zustand, wie hier auf dem Screenshot zu sehen.

Was können Sie tun / Welche Handlungsoptionen gibt es?

Grundsätzlich gibt es 2 Optionen, wie Sie mit der Situation umgehen:

1. Sie können das natürlich weiter laufen lassen, müssen sich aber über die Risiken im Klaren sein. Alle Prozesse, die ausschließlich den TC-String vorraussetzen, dürfen Stand heute nicht mehr eingesetzt werden, da nicht DSGVO-konform. Darunter fällt also das gesamte IAB / TCF Konstrukt. Ob Sie sich daran halten, müssen Sie selber entscheiden, wir können das natürlich nicht empfehlen.
2. Wenn Sie Prozesse einsetzen, die TCF nicht zwingend vorraussetzen, kann man sie als normale Embeddings nutzen, zu beachten ist lediglich die korrekte Beschreibung. Damit sind Sie dann auf der sicheren Seite.

Uns ist natürlich bewusst, welche enormen wirtschaftlichen Resourcen an dieser Situation hängen, da wir aber unterm Strich nur die Maske für das Handling des TCF Frameworks abbilden, die:

1.  Von der IAB zu 100% verpflichtend vorgegeben wird - Abweichungen sind nicht gestattet
2.  Daher bei allen CMP Anbietern mehr oder weniger identisch ist

können wir an der Stelle nicht wirklich Einfluß nehmen, da muss die AdTech-Industrie zusammen mit der IAB handeln und zwar schleunigst.

Wir wollen gerne weiter mit der IAB zusammenarbeiten, auf technischer und kommunikativer Ebene lief das immer sehr gut. Aber bitte ein zuverlässiges Konstrukt liefern das zukunfstfähig ist.

Gutes Beispiel Google Adsense

Google setzt eigentlich die Nutzung des TC Strings voraus. Wenn Sie den nicht oder nicht korrekt einsetzen ,hagelt es Fehlermeldung und Drohungen, dass Google das Konto sperrt. Ausgespielt wurden die Anzeigen trotzdem und eine Sperrung gab es unseres Wissens aus diesem Grund bisher nicht. Vermutlich / Hoffentlich wird es hier in Kürze eine Positionsänderung seitens Google geben. Wenn Sie Google Adsense derzeit einsetzen, brauchen Sie also starke Nerven.

Wie ist Ihre Meinung dazu? Lassen Sie es uns wissen.