Vermarktung von Webseiten: Verstößt das TCF 2.0 gegen die DSGVO?

Das Transparency Consent Framework (TCF) 2.0 wird auf vielen Webseiten genutzt, um diese durch Werbeeinblendungen zu vermarkten. Das TCF ist dabei - vereinfacht gesagt - eine Plattform, auf der "Publisher" ihre Werbeflächen anbieten, und "Vendoren" diese dann in Echtzeit ersteigern können. Dem TCF gehören nach aktuellem Stand über 1000 Vendoren an.
In einer Entscheidung der belgischen Aufsichtsbehörde gegen das IAB - die Betreibergesellschaft des TCF 2.0 - wurden nun diverse Fragen aufgeworfen, die eine DSGVO-konforme Nutzung des TCF 2.0 in Frage stellen.
Die Entscheidung wurde auch auf Englisch veröffentlicht. Die Aufsichtsbehörde hat im Wesentlichen drei Problemstellungen aufgeworfen:
Keine rechtmäßige Einwilligung in Datenverarbeitung bei TCF 2.0
Die belgische Aufsichtsbehörde kritisiert, dass für die Nutzung des TCF 2.0 keine rechtmäßige Einwilligung erfolgt. Das TCF 2.0 speichert Informationen u.a. über die von den Nutzenden gewählten Präferenzen in einem TC String; dieser enthält dann Informationen über Metadaten rund um den Consent, die vom den Nutzenden gewählten Rechtsgrundlagen in Bezug auf die Verarbeitungszwecke, sowie für welche Vendoren eine Einwilligung vorliegt. Bereits der TC String wurde von der Aufsichtsbehörde in Verbindung mit der zwangsläufig mit verarbeiteten IP-Adresse als personenbezogen betrachtet. Bereits für die Bildung des TC Strings sei demnach eine Einwilligung erforderlich.
Ebenfalls kritisiert wurden die Cookie-Banner, die demnach nicht hinreichend transparent über die Datenverarbeitung informieren.
Infolgedessen mangelt es auch Werbetreibenden an relevanten Rechtsgrundlagen für den Betrieb des TCF 2.0.
Gemeinsame Verantwortlichkeit im TCF 2.0
Ein weiteres Problem besteht darin, dass die belgische Aufsichtsbehörde zu dem Entschluss kam, dass alle im TCF 2.0 organisierten Stellen als gemeinsame Verantwortliche zu klassifizieren sind. Während dies mit Blick auf die Vernetzung der involvierten Stellen naheliegend ist, ergeben sich in der Praxis massive Auswirkungen: Zunächst ist ein Vertrag über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO erforderlich. Ein solcher wird vom IAB nicht angeboten, sodass Werbetreibende derzeit keine Möglichkeit haben, die entsprechenden vertraglichen Regelungen abzuschließen.
Eine weitere Konsequenz der gemeinsamen Verantwortlichkeit ist, dass diese gegenüber Betroffenen gesamtschuldnerisch haften, vgl. Art. 82 Abs. 4 DSGVO. IM TCF 2.0 sind neben der IAB als Betreiberin über 1000 Vendoren organisiert, hinzu kommen Anbieter von Consent-Management-Plattformen wie Usercentrics und die im TCF 2.0 organisierten Publisher. Für Unternehmen ergibt sich daraus ein unüberschaubares Haftungsrisiko. Zwar besteht gem. Art. 82 Abs. 5 DSGVO die Möglichkeit, sich im Innenverhältnis schadlos zu halten. Inwiefern dies jedoch erfolgreich sein kann, bleibt fraglich, insbesondere da IAB die Entscheidung nicht akzeptiert.
Was bedeutet das für Werbetreibende?
Mit Blick auf die aktuellen Probleme sollte die Notwendigkeit der Nutzung des TCF 2.0 gründlich eruiert werden. Zwar hat die belgische Aufsichtsbehörde die Nutzung nicht untersagt, sondern lediglich eine Frist von 6 Monaten gesetzt, um die aufgezeigten Mängel zu beseitigen. Gleichwohl bleibt die Frage, ob sich die genannten Probleme tatsächlich innerhalb dieses Zeitraums lösen lassen, insbesondere mit Blick auf die Bestrebungen, die Entscheidung anzufechten. Es ist nicht auszuschließen, dass auch andere Aufsichtsbehörden aktiv werden und gegen eine Nutzung des TCF 2.0 vorgehen werden.