Belgische Datenschutzaufsicht: Standard für Cookie-Banner datenschutzwidrig
Am 2. Februar 2022 hat die belgische Datenschutzaufsicht, die Autorité de protection des données (APD), einen für die Onlinewerbung zentralen Standard als datenschutzrechtlich unzulässig eingestuft und gegen die ihn betreibende Organisation, IAB Europe, ein Bußgeld verhängt (Link).
Der Standard der IAB Europe, das „Transparency & Consent Framework (TCF)“, wird „hinter“ Cookie-Bannern für personalisierter Werbung genutzt: Nachdem ein Nutzer in einem Cookie-Banner auf „Akzeptieren“ klickt, wird ein sog. TC-String erzeugt aufgrund dessen Nutzerprofile zusammengestellt werden. Diese werden dann einer Vielzahl von Werbetreibenden angeboten.
Nach Auffassung der belgischen Datenschutzaufsicht sind bereits die TC-Strings, wegen der möglichen Verknüpfung mit IP-Adressen, personenbezogene Daten, die vor der Verarbeitung einer Einwilligung bedürfen. Dies wäre in der Praxis vor allem angesichts der Vielzahl von Empfängern dieser TC-Strings nicht einfach umsetzbar.
Dementsprechend ist die Entscheidung für die werbungstreibende Industrie von großer Bedeutung, auch deshalb, weil die Entscheidung mit anderen EU Datenschutzaufsichtsbehörden abgestimmt wurde.
Die IAB Europe hat bereits Rechtsmittel gegen die Entscheidung angekündigt.