TRANSPARENCY & CONSENT FRAMEWORK DES IAB AUSTRIA ENTSPRICHT DER EU-DATENSCHUTZGRUNDVERORDNUNG. GÄNZLICHE ABLEHNUNG ALLER COOKIES AUF DER ERSTEN EBENE IST KEIN GESETZLICHES ERFORDERNIS.
Nachdem nunmehr auch schon einige Mitglieder des iab austria Mahnschreiben der Datenschutzorganisation NOYB von Max Schrems erhalten haben, widmet sich die größte Interessenvertretung der Digitalwirtschaft der Thematik in einer Klarstellung. Mit dem Transparency & Consent Framweork (TCF 2.0) hat das interactive advertising bureau einen einheitlichen europäischen Standard geschaffen, der den Vorgaben der EU-Datenschutzgrundverordnung Genüge tut und die User-Interessen berücksichtigt. Es schafft einen verbindlichen Mindeststandard hinsichtlich Transparenz, Information und User-Zustimmung, durch den Verantwortliche unterstützt werden, die rechtlichen Vorgaben zu erfüllen. Mitglieder des TCF 2.0 müssen einen umfangreichen Auditierungs- und Freigabeprozess des interactive advertising bureaus durchlaufen. Die laufende Einhaltung der Richtlinien wird durch ein Kontrollverfahren des IAB Europe überwacht, das Mitglieder bei Zuwiederhandeln sanktioniert.
Schrems droht Unternehmen derzeit mit einer formellen Beschwerde bei der zuständigen Datenschutzbehörde, wenn diese ihre Cookie-Consent-Banner nicht so anpassen, dass sämtliche Cookies bereits in der ersten Ebene abgelehnt werden können. Dabei wäre ein zwingender „Ablehnen“-Button auf erster Ebene europarechtswidrig und stünde auch im Gegensatz zur Rechtsprechung des Europäischen Gerichtshofs (EuGH). Aktuell raten Juristen auf Basis eines EuGH-Urteils (C‑673/17 – Planet49) im Rahmen des Vorsichtsprinzips sogar explizit von der Verwendung eines „Ablehnen“-Buttons ab. Vielmehr wird zu detaillierten und granularen Auswahlmöglichkeiten ohne Voreinstellungen geraten.
Der überwiegende Teil der betroffenen Anbieter hat bereits eine Consent Management Plattform auf Basis des TCF 2.0 im Einsatz, die ein wesentliches Instrument für alle Beteiligten im digitalen Ökosystem darstellt.
IAB Europe und iab austria vertreten die Meinung, dass das TCF 2.0 eine harmonisierte Interpretation des EU-Rechts ist und sowohl der EU-Datenschutzgrundverordnung als auch der bevorstehenden ePrivacy-Richtlinie entspricht.
„Mit der Implementierung des TCF 2.0 haben Anbieter einen wichtigen Schritt unternommen, um Usern detaillierte und spezifische Informationen zur Verfügung zu stellen, bevor diese im Einwilligungsdialog um Zustimmung gefragt werden. Es kann nicht sein, dass sie nun für die Einhaltung europäischen Rechts belangt oder davon abgehalten werden, erprobte und verbindliche Standards einzuhalten“, fasst iab-austria-Präsident Markus Plank (Adverserve) zusammen.
COOKIE-ABLEHNUNG AUF ERSTER EBENE KEINE GESETZLICHE VORGABE
Das European Data Protection Board (EDPB) sieht in seinen Leitlinien keine Empfehlung oder gar Verpflichtung vor, eine Ablehnen-Funktion für sämtliche Cookies bereits auf erster Ebene anzubieten. Dazu gibt es auch keine einstimmig vereinbarte Interpretation der EU-Datenschutzgrundverordnung innerhalb der EU. Die österreichische Datenschutzbehörde hat in ihrem Urteil „pay or okay“ betreffend des Portals DerStandard.at bereits entschieden, dass die Auswahlmöglichkeit zwischen Zustimmung und Bezahlung im Cookie-Banner eine freie Entscheidung der User und damit eine wirksame Zustimmung ermöglicht. Die französische Commission Nationale de l’informatique et des Libertés (CNIL) verlangt diese Möglichkeit nur, wenn eine „Accept all“-Option angeboten wird und behält ausdrücklich andere Wege vor, mit denen User die Zustimmung verweigern können. Die Urteile zeigen deutlich, dass es mehr Möglichkeiten geben muss und darf als von NOYB gefordert.
So genannte „Dark Patterns“, eine optisch bewusst verwirrende Darstellung des Cookie-Banners und der Consent-Möglichkeiten, wird durch das TCF 2.0 bereits ausgeschlossen. Darin ist verankert, dass User-Optionen deutlich sichtbar und lesbar sein, eine passende Textbehandlung haben und ein Mindestkontrastverhältnis aufweisen müssen. Ebenso sieht das TCF 2.0 wirksame und userfreundliche Mechanismen für den Widerruf der Einwilligung vor. User werden mindestens alle 13 Monate an ihr Widerrufsrecht erinnert. Zudem ist ein leicht zugänglicher Link verpflichtend, der einen einfachen Widerruf jederzeit ermöglicht.