Um den Teilnehmern im digitalen Ökosystem die Einhaltung der EU-Datenschutzrichtlinie und der Datenschutz-Grundverordnung (DSGVO) zu erleichtern, hat der europäische Verband der Onlinebranche IAB eine neue Version des sogenannten „Transparency & Consent Framework“ (TCF) herausgegeben: das TCF 2.2. Eine Arbeitsgruppe aus Vertretern der beteiligten Firmen hat umfassend an einer überarbeiteten Standardisierung der Pflichtinformationen und Auswahlmöglichkeiten gearbeitet, die Nutzern vor der Datenverarbeitung bereitgestellt werden sollen, sowie an der Umsetzung der darauf basierenden Nutzerentscheidungen.
Das Ziel der Überarbeitung ist die Anpassung des Branchenstandards an die Anforderungen der Rechtsprechung und der europäischen Datenschutzbehörden. Das IAB möchte somit den betroffenen Marktteilnehmern ermöglichen, durch das Transparency & Consent Framework 2.2 diesen Anforderungen gerecht zu werden. Das TCF 2.2 tritt bereits am 16. Mai 2023 in Kraft und die Umsetzungsfristen für die betroffenen Unternehmen sind sehr knapp bemessen.
Die zentralen Änderungen des TCF 2.2 umfassen:
Wegfall der Rechtsgrundlage des berechtigten Interesses für personalisierte Werbung und Inhalte: Unternehmen dürfen nun nur noch mit ausdrücklicher Zustimmung der Nutzer pseudonyme Daten verarbeiten, um personalisierte Werbung und Inhalte anzuzeigen.
Erweiterte Informationen für Nutzer über Verarbeitungszwecke: Die in der Einwilligungsabfrage enthaltenen Angaben zu den Verwendungszwecken der gesammelten Daten wurden überarbeitet, um sie verständlicher zu machen. Zudem wurden konkrete Beispiele hinzugefügt.
Erweiterte Informationen für Nutzer über Datenempfänger: Nutzern werden zusätzliche Informationen zu den Empfängern ihrer Daten bereitgestellt, darunter:
Transparenz über die Anzahl der Datenempfänger: Die Gesamtzahl der Datenempfänger muss bereits in der ersten Ebene der Einwilligungsabfrage offengelegt werden.
Neue Anforderungen für den Widerruf der Einwilligung: Nutzer müssen über eine spezielle Schaltfläche die Möglichkeit haben, die Einwilligungsabfrage erneut aufzurufen und ihre Einwilligung zu widerrufen.
Viele Betreiber von Websites und Apps werden sich für die Umstellung auf das TCF 2.2 an ihre Anbieter von Einwilligungsabfragen (auch als „Cookie-Banner“ oder Consent Management Platform (CMP) bekannt) wenden. Für Datenempfänger hingegen bedeutet die Umstellung größere technische Änderungen.
IAB Europe unternimmt deutliche Anstrengungen, um durch grundlegende Anpassungen auf die Kritik am TCF zu reagieren. Ob dadurch ein datenschutzkonformer Standard für die Industrie bezüglich Cookie-Banner erreicht wird, bleibt abzuwarten. Es stehen noch Entscheidungen des EuGH zu zwei zentralen Rechtsfragen in Bezug auf das TCF aus (wir berichteten).
Unternehmen sollten sicherstellen, dass sie bis zum Ablauf der Frist den neuen Standard auf allen Seiten, die TCF-basierte Cookie-Banner verwenden, implementiert haben. Oftmals sind hierfür Drittanbieter zuständig, die vorgefertigte Cookie-Banner bereitstellen.