Ny

IAB TCF ulovlig? Alle fakta her i FAQ’en


Den belgiske databeskyttelsesmyndighed APD, i en procedure, der har været i gang i godt et år, den 2. februar 2022 traf en beslutning. Den omkring 130 sider lange forklarende tekst viser mange svagheder ved IAB TCF, men også mange muligheder for reformer. Er gennemsigtigheds- og samtykkerammen nu ulovlig? Hvad skal udgivere overveje? Og hvordan fortsætter det? Vores FAQ forklarer.

en webside med en mands ansigt på

Opdatering marts 2024

EU-Domstolen afgjorde i IAB TCF-sagen, at TC-strengen (“Consent String”) udgør persondata i GDPR’s forstand. Dataene i strengen vedrører identificerbare brugere og kan derfor bruges til at oprette brugerprofiler og identificere brugere. Derudover er IAB Europe nu identificeret som en “joint controller” i GDPR’s betydning, hvilket betyder, at den deler ansvaret for databehandling, når brugernes samtykkepræferencer er registreret i en TC-streng. Det betyder, at den deler beslutninger om formål og metoder for databehandling med sine medlemmer, men ikke selve databehandlingen. IAB Europes rolle som dataansvarlig omfatter ikke databehandlingsaktiviteter, efter at brugerens samtykke er blevet lagret i en TC-streng, medmindre det kan påvises, at IAB Europe påvirker formålene og midlerne til de efterfølgende databehandlingsaktiviteter.

Det er vigtigt for virksomheder, der deltager i TCF som udgiver eller ad tech-leverandør, at opdatere deres juridiske dokumenter rettidigt for at holde slutbrugerne informeret om disse ændringer. Især med hensyn til artikel 26 i GDPR bør virksomheder informere deres slutbrugere om eksistensen af ​​en fælles kontrolaftale med IAB Europe og udbyderen af ​​det respektive websted.

Opdatering september 2023

( Opdatering fra 21. september 2023 ) Den 21. september fandt en offentlig høring sted for EF-domstolens fjerde afdeling, hvor de involverede parter også blev afhørt af dommerne. Da der ikke vil være nogen udtalelse fra generaladvokaten, forventes det, at EF-Domstolen vil offentliggøre sin dom mellem slutningen af ​​2023 og begyndelsen af ​​2024. Når dommen er offentliggjort, kan den belgiske domstol (markedsdomstolen) afslutte sin vurdering af argumenterne i IAB Europes klage.

( Opdatering fra september 2023 ) Den belgiske domstol (Markedsdomstolen) har besluttet at afvente EU-Domstolens (ECJ) afgørelse og at suspendere sin vurdering af IAB Europes handlingsplan valideret af den belgiske databeskyttelsesmyndighed (APD). I januar 2023 indgav IAB Europe en appel mod APD’s tidlige validering af planen. Dette viser, at APD handlede forhastet, og EF-domstolens afgørelse vil påvirke, om APD’s oprindelige afgørelse var lovlig, og hvordan planen gennemføres. Dette er gode nyheder for IAB Europe og TCF-deltagere, da det forhindrer unødvendige ændringer i at blive foretaget uden omhyggelig overvejelse. Townsend Feehan, administrerende direktør for IAB Europe, understregede, at ændringer af TCF skal foretages med ekstrem forsigtighed og i overensstemmelse med EU-domstolens procedure.

Opdateret juni 2023

(Opdateret juni 2023) Med TCF 2.2 har IAB sat kursen for at tage de trin, der er nævnt i handlingsplanen. En overgangsfase løber nu frem til den 30. september 2023, hvor udbydere og websteder kan opdatere til den nye Standard . Fra oktober 2023 vil kun IAB TCF i version 2.2 være gældende.

Opdatering januar 2023

(Opdateret januar 2023) Handlingsplanen indsendt af IAB Europe blev accepteret af APD, og ​​yderligere skridt hen imod overholdelse af GDPR blev iværksat. IAB Europe har nu 6 måneder til at implementere handlingsplanen.

April 2022 opdatering

(april 2022 opdatering) IAB Europe har i mellemtiden indgivet en klage til den ansvarlige domstol (Markedsdomstolen) og anfægtet proceduren og afgørelsen som sådan. Samtidig blev den ønskede handlingsplan indsendt af IAB Europe. APD vil nu undersøge handlingsplanen; Der forventes dog ikke en afgørelse inden udgangen af juni 2022. Hvis handlingsplanen accepteres af APD, skal IAB Europe derefter implementere den inden for 6 måneder.

maj 2022 opdatering

(Opdatering maj 2022) IAB Europe trak en anmodet udsættelse af sagen tilbage, efter at APD havde bekræftet tidslinjen for gennemgang af handlingsplanen. APD vil derfor først tage stilling til handlingsplanen den 1. september 2022. Inden da vil den belgiske domstol (markedsdomstolen) også have taget stilling til proceduren, og implementeringen af handlingsplanen kan finde sted i de efterfølgende 6 måneder.

Hvad skete der?

I sin endelige rapport formulerede den belgiske databeskyttelsesmyndighed APD forskellige problemer for IAB Europe og IAB TCF. Det vigtigste problem er, at APD ser IAB Europe som kunden. Ydermere betragtes TC-strengen, der genereres af TCF (samtykkeoplysningerne), som personlige data, hvilket i sig selv ville kræve samtykke.

Hvad har Belgien med det at gøre?

Siden GDPR trådte i kraft i 2018, har der været adskillige klager i forskellige lande mod IAB Europe som organet bag IAB TCF- Standard og de tilknyttede politikker og CMP’er. Da IAB Europe er baseret i Bruxelles, var den belgiske databeskyttelsesmyndighed ansvarlig for proceduren (“one-stop-shop”-regulering af GDPR).

Gælder den belgiske dom også i andre lande?

Ja, alle databeskyttelsesmyndigheder skal orientere sig efter dommen og må ikke fravige den.

Hvad siger dommen helt præcist?

Dommen er på mere end 120 sider og kan downloades her som PDF (engelsk). Det bliver “interessant” fra paragraf 535, hvor de faktiske lovovertrædelser er forklaret:

  • TCF repræsenterer ikke et gyldigt retsgrundlag for behandlingen af brugerbeslutninger. Samtykke er ikke givet tilstrækkeligt (se næste punkt)
  • TCF afspejler ikke gennemsigtigt de oplysninger, som en bruger har brug for for at træffe en beslutning.
  • Sikkerheden af TCF som en mekanisme er ikke tilstrækkelig nok (f.eks. til at forhindre forkert opførsel af CMP’er).
  • IAB’et ses som klienten (controlleren) og dataene. Dette resulterer i visse forpligtelser for IAB Europe, som ikke er blevet overholdt til dato; specifikt mangler en liste over databehandling.
  • IAB Europe gennemførte ikke en DPIA, selvom det ville være nødvendigt.
  • IAB Europe har ikke bestilt en databeskyttelsesansvarlig, selvom dette ville være nødvendigt.
En kvinde holder en megafon ved siden af en cookie og et certificeret IAB europa-stempel

Hvad er konsekvenserne?

Sanktionerne mod IAB Europe skyldes i sidste ende lovovertrædelserne (se ovenfor) og er:

  • (Re)designe TCF på en sådan måde, at det resulterer i et gyldigt retsgrundlag.
  • Data, som IAB Europe hidtil har indsamlet, skal slettes.
  • Retsgrundlaget “legitim interesse” må ikke længere anvendes i TCF.
  • Omorganiserede TCF, så CMP’er har en “harmoniseret” måde at indhente samtykke på på en GDPR-kompatibel måde. Information skal præsenteres på en kortfattet, konkret, men forståelig måde.
  • Der skal udvikles passende sikkerhedsmekanismer for at beskytte TCF.
  • IAB Europe skal oprette et register over databehandling.
  • IAB Europe skal gennemføre en DPIA.
  • IAB Europe skal udpege en databeskyttelsesansvarlig.

Endvidere er IAB Europe forpligtet til at udarbejde en “handlingsplan” inden for 2 måneder. Dette er for at vise de skridt, der skal tages for at gøre TCF-kompatibel i fremtiden. Så snart planen er blevet accepteret af APD, har IAB yderligere 6 måneder til at implementere den i overensstemmelse hermed.

 

Hold dig opdateret!

Abonner på nyhedsbrev

Er alle CMP’er ulovlige nu?

ingen En CMP som den for consentmanager er generelt uafhængig af dette – trods alt kan en webstedsoperatør konfigurere CMP’en, så den bliver kompatibel eller helt slukke for TCF’en i CMP’en.

Er TCF ulovligt nu?

ingen Den nuværende form anses for utilstrækkelig. IAB Europe har nu til opgave at iværksætte passende foranstaltninger og gøre TCF-kompatibel igen.

Hvad er det næste?

IAB Europe har nu 2 måneder til at udvikle foranstaltninger og/eller til at gøre indsigelse. Det antages, at begge dele vil ske: Der vil helt sikkert være indsigelse mod enkelte komponenter i beslutningen – samtidig vil vi se, hvordan TCF kan stilles på et sikkert grundlag. Målet her er især at omdanne TCF til en Code of Conduct (CoC). IAB har arbejdet på dette i lang tid. Et CoC ville have yderligere fordele og større retssikkerhed.

Hvem berører dommen?

Foreløbig påvirker det kun IAB Europe direkte. Indirekte påvirker det CMP’er, udbydere og udgivere på mellemlang sigt – senest når nye formål og juridiske grundlag skal sættes i samtykkelaget eller den tekniske understruktur ændres.

Hvordan skal jeg reagere nu?

Som med alt. det er ikke forkert at tage et nærmere kig og vente og se, hvordan skuespillerne opfører sig.

Som en generel anbefaling kan det udledes, at “legitim interesse” ikke anses for et tilstrækkeligt retsgrundlag for online annoncering – dette var allerede meddelt på forhånd og i andre domme. Hvis du bruger marketingværktøjer på din hjemmeside, bør du tjekke, om de kræver samtykke.

Generelt anbefaler vi kun at bruge TCF, når det virkelig er nødvendigt. Dette er måske ikke tilfældet for de fleste e-handelswebsteder, for eksempel. Samtidig vil de fleste nyhedssider fortsat være afhængige af TCF. Her anbefaler vi at tjekke beskrivelsesteksterne og udbyderlisterne nøje og om nødvendigt give mere præcise beskrivelser og yderligere information.

Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste

Checkliste herunterladen

Skal jeg slette alle mine data nu?

ingen Den belgiske dom berører kun IAB Europe indtil videre. Indirekte kan det dog lægges til grund, at en “ren TCF CMP” også falder ind under dommens betingelser og derfor ikke har opnået juridisk godkendelse.

Er websteder, der bruger TCF nu i fare?

ingen På den ene side vil aktører i første omgang vente – det gælder også de øvrige databeskyttelsesmyndigheder i andre lande. Så længe proceduren stadig er “afventende”, giver det ingen egentlig mening at bruge proceduren som grundlag for advarsler eller nye procedurer.

På den anden side er det stadig uklart, om selve TCF’en kan bruges på en kompatibel måde under visse betingelser. Også her mangler det at blive set og om nødvendigt at holde øje med udviklingen af TCF.

Hvad gør consentmanager for mig? Hvad skal jeg gøre?

Som medlem af IAB Europe og i forskellige regionale sammenslutninger og andre grupper er consentmanager aktivt involveret i konsultationerne og beslutningerne i IAB. I denne henseende vil consentmanager være i stand til at implementere alle nødvendige trin omgående for at være i stand til at beskytte sine kunder juridisk eller teknisk.

Som consentmanager kunde behøver du ikke gøre noget konkret i starten (se ovenfor for undtagelser). Alle tekniske og proceduremæssige justeringer, som en “ny” TCF kræver, kan foretages internt af os – der er ingen grund til at udveksle koder nu.

Kan du ikke se dit spørgsmål?

Du er velkommen til at kontakte os direkte.


flere kommentarer

Ny

Nyhedsbrev 05/2024

Ny integration til Slack, MS Teams og mere Med den nuværende opdatering er en ny integrationsfunktion til Slack, MS Teams, Zapier og n8n nu tilgængelig for dig i systemet. Funktionen giver dig bekvemt besked i Slack, Teams eller ethvert andet værktøj om vigtige ændringer og nyheder (f.eks. nye cookies fundet) på din CMP-konto. Du behøver […]
Webinar-GCM-v2-with-Google-and-consentmanager
Generel, Ny, videoer

Webinar: Google Consent Mode v2 med Google og consentmanager

Deltag i vores eksklusive webinar arrangeret af consentmanager i samarbejde med Google den 12. juni 2024 kl. 11:00 CET. På grund af den store efterspørgsel efter oplysninger om de seneste Google-krav, vil dette webinar hjælpe dig med bedre at forstå Google Consent Mode v2. Dennis Gingele fra Google og Jan Winkler fra consentmanager vil præsentere […]