News

Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)

Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.

In ihrem Beschluss stellte die APD-GBA fest, dass das TCF und der damit in Verbindung stehende real-time bidding standard (OpenRTB) nicht den Anforderungen der DSGVO entsprechen. Die Behörde benannte unter anderem die folgenden Verstöße:

  1. Nach den aktuell bestehenden Vorgaben des TCF wird keine ausreichende Einwilligung für die im Rahmen des TCF erfolgenden Verarbeitungen Die vor Einholung der Einwilligung erteilten Angaben reichen nicht aus, um die betroffenen Personen ausreichend über die Verarbeitung zu informieren. Die Informationen seien zu allgemein und nicht spezifisch genug, um die bei Nutzung des OpenRTB-Protokolls erfolgenden Verarbeitungen zu beschreiben.
  2. Eine Verarbeitung auf Grundlage von 6 Abs. 1 f) DSGVO (berechtigte Interessen) ist aufgrund des Umfangs der Verarbeitung und der möglichen Folgen für die Nutzer nicht möglich.
  3. Nutzer werden durch App- und Webseitenbetreiber (Publisher) nicht ausreichend über die bei der Nutzung des OpenRTB-Protokolls erfolgenden Datenverarbeitungen informiert, womit gegen 13, 14 DSGVO verstoßen wird.
  4. Die existierenden technischen und organisatorischen Maßnahmen reichen nicht aus, um die Gültigkeit, Integrität und Rechtmäßigkeit der im Framework erfassten Einwilligungen zu gewährleisten.
  5. Für die Verarbeitungen im Zusammenhang mit OpenRTB system wäre eine Datenschutzfolgenabschätzung erforderlich
  6. Im Verarbeitungsverzeichnis von IAB fehlten die im Zusammenhang mit dem TCF erfolgenden Verarbeitungen.
  7. IAB wäre darüber hinaus zur Benennung eines Datenschutzbeauftragten verpflichtet gewesen.

Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die Verstöße 1. bis 5. auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.

Von maßgeblicher Bedeutung von Nutzern des TCF sollte auch sein, dass die Behörde im Zusammenhang mit dem Bußgeldbescheid (neben andere Maßnahmen) angeordnet hat, dass IAB die teilnehmenden Organisationen über die AGB dazu verpflichten muss, keine Verarbeitungen mehr auf Grundlage von berechtigten Interessen durchzuführen. Die Aufsichtsbehörde hat IAB dafür 6 Monate Zeit gegeben.

IAB hat zudem ab heute 30 Tage Zeit bei Gericht Einspruch gegen den Beschluss einzulegen.

Wir empfehlen Unternehmen, die aktuell das IAB TCF nutzen, dringend die weiteren Entwicklungen zu beobachten. Aktuell scheint es wahrscheinlich, dass es zu einem gerichtlichen Verfahren kommen wird. Sollte das Gericht die Entscheidung der Behörde bestätigen, hätte das weitreichende Konsequenzen für das TCF.

Zurück

News

Werbung mit „DSGVO-konform“: Wo liegen die Grenzen des Zulässigen?

Zahlreiche Anbieter von Software und Cloud-Diensten werben mit dem Versprechen, ihre Lösung erfülle die Anforderungen der DSGVO. Auch im KI-Bereich bezeichnen insbesondere kleinere Anbieter ihre Produkte in Werbematerialien nicht selten als „100 % DSGVO-konform". Was hinter solchen Aussagen steht, lässt sich oft nur schwer nachvollziehen. Das Zertifizierungsregime der DSGVO ist bis heute kaum praxistauglich und der Markt behilft sich mit freien Siegeln und eigenen Prüfstandards. Wer als Anbieter mit Datenschutz-Compliance wirbt, muss daher nicht nur die Grenzen der jeweiligen Zertifizierungen kennen, sondern auch die wettbewerbsrechtlichen Folgen pauschaler oder inhaltlich nicht gedeckter Aussagen im Blick behalten.

Kontaktformular nur mit Einwilligung?

Kontaktformulare sind auf nahezu jeder Website zu finden und datenschutzrechtlich in mehrfacher Hinsicht relevant. Im Mittelpunkt steht regelmäßig die Frage nach einer tragfähigen Rechtsgrundlage für die Verarbeitung der übermittelten personenbezogenen Daten. Häufig wird hierfür eine Einwilligung angenommen und per Checkbox eingeholt. Ähnlich stellt sich die Situation bei der Kontaktaufnahme per E-Mail dar. Auch hier stützen Verantwortliche die Verarbeitung nicht selten auf eine (vermeintlich konkludente) Einwilligung des Betroffenen. Rechtlich kommen aber neben der Einwilligung auch andere Rechtsgrundlagen in Betracht, die in der Praxis vorzugswürdig erscheinen.

Entwurf der Europäischen Kommission für die Leitlinien zum CRA

Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten. Vollständig gilt der CRA allerdings erst ab dem 11. Dezember 2027. Nachdem bereits im Dezember 2025 ein FAQ einer Dienststelle der Kommission veröffentlicht wurde, hat die Europäische Kommission nun einen Entwurf für die offiziellen Leitlinien zum CRA nach Art. 26 CRA veröffentlicht.

Außerdienstliche Straftaten unter Nutzung betrieblicher Mittel: Zur Reichweite des § 26 Abs. 1 Satz 2 BDSG

§ 26 Abs. 1 Satz 1 BDSG erlaubt Verantwortlichen, personenbezogene Daten von Beschäftigten zu verarbeiten, so weit dies zur Aufdeckung einer „im Beschäftigungsverhältnis begangenen“ Straftat erforderlich ist. Die Reichweite dieser Rechtsgrundlage wurde in der Rechtsprechung bislang aber kaum behandelt. Insbesondere ist unklar, wann eine Straftat als „im Beschäftigungsverhältnis begangen“ gilt. In der Praxis können Straftaten auch außerhalb der Arbeitszeit begangen werden, wobei zugleich betriebliche Mittel (etwa Laptop oder Mobiltelefon) zum Einsatz kommen. Hier stellt sich die Frage, ob sich interne Untersuchungen in solchen Konstellationen auf § 26 Abs. 1 Satz 2 BDSG stützen lassen oder ob hierfür eine Einwilligung der betroffenen Person erforderlich ist.

Mit dieser Frage befasst sich der aktuelle Beitrag von Carlo Piltz und Ilia Kukin im Datenschutz-Berater (03/2026).

LAG Rheinland-Pfalz: Datenschutzverstoß als Kündigungsgrund?

Mit Urteil vom 30. Juli 2025 hat das Landesarbeitsgericht Rheinland-Pfalz (Az. 7 SLa 293/24) entschieden, dass ein Jobcenter-Mitarbeiter nach einem Datenschutzverstoß unrechtmäßig gekündigt wurde.

GDNG in der Praxis: Zuständigkeiten und Anzeigeverfahren bei länderübergreifender Gesundheitsforschung

Auch wenn verschiedene Fragen rund um das Gesetz noch nicht geklärt sind (wie z. B. die Frage des Verhältnisses zu anderen relevanten Regelungen – insbesondere § 27 BDSG, Datenschutz- und ggf. Krankenhausgesetze der Länder - oder aber ob das GDNG selbst die Anforderungen des Art. 89 DSGVO erfüllt) kommt das Gesetz immer mehr in der Praxis des Gesundheitswesens an. So hat etwa die Datenschutzbehörde des Landes Nordrhein-Westfalen bereits vor über einem Jahr im Rahmen einer Sitzung der Datenschutzkonferenz (DSK) zu Protokoll gegeben, dass zahlreiche Anträge nach dem GDNG erwartet werden (siehe TOP 12, S. 9).

weitere News anzeigen