News

Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)

Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.

In ihrem Beschluss stellte die APD-GBA fest, dass das TCF und der damit in Verbindung stehende real-time bidding standard (OpenRTB) nicht den Anforderungen der DSGVO entsprechen. Die Behörde benannte unter anderem die folgenden Verstöße:

  1. Nach den aktuell bestehenden Vorgaben des TCF wird keine ausreichende Einwilligung für die im Rahmen des TCF erfolgenden Verarbeitungen Die vor Einholung der Einwilligung erteilten Angaben reichen nicht aus, um die betroffenen Personen ausreichend über die Verarbeitung zu informieren. Die Informationen seien zu allgemein und nicht spezifisch genug, um die bei Nutzung des OpenRTB-Protokolls erfolgenden Verarbeitungen zu beschreiben.
  2. Eine Verarbeitung auf Grundlage von 6 Abs. 1 f) DSGVO (berechtigte Interessen) ist aufgrund des Umfangs der Verarbeitung und der möglichen Folgen für die Nutzer nicht möglich.
  3. Nutzer werden durch App- und Webseitenbetreiber (Publisher) nicht ausreichend über die bei der Nutzung des OpenRTB-Protokolls erfolgenden Datenverarbeitungen informiert, womit gegen 13, 14 DSGVO verstoßen wird.
  4. Die existierenden technischen und organisatorischen Maßnahmen reichen nicht aus, um die Gültigkeit, Integrität und Rechtmäßigkeit der im Framework erfassten Einwilligungen zu gewährleisten.
  5. Für die Verarbeitungen im Zusammenhang mit OpenRTB system wäre eine Datenschutzfolgenabschätzung erforderlich
  6. Im Verarbeitungsverzeichnis von IAB fehlten die im Zusammenhang mit dem TCF erfolgenden Verarbeitungen.
  7. IAB wäre darüber hinaus zur Benennung eines Datenschutzbeauftragten verpflichtet gewesen.

Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die Verstöße 1. bis 5. auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.

Von maßgeblicher Bedeutung von Nutzern des TCF sollte auch sein, dass die Behörde im Zusammenhang mit dem Bußgeldbescheid (neben andere Maßnahmen) angeordnet hat, dass IAB die teilnehmenden Organisationen über die AGB dazu verpflichten muss, keine Verarbeitungen mehr auf Grundlage von berechtigten Interessen durchzuführen. Die Aufsichtsbehörde hat IAB dafür 6 Monate Zeit gegeben.

IAB hat zudem ab heute 30 Tage Zeit bei Gericht Einspruch gegen den Beschluss einzulegen.

Wir empfehlen Unternehmen, die aktuell das IAB TCF nutzen, dringend die weiteren Entwicklungen zu beobachten. Aktuell scheint es wahrscheinlich, dass es zu einem gerichtlichen Verfahren kommen wird. Sollte das Gericht die Entscheidung der Behörde bestätigen, hätte das weitreichende Konsequenzen für das TCF.

Zurück

News

Wer ist „Geschäftsleitung“ nach dem BSIG? Prokurist, CIO, Komplementär im Fokus

Das durch die europäische NIS-2-Richtlinie geänderte Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) bringt eine ganze Reihe an Neuerungen im Bereich der IT-Sicherheit. Im Gegensatz zu sonstigen Rechtsakten der europäischen Digitalgesetzgebung enthalten die Änderungen des BSIG durch die NIS-2-Richtlinie eine neue Vorgabe, die explizit Geschäftsleitungen von BSIG-relevanten Unternehmen und sonstigen Stellen besonders interessieren dürfte.

Vom Abwasser bis zur IT — Eigenbetriebe als potenziell wichtige oder besonders wichtige Einrichtungen nach dem BSIG

Hinsichtlich öffentlicher Stellen der Länder verhält sich das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) sehr zurückhaltend. Nicht zuletzt aufgrund der Verteilung der Gesetzgebungskompetenzen zwischen Bund und Ländern finden sich zwar insbesondere in § 29 und Teil 3 Kapitel 3 BSIG Regelungen betreffend die Bundesverwaltung. Entsprechende Regelungen in Bezug auf Verwaltungen der Länder fehlen indes, sodass man auf die Idee kommen könnte, dass insbesondere Einrichtungen außerhalb der Bundes- und Landesverwaltung nicht vom BSIG adressiert werden.

Konzern-IT-Gesellschaften unter der NIS-2-Richtlinie – Neue Herausforderungen für Managed Service Provider und Managed Security Service Provider?

Viele Konzerne oder Unternehmensgruppen betreiben eine eigene IT-(Service) Gesellschaft, die bspw. ERP, MS 365 & Co. ausschließlich für andere Konzerngesellschaften bereitstellt. Mit Geltung der neuen Vorgaben der NIS-2-Richtlinie stellt sich die Frage, ob diese eigene interne IT nach dem deutschen NIS-2-Umsetzungsgesetz (= § 2 Nr. 26 BSIG) als „Managed Service Provider“ (MSP) einzuordnen ist – und sich daher spezifische Pflichten ergeben.

Blackout in Berlin – Meldepflichten für Unternehmen?

Von dem großflächigen Stromausfall im Berliner Südwesten sind etwa 2.200 Unternehmen betroffen. Viele davon müssen wohl leider damit rechnen, noch bis Donnerstag nicht wieder an das Stromnetz angeschlossen zu werden. Der Blackout hat für Unternehmen auch eine (datenschutz- und IT-Sicherheits-)rechtliche Dimension. Die Datenschutz-Grundverordnung sowie das BSI-Gesetz sehen für relevante Sicherheitsvorfälle Meldepflichten vor.

Private Nutzung betrieblicher E-Mail-Postfächer

Für die Zulässigkeit von Zugriffen auf Mitarbeiter-E-Mails ist die Anwendbarkeit des Fernmeldegeheimnisses höchst relevant. In der Vergangenheit wurden Arbeitgeber oft als Telekommunikationsanbieter eingestuft, wenn eine private Nutzung erlaubt war. Seit der Neuregelung der relevanten Vorschriften im Jahr 2021 vertreten die Aufsichtsbehörden zunehmend, dass das Fernmeldegeheimnis nicht greift. Auch die Bundesnetzagentur lehnt diese Einordnung in einem neuen Papier mit überzeugenden Argumenten ab. Aber welche Folgen hat das für die Unternehmen?

Mit dieser Frage befasst sich der aktuelle Beitrag von Dr. Carlo Piltz und Ilia Kukin in der K&R. Der Volltext ist hier abrufbar.

Handelsblatt-Ranking - Deutschlands „Beste Arbeitgeber“ – Platz 11 von 312 Arbeitgebern

Wir freuen uns sehr, in diesem Ranking Platz 11 von über 300 teilnehmenden Kanzleien erreicht zu haben und dafür vom Handelsblatt mit dem Siegel „Beste Arbeitgeber“ ausgezeichnet worden zu sein. Diese Auszeichnung bestätigt unseren Anspruch, ein Arbeitsumfeld zu schaffen, in dem sich alle Kolleginnen und Kollegen wohlfühlen und ihre Stärken entfalten können.

Geführt wird unsere Kanzlei von Prof. Burghard Piltz und Dr. Carlo Piltz, die sich seit vielen Jahren für eine moderne, wertschätzende und zukunftsorientierte Arbeitskultur einsetzen.

Wir danken allen Mitarbeitenden für ihr Engagement und ihr Vertrauen.

weitere News anzeigen