News

Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)

Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.

In ihrem Beschluss stellte die APD-GBA fest, dass das TCF und der damit in Verbindung stehende real-time bidding standard (OpenRTB) nicht den Anforderungen der DSGVO entsprechen. Die Behörde benannte unter anderem die folgenden Verstöße:

  1. Nach den aktuell bestehenden Vorgaben des TCF wird keine ausreichende Einwilligung für die im Rahmen des TCF erfolgenden Verarbeitungen Die vor Einholung der Einwilligung erteilten Angaben reichen nicht aus, um die betroffenen Personen ausreichend über die Verarbeitung zu informieren. Die Informationen seien zu allgemein und nicht spezifisch genug, um die bei Nutzung des OpenRTB-Protokolls erfolgenden Verarbeitungen zu beschreiben.
  2. Eine Verarbeitung auf Grundlage von 6 Abs. 1 f) DSGVO (berechtigte Interessen) ist aufgrund des Umfangs der Verarbeitung und der möglichen Folgen für die Nutzer nicht möglich.
  3. Nutzer werden durch App- und Webseitenbetreiber (Publisher) nicht ausreichend über die bei der Nutzung des OpenRTB-Protokolls erfolgenden Datenverarbeitungen informiert, womit gegen 13, 14 DSGVO verstoßen wird.
  4. Die existierenden technischen und organisatorischen Maßnahmen reichen nicht aus, um die Gültigkeit, Integrität und Rechtmäßigkeit der im Framework erfassten Einwilligungen zu gewährleisten.
  5. Für die Verarbeitungen im Zusammenhang mit OpenRTB system wäre eine Datenschutzfolgenabschätzung erforderlich
  6. Im Verarbeitungsverzeichnis von IAB fehlten die im Zusammenhang mit dem TCF erfolgenden Verarbeitungen.
  7. IAB wäre darüber hinaus zur Benennung eines Datenschutzbeauftragten verpflichtet gewesen.

Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die Verstöße 1. bis 5. auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.

Von maßgeblicher Bedeutung von Nutzern des TCF sollte auch sein, dass die Behörde im Zusammenhang mit dem Bußgeldbescheid (neben andere Maßnahmen) angeordnet hat, dass IAB die teilnehmenden Organisationen über die AGB dazu verpflichten muss, keine Verarbeitungen mehr auf Grundlage von berechtigten Interessen durchzuführen. Die Aufsichtsbehörde hat IAB dafür 6 Monate Zeit gegeben.

IAB hat zudem ab heute 30 Tage Zeit bei Gericht Einspruch gegen den Beschluss einzulegen.

Wir empfehlen Unternehmen, die aktuell das IAB TCF nutzen, dringend die weiteren Entwicklungen zu beobachten. Aktuell scheint es wahrscheinlich, dass es zu einem gerichtlichen Verfahren kommen wird. Sollte das Gericht die Entscheidung der Behörde bestätigen, hätte das weitreichende Konsequenzen für das TCF.

Zurück

News

Zuständigkeitswirrwarr: Übersicht zur Zuständigkeit für die Überwachung des Barrierefreiheitsstärkungsgesetzes (BFSG) bis zur Gründung der bundesweit zuständigen Marktüberwachungsbehörde

Seit dem 28. Juni 2025 gelten die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG). Ursprünglich war geplant, dass eine bundesweit zuständige Behörde die Überwachung des BFSG übernehmen soll. Die sogenannte Marktüberwachungsstelle der Länder für die Barrierefreiheit von Produkten und Dienstleistungen (MLBF) mit Sitz in Sachsen-Anhalt befindet sich aber noch „in Errichtung“. Auf dem Internetangebot des Landes Sachsen-Anhalt finden sich zur MLBF derzeit lediglich ein Postfach, eine E-Mail-Adresse und eine Telefonnummer (hier abrufbar). Vor diesem Hintergrund stellt sich die Frage, welche Behörden bis zur Errichtung der MLBF für die Überwachung des BFSG zuständig sind.

DSGVO-Bußgeldverfahren: Mehr Klarheit durch Musterrichtlinien der DSK

Am 16. Juni 2025 hat die Datenschutzkonferenz (DSK) ihre Musterrichtlinien für das Verfahren zur Verhängung von Geldbußen vorgestellt.

Die Landesdatenschutzbehörden planen nun, diese Richtlinien als Verwaltungsvorschriften zu erlassen. Damit werden sich die Aufsichtsbehörden selbst verpflichten, die Vorgaben in zukünftigen Bußgeldverfahren einzuhalten.

Erste Schritte zur Umsetzung der Barrierefreiheit auf Websites

In etwa einem Monat gelten die Anforderungen des Barrierefreiheitsstärkungsgesetz (BFSG) für viele Websites. Ab dem 29. Juni 2025 müssen die meisten Websites (und übrigens auch Apps) nicht nur barrierefrei sein, sondern auch eine Erklärung zur Barrierefreiheit enthalten.

In diesem Beitrag möchten wir Ihnen aufzeigen, welche Schritte Sie jetzt ergreifen können, um die Anforderungen des BFSG kurzfristig umzusetzen.

Datenschutzrechtliche Verantwortlichkeit von Behörden bei zentraler Bereitstellung von IT-Fachverfahren

Um Behörden die Bestimmung der datenschutzrechtlichen Verantwortlichkeit beim Einsatz von IT-Fachverfahren zu erleichtern, hat Philip Schweers in der aktuellen Ausgabe 05/2025 des Datenschutzberaters einen Beitrag veröffentlicht.

Den Beitrag können Sie hier kostenlos auf unserer Website als PDF abrufen.

Im Artikel beschreibt Herr Schweers ausführlich, wann aus Sicht des Europäischen Datenschutzausschusses und des Europäischen Gerichtshofs eine gemeinsame Verantwortlichkeit bei Beteiligung mehrerer öffentlicher Stellen in Betracht kommt. Auch für Datenschützer im Unternehmen kann der Beitrag interessant sein, da sich die Ausführungen im Grunde auch auf die Bereitstellung zentraler IT-Anwendungen im Konzern übertragen lassen.

Weiterer Fachaufsatz zum Training von KI-Modellen aus datenschutzrechtlicher Sicht

In der aktuellen Ausgabe 02/2025 (EuDIR 2025, 90) der Zeitschrift für Europäisches Daten- und Informationsrecht (EuDIR) wurde ein Beitrag von Dr. Carlo Piltz und Alexander Weiss mit dem Titel „Datenschutzrechtliche Rechtsgrundlagen für das Training von KI-Modellen“ veröffentlicht.

In dem Aufsatz wird aufgezeigt, welche datenschutzrechtlichen Erlaubnistatbestände aus der DSGVO in bestimmten Fallkonstellationen herangezogenen werden können, wenn KI-Modelle mit personenbezogenen Daten trainiert werden. Zudem werden auch Fragestellungen zur Zweckänderung (Art. 6 Abs. 4 DSGVO) und zur Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) erörtert.

 

Das Inhaltsverzeichnis der Zeitschrift können Sie hier als PDF aufrufen.

Zweitverwendung personenbezogener Daten in der Forschung: EDSB-Studie zeigt dringenden Handlungsbedarf

Ob Biobank, klinische Studie oder KI-gestützte Gesundheitsforschung: Die Wiederverwendung bereits erhobener personenbezogener Daten für neue wissenschaftliche Fragestellungen – die sogenannte Zweitverarbeitung, Zweitverwendung oder Zweitnutzung – ist aus der modernen Forschung nicht mehr wegzudenken. Sie verspricht Effizienz, Erkenntnisgewinn und gesellschaftlichen Mehrwert. Doch das datenschutzrechtliche Fundament für solche Projekte ist häufig eher unsicher.

weitere News anzeigen