News
Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)
Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.
In ihrem Beschluss stellte die APD-GBA fest, dass das TCF und der damit in Verbindung stehende real-time bidding standard (OpenRTB) nicht den Anforderungen der DSGVO entsprechen. Die Behörde benannte unter anderem die folgenden Verstöße:
- Nach den aktuell bestehenden Vorgaben des TCF wird keine ausreichende Einwilligung für die im Rahmen des TCF erfolgenden Verarbeitungen Die vor Einholung der Einwilligung erteilten Angaben reichen nicht aus, um die betroffenen Personen ausreichend über die Verarbeitung zu informieren. Die Informationen seien zu allgemein und nicht spezifisch genug, um die bei Nutzung des OpenRTB-Protokolls erfolgenden Verarbeitungen zu beschreiben.
- Eine Verarbeitung auf Grundlage von 6 Abs. 1 f) DSGVO (berechtigte Interessen) ist aufgrund des Umfangs der Verarbeitung und der möglichen Folgen für die Nutzer nicht möglich.
- Nutzer werden durch App- und Webseitenbetreiber (Publisher) nicht ausreichend über die bei der Nutzung des OpenRTB-Protokolls erfolgenden Datenverarbeitungen informiert, womit gegen 13, 14 DSGVO verstoßen wird.
- Die existierenden technischen und organisatorischen Maßnahmen reichen nicht aus, um die Gültigkeit, Integrität und Rechtmäßigkeit der im Framework erfassten Einwilligungen zu gewährleisten.
- Für die Verarbeitungen im Zusammenhang mit OpenRTB system wäre eine Datenschutzfolgenabschätzung erforderlich
- Im Verarbeitungsverzeichnis von IAB fehlten die im Zusammenhang mit dem TCF erfolgenden Verarbeitungen.
- IAB wäre darüber hinaus zur Benennung eines Datenschutzbeauftragten verpflichtet gewesen.
Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die Verstöße 1. bis 5. auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.
Von maßgeblicher Bedeutung von Nutzern des TCF sollte auch sein, dass die Behörde im Zusammenhang mit dem Bußgeldbescheid (neben andere Maßnahmen) angeordnet hat, dass IAB die teilnehmenden Organisationen über die AGB dazu verpflichten muss, keine Verarbeitungen mehr auf Grundlage von berechtigten Interessen durchzuführen. Die Aufsichtsbehörde hat IAB dafür 6 Monate Zeit gegeben.
IAB hat zudem ab heute 30 Tage Zeit bei Gericht Einspruch gegen den Beschluss einzulegen.
Wir empfehlen Unternehmen, die aktuell das IAB TCF nutzen, dringend die weiteren Entwicklungen zu beobachten. Aktuell scheint es wahrscheinlich, dass es zu einem gerichtlichen Verfahren kommen wird. Sollte das Gericht die Entscheidung der Behörde bestätigen, hätte das weitreichende Konsequenzen für das TCF.
News
LDA Brandenburg: BSI-Vorgaben zur IT-Sicherheit als „Stand der Technik“ nach Art. 32 DSGVO
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA) hat am 10. November 2021 gegen einen Website-Betreiber eine Verwarnung nach Art. 58 Abs. 2 lit. b) DSGVO ausgesprochen. Grund für die Verwarnung war insbesondere die Bereitstellung einer Upload-Funktion für Bilder, die nicht ausreichend gesichert war und über die es Angreifern möglich gewesen war, eine Kundendatenbank auszulesen.
Die Behörde sah darin eine Verletzung der Art. 25 Abs. 1 und Art. 32 Abs. 1 lit. b) DSGVO. Interessant an der Behördenentscheidung ist auch, dass diese einen Zusammenhang zwischen Art. 25 und Art. 32 DSGVO (Stand der Technik) und dem BSI-Grundschutz herstellt (hierzu sogleich mehr).
EuGH hat wieder zum Auskunftsanspruch entschieden – Zusammenfassung des Urteils in der Rs. C-307/22 vom 26. Oktober 2023
Während das Urteil in der Rs. C‑307/22 sich zwar mit dem speziellen Arzt-Patienten-Verhältnis beschäftigt, sind darin dennoch auch zahlreiche Aussagen enthalten, die allgemein für Erfüllung des Auskunftsanspruchs durch Unternehmen relevant sind. Das Urteil wird bereits munter in der Datenschutz-Szene diskutiert. Das ist auch deshalb verständlich, weil der EuGH einige hoch umstrittene Aspekte zum besonders praxisrelevanten Betroffenenrecht geklärt hat. In diesem Newsbeitrag finden Sie eine Zusammenfassung der aus unserer Sicht relevantesten Aussagen in der Entscheidung des EuGH sowie eine kurze Einschätzung zu den Folgen für die Praxis.
Der FOCUS zeichnet Piltz Legal erneut als eine der TOP - Wirtschaftschaftskanzleien aus
Im aktuellen Heft des FOCUS wurde Piltz Legal wieder als eine der TOP-Wirtschaftkanzleien 2023 im Bereich Datenschutz ausgezeichnet.
Der Digital Services Act – Überblick zu den einzelnen Adressaten und deren Pflichten
Der am 16. November 2022 in Kraft getretene Digital Services Act (Verordnung (EU) 2022/2065, „DSA“) wird ab dem 17. Februar 2024 vollständig gelten. Einige Pflichten, wie die Angabe der monatlichen Zahl der aktiven Nutzer durch Online-Plattformen, gelten bereits seit dem Inkrafttreten.
Der kommende EU Digital Services Act – Pflicht zu Melde- und Abhilfeverfahren für Hosting-Dienste
Der vollständige Geltungsbeginn des Digital Services Act (DSA) am 17. Februar 2024 rückt stetig näher. Und mit ihm auch die Verpflichtung zahlreicher Unternehmen. Wichtig: der DSA gilt, anders als oft öffentlich wahrgenommen, nicht nur für die „Großen“. Nachfolgend wird deshalb die Pflicht von Hostingdiensteanbietern vorgestellt, die ein Melde- und Abhilfeverfahren nach dem DSA implementieren müssen.
Wichtige Änderungen des TTDSG durch das deutsche DSA-Umsetzungsgesetz in Sicht
Der (vollständige) Geltungsbeginn des Digital Services Act (DSA), der teilweise auch als „Grundgesetz des Internets“ bezeichnet wird, rückt näher. Erste Vorschriften der europäischen Verordnung gelten bereits jetzt, wozu u. a. die Verpflichtung von Anbietern für Online-Plattformen und -Suchmaschinen zur Nennung ihrer durchschnittlichen monatlichen Nutzeranzahl in der EU gehört. Nähere Informationen zum DSA und dessen Inhalt können auch unserer EU-Digitalgesetzgebungsübersicht entnehmen werden.