News
Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)
Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.
In ihrem Beschluss stellte die APD-GBA fest, dass das TCF und der damit in Verbindung stehende real-time bidding standard (OpenRTB) nicht den Anforderungen der DSGVO entsprechen. Die Behörde benannte unter anderem die folgenden Verstöße:
- Nach den aktuell bestehenden Vorgaben des TCF wird keine ausreichende Einwilligung für die im Rahmen des TCF erfolgenden Verarbeitungen Die vor Einholung der Einwilligung erteilten Angaben reichen nicht aus, um die betroffenen Personen ausreichend über die Verarbeitung zu informieren. Die Informationen seien zu allgemein und nicht spezifisch genug, um die bei Nutzung des OpenRTB-Protokolls erfolgenden Verarbeitungen zu beschreiben.
- Eine Verarbeitung auf Grundlage von 6 Abs. 1 f) DSGVO (berechtigte Interessen) ist aufgrund des Umfangs der Verarbeitung und der möglichen Folgen für die Nutzer nicht möglich.
- Nutzer werden durch App- und Webseitenbetreiber (Publisher) nicht ausreichend über die bei der Nutzung des OpenRTB-Protokolls erfolgenden Datenverarbeitungen informiert, womit gegen 13, 14 DSGVO verstoßen wird.
- Die existierenden technischen und organisatorischen Maßnahmen reichen nicht aus, um die Gültigkeit, Integrität und Rechtmäßigkeit der im Framework erfassten Einwilligungen zu gewährleisten.
- Für die Verarbeitungen im Zusammenhang mit OpenRTB system wäre eine Datenschutzfolgenabschätzung erforderlich
- Im Verarbeitungsverzeichnis von IAB fehlten die im Zusammenhang mit dem TCF erfolgenden Verarbeitungen.
- IAB wäre darüber hinaus zur Benennung eines Datenschutzbeauftragten verpflichtet gewesen.
Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die Verstöße 1. bis 5. auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.
Von maßgeblicher Bedeutung von Nutzern des TCF sollte auch sein, dass die Behörde im Zusammenhang mit dem Bußgeldbescheid (neben andere Maßnahmen) angeordnet hat, dass IAB die teilnehmenden Organisationen über die AGB dazu verpflichten muss, keine Verarbeitungen mehr auf Grundlage von berechtigten Interessen durchzuführen. Die Aufsichtsbehörde hat IAB dafür 6 Monate Zeit gegeben.
IAB hat zudem ab heute 30 Tage Zeit bei Gericht Einspruch gegen den Beschluss einzulegen.
Wir empfehlen Unternehmen, die aktuell das IAB TCF nutzen, dringend die weiteren Entwicklungen zu beobachten. Aktuell scheint es wahrscheinlich, dass es zu einem gerichtlichen Verfahren kommen wird. Sollte das Gericht die Entscheidung der Behörde bestätigen, hätte das weitreichende Konsequenzen für das TCF.
News
Neue Zweifel an der Wirksamkeit des EU-U.S. Data Privacy Framework
Der LIBE-Ausschuss vom Europäischen Parlament hat am 6. Februar 2025 die Kommission darauf hingewiesen, dass das unter dem EU-U.S. Data Privacy Framework („DPF“) geschaffene Privacy and Civil Liberties Board nur noch mit einer Person besetzt ist (siehe dazu auch den Artikel bei Bloomberg). Die anderen Board-Mitglieder wurden von der Exekutive in den USA abberufen. Der Ausschuss bittet die Kommission eine dokumentierte Prüfung zur Verfügung zu stellen, die sich mit den Auswirkungen dieser Änderung befasst. Das ist nachvollziehbar, weil eigentlich ein wirksamer und Art. 47 der Charta der Grundrechte der EU entsprechender Rechtsbehelf notwendig ist, um von einer Angemessenheit des Schutzniveaus auszugehen. Im folgenden Abschnitt beantworten wir Fragen, die sich Unternehmen aus der EU jetzt vermehrt stellen werden.
Neue Vorgaben zur Barrierefreiheit auf Websites und in Apps: Ein Überblick zu den Vorschriften des BFSG
Philip Schweers hat in der aktuellen Ausgabe 09/2025 des "Betriebs-Beraters" die nach dem 28. Juni 2025 geltenden Anforderungen des Barrierefreiheitsstärkungsgesetz für Websites und Apps zusammengefasst.
Der Beitrag beschreibt ausführlich für welche Websites und Apps das BFSG gilt, welche Anforderungen bei dessen Umsetzung beachtet werden müssen und welche Konsequenzen bei Verstößen drohen.
Barrierefreiheitsstärkungsgesetz (Teil 4) – Folgen von Verstößen gegen das BFSG
Ab dem 29. Juni 2025 gelten die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG). Um Sie rechtzeitig auf das BFSG vorzubereiten, befassen wir uns in unserer Beitragsreihe mit dessen Anforderungen. In Teil 1 haben wir uns einen kurzen Gesamtüberblick zum BFSG verschafft. In Teil 2 und Teil 3 haben wir uns angesehen, ob und welche Anforderungen aus dem BFSG für ihre Websites und Apps gelten. In Teil 4 befassen wir uns damit, was passiert, wenn ein Dienstleister, (z.B. der Anbieter eines Onlineshops) gegen die Vorgaben des BFSG verstößt und wie dieser sich gegen mögliche Rechtsfolgen wehren kann.
Barrierefreiheitsstärkungsgesetz (Teil 3) – Was bedeutet Barrierefreiheit für meine Website oder App?
Nachdem wir uns in Teil 2 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) damit befasst haben für welche Apps und Websites das BFSG gilt, stellen wir Ihnen in Teil 3 vor, welche konkreten Anforderungen an die Barrierefreiheit gelten.
LG Nürnberg-Fürth: Zugangsdaten, Passwörter und Datenbank mit öffentlich verfügbaren Informationen als Geschäftsgeheimnisse
Im Bereich Geschäftsgeheimnisschutz ist es besonders relevant, dass Inhaber eines Geschäftsgeheimnisses diese mit angemessenen Maßnahmen geheim halten. Damit eine Information überhaupt ein Geschäftsgeheimnis i.S.v. § 2 Nr. 1 GeschGehG sein kann, dürfen die relevanten Informationen u.a. weder allgemein bekannt noch ohne Weiteres zugänglich sein. Das LG Nürnberg-Fürth hat am 27.12.2024 (Az. 19 O 556/24) entschieden, dass sowohl eine Datenbank mit öffentlich verfügbaren Daten als auch die Zugangsdaten und Passwörter für den Zugriff auf diese Datenbank als Geschäftsgeheimnisse gelten. Es wurde außerdem entschieden, dass dem Kläger ein Auskunftsanspruch aus § 8 Abs. 1 GeschGehG zustand und die dabei zur Mitteilung von Namen und Anschriften der an der Verletzung des Geschäftsgeheimnisses beteiligten Personen erforderliche Rechtsgrundlage aus der DSGVO vorlag.
Fachbeitrag: Berechtigte Interessen als Rechtsgrundlage für das Training von KI-Modellen
Alexander Weiss & Dr. Carlo Piltz haben im aktuellen Heft 12/2024 der Zeitschrift DATENSCHUTZ-BERATER die praxisrelevante Frage untersucht, ob und wann die Rechtsgrundlage des Art. 6 Abs. 1 f) DSGVO (Interessenabwägung) für die Verwendung personenbezogener Daten zum Zweck des Trainings von KI-Modellen genutzt werden kann.