News

Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)

Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.

In ihrem Beschluss stellte die APD-GBA fest, dass das TCF und der damit in Verbindung stehende real-time bidding standard (OpenRTB) nicht den Anforderungen der DSGVO entsprechen. Die Behörde benannte unter anderem die folgenden Verstöße:

  1. Nach den aktuell bestehenden Vorgaben des TCF wird keine ausreichende Einwilligung für die im Rahmen des TCF erfolgenden Verarbeitungen Die vor Einholung der Einwilligung erteilten Angaben reichen nicht aus, um die betroffenen Personen ausreichend über die Verarbeitung zu informieren. Die Informationen seien zu allgemein und nicht spezifisch genug, um die bei Nutzung des OpenRTB-Protokolls erfolgenden Verarbeitungen zu beschreiben.
  2. Eine Verarbeitung auf Grundlage von 6 Abs. 1 f) DSGVO (berechtigte Interessen) ist aufgrund des Umfangs der Verarbeitung und der möglichen Folgen für die Nutzer nicht möglich.
  3. Nutzer werden durch App- und Webseitenbetreiber (Publisher) nicht ausreichend über die bei der Nutzung des OpenRTB-Protokolls erfolgenden Datenverarbeitungen informiert, womit gegen 13, 14 DSGVO verstoßen wird.
  4. Die existierenden technischen und organisatorischen Maßnahmen reichen nicht aus, um die Gültigkeit, Integrität und Rechtmäßigkeit der im Framework erfassten Einwilligungen zu gewährleisten.
  5. Für die Verarbeitungen im Zusammenhang mit OpenRTB system wäre eine Datenschutzfolgenabschätzung erforderlich
  6. Im Verarbeitungsverzeichnis von IAB fehlten die im Zusammenhang mit dem TCF erfolgenden Verarbeitungen.
  7. IAB wäre darüber hinaus zur Benennung eines Datenschutzbeauftragten verpflichtet gewesen.

Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die Verstöße 1. bis 5. auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.

Von maßgeblicher Bedeutung von Nutzern des TCF sollte auch sein, dass die Behörde im Zusammenhang mit dem Bußgeldbescheid (neben andere Maßnahmen) angeordnet hat, dass IAB die teilnehmenden Organisationen über die AGB dazu verpflichten muss, keine Verarbeitungen mehr auf Grundlage von berechtigten Interessen durchzuführen. Die Aufsichtsbehörde hat IAB dafür 6 Monate Zeit gegeben.

IAB hat zudem ab heute 30 Tage Zeit bei Gericht Einspruch gegen den Beschluss einzulegen.

Wir empfehlen Unternehmen, die aktuell das IAB TCF nutzen, dringend die weiteren Entwicklungen zu beobachten. Aktuell scheint es wahrscheinlich, dass es zu einem gerichtlichen Verfahren kommen wird. Sollte das Gericht die Entscheidung der Behörde bestätigen, hätte das weitreichende Konsequenzen für das TCF.

Rechtsanwalt, Senior Associate
Philip Schweers
Rechtsanwalt, Senior Associate
Philip Schweers

Zurück

News

Seminarreihe „Piltz Legal Update“ startet

Am 09.09.2022 findet die erste „Piltz Legal Update“ Veranstaltung unter dem Thema „Tracking, Cookies, Advertising – § 25 TTDSG im Fokus“ statt. Dr. Carlo Piltz und Dr. Nina Elisabeth Herbort geben aktuelle Einblicke.

Schnell sein lohnt sich, denn die Teilnehmerzahl ist begrenzt.

Eigentumsvorbehalt weltweit – Rechtliche Praxis in 32 Ländern

Bei Exportgeschäften kann sich der Verkäufer auf einen Eigentumsvorbehalt nur verlassen, wenn das für den ausländischen Käufer jeweils geltende Recht beachtet wird. Das soeben erschienene, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Buch stellt die rechtliche Praxis in 32 Ländern von Australien bis Ungarn dar.

Dr. Carlo Piltz im Podcast heise meets…. Datenschutz- & Security-Compliance im Unternehmen

Dr. Carlo Piltz war zu Gast im Podcast heise meets… und spricht dort über die wichtigsten rechtlichen Anforderungen zu Datenschutz & Security-Compliance.

Cyberangriffe treffen nicht nur Großkonzerne, auch kleine Unternehmen sind immer häufiger betroffen. Neben technischen Anforderungen sind auch rechtliche Richtlinien erforderlich, um Daten, Mitarbeiter, Kunden und das Unternehmen zu schützen. Die wichtigsten Gesetze und Richtlinien erläutern wir im Podcast und geben Hinweise, was Unternehmen zwingend beachten sollten.

Hier geht es zum Podcast

Reinhören lohnt sich.

Piltz Legal Whitepaper zur Umsetzung der Modernisierungsrichtlinie

Das Umsetzungsgesetz zur Modernisierungsrichtlinie („Mod-RL“) ist am 28. Mai 2022 in Kraft getreten. Die Mod-RL modifiziert die Digitale-Inhalte-Richtlinie sowie die Verbraucherrechte-Richtlinie. Mit der Umsetzung wurden Teile des BGB und EGBGB an die Vorgaben der Mod-RL angepasst. Transparenz- und Informationspflichten stehen dabei im Mittelpunkt, einige Änderungen gibt es auch beim Widerrufsrecht.

Deutschlands beste Anwälte 2022 – Dreifache Auszeichnung für Piltz Legal

Wir freuen uns sehr über drei Auszeichnungen im Ranking „Deutschlands beste Anwälte 2022“ des Handelsblattes in Kooperation mit dem US-Verlag Best Lawyers.

OLG Schleswig-Holstein: keine Pflicht zur Ende-zu-Ende Verschlüsselung bei Geschäftsgeheimnissen

In seinem Urteil vom 28. April 2022 (Az. 6 U 39/21) entschied das Schleswig-Holsteinische Oberlandesgericht, welche Geheimhaltungsmaßnahmen angemessen i. S. v. § 2 Abs. 1 Nr. 1 lit. b GeschGehG sind. Außerdem hat sich das Gericht mit der Frage auseinandergesetzt, ob ein Individualinteresse ein berechtigtes Interesse zur Nutzung des Geschäftsgeheimnisses i. S. v. § 5 GeschGehG begründen kann.

weitere News anzeigen