News
Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)
Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.
In ihrem Beschluss stellte die APD-GBA fest, dass das TCF und der damit in Verbindung stehende real-time bidding standard (OpenRTB) nicht den Anforderungen der DSGVO entsprechen. Die Behörde benannte unter anderem die folgenden Verstöße:
- Nach den aktuell bestehenden Vorgaben des TCF wird keine ausreichende Einwilligung für die im Rahmen des TCF erfolgenden Verarbeitungen Die vor Einholung der Einwilligung erteilten Angaben reichen nicht aus, um die betroffenen Personen ausreichend über die Verarbeitung zu informieren. Die Informationen seien zu allgemein und nicht spezifisch genug, um die bei Nutzung des OpenRTB-Protokolls erfolgenden Verarbeitungen zu beschreiben.
- Eine Verarbeitung auf Grundlage von 6 Abs. 1 f) DSGVO (berechtigte Interessen) ist aufgrund des Umfangs der Verarbeitung und der möglichen Folgen für die Nutzer nicht möglich.
- Nutzer werden durch App- und Webseitenbetreiber (Publisher) nicht ausreichend über die bei der Nutzung des OpenRTB-Protokolls erfolgenden Datenverarbeitungen informiert, womit gegen 13, 14 DSGVO verstoßen wird.
- Die existierenden technischen und organisatorischen Maßnahmen reichen nicht aus, um die Gültigkeit, Integrität und Rechtmäßigkeit der im Framework erfassten Einwilligungen zu gewährleisten.
- Für die Verarbeitungen im Zusammenhang mit OpenRTB system wäre eine Datenschutzfolgenabschätzung erforderlich
- Im Verarbeitungsverzeichnis von IAB fehlten die im Zusammenhang mit dem TCF erfolgenden Verarbeitungen.
- IAB wäre darüber hinaus zur Benennung eines Datenschutzbeauftragten verpflichtet gewesen.
Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die Verstöße 1. bis 5. auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.
Von maßgeblicher Bedeutung von Nutzern des TCF sollte auch sein, dass die Behörde im Zusammenhang mit dem Bußgeldbescheid (neben andere Maßnahmen) angeordnet hat, dass IAB die teilnehmenden Organisationen über die AGB dazu verpflichten muss, keine Verarbeitungen mehr auf Grundlage von berechtigten Interessen durchzuführen. Die Aufsichtsbehörde hat IAB dafür 6 Monate Zeit gegeben.
IAB hat zudem ab heute 30 Tage Zeit bei Gericht Einspruch gegen den Beschluss einzulegen.
Wir empfehlen Unternehmen, die aktuell das IAB TCF nutzen, dringend die weiteren Entwicklungen zu beobachten. Aktuell scheint es wahrscheinlich, dass es zu einem gerichtlichen Verfahren kommen wird. Sollte das Gericht die Entscheidung der Behörde bestätigen, hätte das weitreichende Konsequenzen für das TCF.
News
The Legal 500 Deutschland: Dr. Carlo Piltz als führender Name im Praxisbereich Datenschutz
Wir freuen uns sehr, dass Dr. Carlo Piltz in der neuesten Ausgabe des Handbuchs Legal 500 Deutschland unter den führenden Namen im Bereich Datenschutz vertreten ist.
Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)
Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.
Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die angenommenen Verstöße auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.
EDSA veröffentlicht Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO
Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat in seiner Sitzung vom 18. Januar 2022 einen ersten Leitlinienentwurf zu einem der bedeutendsten Betroffenenrechte nach der DSGVO herausgegeben: dem Auskunftsrecht nach Art. 15.
Dieses Recht sorgt in der Praxis oft für Anwendungsunsicherheiten und lässt viel Raum für Interpretationen. Aus diesem Grund erschien es notwendig, dieses 60-seitige Dokument zu veröffentlichen, um für mehr Klarheit und Kohärenz zu sorgen. In dem Dokument widmet sich der EDSA einer Reihe von Themen, von denen einige in der Praxis äußerst umstritten sind.
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.
Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament
Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.
Musterverträge für internationale Geschäfte
Bei dem Münchner Verlag C.H.Beck ist die erste, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Edition zu Musterverträgen für das internationale Handels- und Vertriebsrecht erschienen.