News

Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)

Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.

In ihrem Beschluss stellte die APD-GBA fest, dass das TCF und der damit in Verbindung stehende real-time bidding standard (OpenRTB) nicht den Anforderungen der DSGVO entsprechen. Die Behörde benannte unter anderem die folgenden Verstöße:

  1. Nach den aktuell bestehenden Vorgaben des TCF wird keine ausreichende Einwilligung für die im Rahmen des TCF erfolgenden Verarbeitungen Die vor Einholung der Einwilligung erteilten Angaben reichen nicht aus, um die betroffenen Personen ausreichend über die Verarbeitung zu informieren. Die Informationen seien zu allgemein und nicht spezifisch genug, um die bei Nutzung des OpenRTB-Protokolls erfolgenden Verarbeitungen zu beschreiben.
  2. Eine Verarbeitung auf Grundlage von 6 Abs. 1 f) DSGVO (berechtigte Interessen) ist aufgrund des Umfangs der Verarbeitung und der möglichen Folgen für die Nutzer nicht möglich.
  3. Nutzer werden durch App- und Webseitenbetreiber (Publisher) nicht ausreichend über die bei der Nutzung des OpenRTB-Protokolls erfolgenden Datenverarbeitungen informiert, womit gegen 13, 14 DSGVO verstoßen wird.
  4. Die existierenden technischen und organisatorischen Maßnahmen reichen nicht aus, um die Gültigkeit, Integrität und Rechtmäßigkeit der im Framework erfassten Einwilligungen zu gewährleisten.
  5. Für die Verarbeitungen im Zusammenhang mit OpenRTB system wäre eine Datenschutzfolgenabschätzung erforderlich
  6. Im Verarbeitungsverzeichnis von IAB fehlten die im Zusammenhang mit dem TCF erfolgenden Verarbeitungen.
  7. IAB wäre darüber hinaus zur Benennung eines Datenschutzbeauftragten verpflichtet gewesen.

Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die Verstöße 1. bis 5. auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.

Von maßgeblicher Bedeutung von Nutzern des TCF sollte auch sein, dass die Behörde im Zusammenhang mit dem Bußgeldbescheid (neben andere Maßnahmen) angeordnet hat, dass IAB die teilnehmenden Organisationen über die AGB dazu verpflichten muss, keine Verarbeitungen mehr auf Grundlage von berechtigten Interessen durchzuführen. Die Aufsichtsbehörde hat IAB dafür 6 Monate Zeit gegeben.

IAB hat zudem ab heute 30 Tage Zeit bei Gericht Einspruch gegen den Beschluss einzulegen.

Wir empfehlen Unternehmen, die aktuell das IAB TCF nutzen, dringend die weiteren Entwicklungen zu beobachten. Aktuell scheint es wahrscheinlich, dass es zu einem gerichtlichen Verfahren kommen wird. Sollte das Gericht die Entscheidung der Behörde bestätigen, hätte das weitreichende Konsequenzen für das TCF.

Rechtsanwalt, Senior Associate
Philip Schweers
Rechtsanwalt, Senior Associate
Philip Schweers

Zurück

News

Eigentumsvorbehalte im Export

Eigentumsvorbehaltsklauseln sind in Verkaufsverträgen und Verkaufs-AGB ein gängiges Mittel zur Sicherung des Kaufpreises. Wie selbstverständlich werden die gleichen Klauseln immer wieder dann auch in Exportverträge übernommen.

NIS-2-Richtlinie: Neue Vorgaben zur Stärkung der Cyberresilienz und -sicherheit

Die am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlichte Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS-2-Richtlinie“, „NIS-2-RL“) dient der Harmonisierung der Cybersicherheitsvorgaben in der EU und schreibt Unternehmen neue Verpflichtungen im Bereich der Cybersicherheit vor. Sie wird die bisher geltende NIS-Richtlinie ersetzen.

Künstliche Intelligenz-Verordnung der EU: Rat beschließt eigene Position zum Thema

Im April 2021 hat die Europäische Kommission ihren Entwurf für die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz („KI-Verordnung“, „KI-VO-E“) vorgestellt. Mit der Verordnung möchte die EU durch Förderung von Exzellenz im KI-Bereich das Wettbewerbspotenzial Europas stärken. Am 6. Dezember 2022 hat nun der Rat der Europäischen Union seinen gemeinsamen Standpunkt zu der KI-Verordnung beschlossen und zahlreiche Änderungen gegenüber dem Entwurf der Kommission vorgeschlagen.

 

Digital Markets Acts (DMA): Was geht uns das an?

Mit ihrer Verordnung über digitale Märkte (Digital Markets Act, kurz: DMA) hat die Europäische Union einen weiteren Baustein ihrer Digitalstrategie umgesetzt (finaler Gesetzestext vom 14. September 2022).

Die bereits im März 2022 verabschiedete Verordnung, wird ab Mai 2023 vor allem den Betreibern großer digitaler Plattformen zusätzliche wettbewerbs- und kartellrechtliche Verpflichtungen auferlegen.

Cyber Resilience Act – Überblick zu den neuen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen

Die Europäische Kommission hat im September ihren Entwurf für den Cyber Resilience Act („CRA“, Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) veröffentlicht. Dabei handelt es sich um eine EU-Verordnung, die nach Inkrafttreten unmittelbare Anwendung in allen Mitgliedstaaten findet und hierfür keines weiteren Umsetzungsaktes bedarf. Das Vorhaben zielt darauf ab, die europäische Datenstrategie weiter voranzutreiben und den legislativen Flickenteppich auf dem Gebiet der Cybersicherheit im europäischen Binnenmarkt zu beseitigen.

Piltz Legal Update am 17.03.2023 in Nürnberg

Gemeinsam mit Alexander Filip informiert Dr. Carlo Piltz am 17.03.2023 in Nürnberg zum Thema: "Aktuelles zu Drittstaatentransfers - Praktische Umsetzung von SCC, TIA & Co."

weitere News anzeigen