Datenschutzwoche
Real-Time-Advertising vor dem Ende?
Dies scheint nach einer Entscheidung der belgischen Datenschutaufsichtsbehörde „Autorité de protection des données (APD)“ gegen das „Transparency & Consent Framework (TCF)“ von IAB Europe, dem europäischen Verband für digitales Marketing und Werbung, zumindest nicht ausgeschlossen. Das TCF ist Grundlage für das auf dem OpenRTB-Protokoll basierenden Real-Time-Advertising. Bei diesem Verfahren kann der Nutzer einwilligen, dass ihm Werbeinhalte angezeigt werden. Auf Basis dieser Einwilligung können Werbeanbieter in Echtzeit auf die verfügbaren Anzeigenplätze der Webseite bieten. Wiedererkannt wird der jeweilige Nutzer durch eine Identifikationsnummer (sog. „TC-String“), welche auf die IP-Adresse verweist. Die APD verhängte ein Bußgeld von 250.000 Euro forderte IAB Europe auf, die Mängel innerhalb von sechs Monaten zu beheben.
Die Entscheidung der APD hat gleich mehrere interessante Aspekte: Zum einen hat die APD die Einwilligung der Nutzer mangels Transparenz für unwirksam erklärt – die Nutzer würden aufgrund der Komplexität des Verfahrens die Bedeutung und Tragweite ihrer Einwilligung nicht verstehen. Aus dem gleichen Grund käme auch ein berechtigtes Interesse nicht in Betracht. Zum anderen sieht die Datenschutzaufsichtsbehörde IAB Europe als einen mit den Werbetreibenden gemeinsam Verantwortlichen an.
Betroffen von dieser Entscheidung sind neben den Werbetreibenden vor allem Webseitenbetreiber, welche das TCF nutzen oder auf ihrer Webseite Werbung auf Grundlage des OpenRTB-Protokolls anzeigen lassen (u.a. auch „Google Adsense“): Da die von den Nutzern erklärten Einwilligungen unwirksam sind, erfolgt die Datenverarbeitung ohne Rechtsgrundlage, weshalb Bußgelder von Aufsichtsbehörden drohen können. Dies ist aber voraussichtlich erst nach Ablauf der Frist zur Behebung durch IAB Europe zu erwarten.
In einer Stellungnahme hat IAB Europe inzwischen erklärt, dass man die Einschätzung zur gemeinsamen Verantwortlichkeit nicht teile und daher Rechtsmittel gegen die Entscheidung einlegen wolle. Zugleich soll jedoch in Abstimmung mit der APD ein Konzept zur weiteren Nutzung des TCF erarbeiten werden.
Datenaustausch zwischen Europa und den USA: Neues Abkommen in Sicht?
Etwa eineinhalb Jahre sind seit der „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) und der damit verbundenen Aufhebung des Angemessenheitsbeschlusses für Datenübermittlungen zwischen Europa und den USA auf Basis des EU-US Privacy Shields vergangen. Seither finden diese Datenübermittlungen zumeist auf der Basis der (neuen) Standardvertragsklauseln der EU-Kommission, eines Transfer Impact Assessments und ergänzender Schutzmaßnahmen statt. In der Praxis ist diese Methode aufwendig und birgt häufig erhebliche Restrisiken.
Freudig aufgehorcht haben daher wohl alle, die regelmäßig Daten in die USA übermitteln, als das Nachrichtenmagazin Politico in der vergangenen Woche berichtete, das die Verhandlungen um eine Nachfolge für das EU-US Privacy Shield fast abgeschlossen seien. Dem Bericht zufolge soll das neue Abkommen EU-Bürger deutlich besser vor Datenzugriffen durch US-Sicherheitsbehörden schützen als dies bisher der Fall ist. Offiziell könnte das „US-EU Adequacy Agreement“ schon im Mai 2022 angekündigt werden. Ob die zähen Verhandlungen jedoch am Ende tatsächlich die erhoffte Rechtssicherheit bringen werden, bleibt abzuwarten.
Internationale Nachrichten
- Luxemburg: Die luxemburgische Datenschutzaufsicht CNPD hat eine hilfreiche Kurzübersicht ihrer Kernaussagen zu Cookies veröffentlicht.
- Frankreich: Die französische Datenschutzaufsicht CNIL hat Informationen und Praxishinweise zum Schutz vor Tracking durch Cookie-Alternativen veröffentlicht. Darüber hinaus unterstützt die CNIL Unternehmen neuerdings mit weiteren Informationen zum Umgang mit Kundendaten und zur Datenverarbeitung bei Zahlungsrückständen.
- Griechenland: Die griechische Datenschutzaufsicht hat gegen zwei Unternehmen, u.a. wegen Verstößen gegen Art. 32 DSGVO, Bußgelder i.H.v. 6 bzw. 3,25 Millionen Euro verhängt.
- Spanien: Die spanische Datenschutzaufsichtsbehörde AEPD hat gegen ein Finanzunternehmen ein Bußgeld in Höhe von drei Millionen Euro wegen DSGVO-Verstößen im Zusammenhang mit den Anforderungen an Einwilligungen verhängt.
Aktuelle Gerichtsentscheidungen
- LAG Mecklenburg-Vorpommern, Urteil vom 07.12.2021, Az. 5 Sa 113/21 (Volltext): Das Recht eines Arbeitnehmers, die Unwirksamkeit des Widerrufs der Bestellung zum Datenschutzbeauftragten geltend zu machen, kann verwirken.
- VGH Hessen, Beschluss vom 17.01.2022, Az. 10 B 2486/21 (Volltext): Aufhebung der einstweiligen Anordnung des VG Wiesbaden zur Untersagung von Cookiebot.
- VG Köln, Urteil vom 18.03.2021, Az. 13 K 1190/20 (Volltext): Zur Rechtswidrigkeit einer Verwarnung auf Basis der DSGVO durch den Bundesdatenschutzbeauftragten gegenüber dem Bundesinnenministerium für die Erhebung einer postalischen Anschrift in einem IFG-Verfahren über das Portal „FragDenStaat“.
Neuigkeiten aus den Aufsichtsbehörden
- Datenschutzaufsicht Thüringen: „Am 8. Februar ist Safer Internet Day – machen Sie mit - Thüringer Datenschützer live für Sie!“ – Pressemitteilung vom 02.02.2022
- Datenschutzaufsicht Bayern (BayLfD): „Faxen ohne Faxen“ – Pressemitteilung vom 03.02.2022 zum neuen Arbeitspapier „Datenschutz bei der Nutzung von Telefax-Diensten“
- Datenschutzaufsicht Schleswig-Holstein: „Vorlage für ein Hinweisschreiben zu typischen Datenschutzproblemen bei Websites (Stand: Januar 2022)“ – Antwort vom 04.02.2022 auf eine IFG-Anfrage
- Datenschutzaufsicht Mecklenburg-Vorpommern: „IHK Neubrandenburg und der Landesbeauftragte für Datenschutz und Informationsfreiheit MV begrüßen Einsatz der Corona-Warn-App zur Kontaktnachverfolgung“ – Pressemitteilung vom 04.02.2022