Kategorie: Internationaler Datenschutz

Italienische Datenschutzbehörde zum Einsatz von Google Analytics

7. Juli 2022

Die italienische Datenschutzbehörde Garante stellte in einer Entscheidung fest, dass die Verwendung des Analysetools Google Analytics nur möglich sei, wenn weitere Maßnahmen zur Einhaltung des Schutzniveaus bei einer Datenübermittlung ergriffen werden.

Bereits zuvor hatten andere europäische Datenschutzbehörden, so die französische Datenschutzbehörde (CNIL) – wir berichteten – und die österreichische Datenschutzbehörde (DSB) den Einsatz von Google Analytics auf Webseiten untersagt.

Der Sachverhalt

Hintergrund der Entscheidung durch Garante war eine Beschwerde gegen ein italienisches Unternehmen, dass auf seiner Webseite Google Analytics zur Erstellung von Nutzerstatistiken einsetzte. Konkret wehrte die betroffene Person sich dagegen, dass mit Verwendung von Google Analytics ihre personenbezogenen Daten in die USA übermittelt werden, ohne dass, aus Sicht des Betroffenen der Webseitenbetreiber geeignete Garantien im Sinne des Kapitel V DSGVO vorsah.

IP-Adresse: personenbezogenes Datum

Garante wies zunächst darauf hin, dass die IP-Adresse des benutzten Gerätes ein personenbezogenes Datum sei. Insbesondere sei zu beachten, dass Google beim Besuch der Webseite das Google-Konto des Nutzers mit der IP-Adresse verknüpfe. Dies führe dazu, dass weitere personenbezogenen Daten, wie beispielsweise der Name oder die E-Mail-Adresse mit der IP-Adresse in Verbindung gebracht werden. Demnach ist die betroffene Person als Nutzer identifizierbar.

Allerdings stelle Google Analytics den Webseiten-Betreibern eine „IP-Anonymisierung“ zur Verfügung. Vor Übermittlung in die USA verkürze der Service von Google Analytics die IP-Adresse der Nutzer. Problematisch daran sei, so Garante, dass lediglich eine Pseudonymisierung stattfinde. Trotz Verkürzung der IP-Adresse sei der Nutzer aufgrund der weiteren Daten identifizierbar.

Weitere Maßnahmen erforderlich

Es stellte sich die Frage, ob Google als Datenimporteur bei Übermittlung personenbezogener Daten seinen Verpflichtungen nach den Standardvertragsklauseln nachkommen könne. Aus Sicht von Garante hindern die US-amerikanischen Rechtsvorschriften Google bei Erfüllung dieser Verpflichtungen. Google Analytics müsse grundsätzlich weitere technische und organisatorische Maßnahmen ergreifen. Bereits vorgesehene Verschlüsselungsmechanismen reichten nicht aus. Die Verwendung Google Analytics sei nur bei Ergreifen weiterer Maßnahmen rechtmäßig. Eine Stellungnahme der deutschen Datenschutzbehörde zur Verwendung von Google Analytics bleibt abzuwarten.

Überblick zur umstrittenen Palantir-Software

29. Juni 2022

Seit einiger Zeit ist immer wieder die Rede von dem US-Konzern Palantir. Spätestens seitdem das Bayerische Landeskriminalamt (BLKA) im März entschieden hatte, zukünftig eine Analyse-Software des Konzerns zu nutzen, ist der Name wieder vermehrt zu hören gewesen. Dies liegt u.a. daran, dass der Konzern nicht ganz unumstritten ist. Alle wichtigen Informationen rund um den Palantir-Konzern und die fragliche Software präsentieren wir Ihnen hier im Überblick: 

Um was für eine Software handelt es sich und wozu wird sie eingesetzt? 

Das Analyse-Tool von Palantir beruht auf der Software Gotham. Damit sollen neben polizeilichen, auch andere behördliche Datenbanken abgefragt werden können, z. B. das Waffenregister, Einwohnermeldedaten oder das Ausländerzentralregister. Informationen aus verschiedenen Datenbanken sollen so schneller und effizienter miteinander verknüpft werden. 

Wie weit ist die Software verbreitet? 

In Hessen („Hessendata“) und Nordrhein-Westfalen („DAR“) ist die Palantir-Software bereits im Einsatz. In Bayern soll sie unter dem Begriff „VeRA“ (Verfahrensübergreifende Recherche und Analyse) starten. Da Bayern einen sogenannten „Rahmenvertrag“ abgeschlossen hat, können weitere Polizeien von Bund und Ländern ohne zusätzliche Vergabeverfahren in den Vertrag miteinsteigen. 

Baden-Württemberg, Bremen und Hamburg haben bereits Interesse bekundet. Auch der Bund will sich einen Einsatz überlegen. Dies hätte zur Folge, dass die Bundespolizei und der Zoll mit der Software arbeiten könnten. 

Palantir selbst ist international gut aufgestellt und bewirbt sich in Großbritannien gerade für einen fünf-Jahres-Vertrag mit der NHS, dem staatlichen Gesundheitssystem. Für diese soll dann eine Datenbank angelegt werden, in der Gesundheitsdaten gespeichert werden. Teilweise arbeitet Palantir jetzt schon für die NHS. Auch hier äußern sich Kritiker besorgt. 

Was ist die Kritik an der Software? 

Kritisiert wird zum einen, dass Palantir durch die Software eine bedeutende Stellung im deutschen Markt einnehmen könnte mit der Folge, dass dadurch ein Abhängigkeitsverhältnis des Staates entstehen könnte. 

Die meiste Kritik kommt jedoch von der Seite der Datenschützer. Dort wird vor allem kritisiert, dass über die Software enorme Mengen an Datensätzen miteinander verbunden werden, was einen Grundrechtseingriff darstelle. Auch besteht die Befürchtung, dass die durch Palantir erhobenen, sensiblen Daten, in die USA gelangen und dort von den Geheimdiensten abgegriffen werden könnten. 

Das Unternehmen Palantir hat in seinem Heimatland, den USA, bereits für Geheimdienste und das Pentagon gearbeitet. Auch dort ist das Unternehmen umstritten. Mitgründer Peter Thiel ist Trump-Supporter, unterstützt rechte Politiker und hat in der Vergangenheit seinen Unmut über Demokratien geäußert. Palantir hat bereits Verträge mit der United States Immigration and Customs Enforcement (ICE), einer Polizei- und Zollbehörde des Ministeriums für Innere Sicherheit, abgeschlossen. In diesem Zusammenhang wurde Palantir vorgeworfen, die ICE habe mithilfe der Software Daten über illegale Einwanderer gesammelt und diese später festgenommen und abgeschoben. 

Die jüngste Kritik an der Palantir-Software kommt von der NRW-Datenschutzbeauftragten Bettina Gayk im neuen Jahresbericht. Darin kritisiert sie, dass es für den Einsatz der Software bisher keine gesetzliche Grundlage gebe. Der Gesetzgeber müsse entscheiden, welche Straftaten schwer genug seien, um die Zweckbindung der einzelnen Datenbanken aufzuheben. Denn durch die Software würden auch Daten nicht straffällig gewordener Personen verarbeitet, z.B. die Daten von Anrufern bei der Notrufnummer 110 und von Zeugen. 

US-Repräsentantenhaus und Senat veröffentlichen überparteilichen Gesetzesentwurf zum Datenschutz

24. Juni 2022

Anfang Juni legten drei der vier Vorsitzenden der für den Datenschutz zuständigen US-Kongressausschüsse den Entwurf eines Datenschutzgesetzes (American Data Privacy and Protection Act, kurz ADPPA) zur Beratung vor. Im Falle einer Verabschiedung würde es bestimmte kürzlich verabschiedete Datenschutzgesetze einiger US-Bundesstaaten außer Kraft setzen.

Der Entwurf weist Merkmale des kalifornischen Datenschutzgesetzes (California Consumer Privacy Act) sowie der europäischen Datenschutz-Grundverordnung auf.

Bundesstaaten legten vor

Bisher stand der Datenschutz in den Vereinigten Staaten vornehmlich auf bundesstaatlicher Ebene oben auf der Agenda. In Kalifornien, Colorado, Connecticut, Virginia und Utah wurden kürzlich umfassende Datenschutzgesetze erlassen.  Allein in diesem Jahr wurden schon mehr als 100 Gesetzesentwürfe zum Datenschutz in den Bundesstaaten eingebracht.  Auch wenn diese nicht alle verabschiedet wurden, hat die Vielzahl von einzelstaatlichen Gesetzen und ihre unterschiedlichen regulatorischen Anforderungen dazu geführt, dass immer häufiger die Verabschiedung eines bundesweiten Datenschutzgesetzes gefordert wird. Ein einheitliches Bundesgesetz würde, wenn es verabschiedet wird, den Einrichtungen und Unternehmen die dringend benötigte Klarheit verschaffen und im Idealfall auch die Flut von Sammelklagen und anderen Datenschutzklagen eindämmen, die im Rahmen verschiedener einzelstaatlicher Gesetze erhoben werden.

Betroffene Einrichtungen

Das ADPPA gilt (mit Ausnahmen) im Großen und Ganzen für Organisationen, die in den Vereinigten Staaten tätig sind, die personenbezogene Daten sammeln, verarbeiten oder übertragen und in eine der folgenden Kategorien fallen:

  • Sie unterliegen dem Federal Trade Commission Act
  • Gemeinnützige Organisationen
  • Sog. Common Carrier, die dem Titel II des Communications Act von 1934 unterliegen

Vorgaben des ADPPA (nicht abschließend)

  • Beschränkung der Datenerhebung und -verarbeitung auf das vernünftigerweise notwendige Maß
  • Einhaltung öffentlicher und interner Datenschutzrichtlinien
  • Gewährung von Verbraucherrechten wie Zugang, Berichtigung und Löschung
  • Einspruchsmöglichkeiten
  • Einholung der Zustimmung vor der Erhebung oder Verarbeitung sensibler Daten, z. B. Geolokalisierung, genetische und biometrische Informationen und Browserverläufe
  • Bestellung eines Datenschutzbeauftragten
  • Erbringung eines Nachweises, dass angemessene Kontrollen durchgeführt werden
  • Registrierung der Datenhändler bei der Federal Trade Commission (FTC)
  • Die FTC wird ein durchsuchbares, zentrales öffentliches Online-Register aller registrierten Datenhändler sowie ein “Do Not Collect”-Register einrichten und pflegen, dass es Einzelpersonen ermöglicht, alle Datenhändler aufzufordern, ihre Daten innerhalb von 30 Tagen zu löschen
  • Einrichtungen dürfen die erfassten Daten nicht in einer Weise erheben, verarbeiten oder übertragen, die eine Diskriminierung aufgrund von Rasse, Hautfarbe, Religion, nationaler Herkunft, Geschlecht, sexueller Orientierung oder Behinderung darstellt
  • Einführung angemessener administrativer, technischer und physischer Datensicherheitspraktiken und -verfahren, um die betroffenen Daten vor unbefugtem Zugriff und unbefugter Kenntnisnahme zu schützen

Ausgang noch ungewiss

Kurz nachdem ein Entwurf des ADPPA veröffentlicht worden war, meldeten sich Datenschutzorganisationen, Bürgerrechtsgruppen und Unternehmen zu Wort und ergriffen Partei für und gegen das Gesetz.

Da sich die Legislaturperiode rasch dem Ende zuneigt, sind die Aussichten für die Verabschiedung des ADPPA weiterhin unklar. Zwischen den wichtigsten Interessengruppen herrscht nach wie vor große Uneinigkeit über wichtige Aspekte der vorgeschlagenen Gesetzgebung. Es herrscht jedoch Konsens darüber, dass die Vereinigten Staaten ein Bundesgesetz zum Datenschutz dringend benötigen. Somit ist die Verabschiedung eines entsprechenden Gesetztes in absehbarer Zeit recht wahrscheinlich.

EU-Kommission veröffentlicht Frage-Antwort-Katalog zu Standardvertragsklauseln

10. Juni 2022

Am 04. Juni letzten Jahres hat die EU-Kommission neue Standardvertragsklauseln für Drittlands-Übermittlungen und zur Auftragsverarbeitung beschlossen. Durch die Neuerungen sollte das Datenschutzniveau des Schrems-II-Urteils und der Europäischen Datenschutzgrundverordnung (DSGVO) sichergestellt werden.

Nun, knapp ein Jahr später, hat die EU-Kommission einen Frage-Antwort-Katalog zu diesen Standardvertragsklauseln veröffentlicht. Dieser wurde auf Basis von Rückmeldungen erstellt und soll die praktische Anwendung der Klauseln erleichtern.

Der Katalog enthält insgesamt 44 Fragen und Antworten zu verschiedenen Unterkategorien, wie z.B. Betroffenenrechte und Änderungen der involvierten Parteien. Der Katalog beantwortet dabei auch grundsätzliche Fragen wie: “Welche Vorteile haben die Standardvertragsklauseln?” und “Kann der Text der Standardvertragsklauseln geändert werden?”. Für einige Fragen werden auch Beispiele angeführt, sodass Sachverhalte anschaulicher werden. Insgesamt ist der Katalog nicht nur für Datenschutzexperten, sondern auch für interessierte Laien gedacht.

Zum jetzigen Zeitpunkt ist der Katalog nur auf Englisch einsehbar. Der Katalog soll dynamisch bleiben und stets um Fragen und Antworten ergänzt werden.

Neuer europäischer Raum für Gesundheitsdaten

17. Mai 2022

Vor dem Hintergrund der COVID-19-Pandemie hat die Europäische Kommission Anfang des Monats den europäischen Raum für Gesundheitsdaten (European Health Data Space – EHDS) auf den Weg gebracht. Dies geht aus einer Pressemitteilung der Kommission hervor.

Der EHDS soll dem Fortschritt der Gesundheitsversorgung der Menschen in Europa dienen und dabei einer der zentralen Bausteine einer starken europäischen Gesundheitsunion sein. Einer der Schwerpunkte des europäischen Raumes für Gesundheitsdaten soll, neben der Förderung eines Binnenmarktes für digitale Gesundheitsdienste und -produkte, die Nutzung und Kontrolle der Gesundheitsdaten durch die Betroffenen darstellen. Dabei soll diesen insbesondere der einfache Zugang zu den Daten in digitaler Form gewährt werden. Damit ist angedacht den Austausch zwischen Bürgerinnen und Bürgern und Angehörigen der Gesundheitsberufe und damit die europäische Gesundheitsversorgung zu fördern. Um dieses Ziel zu unterstützen, soll ebenfalls ein gemeinsames europäisches Datenformat erstellt werden sowie digitale Gesundheitsbehörden benannt werden, um die Wahrung der Rechte der Bürgerinnen und Bürger sicherzustellen.

Laut dem Vizepräsident der Europäischen Kommission, Margaritis Schinas, sei der EHDS ein “Neuanfang” für die EU-Politik im Bereich der digitalen Gesundheit und werde die Gesundheitsdaten für die Bürgerinnen und Bürger sowie die Wissenschaft nutzbar machen. Die EU-Gesundheitskommissarin Stella Kyriakides betonte zudem, dass auf diese Daten unter Gewährleistung strikter Garantien für den Schutz der Privatsphäre und der Sicherheit zugegriffen werde.

Der von der Europäischen Kommission vorgelegte Vorschlag wird nun im Rat und im Europäischen Parlament erörtert.

Thailand erlässt Gesetz zum Schutz personenbezogener Daten

16. Mai 2022

Am 1. Juni 2022 soll Thailands erstes Gesetz zum Schutz personenbezogener Daten in Kraft treten. Das sogenannte Personal Data Protection Act (PDPA) wurde ursprünglich im Jahr 2019 unterzeichnet, sein Inkrafttreten wurde jedoch aufgrund der Pandemie verschoben und auf den 1. Juni 2022 datiert. Das Gesetz beschreibt die Verpflichtungen von Unternehmen in Bezug auf die Erhebung und Verarbeitung personenbezogener Daten. Das PDPA definiert personenbezogene Daten als Informationen, die eine lebende Person identifizieren.

Somit schließt sich Thailand in Bezug auf ein Datenschutzgesetz den anderen südostasiatischen Staaten Singapur, Malaysia und den Philippinen an. Diejenigen, die gegen das Gesetz verstoßen, können mit zivil- und strafrechtlichen Geldbußen belangt werden. Ferner unterstützt das PDPA die Anforderungen mehrerer Freihandelsabkommen (FTAs) in Bezug auf die jeweiligen Datenschutzanforderungen, um auf diese Weise den digitalen Handel und das Online-Banking in Thailand zu sichern. Verletzungen des Schutzes personenbezogener Daten treten in den ASEAN-Mitgliedsstaaten immer häufiger auf, da die Digitalisierung der Wirtschaft dazu geführt hat, dass mehr Unternehmen und Menschen ihre Daten online speichern und dies die Anfälligkeit für Datenschutzverletzungen zur Folge hat.

Das thailändische PDPA gilt für Organisationen, die direkt in Thailand oder im Ausland ansässig sind, und zeitgleich an der Kontrolle und Verarbeitung von Waren, Dienstleistungen und Daten zum Verbraucherverhalten in Thailand beteiligt sind. Inhaber der Daten müssen ihre ausdrückliche Zustimmung bezüglich jeder Erhebung, Verwendung oder Weitergabe ihrer personenbezogenen Daten im Vorfeld geben.

Die PDPA wurde stark von der DSGVO beeinflusst. Mit dem PDPA können thailändische Unternehmen die strengen Anforderungen der EU an Datenexportmaßnahmen im Rahmen des Freihandelsabkommens Thailand-EU erfüllen. Im Juni 2021 nahmen die EU und Thailand die Handelsgespräche wieder auf, nachdem sie aufgrund des Militärputsch in Thailand 2014 aufgehoben wurden. Mit der Einrichtung einer zivilen Regierung im Jahr 2019 wurde Thailand als viertgrößter Handelspartner der EU – nach China, Japan und den USA – wiederhergestellt.

BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten

8. April 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Verbraucherinnen und Verbraucher, Unternehmen und Behörden vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Demnach könne die Softwarefirma Cyber-Angriffe ausführen.

Nach Angaben des BSI könnte Kaspersky selbst offensive Operationen durchführen, oder aber auch gezwungen werden, Zielsysteme anzugreifen. Es sei auch nicht auszuschließen, dass ein russisches Unternehmen selbst ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werde.

“Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden”, erklärte das BSI.

Des Weiteren seien Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber kritischer Infrastrukturen in besonderem Maße gefährdet. Betroffene Unternehmen und andere Organisationen sollten nach den Empfehlungen des BSI den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Es wird empfohlen, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.

Weitere Informationen für Verbraucherinnen und Verbraucher, Unternehmen und Behörden veröffentlichte das BSI in einer eigens dafür angelegten Rubrik (FAQ).

Kaspersky wies die Darstellung zunächst zurück und ging rechtlich gegen die Entscheidung vor. Nachdem das Verwaltungsgericht Köln Anfang April den Antrag zurückgewiesen hatte, reichte die Kaspersky Labs GmbH Beschwerde beim nordrhein-westfälischen Oberverwaltungsgericht (OVG) ein.

Privacyshield 2.0 – Bald eine neue Rechtsgrundlage für Datenübermittlungen in die USA?

31. März 2022

Am 25. März 2022 haben sich die Vereinigten Staaten und die Europäische Kommission mit einer gemeinsamen Erklärung im Grundsatz auf einen neuen transatlantischen Datenschutzrahmen geeinigt. Dieser soll möglicherweise bald den vom Europäischen Gerichtshof verworfenen Privacy-Shield-Rahmen ablösen.

Die Entscheidung ist das Ergebnis von mehr als einem Jahr intensiver Verhandlungen zwischen den USA und der EU. Die Hoffnungen sind groß, dass dieser neue Rahmen eine dauerhafte und rechtssichere Grundlage für den Datenverkehr zwischen der EU und den USA bildet.

Das Weiße Haus erklärte, dass der transatlantische Datenschutzrahmen “den transatlantischen Datenverkehr fördern und die Bedenken ausräumen wird, die der Gerichtshof der Europäischen Union geäußert hat, als er im Jahr 2020 die Angemessenheitsentscheidung der Kommission, die dem EU-US-Datenschutzschild zugrunde lag, für ungültig erklärte”.

Wie das Privacy Shield ist die Grundlage dieses neuen Rahmens die Selbstzertifizierung gegenüber dem US-Handelsministerium. Für Datenexporteure in der EU ist es dann von entscheidender Bedeutung sicherzustellen, dass ihre Datenimporteure in den USA nach dem neuen Rahmenwerk zertifiziert sind.

Durch den Rahmen soll außerdem neben einer effektiveren Aufsicht über die Geheimdienste ein mehrstufiges Rechtsbehelfssystem eingerichtet werden. Dieses schließt einen „Independent Data Protection Review Court“ ein, der die Befugnis haben soll, von EU-Bürgern erhobene Ansprüche gegen Überwachungsmaßnahmen der Geheimdienste zu beurteilen und erforderlichenfalls Abhilfemaßnahmen in rechtlich bindender Weise anzuordnen.

Aus mehreren Gründen steht diese Entscheidung jedoch auf wackeligen Beinen. Erstens handelt es sich bei der Entscheidung zunächst nur um eine politische Entscheidung im Grundsatz. Weder sind Details geklärt noch hat die Europäische Kommission den Prozess zu einer Angemessenheitsentscheidung anlaufen lassen. Entsprechend der Ankündigungen des Datenschutzaktivisten Max Schrems und noyb dürfte sich zudem auf Klagen vor den EU-Gerichten einzustellen sein. Es bleibt daher abzuwarten, ob dieser neue Rahmen den erhofften Abschluss zum Thema transatlantische Datenströme bringen wird. Bis dahin müssen Unternehmen weiterhin auf die Standardvertragsklauseln und zusätzliche Maßnahmen für ein angemessenes Datenschutzniveau setzen.

Niederländische Aufsichtsbehörde verhängt Bußgeld in Höhe von 525.000 €

22. März 2022

Aus einer Pressemitteilung der niederländischen Aufsichtsbehörde Autoriteit Persoonsgegevens (“AP”) geht hervor, dass gegen die DPG Media Magazines B.V. eine Geldstrafe in Höhe von 525.000 Euro verhängt wurde.

Vorausgegangen waren mehrere Beschwerden gegenüber der AP über die Art und Weise, wie Sanoma Media Netherlands B.V. (jetzt DPG Media Magazines B.V.) mit dieser Art von Anfragen umging. Die Personen, die sich beschwerten, hatten z. B. ein Abonnement für eine Zeitschrift. Das Medienunternehmen wurde infolgedessen zu der Geldstrafe verurteilt, weil Personen, die ihre Daten einsehen oder löschen lassen wollten, zunächst einen Identitätsnachweis hochladen mussten. Darüber hinaus wurden die Betroffenen nicht darüber informiert, dass sie Daten aus dem Dokument sperren dürfen. Laut der AP sei dies in dieser Situation jedoch nicht notwendig. Das Medienunternehmen fordere somit zu viele personenbezogene Daten an.

Hinsichtlich der behördichen Entscheidung äußerte sich Monique Verdier, Vizepräsidentin der AP: “Man darf nie einfach einen Identitätsnachweis verlangen. Er enthält eine Menge personenbezogener Daten. Selbst wenn Teile eines Ausweises geschützt sind, ist es oft zu schwierig, anhand einer Kopie festzustellen, ob jemand derjenige ist, der er vorgibt zu sein. Auch Kopien von Ausweispapieren müssen mit großer Sorgfalt aufbewahrt werden.”

Die DPG Media Magazines B.V. legte gegen den Bußgeldbescheid der Autoriteit Persoonsgegevens Widerspruch ein.

Belgien: Wichtiger Standard für Cookiebanner für rechtswidrig erklärt

18. März 2022

Die belgische Datenschutzbehörde hat einen für die Onlinewerbung zentralen Standard für datenschutzrechtlich unzulässig erklärt. Das System Transparence and Consent (TCF) mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising einsammeln, entspricht nach Auffassung der Datenschutzbehörde nicht den Grundsätzen von Rechtmäßigkeit und Fairness.

Die Datenschutzbehörde hat die Entscheidung gegen den Werbeverband IAB Europe getroffen, der den TCF-Mechanismus entwickelt und betreibt. IAB muss nun nicht nur alle auf diese Weise gesammelten Daten löschen, sondern auch ein Bußgeld von 250.000 Euro bezahlen.

Das Transparency & Consent Framework (TCF) ist der zentrale Standard hinter Cookie-Bannern und personalisierter Werbung. Wenn ein Nutzer bei einem Cookie-Banner auf “Akzeptieren” klickt, erzeugt das System einen sogenannten TC-String und schickt diesen an alle Partner weiter, die am System teilnehmen. Kernaufgabe des TCF ist damit die Weitergabe der Einwilligung in die Datenverarbeitung zu Werbezwecken an alle Partner des Systems. Der TC-String bildet die Grundlage für die Erstellung von individuellen Profilen jeden Nutzers und für Auktionen, in denen Werbeplätze für die gewünschte Zielgruppe in Echtzeit versteigert werden.

Die Entscheidung könnte nicht nur für belgische Unternehmen möglicherweise schwerwiegende Auswirkungen haben: Nach Art. 56 Abs. 6 DSGVO gilt das “One-Stop-Shop”-Prinzip. Demnach ist bei grenzüberschreitender Datenverarbeitung die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Dies bedeutet, dass Unternehmen bei grenzüberschreitenden Datenverarbeitungen nur einen Ansprechpartner für die Beurteilung der datenschutzrechtlichen Belange haben. Die Entscheidung dieses Ansprechpartners gilt dann europaweit. Viele Betreiber:innen von Websiten, der Großteil der Online-Medien und auch Google oder Amazon nutzen das System , um die im Cookiebanner erteilte Einwilligung von Nutzer:innen in die Verarbeitung von persönlichen Daten zu verteilen.

Zwar hat IAB angekündigt, gegen die Entscheidung vorzugehen. Die möglichen Auswirkungen für die Werbebranche sind dennoch enorm und könnten das Prinzip personalisierter Werbung grundsätzlich in Frage stellen.

1 4 5 6 7 8 36