APD verhängt 250.000 Euro Bußgeld gegen IAB Europe
Belgien: Die belgische Datenschutzbehörde hatte seit 2019 mehrere Beschwerden erhalten, die sich gegen IAB Europe (Interactive Advertising Bureau Europe) richteten. Anlass der Beschwerden waren vermutete Datenschutzverstöße beim “Transparency & Consent Framework“ (TCF).
Bei TCF handelt sich um einen von IAB Europe entwickelten Mechanismus, der die Verwaltung von Nutzerpräferenzen für personalisierte Online-Werbung erleichtert und eine zentrale Rolle beim sogenannten Real Time Bidding (RTB) spielt. RTB bezeichnet die automatisierte und sofortige Online-Auktion von Nutzerprofilen für den Verkauf und Kauf von Werbeflächen im Internet. Wenn Nutzer eine Website oder eine Anwendung aufrufen, die eine Werbefläche enthält, können Technologieunternehmen beim RTB hinter den Kulissen über ein automatisiertes Auktionssystem in Echtzeit dafür bieten, um auf dieser Werbefläche Werbung anzuzeigen, die speziell auf das Profil des jeweiligen Nutzers zugeschnitten ist. TCF kommt zum Einsatz, wenn Nutzer eine Anwendung oder Website das erste Mal aufrufen und mittels einer Schnittstelle zu einer Consent Management Platform (CMP) über ihre Einwilligung in verschiedene Arten der Verarbeitung ihrer Daten entscheiden können. TCF codiert diese Entscheidungen, speichert sie als sog. „TC String“ und teilt sie mit Organisationen, die am OpenRTB-System teilnehmen, damit diese wissen, wozu der Nutzer seine Zustimmung gegeben hat.
Bei ihren Untersuchungen stellte die Behörde mehrere Datenschutzverstöße im Zusammenhang mit TCF fest. So konnte IAB Europe zum einen keine Rechtsgrundlage für die Verarbeitung des TC Strings benennen. Zum anderen waren die Rechtsgrundlagen, auf die sich der Bußgeldempfänger bei der Weiterverarbeitung der Daten durch Werbetreibende via TCF stützte, unzureichend.
Des Weiteren waren Nutzer nicht ordnungsgemäß über die Verarbeitung ihrer Daten aufgeklärt worden. So waren die Informationen, die ihnen über die CMP-Schnittstelle zur Verfügung gestellt wurden, zu generisch und zu vage, um es ihnen zu ermöglichen, die Art und den Umfang der Verarbeitung ihrer Daten zu verstehen. Dies erschwerte es Betroffenen, die Kontrolle über ihre Daten zu wahren.
Ferner hatte das Unternehmen gegen seine Rechenschaftspflicht verstoßen, kein Verzeichnis seiner Verarbeitungstätigkeiten unterhalten, keine Datenschutz-Folgenabschätzung durchgeführt und keinen Datenschutzbeauftragten benannt. Auch hatte es keine technischen und organisatorischen Maßnahmen implementiert, die ein dem Risiko für die Betroffenen angemessenes Sicherheitsniveau gewährleisten und war seiner Rechenschaftspflicht nicht nachgekommen. .
Veröffentlicht am: 03-02-2022
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.