TCF verstößt gegen die DSGVO – DS News KW 20/2025

Transkript zur Folge:

Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 16. Mai und Redaktionsschluss war heute wie gewöhnlich um 10 Uhr.
Mein Name ist Natalia Wozniak und bei mir ist mein lieber Kollege Lothar Simanowski. Hi Lothar.
Hi Natalia, morgen.
Morgen. So, wir haben heute tatsächlich wieder einige Themen mitgebracht,
auch vor allem Urteile. Lothar, was hast du dabei?
Ich habe insgesamt drei Themen dabei und zwar zum einen ein Urteil des Bundesarbeitsgerichtes
über einen Schadenersatz wegen einer datenschutzwidrigen Datenübermittlung.
Dann habe ich eine Sicherheitslücke bei der Bundesagentur für Arbeit und das
zweite Urteil wieder des Bundesarbeitsgerichtes zum Einsatz der digitalen Entgeltabrechnung.
Ich habe ebenfalls drei Themen dabei. Einmal das Marktgericht Brüssel zum TCF Framework.
Dann ein fast 1,4 Milliarden Dollar Bußgeld von Google an Texas,
beziehungsweise kein Bußgeld, sondern eine Zahlung.
Und tatsächlich ein Bußgeld der polnischen Aufsichtsbehörde gegen die Toyota Bank Polen.
Und da fällt mir gerade auf, wir haben keine Veranstaltungshinweise und keine
Lesehinweise diese Woche mitgebracht.
Nee, tatsächlich nicht. Also da beschränken wir uns dann auf das Inhaltliche.
Richtig. Okay, Lothar, leg los.
Wir starten. Zum ersten Urteil des Bundesarbeitsgerichtes
geht es um eine Datenschutz-Non-Compliant-Übermittlung
von Beschäftigten-Daten.
Und zwar, das Bundesarbeitsgericht folgt dem EuGH, indem sie sagt,
dass die DSGVO auch bei Betriebsvereinbarungen uneingeschränkt gilt.
Nach dem EuGH-Urteil vom 19.
Dezember 2024 zur Auslegung von Artikel 88, also zur Datenverarbeitung im Kontext
des Beschäftigungsverhältnisses,
hat nun das Bundesarbeitsgericht entschieden, dass die Verarbeitung von Beschäftigten-Daten
über das Maß einer bestehenden Betriebsvereinbarung hinaus unzulässig ist,
und zwar trotz auch bestehender kollektiver Regelung.
In dem Fall hat der betroffene Arbeitnehmer hierfür einen Schadenersatz in Höhe
von 200 Euro bekommen. Zum Hintergrund.
Wir haben eine Beklagte, die seit vielen Jahren eine interne Software zur Personalverwaltung
einsetzt, unter anderem für, na klar, Abrechnungszwecke.
Vor einigen Jahren, im Jahr 2017, plant nun der Konzern, zu dem das Unternehmen
gehört, auf eine cloudbasierte Lösung umzusteigen.
Das Ganze sollte dann auch konzernweit passieren. Im Zuge des Testbetriebs wurden
personenbezogene Daten eines Mitarbeiters aus der bisherigen Software an die
Konzern-Obergesellschaft übermittelt,
um die neue Cloud-Lösung mit Realdaten zu befüllen.
Das kennen wir aus unserer betrieblichen Praxis auch, dass Testbetriebe durchgeführt
werden und auch mit möglichst realen Daten, zumindest in der Struktur,
befüllt werden, um auch einen Echtbetrieb zu testen.
Zu diesem Testbetrieb wurde auch eine entsprechende Betriebsvereinbarung erstellt,
die auch die Übertragung bestimmter Daten erlaubt.
Also wir haben hier einen eingeschränkten Datenumfang. Darunter waren Name,
Eintrittsdatum, Arbeitsort, Firmenzugehörigkeit und geschäftliche Kontaktdaten.
Doch das Unternehmen ging offenbar
darüber hinaus, denn auch sensible Informationen wie Gehaltsdaten,
private Wohnanschriften, Geburtsdatum und so weiter bis hin zu Sozialversicherungsnummern
und Steuer-IDs dieses Mitarbeiters wurden hier ebenfalls übermittelt.
Also Daten, die von der Vereinbarung nicht gedeckt waren.
In der Urteilsbegründung folgt das Bundesarbeitsgericht der Linie des Europäischen Gerichtshofes.
Das Betriebsvereinbarungen dürfen nicht nur die Umgehung der allgemeinen DSGVO-Grundsätze führen.
Datenverarbeitungen müssen stets in Anforderungen aus Artikel 5,
6, natürlich auch in dem Fall 9 genügen, um auch im Rahmen konzernweiter IT-Systeme zu entsprechen.
Wichtig auch hierbei ist, dass zudem bereits ausreichte, dass ein nachvollziehbarer
Kontrollverlust als Anknüpfungspunkt für den immateriellen Schadensersatz diente.
Spannend, wie gesagt, das kennen wir sehr häufig, die Testumgebungen und die
in dem Kontext erstellten Betriebsvereinbarungen.
Also es sollte ernst genommen werden, was drin steht.
Ja, vor allem zeigt es auch, wie wichtig es ist, sich nicht einfach nur darauf
zu verlassen. Ja, wir haben eine Betriebsvereinbarung, sind auch wirklich einmal
reinzuschauen und zu gucken, ob die geplante oder anstehende Verarbeitung auch
wirklich von der Betriebsvereinbarung abgedeckt ist.
Ja, dann komme ich zu unserem nächsten Thema für heute und zwar hat das Berufungsgericht
in Belgien, das Marktgericht Brüssel entschieden,
so berichtet Heise, dass das TCF Framework, also das Transparency and Consent
Framework gegen die DSGVO verstößt.
Es geht hier also um die Zulässigkeit der Content Management Plattform von IAB.
So funktionsweise gibt ein Nutzer auf einer Webseite, die das TCF Framework
der IAB verwendet, also über den Cookie Banner kann man ganz gut sagen,
seine Präferenzen zur Werbung an, wird das per Cookie vermerkt und auch auf
allen anderen Webseiten, die ebenfalls einen TCF Cookie Banner,
also das TCF Framework einsetzen, zur Vermarktung der Anzeigeplätze zur Verfügung gestellt.
Für diesen Prozess wird durch IAB Europe ein TC-String erzeugt.
Schon 2022 hatte die belgische Datenschutzbehörde das TCF-Framework bemängelt
und neben Maßnahmen auch ein Bußgeld in Höhe von 250.000 Euro gegen IAB verhängt.
Zwei Jahre später, 2024, hatte EuGH dann entschieden, dass der TC-String,
der erzeugt wird, um die Angaben einem Nutzerprofil zuordnen zu können,
ein personenbezogenes Datum ist.
Ich glaube, hier können wir ganz gut auf unsere News-Folge 10.2024 verweisen,
wo wir uns auch schon mit dem Thema, konkret mit dem EuGH-Urteil beschäftigt haben.
In dem gestrigen und damit aktuellen Urteil des Marktgerichts Brüssel,
was aktuell leider nur auf Flämmisch verfügbar ist,
sieht die belgische Aufsichtsbehörde, so berichtet Heiser weiter,
ihre Position bestätigt, nämlich dass der CCF-String ein personenbezogenes Datum
ist und die IAB für die Verarbeitung der Nutzerpräferenzen als Verantwortliche fungiert.
Weitere Details können erst nach tieferer Analyse des Urteils bewertet werden.
Insofern müssen wir da nochmal abwarten, was da quasi noch in dem Urteil drinsteckt an Informationen.
Interessant ist allerdings, dass die IAB selbst mit dem gestrigen Urteil tatsächlich
zufrieden zu sein scheint, da damit der Bescheid der belgischen Aufsichtsbehörde
aus dem Jahr 2022 und damit auch das Bußgeld in Höhe von 250.000 Euro aus formellen
Gründen aufgehoben sei.
Und zudem seit dem Urteil zu entnehmen, dass IAB nicht über den TC-String hinaus
als verantwortlicher fungiere.
Letztlich sieht die IAB das auch entspannt, da sie bereits eine neue Version,
eine Version 2.2 entwickelt habe, die den Vorgaben des Urteils und damit den
Verzicht auf das legitime Interesse als Rechtsgrundlage Rechnung trage.
Insofern bleibt es tatsächlich spannend. Das letzte Wort scheint hier noch nicht gesprochen zu sein.
Ich glaube, die Analyse des Urteils wird uns hier so ein bisschen mehr Licht ins Dunkel bringen.
Allerdings scheinen die Unternehmen, die TCF einsetzen,
glaube ich aktuell auch schon gut beraten, zu prüfen, ob der TCF, Cookie Banner, die CMP,
immer noch die Verarbeitung auf Basis des berechtigten Interesses ermöglicht
oder ob da bereits noch nur mit Einwilligung verarbeitet werden kann und den
eigenen Cookie Banner entsprechend zu aktualisieren und umzustellen.
Wichtiger Hinweis, ich glaube, das gibt einige Unternehmen, die das TCF noch
einsetzen und wie schnell ist das berechtigte Interesse eingetragen als Rechtsgrundlage.
Also da sollte man wirklich nochmal ganz genau reingucken.
Und vor allem auch zwischendurch immer wieder reingucken, da wir tatsächlich
die Erfahrung auch gemacht haben, dass mit einer Aktualisierung,
nachdem wir das bei unserer Beratung nur auf Einwilligung umgestellt hatten,
bei einem Kunden, mit einer weiteren Aktualisierung auf einmal die berechtigten
Interessen wieder drin waren.
Von daher auch regelmäßig mal reinschauen.
Ja.
Ich komme zu meiner nächsten Nachricht und zwar haben wir eine Sicherheitslücke
und zwar bei der Bundesagentur für Arbeit, die einen Sicherheitsvorfall meldet
zu manipulierten Kontodaten.
Cyberkriminelle haben dabei der Bundesagentur für Arbeit die Bankverbindung
von Nutzern manipuliert, um dabei die Leistungen auf die eigenen Konten umzuleiten.
Insgesamt wurden 831 Online-Accounts kompromittiert, wobei in 121 Fällen die IBAN geändert wurde.
Die Behörde hat daraufhin die Möglichkeit zur Änderung von Kontodaten im Online-Formular
vorübergehend deaktiviert, um da erstmal den Schaden einzugrenzen.
Hier handelt es sich natürlich um einen gravierenden Verstoß gegen den Schutz
personenbezogener Daten, natürlich auch jetzt mit einem konkreten Schadensfall.
Die Bundesagentur hat den Vorfall den zuständigen Datenschutzbehörden diesbezüglich
auch gemeldet und auch Strafanzeige gegen die Cyberkriminellen erstattet.
Nun wird geprüft, ob weitere Sicherheitsmaßnahmen erforderlich sind,
um solche Angriffe künftig zu verhindern.
Offensichtlich erfolgte der Angriff über persönliche Endgeräte der Nutzer.
Das deutet schon auf Phishing oder Malware hin. Die Agentur hat in der Vergangenheit
bereits einige Maßnahmen zur Erhöhung der Zugangssicherheit ergriffen,
wie zum Beispiel die Einführung von Passkeys.
Ganz konkret, seit Ende April sind nun alle Online-Accounts verpflichtet,
mit einem zweiten Faktor für die Anmeldung im Portal zu nutzen,
teilte die Regierung nun mit.
Für diese Form der Authentifizierung käme neben der 2024 bei der BA eingeführten
Bund-ID etwa der Pass-Key,
also das Verschlüsseln und Schlüsselaustausch mit einem geometrischen Wert oder
Time-Based One-Time-Passwords in Frage.
Die Nürnberger Behörde hatte zuvor nur eine Mehrfaktor-Authentifizierung empfohlen.
Ja, dieser Vorfall zeigt, dass zum einen die kontinuierliche Sicherheitsüberprüfung
und Nutzeraufklärung essentiell sind, wenn es tatsächlich über Phishing oder
Malware über Endgeräte reingekommen ist.
Aber auf der anderen Seite auch die ständige Überprüfung und Bewertung der eingerichteten
technischen und organisatorischen Masken.
Wir haben jetzt schon in einigen Folgen darüber berichtet, dass es sehr essentiell
ist, dass wir hier auch immer marktgerecht, auch bedrohungsgerecht und auch
risikogerecht die TOM entsprechend einrichten.
Ja, genau an diesem Punkt habe ich gerade gedacht, als du das alles erzählt hattest.
Also nicht nur angemessene Maßnahmen, sondern auch dem Stand der Technik entsprechende
Maßnahmen und auch wirklich die regelmäßige Überprüfung.
Ist es noch der Stand der Technik? Funktioniert das wirklich so,
wie es eingerichtet sein sollte?
Ich glaube, da werden wir nicht müde, das immer wieder zu wiederholen.
Ja, ich komme zu meinem nächsten Thema für heute.
Google einigt sich mit dem US-Bundesstaat Texas auf einen Rekordvergleich in
Höhe von 1,375 Milliarden US-Dollar, um Datenschutzklagen des US-Bundesstaates Texas beizulegen.
Dieser Vergleich stellt die höchste Einigung dar, die ein einzelner US-Bundesstaat
in einem Datenschutzverfahren gegen ein Technologieunternehmen erzielt hat.
Der texanische Generalstaatsanwalt Ken Paxton hatte Google 2022 verklagt,
weil das Unternehmen angeblich ohne Zustimmung der Nutzer, deren Standortdaten
private Suchanfragen im Inkognitor-Modus sowie biometrische Informationen wie
Sprach- und Gesichtsdaten gesammelt habe.
Mit dem aktuellen Vergleich wird der Rechtsstreit nun beigelegt.
Die Klage stützte sich auf texanische Verbraucherschutzgesetze,
darunter den Texas Deceptive Trade Practices Act, kurz DTPA,
da Texas kein umfassendes Datenschutzgesetz wie Kalifornien besitzt.
Die Einigung zeigt tatsächlich, dass auch auf Grundlage von in den USA oder
hier konkret in Texas bestehenden Verbraucherschutzgesetzen Datenschutzverstöße
wirksam verfolgt werden können.
Auch in der Vergangenheit hatte Texas schon ähnliche Klagen gegen Technologiekonzerne
geführt, darunter eine Einigung mit Meta im Jahr 2024 über 1,4 Milliarden,
also einen vergleichbaren Betrag,
gegen unerlaubte Nutzung von Gesichtserkennungstechnologie erzielt.
Der aktuelle Vergleich mit Google reiht sich also in dieser Serie ein und unterstreicht
die aktive Rolle des Bundesstaates bei der Durchsetzung von Datenschutzrechten
gegenüber großen Technologieunternehmen,
auch wenn es eben kein eigenes Datenschutzgesetz in Texas gibt.
Für mich zeigt der Fall oder eben die beiden Fälle, dass auch in den USA eine
effektive Durchsetzung des Datenschutzrechts möglich ist.
Ein kleiner Wermutstropfen an der Stelle allerdings, denn Google erklärte,
dass die Einigung ohne Schuldeingeständnis erfolge oder ohne eine Verpflichtung zur Produktänderung.
Der Unternehmenssprecher betonte, dass es sich um alte Vorwürfe handele,
deren zugrunde liegende Praktiken bereits vor längerer Zeit geändert worden
seien. Man wolle das Thema nun jedoch endgültig abschließen.
Insofern stellt sich für mich die Frage, inwiefern eine Einigung hier tatsächlich
ein gutes Ergebnis ist, unabhängig von dem Betrag, den jetzt Google hier zahlt,
oder ob es hier vielleicht nicht sinnvoller gewesen wäre, tatsächlich ein Urteil zu erstreiten.
Naja, aber immerhin.
Immerhin, die Awareness ist da, wie du schon gesagt hast. Du hast das sehr,
sehr gut zusammengefasst.
Also die Sensität zum Datenschutzthema ist vorhanden.
Bei der technischen Abwicklung von Penalen oder bei der Vereinbarung.
Es ist ein bisschen schwammiger.
Es ist, glaube ich, auch einfacher, wenn man eindeutige Normen anlegen kann.
Aber nehmen wir es mal positiv. Die Awareness ist da. Wir haben Hoffnung.
Ich würde sagen, wir haben mehr als Hoffnung, oder? Ja.
Okay, kommen wir zu meiner dritten und letzten Meldung für heute.
Und zwar geht es wieder um ein Urteil des Bundesarbeitsgerichtes und zwar im
Zusammenhang mit der Entgelterbrechnung ohne Zustimmung von Mitarbeitenden.
Das Bundesarbeitsgericht erlaubt die digitale Entgelterbrechnung nämlich ohne
die Zustimmung der Beschäftigten.
Das Bundesarbeitsgericht hat entschieden, dass Arbeitgeber ihre gesetzliche
Pflicht zur Erteilung von Entgeltabrechnungen nach der Gewerbeordnung, konkret nach § 108.
Also Abrechnung des Arbeitsentgeltes, auch durch die Bereitstellung in einem
passwortgestützten digitalen Mitarbeiterpostfach nachkommen können.
Und hierbei ganz wichtig, eine ausdrückliche Zustimmung der Beschäftigten ist
dabei nicht erforderlich. Das Gerät ton bei der Entscheidung,
dass die digitale Bereitstellung von Entgeltabrechnungen zulässig ist,
sofern die gesetzlichen Anforderungen an die Textform erfüllt sind.
Konkret bedeutet das, dass die Abrechnungen in einer Art und Weise bereitgestellt
werden müssen, die es den Beschäftigten ermöglichen, die Informationen dauerhaft
zu speichern und unverändert wiederzugeben.
Im zugrunde liegenden Fall hatte eine Arbeitnehmerin geklagt,
weil sie ihre Gehaltsabrechnung nicht mehr in Papierform, sondern nur noch digital
über ein Mitarbeiterpostfach erhielt.
Das BAG stellte klar, dass die elektronische Bereitstellung ausreichend ist,
sofern die technischen und organisatorischen Voraussetzungen erfüllt sind.
Die digitale Zurverfügungstellung der Entgeltabrechnung ist nicht dadurch unzulässig,
weil sie sich auf die Daten beschränkt, die auch bei der Erteilung in Papierform übermittelt würden.
Die darin liegende Datenverarbeitung ist, jetzt wird es ein bisschen technisch,
nach Artikel 6 Absatz 1 Buchstabe C in Verbindung mit dem Paragrafe 26 Absatz
1 BDSG erforderlich, weil sie der Erfüllung der Anforderung der Gewerbeordnung
des Arbeitgebers dient.
Weitere ausführliche Augengaben können wir aus den Shownotes entnehmen.
Auch bei der Bereitstellung elektronischer Entgeltabrechnung durch einen externen
Anbieter besteht keine grundsätzliche datenschutzrechtlichen Bedenken,
denn dieser fungiert hier als Auftragsverarbeiter gemäß Artikel 28.
Eine deutliche Erleichterung für Unternehmen, finde ich.
Dieses Einholen von Einverständniserklärungen, auch mit der Gefahr,
dass man nach wie vor parallel fahren muss, also elektronisch um Papierform,
das wird deutlich verbessert.
Und ist auch nachhaltig. Also man spart jede Menge Papier und auch Arbeit im Unternehmen.
Ich glaube, es ist wirklich eine deutliche Vereinfachung für Unternehmen und
sorgt auch wirklich für Klarstellung.
Weil ich kann mir vorstellen, dass viele Unternehmen bisher hier oder da Unsicherheiten
haben oder gehabt hatten.
Dürfen wir das machen? Dürfen wir das mit Zustimmung machen?
Was machen wir mit den Mitarbeitern, die nicht zustimmen?
Insofern ein sehr begrüßenswertes Urteil.
Ja, das Argument, ich habe gar keine E-Mail und ich habe gar keinen Account,
das dürfte jetzt auch vorbei sein.
Richtig. So, dann komme ich zu unserem letzten Thema für heute,
nämlich ein Bußgeld der polnischen Aufsichtsbehörde UDO, U-O-D-O,
geschrieben, ich weiß leider nicht, wie man das abgekürzt ausspricht,
gegen die Toyota Bank Polen oder Toyota Bank Polska.
Die polnische Datenschutzbehörde hat die Toyota Bank Polska mit einer Gesamtstrafe
von 576.000 Sloty rund 132.000 Euro belegt.
Im Rahmen einer Inspektion stellte die Aufsichtsbehörde fest,
dass die Toyota Bank umfangreiche Profiling-Aktivitäten zur Bewertung der Kreditwürdigkeit durchführte,
ohne diese ordnungsgemäß zu dokumentieren oder die Auswirkungen auf den Datenschutz
vorher bewertet zu haben.
Es fehlten sowohl die Aufnahme des Profilings in das Verarbeitungsverzeichnis
als auch eine Datenschutzfolgenabschätzung für die Kreditwürdigkeitsprüfung.
Hierfür setzte die Aufsichtsbehörde den Betrag von rund 72.000 Euro fest.
Die Aufsichtsbeute stellte aber zudem noch fest, dass die Unabhängigkeit des
Datenschutzbeauftragten nicht zureichend war bzw.
Nicht ausreichend war, denn der Datenschutzbeauftragte der Toyota Bank Polska
oder Polen berichtete nicht direkt an die Geschäftsleitung, sondern war in der
IT-Sicherheitsabteilung angesiedelt.
Dafür legte dann die Aufsichtsbehörde 60.000 Euro als Bußgeld zugrunde.
Die Bank hat die Verstöße anerkannt und Maßnahmen zur Behebung eingeleitet.
An sich relativ unspektakulär, aber ich glaube, es zeigt die Wichtigkeit der Dokumentation.
Es geht hier nicht darum, dass
die Verarbeitung an sich unzulässig gewesen wäre oder bemängelt wurde.
Es geht hier tatsächlich darum, dass die notwendigen Dokumentationen gefehlt
haben Und dass auch die Unabhängigkeit des DSB hier nicht vorhanden war.
Also tatsächlich organisatorische Mängel, die hier zu einem Bußgeld bzw.
Zu einem zusammengefassten Bußgeld geführt haben.
Von daher, wir können immer wieder unterstreichen, Dokumentation,
Dokumentation, Dokumentation. Genau.
Und die Datenschutzorganisation, dass man ein vernünftiges Management-System
oder eine einheitliche Methode oder Vorgehensweise hat, wie der Datenschutz
letztendlich laufen soll.
Das ist dazu gehört, halt zu dokumentieren, dass auch der Datenschutzbeauftragte
die Anforderungen und Pflichten, so wie es geschrieben steht,
auch erfüllen kann. Es ist offengesprochen schon ein bisschen weniger geworden.
Das hatten wir am Anfang der Umsetzung der DSGVO schon öfter gehabt,
dass da aus der Pflicht heraus, jemanden als Datenschutzbeauftragten zu bestellen,
dass es ja teilweise auch Geschäftsführer waren, die gesagt haben,
okay, dann mache ich das dann halt.
Das ist weniger geworden, aber das Beispiel zeigt, es ist noch nicht ganz weg.
Da muss man entsprechend auch darauf achten.
Ja und damit sind wir auch am Ende von unserer heutigen Folge. Wir haben es geschafft.
Ich finde eine sehr spannende Folge. Wir haben wirklich heute schöne Themen
gehabt und wir hoffen, dass es euch gefallen hat.
Wir wünschen euch ein schönes Wochenende wenn ihr das heute am Freitag noch
hört vielleicht auf dem Nachhauseweg aus dem Büro oder einen guten Start in die neue Woche,
wenn ihr das nächste Woche oder wann auch immer hört und ja,
bleibt uns treu und wir sagen Tschüss und bis zum nächsten Mal.
Bis bald, bleibt gesund Tschüss.
Tschüss.