EDSA verabschiedet Stellungnahme zu Auftragsverarbeitern

/in /von

Brüssel, 9. Oktober – Auf seiner letzten Plenartagung verabschiedete der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme zu bestimmten Verpflichtungen, die sich aus der Abhängigkeit von Auftragsverarbeitern und Unterauftragsverarbeitern ergeben.

Erstens nahm der EDSA eine Stellungnahme zu bestimmten Verpflichtungen an, die sich aus der Abhängigkeit von Auftragsverarbeitern und Unterauftragsverarbeitern im Anschluss an einen Antrag der dänischen Datenschutzbehörde (DPA) nach Artikel 64 Absatz 2 DSGVO an den Ausschuss ergeben. Artikel 64 Absatz 2 DSGVO sieht vor, dass jede Datenschutzbehörde den Ausschuss um eine Stellungnahme zu Fragen von allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat ersuchen kann.

In der Stellungnahme geht es um Situationen, in denen Verantwortliche auf einen oder mehrere Auftragsverarbeiter und Unterauftragsverarbeiter angewiesen sind. Sie befasst sich insbesondere mit acht Fragen zur Auslegung bestimmter Pflichten von Verantwortlichen, die sich auf Auftragsverarbeiter und Unterauftragsverarbeiter stützen, sowie dem Wortlaut von Verträgen zwischen Verantwortlichen und Auftragsverarbeitern, die sich insbesondere aus Art. 28 DSGVO ergeben.

In der Stellungnahme wird erläutert, dass die für die Verarbeitung Verantwortlichen die Informationen über die Identität (d. h. Name, Anschrift, Kontaktperson) aller Auftragsverarbeiter, Unterauftragsverarbeiter usw. jederzeit leicht verfügbar haben sollten, damit sie ihren Verpflichtungen gemäß Artikel 28 DSGVO am besten nachkommen können. Außerdem sollte die Verpflichtung des für die Verarbeitung Verantwortlichen, zu überprüfen, ob die (Unter-)Auftragsverarbeiter „ausreichende Garantien“ bieten, unabhängig vom Risiko für die Rechte und Freiheiten der betroffenen Personen gelten, auch wenn der Umfang dieser Überprüfung variieren kann, insbesondere auf der Grundlage der mit der Verarbeitung verbundenen Risiken.

In der Stellungnahme heißt es auch, dass der ursprüngliche Auftragsverarbeiter zwar sicherstellen sollte, dass er Unterauftragsverarbeiter mit ausreichenden Garantien vorschlägt, die endgültige Entscheidung und Verantwortung für die Beauftragung eines bestimmten Unterauftragsverarbeiters jedoch beim für die Verarbeitung Verantwortlichen verbleibt.

Der EDSA ist der Auffassung, dass der für die Verarbeitung Verantwortliche nach der DSGVO nicht verpflichtet ist, die Unterverarbeitungsverträge systematisch aufzufordern, zu überprüfen, ob die Datenschutzpflichten in der Verarbeitungskette weitergegeben wurden. Der für die Verarbeitung Verantwortliche sollte prüfen, ob die Anforderung einer Kopie solcher Verträge oder deren Überprüfung erforderlich ist, um die Einhaltung der DSGVO nachweisen zu können.

Wenn die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums zwischen zwei (Unter-)Auftragsverarbeitern erfolgt, sollte der Auftragsverarbeiter als Datenexporteur außerdem die einschlägigen Unterlagen erstellen, z. B. in Bezug auf den verwendeten Übermittlungsgrund, die Folgenabschätzung für die Übermittlung und die möglichen zusätzlichen Maßnahmen. Da der für die Verarbeitung Verantwortliche jedoch weiterhin den Pflichten nach Artikel 28 Absatz 1 DSGVO in Bezug auf „ausreichende Garantien“ unterliegt, sollte er neben den Pflichten nach Artikel 44, um sicherzustellen, dass das Schutzniveau nicht durch die Übermittlung personenbezogener Daten untergraben wird, diese Unterlagen bewerten und der zuständigen Datenschutzbehörde vorlegen können.

Quelle: https://www.edpb.europa.eu/news/news/2024/edpb-adopts-opinion-processors-guidelines-legitimate-interest-statement-draft_de

EuGH: Erhebung von Anrede-Daten nicht zwingend erforderlich

/in /von

Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Erhebung von Anrede-Daten („Herr“ oder „Frau“) durch Unternehmen im Rahmen der geschäftlichen Kommunikation nicht zwingend erforderlich ist. Dies gilt auch dann, wenn die Angabe zur Personalisierung der Kundenansprache dient. Die Praxis kann gegen den Grundsatz der Datenminimierung gemäß DS-GVO verstoßen (EuGH, Urteil vom 9. Januar 2025, C-394/23 ).

Hintergrund des Falls
Das französische Eisenbahnunternehmen SNCF Connect fordert beim Online-Ticketkauf die Angabe einer Anrede. Ein Verband kritisierte dies als Verstoß gegen die DS-GVO, insbesondere gegen den Grundsatz der Datenminimierung, da die Anrede keinen Bezug zur eigentlichen Vertragserfüllung habe. Die französische Datenschutzbehörde CNIL wies die Beschwerde zurück und sah in der Praxis keinen DS-GVO-Verstoß. Der Fall wurde daraufhin dem EuGH vorgelegt.

Der EuGH stellte klar, dass personenbezogene Daten gemäß Art. 5 Abs. 1 lit. c DS-GVO nur in dem Umfang erhoben und verarbeitet werden dürfen, der für den jeweiligen Zweck erforderlich ist. Eine Datenverarbeitung ist insbesondere dann rechtmäßig, wenn:
a. Die Verarbeitung für die Vertragserfüllung unerlässlich ist, oder

b. ein berechtigtes Interesse des Verantwortlichen vorliegt, das die Grundrechte der betroffenen Personen nicht überwiegt.

1. Keine Erforderlichkeit für die Vertragserfüllung
Die Anrede ist nach Auffassung des EuGH nicht objektiv unerlässlich für den Abschluss oder die Durchführung eines Schienenverkehrsvertrags. Die geschäftliche Kommunikation könne auch ohne Anrede erfolgen, beispielsweise durch geschlechtsneutrale Höflichkeitsformeln.

2. Kein überwiegendes berechtigtes Interesse
Der EuGH betont, dass Unternehmen ihre berechtigten Interessen klar kommunizieren und deren Notwendigkeit begründen müssen. Eine Datenverarbeitung zur geschäftlichen Personalisierung kann nicht als erforderlich gelten, wenn:
• das berechtigte Interesse den Kunden nicht transparent mitgeteilt wurde;
• die Verarbeitung über das absolut Notwendige hinausgeht;
• die Grundrechte und Grundfreiheiten der Betroffenen überwiegen, insbesondere wenn Diskriminierung aufgrund der Geschlechtsidentität möglich ist.

Fazit
Unternehmen sollten bei der Erhebung von Anrede-Daten kritisch prüfen, ob diese für ihre Geschäftszwecke wirklich erforderlich sind. Der EuGH macht deutlich, dass geschlechtsneutrale Kommunikationsformen eine datensparsamere und rechtlich sicherere Alternative darstellen können.

LfD Niedersachsen weist auf Risiken bei der Nutzung der KI-App DeepSeek hin

/in /von

Pressemitteilung des Landesbeauftragten für den Datenschutz Niedersachsen vom 21.02.2025

Der Landesbeauftragte für den Datenschutz Niedersachsen möchte auf die Risiken aufmerksam machen, die mit der Verwendung des KI-Tools DeepSeek R1 (DeepSeek) verbunden sind. Obwohl dieses Modell einer generativen KI im Internet frei zugänglich ist, ist nach gegenwärtigem Kenntnisstand davon auszugehen, dass insbesondere die Anforderungen der europäischen KI-Verordnung und der Datenschutz-Grundverordnung nicht eingehalten werden.

„Auch chinesische Unternehmen müssen rechtskonform mit den Daten europäischer Bürgerinnen und Bürger umgehen, wenn sie ihre Apps in Europa anbieten“, sagt Denis Lehmkemper, Landesbeauftragter für den Datenschutz Niedersachsen. „Wir müssen aber davon ausgehen, dass es bei DeepSeek noch erheblichen Nachholbedarf beim Datenschutz gibt.“

So lasse sich der Datenschutzerklärung zu DeepSeek entnehmen, dass jegliche Eingaben und gegebenenfalls hochgeladene Dokumente uneingeschränkt aufgezeichnet, übertragen, gespeichert oder analysiert werden. DeepSeek weist außerdem darauf hin, dass das Unternehmen nach chinesischem Recht verpflichtet werden kann, dem chinesischen Geheimdienst und den Sicherheitsbehörden Daten zu übermitteln.

Da das Unternehmen und damit die für die Verarbeitung der personenbezogenen Daten verantwortliche Stelle nicht auf dem Gebiet der EU ansässig ist und keinen gesetzlichen Vertreter in der EU ernannt hat, geht der LfD Niedersachsen davon aus, dass die Zusammenarbeit des Unternehmens mit den Datenschutzbehörden in der EU unsicher ist. Datenschutzverletzungen und ein Missbrauch von Daten werden faktisch nur sehr schwer zu unterbinden und zu ahnden sein.

Ausführlichere Informationen zu datenschutzrechtlichen Aspekten bei Nutzung des KI-Tools DeepSeek sowie Empfehlungen zum Einsatz von KI-Anwendungen hat der LfD Niedersachsen auf seiner Webseite zusammengestellt:

https://lfd.niedersachsen.de/deepseek

Einwilligungsverordnung für TDDDG gilt ab 2025

/in /von
Pressemitteilung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 20.12.2024

Mit der Verordnung nach § 26 Abs. 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) kurz Einwilligungsverordnung (EinwV) wurde der Rechtsrahmen für ein alternatives Einwilligungsverfahren zu Cookie-Bannern geschaffen.

Das ermöglicht die Anerkennung von neuen Diensten zur Einwilligungsverwaltung durch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Die Dienste sollen nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen können, um die nach TDDDG erforderliche Einwilligung von Endnutzern zu verwalten. Die Wirksamkeit der neuen Regelung der EinwV soll innerhalb von zwei Jahren evaluiert werden. Dann soll überprüft werden, ob die Regelung und die damit verbundenen Sicherungsmaßnahmen ausreichen, um tatsächlich eine positive Wirkung für Nutzerinnen und Nutzer entfalten zu können. Zudem soll auf eine europaweite Lösung von Diensteanbietern zur Einwilligungsverwaltung hingewirkt werden (siehe Bundestag Drucksache 20/13418 und entsprechende Entschließung des Bundesrats). Nähere Informationen für Diensteanbieter zu den Anforderungen an einen Antrag zur Anerkennung bei der BfDI finden sich im Fachbeitrag zum Thema. Ein Formular zur Antragstellung wird unter den Vordrucken zur Verfügung gestellt werden.

Artikel auf https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2024/24_Einwilligungsverordnung.html?nn=251928

Pressemitteilung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 20.12.2024

Mit der Verordnung nach § 26 Abs. 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) kurz Einwilligungsverordnung (EinwV) wurde der Rechtsrahmen für ein alternatives Einwilligungsverfahren zu Cookie-Bannern geschaffen.

Das ermöglicht die Anerkennung von neuen Diensten zur Einwilligungsverwaltung durch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Die Dienste sollen nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen können, um die nach TDDDG erforderliche Einwilligung von Endnutzern zu verwalten. Die Wirksamkeit der neuen Regelung der EinwV soll innerhalb von zwei Jahren evaluiert werden. Dann soll überprüft werden, ob die Regelung und die damit verbundenen Sicherungsmaßnahmen ausreichen, um tatsächlich eine positive Wirkung für Nutzerinnen und Nutzer entfalten zu können. Zudem soll auf eine europaweite Lösung von Diensteanbietern zur Einwilligungsverwaltung hingewirkt werden (siehe Bundestag Drucksache 20/13418 und entsprechende Entschließung des Bundesrats). Nähere Informationen für Diensteanbieter zu den Anforderungen an einen Antrag zur Anerkennung bei der BfDI finden sich im Fachbeitrag zum Thema. Ein Formular zur Antragstellung wird unter den Vordrucken zur Verfügung gestellt werden.

Artikel auf https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2024/24_Einwilligungsverordnung.html?nn=251928

Haftung des Unternehmers für seinen Auftragsverarbeiter (Art.28 DSGVO)

/in /von

Das Oberlandesgericht (OLG) Dresden hat am 10. September 2024 ein Urteil zur Haftung im Rahmen einer Auftragsverarbeitung gefällt (4 U 602/24 / Oberlandesgericht Dresden / 10.09.2024) .

Dem Urteil zufolge sind Verantwortliche auch für Datenschutzverletzungen haftbar, die durch Verstöße ihrer Auftragsverarbeiter entstehen.

Kernpunkte des Urteils

  • Haftung des Verantwortlichen: Verantwortliche haften auch dann, wenn ein Auftragsverarbeiter eine rechtmäßige Weisung missachtet und dadurch Schaden entsteht. Eine Haftungsbefreiung besteht nur, wenn der Verarbeiter eigenständig oder ohne Zustimmung des Verantwortlichen gehandelt hat.
  • Pflicht zur Überwachung: Art. 28 DS-GVO verpflichtet Verantwortliche zu einer kontinuierlichen Überwachung des Auftragsverarbeiters. Dies schließt ein, sicherzustellen, dass der Verarbeiter Daten nach Auftragsende löscht.
  • Verstöße gegen Informationspflichten: Das Gericht stellte klar, dass Verstöße gegen Auskunfts- oder Benachrichtigungspflichten allein keinen Schadensersatzanspruch begründen

Hintergrund des Falls

Ein Hackerangriff auf einen Musik-Streaming-Dienst führte zur Offenlegung personenbezogener Daten. Der Verantwortliche hatte sich eines externen Dienstleisters bedient, versäumte jedoch die regelmäßige Überprüfung und Löschung der Daten nach Beendigung des Auftragsverhältnisses. Der Kläger klagte auf Schadensersatz und verwies auf die
unzureichende Kontrolle.

Learning für die Praxis

Datenschutzverantwortliche müssen sicherstellen, dass:
• eine kontinuierliche Überwachung externer Dienstleister stattfindet,
• vertragliche Lösch- und Sicherheitsstandards genau geprüft und eingehalten werden,
• auch nach Beendigung des Vertrags die Löschung der Daten dokumentiert ist.

Diese Entscheidung verdeutlicht, dass die Haftung nicht einfach auf den Auftragsverarbeiter abgewälzt werden kann und betont die Wichtigkeit einer strikten Überwachung von Auftragsverarbeitern.

Kündigung wegen Weiterleitung dienstlicher E-Mails an private E-Mail-Adresse rechtens

/in /von

Das Oberlandesgericht (OLG) München hat in einem aktuellen Urteil (Az. 7 U 351/23 e ) entschieden, dass
die Weiterleitung dienstlicher E-Mails an private E-Mail-Adressen zu einer fristlosen Kündigung führen kann.

in diesem Fall leitete ein Vorstandsmitglied über einen längeren Zeitraum E-Mails mit vertraulichen Daten an seine private Adresse weiter, um sich abzusichern. Dies stellte einen Verstoß gegen die Datenschutz-Grundverordnung (DS-GVO) dar, da keine Einwilligung der betroffenen Personen vorlag und die technischen Sicherheitsmaßnahmen privater E-Mail-Konten meist unzureichend sind.

Das Gericht sah in der bewussten Weiterleitung einen schweren Vertrauensbruch, der eine fristlose Kündigung nach § 626 BGB rechtfertigte. Das Gericht nahm zwar zur Kenntnis, dass das Vorstandsmitglied nicht heimlich handelte, sondern dadurch, dass er seine private E-Mail-Adresse in CC setzte, für die anderen am E-Mail-Verkehr Beteiligten erkennbar war, dass er die E-Mails an seinen privaten Account weiterleitete. Daraus lässt sich entnehmen, dass er subjektiv der Ansicht war, dazu berechtigt zu sein. Jedoch war das Gericht nicht der Meinung, dass dies eine Kündigung ausschließt.

Der Fall zeigt, dass klare Regelungen im Umgang mit dienstlichen E-Mails notwendig sind. Unternehmen sollten ihre Mitarbeiter – insbesondere in Führungspositionen – über den sicheren Umgang mit dem E-Mail-Postfach informieren und sensibilisieren. Auch die eigenmächtige Gewährung von Zugriffsrechten auf das eigene E-Mail-Postfach an andere Mitarbeitende kann beispielsweise zu ähnlichen Risiken führen.

BSI: NIS-2 Prüfung für Unternehmen

/in /von

Sind Sie unsicher, ob Ihr Unternehmen von der NIS-2-Richtlinie der EU betroffen ist? Die NIS-2-Betroffenheitsprüfung des BSI bietet Ihnen in wenigen Schritten dafür eine erste Orientierung.

Die NIS-2-Betroffenheitsprüfung stellt Ihnen konkrete, an der Richtlinie orientierte Fragen, um Ihr Unternehmen einzuordnen*. Die Fragen sind kurz und präzise gehalten und werden bei Bedarf im Kleingeschriebenen tiefer gehend erläutert.

Nachdem Sie die Betroffenheitsprüfung durchlaufen haben, erhalten Sie ein auf Ihren Angaben basierendes Ergebnis. Dieses gibt eine automatisierte Ersteinschätzung, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist – und erläutert Ihnen, was dieser Status bedeutet und welche Pflichten durch den EU-Gesetzgeber vorgezeichnet sind.

Die Nutzung der NIS-2-Betroffenheitsprüfung erfolgt vollkommen anonym. Das BSI stellt ihn im Rahmen seiner Kooperationsaufgabe zur Verfügung. Es erfasst keine Daten, die personenbezogen sind oder Rückschlüsse zur Identifizierung Ihres Unternehmens geben. Bitte beachten Sie, dass die NIS-2-Betroffenheitsprüfung lediglich als Orientierungshilfe dient und Ihr Ergebnis rechtlich nicht bindend ist, da Ihre Antworten automatisiert erstellt und nicht vom BSI oder anderen unabhängigen Stellen geprüft werden. Es besteht kein Anspruch auf Vollständigkeit und Richtigkeit der Inhalte.

Zurzeit basieren die Abfragen der NIS-2-Betroffenheitsprüfung auf der NIS-2-Richtlinie der EU. Sobald die nationale Umsetzung der Richtlinie erfolgt ist und das entsprechende Gesetz im Deutschen Bundestag beschlossen wurde, wird das BSI den NIS2-Checker anhand dieses Gesetzes anpassen und aktualisieren. Bereits jetzt wird anstelle von „wesentlichen“ Einrichtungen der analoge Begriff der „besonders wichtigen“ Einrichtungen gemäß nationalem Umsetzungsentwurf verwendet.

Haben Sie zu oder nach der Nutzung noch Fragen? Das BSI steht gerne zur Verfügung.

Link zur Prüfung

KI-Verordnung tritt in Kraft

/in /von

Heute ist die KI-Verordnung (KI-VO) im Amtsblatt der Europäischen Union veröffentlicht worden. Sie wird zwanzig Tage später, am 1. August 2024, in Kraft treten. Damit beginnen die Umsetzungsfristen zu laufen.

Zum 2. Februar 2025 gelten die Verbote bestimmter Praktiken der künstlichen Intelligenz (Art. 5 KI-VO). Darunter fällt das grundsätzliche Verbot biometrischer Echtzeit-Fernüberwachungssysteme in öffentlichen Räumen zur Strafverfolgung. Abschließend verboten ist dann das Social Scoring – eine Praktik, bei der Verhalten KI-basiert bewertet wird und daran soziale Benachteiligungen geknüpft werden, zum Beispiel durch den Ausschluss öffentlicher Leistungen.

Bereits jetzt steht fest, dass den Datenschutzaufsichtsbehörden die Marktüberwachung für weite Teile des Hochrisiko-Katalogs an KI-Systemen übertragen wird – so sieht es die KI-Verordnung vor:

In den Sektoren der Strafverfolgung, Justizverwaltung und Migrationskontrolle sowie bei KI, die Wahlen beeinflusst, sind die Datenschutzbehörden als Marktüberwachungsbehörden gesetzt (Art. 74 Abs. 8 KI-VO). Das gilt nicht nur für die Behörden, die solche Systeme einsetzen, sondern beispielsweise auch für Softwareunternehmen, Cloud-Dienste und Sicherheitsunternehmen, die für diese Sektoren KI-Systeme anbieten, in bestehende Systeme integrieren oder sie vertreiben. Die Marktüberwachungskompetenz erstreckt sich auf die gesamte Wertschöpfungskette.

Bis zum 2. August 2025 müssen die Mitgliedstaaten ein Durchführungsgesetz erlassen, in dem unter anderem allgemeine Marktüberwachungsbehörden für die Durchsetzung der KI-VO benannt werden.

Diese müssen unabhängig, unparteiisch und unvoreingenommen sein, um die Objektivität ihrer Tätigkeiten zu gewährleisten und die Anwendung und Durchführung der KI-VO sicherzustellen.

Alle Marktüberwachungsbehörden müssen mit angemessenen technischen, finanziellen und personellen Ressourcen sowie mit einer Infrastruktur ausgestattet werden, um ihre Aufgaben im Rahmen dieser Verordnung wirksam erfüllen zu können. Die KI-VO sieht vor, dass die zuständigen Behörden ständig über eine ausreichende Zahl von Mitarbeitenden verfügen, deren Kompetenzen und Fachkenntnisse ein umfassendes Verständnis der KI-Technologien und insbesondere der relevanten Vorgaben aus dem Daten- und Produktsicherheitsrecht umfassen.

In diesem Zusammenhang hat die Datenschutzkonferenz (DSK) Anfang Mai 2024 ein Positionspapier veröffentlicht: Die Datenschutzbehörden in Deutschland sollten danach eine wesentliche Rolle bei der Marktüberwachung nach der KI-VO übernehmen.

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

BSI: Cyber-Sicherheit für KMU

/in /von

Die Broschüre bietet KMU einen leicht verständlichen Einstieg, um ihr Cyber-Sicherheitsniveau zu verbessern, denn Informationssicherheit ist die Voraussetzung für eine sichere Digitalisierung. Die Broschüre steigt mit den wichtigsten Grundlagen der IT-Sicherheit ein – kurz und knapp anhand von 14 Fragen. Sie informiert unter anderem darüber, wer für die Informationssicherheit im Unternehmen verantwortlich ist, warum Patches und Updates regelmäßig installiert werden sollten, warum ein Virenschutzprogramm notwendig und eine Datensicherung so wichtig ist.

Link: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Cyber-Sicherheit_KMU.html?nn=1021418

EuGH: Entscheidung zum TCF (Transparency and Consent Framework)

/in /von

Der EuGH hat am 7. März 2024 im Vorabentscheidungsverfahren zum „Transparency and Consent Framework“ (TCF) des Interactive Advertising Bureau (IAB) Europe entschieden. Das Urteil hat Auswirkungen für Unternehmen der Online-Werbeindustrie. So hat der EuGH den TC-String als personenbezogenes Datum eingestuft und sieht das IAB Europe und seine Mitglieder als gemeinsame Verantwortliche hinsichtlich im Rahmen des im TCF erstellten TC-Strings.

Für Unternehmen, die das TCF nutzen, wird das Urteil sicher Änderungen bereithalten. Ob es dabei um Änderungen in der Einholung der Einwilligung über das CMP oder die Generierung des TC-Strings selbst geht, bleibt zunächst offen. IAB Europe selbst hat die EuGH-Entscheidung begrüßt und eine zeitnahe Stellungnahme angekündigt.

Sollte das vorlegende belgische Gericht die Sichtweise des EuGH im Hinblick auf die gemeinsame Verantwortlichkeit bestätigen, so hätte dies für IAB Europe und seine Mitglieder zur Folge, dass sie gemäß Art. 26 Abs. 1 S. 2 DSGVO Vereinbarungen hinsichtlich ihrer gemeinsamen Verantwortlichkeit abschließen müssten. In dieser Vereinbarung ist unter anderem eine Aufgabenbeschreibung vorzunehmen mit Abgrenzung, welcher Verantwortliche welche Aufgaben übernimmt.