Die belgische Autorité de protection des données/Gegevensbeschermingsautoriteit (APD/GBA) nimmt eine ungewöhnliche Position unter den EU-Datenschutzbehörden ein. Belgien beherbergt die EU-Zentrale, die NATO-Zentrale und mehr internationale Finanzinstitute als jedes andere EU-Land außer Luxemburg. Die APD ist folglich sowohl der de facto Maßstab für die GDPR-Compliance im Finanzsektor als auch die Aufsichtsbehörde für das bedeutendste Einwilligungsrahmenurteil des Kontinents.
Das IAB Europa Urteil: Die folgenreichste Entscheidung der APD
Die Entscheidung der APD im Februar 2022 gegen das Transparency and Consent Framework (TCF) von IAB Europa betraf den Mechanismus, der jährlich geschätzte €220 Milliarden in der europäischen digitalen Werbung ausmacht.
Was die APD festgestellt hat: Der "Einwilligungsstring" des TCF — das Echtzeit-Bietsignal, das die Benutzerverfolgungseinstellungen kodiert und von jedem großen EU-Publisher verwendet wird — stellt personenbezogene Daten dar, da es mit einer pseudonymen Kennung des Nutzers verknüpft ist. IAB Europa wurde als gemeinsamer Verantwortlicher dieser Daten angesehen, verantwortlich dafür, wie Hunderttausende von Publishern und Bietern damit umgehen.
Die Geldstrafe von €250.000 war symbolisch. Die folgenschwere Anforderung war eine grundlegende Neugestaltung des TCF — die jeden EU-Publisher betrifft, der Einwilligungsmanagement-Plattformen verwendet, jeden programmatischen Werbetreibenden und jeden Ad-Tech-Anbieter auf dem europäischen Markt.
Für Compliance-Profis: Das Urteil der APD zeigt, dass sektorweite Infrastrukturen die GDPR verletzen können, nicht nur einzelne Organisationen.
Belgiens Finanzsektor: NIS2 + GDPR Doppel-Compliance
Belgien beherbergt die Europäische Bankenaufsichtsbehörde (EBA), EIOPA und die globale Zentrale von SWIFT. Belgische Finanzinstitute müssen sowohl die Anforderungen von GDPR Artikel 32 als auch die von NIS2 Artikel 21 (Cybersicherheit für wesentliche Dienstleistungen) erfüllen. Die beiden Rahmenbedingungen überschneiden sich erheblich:
NIS2 Artikel 21 Anforderungen für wesentliche Finanzdienstleistungen:
- Risikomanagement, das menschliche, physische und digitale Risiken abdeckt
- Vorfallbearbeitung mit 24-Stunden-Erstmeldung
- Geschäftskontinuität und Notfallwiederherstellung
- Sicherheitsbewertungen der Lieferkette
- Verschlüsselung für Daten während der Übertragung und im Ruhezustand
- Multi-Faktor-Authentifizierung für den Zugangskontrolle
GDPR Artikel 32 Anforderungen:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Fähigkeit, den Zugriff auf personenbezogene Daten nach Vorfällen wiederherzustellen
- Testen und Bewerten von Sicherheitsmaßnahmen
- Risikogerechte technische Maßnahmen
Die Überschneidung ist erheblich: Verschlüsselung, Zugangskontrolle, Vorfallreaktion und Sicherheit der Lieferkette erscheinen in beiden. Belgische Finanzinstitute, die GDPR Artikel 32 umfassend umsetzen, erfüllen die Mehrheit der Anforderungen von NIS2 Artikel 21 — was integrierte Compliance-Dokumentation zur effizientesten Vorgehensweise macht.
APD Durchsetzung im Jahr 2024: Fokus auf den Finanzsektor
Die APD erließ 82 Durchsetzungsentscheidungen im Jahr 2024 — ein Anstieg von 56% im Vergleich zu 2023 bei Fällen im Finanzsektor. Durchsetzungsthemen:
Verhaltensprofiling ohne angemessene Einwilligung: Belgische Finanzinstitute, die Kundentransaktionsdaten für Profiling (Ausgabenanalyse, Bonitätsmodellierung, Produktempfehlung) verwenden, müssen die Anforderungen an das berechtigte Interesse oder die ausdrückliche Einwilligung gemäß GDPR erfüllen. Die APD stellte fest, dass "Verbesserung der Dienstleistungen" als berechtigtes Interesse beim Profiling, das Transaktionsdaten verwendet, unzureichend ist.
KI-Kreditbewertung: Automatisierte Kreditentscheidungen gemäß GDPR Artikel 22 erfordern menschliche Überprüfungsmechanismen und Nachvollziehbarkeit. Die APD fand mehrere Fintech-Unternehmen, die KI-Kreditmodelle ohne angemessene Schutzmaßnahmen gemäß Artikel 22 verwendeten.
Konsolidierung von Marketingdatenbanken: Banken und Versicherungsunternehmen, die Kundendatenbanken aus Übernahmen zusammengelegt haben — Daten aus unterschiedlichen ursprünglichen Einwilligungsbereichen kombiniert — verletzten häufig die Zweckbindung der GDPR.
Fehler in der Subprozessorkette: Finanzinstitute, die IT an Drittländer (Indien, Marokko, Philippinen) ohne angemessene Übertragungsmechanismen und Datenschutzbehörden ausgelagert haben, sahen sich Durchsetzungsmaßnahmen gegenüber.
Für Organisationen mit belgischen Finanzsektoroperationen: Integrierte GDPR/NIS2-Compliance-Dokumentation, die Verschlüsselung, Zugriffsprotokollierung, Vorfallreaktion und Subprozessorevaluierung abdeckt, bietet die am besten verteidigbare technische Haltung vor einer APD-Prüfung.
Quellen: