EuGH-Entscheidung vom 7.3.2024, Rechtssache C‑604/22
Sachverhalt:
IAB Europe ist ein belgischer Verband, der Unternehmen der digitalen Werbe- und Marketingindustrie vertritt. Zu seinen Mitgliedern gehören Unternehmen, die durch den Verkauf von Werbeplätzen auf Websites oder in Anwendungen (Applikationen) hohe Einnahmen erzielen.
IAB Europe entwickelte das „Transparency & Consent Framework“, das einen Regelungsrahmen darstellt, der es ermöglichen soll, personenbezogene Daten rechtmäßig unter Einhaltung der DSGVO zu verarbeiten. Insbesondere dann, wenn diese Unternehmen das OpenRTB nutzen, dh eines der am meisten verwendeten Protokolle für Real Time Bidding, einem System der sofortigen und automatisierten Online-Versteigerung von Nutzerprofilen für den Verkauf und den Kauf von Werbeplätzen im Internet. Beim Real Time Bidding können Unternehmen über Broker in Echtzeit-Auktionen nutzerprofilbasiert Werbeplätze auf aufgerufenen Websites ersteigern, um zielgerichtete Anzeigen einzublenden.
Bevor eine solche gezielte Werbung angezeigt wird, muss die vorherige Einwilligung des Nutzers eingeholt werden. So erscheint ein Cookie-Banner, über das der Nutzer der Verarbeitung widersprechen oder bestimmte Zwecke festlegen kann. Diese personenbezogenen Daten betreffen insbesondere den Standort des Nutzers, sein Alter, den Verlauf seiner Suchanfragen und seine zuletzt getätigten Einkäufe.
Die Nutzerpräferenzen werden in einem aus einer Kombination von Buchstaben und Zeichen bestehenden String kodiert und gespeichert, der als „Transparency and Consent String“ (TC-String) bezeichnet wird und der mit Brokern für personenbezogene Daten und Werbeplattformen geteilt wird, damit diese wissen, worin der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Auf dem Gerät des Nutzers wird auch ein Cookie gespeichert. Miteinander kombiniert, können der TC-String und das Cookie der IP-Adresse dieses Nutzers zugeordnet werden.
Bei der belgischen Datenschutzbehörde gingen mehrere Beschwerden gegen IAB Europe ein. Die Datenschutzbehörde stellte fest, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO darstelle. Der Hof van beroep te Brussel (Appellationshof Brüssel) beschloss, das Verfahren auszusetzen und dem EuGH zur Vorabentscheidung vorzulegen.
Entscheidung:
Art. 4 Nr. 1 DSGVO definiert „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Der Begriff „personenbezogene Daten“ erfasst nicht nur die von dem Verantwortlichen erhobenen und gespeicherten Daten, sondern auch alle Informationen über eine identifizierte oder identifizierbare Person, die aus einer Verarbeitung personenbezogener Daten resultieren (siehe EuGH-Entscheidung HIER im Blog). Soweit die Verknüpfung einer aus einer Kombination von Buchstaben und Zeichen bestehenden Zeichenfolge, wie des TC‑Strings, mit zusätzlichen Daten, insbesondere der IP‑Adresse des Geräts eines Nutzers oder anderen Kennungen, die Identifizierung dieses Nutzers ermöglicht, ist davon auszugehen, dass der TC‑String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne von Art. 4 Abs. 1 DSGVO darstellt, was durch den 30. Erwägungsgrund der DSGVO bestätigt wird.
Der EuGH kam also zu dem Ergebnis, dass der TC-String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne der DSGVO darstellt. Anhand der enthaltenen Informationen kann nämlich, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und die betreffende Person identifiziert werden.
Der Begriff „Verantwortlicher“ wird in Art. 4 Nr. 7 DSGVO weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der EuGH kam zu dem Ergebnis, dass IAB Europe als „gemeinsam Verantwortlicher“ im Sinne der DSGVO anzusehen ist. IAB Europe scheint bei der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String auf die Verarbeitungen personenbezogener Daten Einfluss zu nehmen und gemeinsam mit ihren Mitgliedern sowohl die Zwecke dieser Verarbeitungen als auch die ihnen zugrunde liegenden Mittel festzulegen.
Allerdings kann, unbeschadet einer etwaigen im nationalen Recht vorgesehenen zivilrechtlichen Haftung, IAB Europe für Datenverarbeitungen, die nach der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String erfolgen, nur dann als im Sinne der DSGVO verantwortlich angesehen werden, wenn nachgewiesen werden kann, dass dieser Verband Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausgeübt hat.
Weitere Blog-Beiträge zum Thema Datenschutzrecht: