Ein EuGH-Urteil, das große Bedeutung für die Online-Werbebranche haben dürfte: In seiner Entscheidung präzisiert das Gericht den Begriff der "personenbezogenen Daten" und den Bereich der Verantwortlichen nach der DSGVO.
In seinem Urteil vom Donnerstag (Az. C-604/22) beschäftigte sich der EuGH mit dem Thema Datenverarbeitung zum Zweck personalisierter Werbung. Der Gerichtshof stellte unter anderem klar, dass bei der Anwendung von sogenannten "Transparency and Consent Strings" (TC-String) personenbezogene Daten verarbeitet werden, und dass die Entwicklerin dieses Verfahrens als Verantwortliche nach der Datenschutzgrundverordnung (DSGVO) anzusehen ist.
Die Entscheidung erging aufgrund eines Vorabentscheidungsverfahrens das ein belgisches Gericht vorlegte. Geklagt hatte das Interactive Advertising Bureau Europe (IAB), eine Organisation, die Werbeunternehmen auf europäischer Ebene vertritt. Die belgische Datenschutzbehörde hatte Maßnahmen und ein Bußgeld gegen IAB verhängt, mit der Begründung sie sei Verantwortliche nach der DSGVO und habe gegen Bestimmungen der Verordnung verstoßen.
Bevor eine Website Nutzer:innen personalisierte Werbung anzeigen darf, muss sie nach der DSGVO deren Einwilligung zur Erhebung und Verarbeitung ihrer Daten für bestimmte Zwecke einholen. Diese Daten können beispielsweise Informationen zu Standort, Alter, Verlauf der Suchanfragen oder zuletzt getätigten Einkäufen sein. Zweck der Datenverarbeitung sind meist Werbung oder der Austausch mit anderen Anbietern. Der Erhebung und Verarbeitung können Nutzer:innen widersprechen.
Art. 4 Nr. 1 DSGVO: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Art. 4 Nr. 7 DSGVO: Ein Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
Art. 26 Abs. 1 S. 1 DSGVO: Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.
IAB hat das "Transparency and Consent Framework" (TCF) entwickelt. Das TCF soll Rahmenbedingungen bereitstellen, die es ermöglichen, die Anzeige personalisierter Werbung mit der DSGVO in Einklang zu bringen. Zur technischen Umsetzung dieser Rahmenbedingungen, bietet IAB zudem eine "Consent Management Platform" (CMP) an. Dies ist ein Werkzeug, mit der eine Website die Einwillung zur Verarbeitung personenbezogener Daten einholen kann.
TC-String ermöglicht Erstellung eines Nutzer:innen-Profils
Die CMP von IAB funktioniert so, dass die Präferenzen der Website-Nutzer:innen in einer Zeichenfolge (String) kodiert und gespeichert werden. Dieser String besteht aus einer Kombination von Buchstaben und Zeichen und wird als "Transparency and Consent String" (TC-String) bezeichnet. IAB teilt den String mit Maklern für personenbezogene Daten und mit Werbeplattformen, damit diese wissen, worin die jeweiligen Nutzer:innen eingewilligt oder wogegen sie widersprochen haben. Auf den Geräten der Nutzer:innen wird zudem ein Cookie gespeichert. Miteinander kombiniert, können der TC-String und das Cookie der IP-Adresse den jeweiligen Nutzer:innen zugeordnet werden.
Der Gerichtshof entschied nun, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO ist. Anhand der in dem String enthaltenen Informationen könne nämlich ein Nutzer:innen-Profil erstellt und die betreffende Person identifiziert werden, weil die Informationen einer Kennung wie insbesondere der IP-Adresse des Geräts zugeordnet werden kann.
Darüber hinaus sei IAB Europe als gemeinsam Verantwortlicher im Sinne der DSGVO anzusehen. Die Organisation scheine Einfluss auf die Verarbeitungen personenbezogener Daten zu nehmen, wenn sie die Einwilligungspräferenzen der Nutzer:innen in einem TC-String speichere, so das Gericht. IAB lege gemeinsam mit Mitgliedern, die das Verfahren nutzen, sowohl die Zwecke als auch die Mittel der Datenverarbeitung fest.
Dieser Verantwortlichkeit setzte der EuGH aber auch eine Grenze: Nach der Speicherung der Einwilligungspräferenzen sei IAB nur noch dann im Sinne der DSGVO verantwortlich, wenn sie nachweislich auch Einfluss auf die Weiterverarbeitung der Daten hat.
hes/LTO-Redaktion
Verarbeitung personenbezogener Daten: EuGH klärt DSGVO-Fragen zu personalisierter Werbung . In: Legal Tribune Online, 07.03.2024 , https://www.lto.de/persistent/a_id/54057/ (abgerufen am: 27.04.2024 )
Infos zum Zitiervorschlag
