Versteigerung von personenbezogenen Daten für Werbezwecke: EuGH stellt Regeln auf Grundlage der DSGVO klar
EuGH v. 7.3.2024 - C-604/22
Der Sachverhalt:
IAB Europe ist ein Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien, der Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt. IAB Europe hat eine Lösung entwickelt, die dieses Versteigerungssystem mit der DSGVO1 in Einklang bringen können soll. Die Nutzerpräferenzen werden in einem aus einer Kombination von Buchstaben und Zeichen bestehenden String kodiert und gespeichert, der als "Transparency and Consent String" (TC-String) bezeichnet wird und der mit Brokern für personenbezogene Daten und Werbeplattformen geteilt wird, damit diese wissen, worin der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Auf dem Gerät des Nutzers wird auch ein Cookie gespeichert. Miteinander kombiniert, können der TC-String und das Cookie der IP-Adresse dieses Nutzers zugeordnet werden.
Im Jahr 2022 stellte die belgische Datenschutzbehörde fest, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO darstelle und dass IAB Europe als Verantwortlicher aufgetreten sei, ohne die Vorschriften der DSGVO vollständig einzuhalten. Die Behörde verhängte gegen IAB Europe mehrere Abhilfemaßnahmen sowie eine Geldbuße. IAB Europe focht diese Entscheidung an und wandte sich an den Appellationshof Brüssel, der dem Gerichtshof Fragen zur Vorabentscheidung vorgelegt hat.
Mit seinem Urteil bestätigt der Gerichtshof, dass der TC-String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne der DSGVO darstellt.
Die Gründe:
Der TC-String stellt ein personenbezogenes Datum im Sinne der DSGVO dar, denn anhand der in einem TC-String enthaltenen Informationen kann, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und die betreffende Person identifiziert werden.
Darüber hinaus ist IAB Europe als "gemeinsam Verantwortlicher" im Sinne der DSGVO anzusehen. Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen scheint diese Organisation nämlich bei der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String auf die Verarbeitungen personenbezogener Daten Einfluss zu nehmen und gemeinsam mit ihren Mitgliedern sowohl die Zwecke dieser Verarbeitungen als auch die ihnen zugrunde liegenden Mittel festzulegen. Allerdings kann, unbeschadet einer etwaigen im nationalen Recht vorgesehenen zivilrechtlichen Haftung, IAB Europe für Datenverarbeitungen, die nach der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String erfolgen, nur dann als im Sinne der DSGVO verantwortlich angesehen werden, wenn nachgewiesen werden kann, dass dieser Verband Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausgeübt hat.
Mehr zum Thema:
Beratermodul Computer und Recht - CR:
Die umfassende Datenbank zum Recht der Informationstechnologie. Inklusive Selbststudium nach § 15 FAO. Wann immer es zeitlich passt: Für Fachanwälte bietet dieses Modul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!
EuGH PM Nr. 44 vom 7.3.2024
IAB Europe ist ein Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien, der Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt. IAB Europe hat eine Lösung entwickelt, die dieses Versteigerungssystem mit der DSGVO1 in Einklang bringen können soll. Die Nutzerpräferenzen werden in einem aus einer Kombination von Buchstaben und Zeichen bestehenden String kodiert und gespeichert, der als "Transparency and Consent String" (TC-String) bezeichnet wird und der mit Brokern für personenbezogene Daten und Werbeplattformen geteilt wird, damit diese wissen, worin der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Auf dem Gerät des Nutzers wird auch ein Cookie gespeichert. Miteinander kombiniert, können der TC-String und das Cookie der IP-Adresse dieses Nutzers zugeordnet werden.
Im Jahr 2022 stellte die belgische Datenschutzbehörde fest, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO darstelle und dass IAB Europe als Verantwortlicher aufgetreten sei, ohne die Vorschriften der DSGVO vollständig einzuhalten. Die Behörde verhängte gegen IAB Europe mehrere Abhilfemaßnahmen sowie eine Geldbuße. IAB Europe focht diese Entscheidung an und wandte sich an den Appellationshof Brüssel, der dem Gerichtshof Fragen zur Vorabentscheidung vorgelegt hat.
Mit seinem Urteil bestätigt der Gerichtshof, dass der TC-String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne der DSGVO darstellt.
Die Gründe:
Der TC-String stellt ein personenbezogenes Datum im Sinne der DSGVO dar, denn anhand der in einem TC-String enthaltenen Informationen kann, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und die betreffende Person identifiziert werden.
Darüber hinaus ist IAB Europe als "gemeinsam Verantwortlicher" im Sinne der DSGVO anzusehen. Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen scheint diese Organisation nämlich bei der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String auf die Verarbeitungen personenbezogener Daten Einfluss zu nehmen und gemeinsam mit ihren Mitgliedern sowohl die Zwecke dieser Verarbeitungen als auch die ihnen zugrunde liegenden Mittel festzulegen. Allerdings kann, unbeschadet einer etwaigen im nationalen Recht vorgesehenen zivilrechtlichen Haftung, IAB Europe für Datenverarbeitungen, die nach der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String erfolgen, nur dann als im Sinne der DSGVO verantwortlich angesehen werden, wenn nachgewiesen werden kann, dass dieser Verband Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausgeübt hat.
Beratermodul Computer und Recht - CR:
Die umfassende Datenbank zum Recht der Informationstechnologie. Inklusive Selbststudium nach § 15 FAO. Wann immer es zeitlich passt: Für Fachanwälte bietet dieses Modul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!