Personenbezogene Daten Ja oder Nein?
EuGH schafft mehr Klarheit für die Einhaltung des Datenschutzrechts im Bereich der Onlinewerbung

24.05.2024

Von unserem deutschsprachigen CBBL-Anwalt in Brüssel, Herrn Rechtsanwalt und Advocaat Prof. Dr. Robin van der Hout, LL.M., vanderhout@cbbl-lawyers.de, Tel. +32 - 2 - 234 11 60, www.kapellmann.de

Der EuGH präzisiert in seiner Vorabentscheidung vom 07.03.2024 - IAB Europe, Rs. C-604/22, den Begriff der personenbezogenen Daten und legt den Bereich der Verantwortlichen nach der Datenschutz-Grundverordnung (DS-GVO) fest.

Ausgangsverfahren war ein belgisches Verfahren der dortigen Datenschutzbehörde gegen IAB Europe, einen Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien, der Unternehmen der digitalen Werbe- und Marketingindustrie europaweit vertritt. Mitglieder von IAB Europe sind neben Unternehmen dieser Branche, die durch den Verkauf von Werbeplätzen auf Websites oder in Anwendungen (Applikationen) hohe Einnahmen erzielen, auch nationale Verbände, darunter die nationalen IAB (Interactive Advertising Bureaus).

Sachverhalt

IAB Europe entwickelte das Transparency & Consent Framework (TCF), das es u.a. Anbietern einer Website oder auch Werbeplattformen ermöglichen soll, personenbezogene Daten eines Nutzers einer Website rechtmäßig zu verarbeiten. Das TCF setzt sich aus Richtlinien, Anweisungen, technischen Spezifikationen, Protokollen und vertraglichen Verpflichtungen zusammen. Ziel des TCF ist, die Einhaltung der DS-GVO zu erleichtern, wenn Wirtschaftsteilnehmer das OpenRTB nutzen (Protokoll für Real Time Bidding, ein System für sofortige und automatische online Versteigerung von Nutzerprofilen für den Kauf und Verkauf von Werbeplätzen im Internet). Das TCF wurde als Lösung gesehen, dieses Versteigerungssystem datenschutzkonform auszugestalten.

Sobald ein Nutzer eine Website oder eine andere Anwendung mit einem Werbeplatz aufruft, besteht für Werbeunternehmen die Möglichkeit, in Echtzeit anonyme Gebote abzugeben, um dort Werbung platzieren zu können, die auf die persönlichen Präferenzen der Nutzer abgestimmt ist. Die Vergabe der Werbeplätze erfolgt durch ein automatisiertes Werbesystem. Bevor dem Nutzer diese zugeschnittene Werbung angezeigt wird, muss er der Anzeige zustimmen. Bei erstmaligem Aufruf der Website erscheint zu diesem Zweck eine Consent Management Platform (CMP) in einem Pop-Up-Fenster. Darüber kann der Nutzer auswählen, ob und zu welchen Zwecken seine Daten verarbeitet werden können. Das TCF bietet viel Raum für umfangreiche Verarbeitung personenbezogener Daten und Erfassung der Nutzerpräferenzen über die CMP, die anschließend über einen String kodiert und gespeichert werden. Der String setzt sich aus Buchstaben und Zeichen zusammen und wird von IAB Europe als Transparency and Consent String (TC-String) bezeichnet. Dieser wird mit den Brokern geteilt, die an den OpenRTB-Protokollen beteiligt sind, die darüber nachverfolgen können, wofür die Nutzer ihre Einwilligung und ihren Widerspruch erteilt haben. Die CMP speichert ein Cookie auf dem Gerät des Nutzers, welcher in Kombination mit dem TC-String der IP-Adresse des Nutzers zugeordnet werden kann.

Rechtsfragen

Nach Beschwerden bei der belgische Datenschutzbehörde über die Vereinbarkeit des TCF mit der DS-GVO, verhängte diese Maßnahmen und ein Bußgeld gegen IAB Europe mit der Begründung, dieser sei Verantwortlicher nach der DS-GVO und habe gegen die Bestimmungen der Verordnung verstoßen. IAB Europe klagte hiergegen. Das zuständige belgische Gericht leitete ein Vorabentscheidungsverfahren ein, aufgrund dessen die Entscheidung des EuGH erging.

Auf die Frage des vorlegenden Gerichts, ob der TC-String gem. Art. 4 Nr. 1 DS-GVO ein personenbezogenes Datum i.S.d. Bestimmung darstellt, entschied der EuGH, „dass eine […] Zeichenfolge wie der TC String, die die Präferenzen eines Internetnutzers […] in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites […] enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, soweit sie, wenn sie mit vertretbarem Aufwand einer Kennung wie insbesondere der IP Adresse des Geräts dieses Nutzers zugeordnet werden kann, es erlaubt, die betreffende Person zu identifizieren […].“

Weiter stellte der EuGH bezogen auf die Frage nach der Auslegung von Art. 4 Nr. 7 und Art. 26 Abs. 1 DS-GVO bezogen auf die Verantwortlicheneigenschaft im Sinne der Bestimmung fest, „dass zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen ist, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt.“

¹ EuGH, Urteil vom 07.03.2024, C-604/22, ECLI:EU:C:2024:214, Rn. 78.
² EuGH, Urteil vom 07.03.2024, C-604/22, ECLI:EU:C:2024:214, Rn. 78.

Einordnung und Ausblick

Ein Rechtsmittel wurde gegen das Urteil durch IAB Europe nicht erhoben. Der EuGH führt seine weite Auslegung des Begriffs des „personenbezogenen Datums“ in Bezug auf Betreiber einer Website, die auf dieser Werbeplätze vergeben und dabei eine CMP einbinden, fort. Damit soll die Verantwortlichkeit der Beteiligten weit gefasst und so der Schutz der Nutzer effektiv gewährleistet werden.

Für Betreiber bedeutet dies, dass der dadurch erzeugte TC-String ein vollständig personenbezogenes Datum ist. Darüber hinaus kann dies auch auf weitere Daten des Nutzers der Website übertragen werden, sofern diese der IP-Adresse des Nutzers zugeordnet werden können. Dies erleichtert insbesondere den Aufsichtsbehörden Kontrollmöglichkeiten, sobald der TC-String in Kombination mit der IP-Adresse verwendet wurde. Die Einstufung des TC-Strings als personenbezogenes Datum hat zur Folge, dass alle weiteren Vorgänge, in denen er verarbeitet wird, auf ihre datenschutzrechtliche Konformität überprüft werden müssen. Somit müssen die Unternehmen die entsprechenden Daten bereithalten und insbesondere Transparenz gegenüber den Nutzern gewährleisten, die ihre Einwilligung vorher erteilt haben müssen. Dabei sind die Art. 7 DS-GVO und Art. 4 Nr. 11 DS-GVO zu beachten. Infolge der gemeinsamen Verantwortlichkeit müssen IAB Europe und seine Mitglieder gem. Art. 26 DS-GVO Joint Controller Agreements abschließen. Aus der gemeinsamen Verantwortlichkeit resultiert gem. Art. 36 Abs. 3 DS-GVO ebenfalls, dass die Verantwortlichen auch für die Erfüllung gemeinsam in Anspruch genommen werden können. Aber auch mit Blick auf Art. 82 Abs. 4 DS-GVO und den daraus resultierenden Schadensersatzanspruchs für Datenschutzverstöße, für die die Verantwortlichen gemeinschaftlich haften, auch wenn nur einer der Verantwortlichen den Verstoß begangen hat, ist diese gegenseitige Kontrolle den Beteiligten nahezulegen, ebenso wie eine genaue Abgrenzung der jeweiligen Verantwortungsbereiche.

Sie haben weitere Fragen zur Vorabentscheidung des EuGH zu personenbezogenen Daten und dem Datenschutz bei Onlinewerbung? Sprechen Sie uns an!

Unser deutschsprachiger CBBL-Anwalt in Brüssel, Herr Rechtsanwalt und Advocaat Prof. Dr. Robin van der Hout, LL.M., berät Sie gerne: vanderhout@cbbl-lawyers.de, Tel. +32 - 2 - 234 11 60, www.kapellmann.de