Home Blog EuGH: Versteigerung von p…
Zurück
seitz.digital

EuGH: Versteigerung von personenbezogenen Daten für Werbezwecke

Home Blog EuGH: Versteigerung von p…
Zurück
Autoren
Jens Neldner, Kevin Leibold
Datum

14. März 2024

Diesen Beitrag teilen

Der EuGH hat mit Urteil vom 7. März 2024 (Az. C-604/22) entschieden, dass ein TC-String Informationen über eine identifizierbare betroffene Person enthalten und somit grundsätzlich ein personenbezogenes Datum im Sinne der DSGVO darstellen kann. Dies muss jedoch im Einzelfall beurteilt werden. Darüber hinaus kann IAB Europe im Grundsatz als „gemeinsam Verantwortlicher“ im Sinne des Art. 26 DSGVO mit den Werbetreibenden angesehen werden.

Der EuGH hat mit Urteil vom 7. März 2024 (Az. C-604/22) entschieden, dass ein TC-String Informationen über eine identifizierbare betroffene Person enthalten und somit grundsätzlich ein personenbezogenes Datum im Sinne der DSGVO darstellen kann. Dies muss jedoch im Einzelfall beurteilt werden. Darüber hinaus kann IAB Europe im Grundsatz als „gemeinsam Verantwortlicher“ im Sinne des Art. 26 DSGVO mit den Werbetreibenden angesehen werden.

I. Sachverhalt

Die belgische Datenschutzbehörde Autorité de protection des données (nachfolgend: „APD“) hatte in ihrer Entscheidung vom 2. Februar 2022 große Teile eines weit verbreiteten Einwilligungsmanagers (Cookie-Banner) als rechtswidrig eingestuft und gegen den Entwickler Interactive Advertising Bureau Europe (nachfolgend: „IAB“) ein Bußgeld in Höhe von 250.000 Euro verhängt. Die APD hat entschieden, dass IAB als Verantwortlicher für die Verarbeitung personenbezogener Daten im Rahmen des „Transparency & Consent Framework“ (nachfolgend: „TCF“) fungiert (vgl. zum Sachverhalt bereits ausführlich unseren Blogbeitrag vom 7. Februar 2022).

IAB, ein Verband der digitalen Werbeindustrie, hat das TCF entwickelt, um die rechtliche Verarbeitung personenbezogener Daten bei Online-Werbung zu erleichtern. Das TCF soll die Einhaltung der DSGVO u.a. beim Einsatz von Real Time Bidding (nachfolgend: „RTB“) gewährleisten.

Nutzer müssen ihre Einwilligung geben, bevor ihnen gezielte Werbung angezeigt wird. Diese Einwilligung wird über eine Consent Management Platform (nachfolgend: „CMP“) eingeholt, die die Nutzerpräferenzen in einem TC-String („Transparency and Consent String“ (nachfolgend: „TC-String“; eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge) speichert. Der TC-String, der die Information speichert, ob die betroffene Person eingewilligt hat, wird an Datenbroker und Werbeplattformen weitergeleitet, um ihnen zu zeigen, wofür der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat.

IAB hat gegen diese Entscheidung Klage beim Hof van beroep te Brussel (nachfolgend: „Appellationshof Brüssel“) erhoben. Das belgische Gericht legte in der Folge dem EuGH im Wege eines Vorabentscheidungsersuchens verschiedene Fragen zum Personenbezug und der gemeinsamen Verantwortlichkeit vor. Der EuGH musste nun klären, ob ein TC-String (ggf. in Kombination mit einer IP-Adresse) ein personenbezogenes Datum ist und ob IAB im Rahmen des TCF als (gemeinsam) Verantwortlicher anzusehen ist.

II. Entscheidung

Nach Ansicht des EuGH ergebe sich aus der Formulierung in Art. 4 Nr. 1 DSGVO („alle Informationen“), dass der Begriff des personenbezogenen Datums weit auszulegen sei. Unter Heranziehung der Art. 4 Nr. 1, 6 und Erwägungsgrund 26 und 30 der DSGVO kommt der EuGH zur Überzeugung, dass soweit die Verknüpfung einer aus einer Kombination von Buchstaben und Zeichen bestehenden Zeichenfolge, wie des TC‑Strings, mit zusätzlichen Daten, insbesondere der IP‑Adresse des Geräts eines Nutzers oder anderen Kennungen, die Identifizierung dieses Nutzers ermöglicht, davon auszugehen ist, dass der TC‑String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne von Art. 4 Abs. 1 DSGVO darstellt. Der Umstand allein, dass IAB den TC‑String nicht selbst mit der IP‑Adresse des Geräts eines Nutzers kombinieren kann und nicht über die Möglichkeit verfügt, unmittelbar auf die von seinen Mitgliedern im Rahmen des TCF verarbeiteten Daten zuzugreifen, ändert nach Ansicht des EuGH nichts an dieser Einschätzung. Voraussetzung sei nur, wie sich aus Erwägungsgrund 26 ergebe, dass IAB Mittel besitzt, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Dies habe jedoch noch der Appellationshof Brüssel im Einzelfall zu prüfen.

Zudem kann IAB nach Ansicht des EuGH zusammen mit den einzelnen TCF-Teilnehmern als gemeinsam Verantwortlicher im Sinne des Art. 26 DSGVO in Bezug auf die Erstellung und Verwendung von TC-Strings durch Anbieter von Websites oder Anwendungen angesehen werden, da die TCF Spezifikationen für die Verarbeitung vorgibt, da IAB die Verarbeitung (Zwecke und Mittel) aus Eigeninteresse tatsächlich beeinflusst. TCF stelle einen Regelungsrahmen dar, an den sich die Mitglieder von IAB halten müssen, wenn sie diesem Verband beitreten. Halten sich die Mitglieder nicht an diesen Regelungsrahmen steht IAB unter anderem das Recht zu, das jeweilige Mitglied zu suspendieren. Da der Begriff „Verantwortlicher“ in Art. 4 Nr. 7 DSGVO aufgrund des hohes Schutzniveaus weit zu definieren sei, reicht dies nach Ansicht des EuGH aus, dass IAB als gemeinsam Verantwortlicher anzusehen ist. Die Tatsache, dass IAB selbst keinen unmittelbaren Zugang zu den TC‑Strings und damit zu den personenbezogenen Daten hat, ändere an der Einordnung als Verantwortlicher nichts.

Allerdings stellt der EuGH auch klar, dass IAB nicht notwendigerweise als gemeinsamer Verantwortlicher zusammen mit den TCF-Teilnehmern in Bezug auf die nachfolgende Datenverarbeitung angesehen werden kann, die in Verfolgung der TCF-Zwecke durchgeführt werden, wie z. B. digitale Werbung, Publikumsmessung oder Personalisierung von Inhalten. IAB habe insoweit keinen Einfluss auf diese Verarbeitung. Es müsse zwischen der Verarbeitung personenbezogener Daten durch die Mitglieder von IAB , d. h. Anbieter von Websites oder Anwendungen sowie Datenbroker oder auch Werbeplattformen, bei der Speicherung der Einwilligungspräferenzen der betreffenden Nutzer in einem TC‑String nach den im TCF festgelegten Regeln auf der einen Seite und der Weiterverarbeitung personenbezogener Daten durch diese Wirtschaftsteilnehmer und durch Dritte auf der Grundlage dieser Präferenzen, wie beispielsweise die Übermittlung dieser Daten an Dritte oder das Angebot personalisierter Werbung an diese Nutzer, auf der anderen Seite unterschieden werden. Nur wenn feststehe, dass IAB Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausübt, könne IAB als Verantwortlicher anzusehen sein.

III. Konsequenzen

Die Entscheidung des EuGH kann weitreichende Auswirkungen auf die digitale Werbeindustrie haben und betrifft etliche Webseiten-Betreiber sowie Werbetreibende. Für Unternehmen, die den TC‑String im Rahmen von personalisierter Online-Werbung, insbesondere im Rahmen von Real Time Bidding, nutzen oder nutzen wollen, werden sich wohl auf Änderungen einstellen müssen.

Der Appellationshof Brüssel muss nun prüfen, ob IAB die Mittel besitzt, um den TC-String einer konkreten Person zuordnen zu können. Nach den vorgelegten Dokumenten hat IAB seine Mitglieder wohl dazu verpflichtet, diesem auf Anfrage alle Informationen zu übermitteln, die es ihm ermöglichen, die Nutzer zu identifizieren, deren Daten Gegenstand eines TC‑Strings sind. Damit würde grundsätzlich ein Mittel bestehen, um den TC-String, der für sich genommen kein personenbezogenes Datum für IAB darstellt, einer konkreten Person zuzuordnen. Ob allein die Hinzuziehung der IP-Adresse ausreicht, dass ein Personenbezug gegeben ist, erscheint fraglich, zudem die Identifizierung einer Person anhand einer IP-Adresse üblicherweise schon mit hohem Aufwand sowie rechtlichen Hürden verbunden ist.

Sollte IAB von dieser Verpflichtung in zukünftigen Verträgen Abstand nehmen, lässt sich vertreten, dass IAB über keine Mittel mehr verfügt, um den Personenbezug vorzunehmen. In diesem Fall würde kein Personenbezug bestehen und IAB wäre demnach auch nicht als Verantwortlicher einzustufen.

IV. Praxistipps

Insbesondere wenn der Appellationshof Brüssel zu der Auffassung gelangt, dass IAB einen Personenbezug herstellen kann, sind für Werbetreibende, die Mitglied in der Branchenorganisation von IAB sind, weitere Maßnahmen zu ergreifen. Diese können u.a. folgende Aspekte umfassen:  

  • Prüfung, in welchem Umfang Daten jeweils im Rahmen des TCF verarbeitet werden;
  • ggf. Anpassung der Datenschutzerklärung und des Cookie-Banners hinsichtlich der Erteilung einer Einwilligung – insbesondere unter Berücksichtigung der Maßstäbe nach Art. 7 DSGVO, welche Verantwortliche aufgrund der transparenten Darstellung vor hohe Herausforderungen stellt;
  • Kontaktaufnahme sowie Dokumentation ggü. IAB bezüglich der Vereinbarung nach Art. 26 DSGVO für den jeweils konkreten Fall;
  • laufende Beobachtung aktueller Stellungnahmen der Datenschutzaufsichtsbehörden;
  • Prüfung, ob diese EuGH-Grundsätze auf andere Anbieter digitaler Werbe-Ökosysteme übertragbar sind.

IAB hat in einer Pressemitteilung vom 07. März 2024 das Urteil des EuGH begrüßt, da es die dringend benötigte Klarheit über die Konzepte der personenbezogenen Daten und der (gemeinsamen) Verantwortlichkeit schaffe, was einen reibungslosen Abschluss der verbleibenden Gerichtsverfahren ermöglichen werde. Das IAB hat zudem ein erstes FAQ zu dem Urteil und seinen Folgen veröffentlicht. Unternehmen müssen zudem prüfen, ob die mittlerweile vorliegende Version 2.2 des IAB TCF den Vorgaben des EuGH entspricht.

EuGH, Urteil vom 07.03.2024 – Az. C-604/22

EuGH: Versteigerung von personenbezogenen Daten für Werbezwecke

Der EuGH hat mit Urteil vom 7. März 2024 (Az. C-604/22) entschieden, dass ein TC-String Informationen über eine identifizierbare betroffene Person enthalten und somit grundsätzlich ein personenbezogenes Datum im Sinne der DSGVO darstellen kann. Dies muss jedoch im Einzelfall beurteilt werden. Darüber hinaus kann IAB Europe im Grundsatz als „gemeinsam Verantwortlicher“ im Sinne des Art. 26 DSGVO mit den Werbetreibenden angesehen werden.

Der EuGH hat mit Urteil vom 7. März 2024 (Az. C-604/22) entschieden, dass ein TC-String Informationen über eine identifizierbare betroffene Person enthalten und somit grundsätzlich ein personenbezogenes Datum im Sinne der DSGVO darstellen kann. Dies muss jedoch im Einzelfall beurteilt werden. Darüber hinaus kann IAB Europe im Grundsatz als „gemeinsam Verantwortlicher“ im Sinne des Art. 26 DSGVO mit den Werbetreibenden angesehen werden.

I. Sachverhalt

Die belgische Datenschutzbehörde Autorité de protection des données (nachfolgend: „APD“) hatte in ihrer Entscheidung vom 2. Februar 2022 große Teile eines weit verbreiteten Einwilligungsmanagers (Cookie-Banner) als rechtswidrig eingestuft und gegen den Entwickler Interactive Advertising Bureau Europe (nachfolgend: „IAB“) ein Bußgeld in Höhe von 250.000 Euro verhängt. Die APD hat entschieden, dass IAB als Verantwortlicher für die Verarbeitung personenbezogener Daten im Rahmen des „Transparency & Consent Framework“ (nachfolgend: „TCF“) fungiert (vgl. zum Sachverhalt bereits ausführlich unseren Blogbeitrag vom 7. Februar 2022).

IAB, ein Verband der digitalen Werbeindustrie, hat das TCF entwickelt, um die rechtliche Verarbeitung personenbezogener Daten bei Online-Werbung zu erleichtern. Das TCF soll die Einhaltung der DSGVO u.a. beim Einsatz von Real Time Bidding (nachfolgend: „RTB“) gewährleisten.

Nutzer müssen ihre Einwilligung geben, bevor ihnen gezielte Werbung angezeigt wird. Diese Einwilligung wird über eine Consent Management Platform (nachfolgend: „CMP“) eingeholt, die die Nutzerpräferenzen in einem TC-String („Transparency and Consent String“ (nachfolgend: „TC-String“; eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge) speichert. Der TC-String, der die Information speichert, ob die betroffene Person eingewilligt hat, wird an Datenbroker und Werbeplattformen weitergeleitet, um ihnen zu zeigen, wofür der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat.

IAB hat gegen diese Entscheidung Klage beim Hof van beroep te Brussel (nachfolgend: „Appellationshof Brüssel“) erhoben. Das belgische Gericht legte in der Folge dem EuGH im Wege eines Vorabentscheidungsersuchens verschiedene Fragen zum Personenbezug und der gemeinsamen Verantwortlichkeit vor. Der EuGH musste nun klären, ob ein TC-String (ggf. in Kombination mit einer IP-Adresse) ein personenbezogenes Datum ist und ob IAB im Rahmen des TCF als (gemeinsam) Verantwortlicher anzusehen ist.

II. Entscheidung

Nach Ansicht des EuGH ergebe sich aus der Formulierung in Art. 4 Nr. 1 DSGVO („alle Informationen“), dass der Begriff des personenbezogenen Datums weit auszulegen sei. Unter Heranziehung der Art. 4 Nr. 1, 6 und Erwägungsgrund 26 und 30 der DSGVO kommt der EuGH zur Überzeugung, dass soweit die Verknüpfung einer aus einer Kombination von Buchstaben und Zeichen bestehenden Zeichenfolge, wie des TC‑Strings, mit zusätzlichen Daten, insbesondere der IP‑Adresse des Geräts eines Nutzers oder anderen Kennungen, die Identifizierung dieses Nutzers ermöglicht, davon auszugehen ist, dass der TC‑String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne von Art. 4 Abs. 1 DSGVO darstellt. Der Umstand allein, dass IAB den TC‑String nicht selbst mit der IP‑Adresse des Geräts eines Nutzers kombinieren kann und nicht über die Möglichkeit verfügt, unmittelbar auf die von seinen Mitgliedern im Rahmen des TCF verarbeiteten Daten zuzugreifen, ändert nach Ansicht des EuGH nichts an dieser Einschätzung. Voraussetzung sei nur, wie sich aus Erwägungsgrund 26 ergebe, dass IAB Mittel besitzt, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Dies habe jedoch noch der Appellationshof Brüssel im Einzelfall zu prüfen.

Zudem kann IAB nach Ansicht des EuGH zusammen mit den einzelnen TCF-Teilnehmern als gemeinsam Verantwortlicher im Sinne des Art. 26 DSGVO in Bezug auf die Erstellung und Verwendung von TC-Strings durch Anbieter von Websites oder Anwendungen angesehen werden, da die TCF Spezifikationen für die Verarbeitung vorgibt, da IAB die Verarbeitung (Zwecke und Mittel) aus Eigeninteresse tatsächlich beeinflusst. TCF stelle einen Regelungsrahmen dar, an den sich die Mitglieder von IAB halten müssen, wenn sie diesem Verband beitreten. Halten sich die Mitglieder nicht an diesen Regelungsrahmen steht IAB unter anderem das Recht zu, das jeweilige Mitglied zu suspendieren. Da der Begriff „Verantwortlicher“ in Art. 4 Nr. 7 DSGVO aufgrund des hohes Schutzniveaus weit zu definieren sei, reicht dies nach Ansicht des EuGH aus, dass IAB als gemeinsam Verantwortlicher anzusehen ist. Die Tatsache, dass IAB selbst keinen unmittelbaren Zugang zu den TC‑Strings und damit zu den personenbezogenen Daten hat, ändere an der Einordnung als Verantwortlicher nichts.

Allerdings stellt der EuGH auch klar, dass IAB nicht notwendigerweise als gemeinsamer Verantwortlicher zusammen mit den TCF-Teilnehmern in Bezug auf die nachfolgende Datenverarbeitung angesehen werden kann, die in Verfolgung der TCF-Zwecke durchgeführt werden, wie z. B. digitale Werbung, Publikumsmessung oder Personalisierung von Inhalten. IAB habe insoweit keinen Einfluss auf diese Verarbeitung. Es müsse zwischen der Verarbeitung personenbezogener Daten durch die Mitglieder von IAB , d. h. Anbieter von Websites oder Anwendungen sowie Datenbroker oder auch Werbeplattformen, bei der Speicherung der Einwilligungspräferenzen der betreffenden Nutzer in einem TC‑String nach den im TCF festgelegten Regeln auf der einen Seite und der Weiterverarbeitung personenbezogener Daten durch diese Wirtschaftsteilnehmer und durch Dritte auf der Grundlage dieser Präferenzen, wie beispielsweise die Übermittlung dieser Daten an Dritte oder das Angebot personalisierter Werbung an diese Nutzer, auf der anderen Seite unterschieden werden. Nur wenn feststehe, dass IAB Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausübt, könne IAB als Verantwortlicher anzusehen sein.

III. Konsequenzen

Die Entscheidung des EuGH kann weitreichende Auswirkungen auf die digitale Werbeindustrie haben und betrifft etliche Webseiten-Betreiber sowie Werbetreibende. Für Unternehmen, die den TC‑String im Rahmen von personalisierter Online-Werbung, insbesondere im Rahmen von Real Time Bidding, nutzen oder nutzen wollen, werden sich wohl auf Änderungen einstellen müssen.

Der Appellationshof Brüssel muss nun prüfen, ob IAB die Mittel besitzt, um den TC-String einer konkreten Person zuordnen zu können. Nach den vorgelegten Dokumenten hat IAB seine Mitglieder wohl dazu verpflichtet, diesem auf Anfrage alle Informationen zu übermitteln, die es ihm ermöglichen, die Nutzer zu identifizieren, deren Daten Gegenstand eines TC‑Strings sind. Damit würde grundsätzlich ein Mittel bestehen, um den TC-String, der für sich genommen kein personenbezogenes Datum für IAB darstellt, einer konkreten Person zuzuordnen. Ob allein die Hinzuziehung der IP-Adresse ausreicht, dass ein Personenbezug gegeben ist, erscheint fraglich, zudem die Identifizierung einer Person anhand einer IP-Adresse üblicherweise schon mit hohem Aufwand sowie rechtlichen Hürden verbunden ist.

Sollte IAB von dieser Verpflichtung in zukünftigen Verträgen Abstand nehmen, lässt sich vertreten, dass IAB über keine Mittel mehr verfügt, um den Personenbezug vorzunehmen. In diesem Fall würde kein Personenbezug bestehen und IAB wäre demnach auch nicht als Verantwortlicher einzustufen.

IV. Praxistipps

Insbesondere wenn der Appellationshof Brüssel zu der Auffassung gelangt, dass IAB einen Personenbezug herstellen kann, sind für Werbetreibende, die Mitglied in der Branchenorganisation von IAB sind, weitere Maßnahmen zu ergreifen. Diese können u.a. folgende Aspekte umfassen:  

  • Prüfung, in welchem Umfang Daten jeweils im Rahmen des TCF verarbeitet werden;
  • ggf. Anpassung der Datenschutzerklärung und des Cookie-Banners hinsichtlich der Erteilung einer Einwilligung – insbesondere unter Berücksichtigung der Maßstäbe nach Art. 7 DSGVO, welche Verantwortliche aufgrund der transparenten Darstellung vor hohe Herausforderungen stellt;
  • Kontaktaufnahme sowie Dokumentation ggü. IAB bezüglich der Vereinbarung nach Art. 26 DSGVO für den jeweils konkreten Fall;
  • laufende Beobachtung aktueller Stellungnahmen der Datenschutzaufsichtsbehörden;
  • Prüfung, ob diese EuGH-Grundsätze auf andere Anbieter digitaler Werbe-Ökosysteme übertragbar sind.

IAB hat in einer Pressemitteilung vom 07. März 2024 das Urteil des EuGH begrüßt, da es die dringend benötigte Klarheit über die Konzepte der personenbezogenen Daten und der (gemeinsamen) Verantwortlichkeit schaffe, was einen reibungslosen Abschluss der verbleibenden Gerichtsverfahren ermöglichen werde. Das IAB hat zudem ein erstes FAQ zu dem Urteil und seinen Folgen veröffentlicht. Unternehmen müssen zudem prüfen, ob die mittlerweile vorliegende Version 2.2 des IAB TCF den Vorgaben des EuGH entspricht.

EuGH, Urteil vom 07.03.2024 – Az. C-604/22

News
Aktuelle News
Newsroom
Arbeitsrechtsteam von Gleiss Lutz in München wechselt zu Seitz
24. April 2024
Deal News
Warenhauskonzern vor Eigentümerwechsel: Insolvenzverwalter überträgt GALERIA erfolgreic...
17. April 2024
Deal News
Post Merger Integration Apleona/Gegenbauer: Apleona führt mit Seitz erstmals einen Haus...
15. April 2024
E-Mail Tel
Footer Mood