Der EuGH hat am 7. März 2024 im Vorabentscheidungsverfahren zum „Transparency and Consent Framework“ (TCF) des Interactive Advertising Bureau (IAB) Europe entschieden. Das Urteil bringt Konsequenzen für die Welt der Online-Werbeindustrie mit sich. So hat der EuGH den TC-String als personenbezogenes Datum eingestuft und sieht das IAB Europe und seine Mitglieder als gemeinsame Verantwortliche hinsichtlich im Rahmen des im TCF erstellten TC-Strings.
Der Inhalt im Überblick
Was ist das IAB?
Das Interactive Advertising Bureau (IAB) Europe ist ein Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien. Er vertritt auf europäischer Ebene Unternehmen der digitalen Werbe- und Marketingindustrie. Seine Mitglieder sind insbesondere Medien- und Technologieunternehmen, die sich auf den Verkauf und die Bereitstellung von Werbekampagnen spezialisiert haben.
Heutzutage ist es für den Erfolg eines Unternehmens immens wichtig, sich selbst, seine Produkte oder Dienstleistungen im Internet zu bewerben. Dabei geht es nicht darum, irgendeinen Werbeplatz zu erhalten, sondern darum, an die richtige Zielgruppe zu gelangen und speziell auf den Nutzer abgestimmte Werbung zu präsentieren.
Auf fast jeder Website oder Anwendung gibt es heutzutage Werbeplätze zu kaufen. Wenn ein Nutzer eine Website oder eine Anwendung aufruft können diese Werbeplätze im sog. Real Time Bidding (RTB)-Verfahren gebucht werden. Dafür gibt es spezialisierte Werbeunternehmen, Datenbroker und Werbeplattformen, die anonym und in Echtzeit Gebote im Auftrag von Werbetreibenden abgeben, um den Zuschlag für einen solchen Werbeplatz zu erhalten, auf dem dann speziell auf den Nutzer abgestimmte Werbung anzeigt werden kann.
Was ist das TCF und wofür wird es genutzt?
Woher wissen die Datenbroker und Werbeplattformen im Rahmen des RTB nun aber, ob der Werbeplatz für diese Zielgruppe geeignet ist und welche Vorlieben der spezielle Nutzer hat, um ihm entsprechend die richtige Werbung auszuspielen? Und wie lässt sich das mit dem Datenschutz vereinbaren?
Wollen Unternehmen, die für den Verkauf und die Bereitstellung von Werbekampagnen verantwortlich sind, personenbezogenen Daten für Marketing- oder Werbezwecke erheben oder verarbeiten oder diese Daten mit bestimmten Anbietern austauschen, so benötigen sie nach der Datenschutz-Grundverordnung eine vorherige Einwilligung des Nutzers. Der Nutzer kann der Erhebung und Verarbeitung aber auch widersprechen.
Das IAB Europe hat ein Rahmenwerk zum Einsammeln von solchen Einwilligungen entwickelt, das „Transparency and Consent Framework“ (TCF). Damit wollte das IAB Europe eine Lösung anbieten, das Real Time Bidding mit der DSGVO in Einklang zu bringen.
Das TCF bietet einen Standard für die Abfrage und Übermittlung von Nutzereinwilligung zwischen Werbeunternehmen, Datenbrokern und Werbeplattformen. Es wurden Regeln festgelegt, wie die Mitglieder des IAB Nutzerpräferenzen aus einer Kombination von Buchstaben und Zeichen zu einem bestehenden String kodieren sollen, welcher dann als „Transparency and Consent String“ (TC-String) gespeichert wird. Dieser TC-String kann dann mit Brokern für personenbezogene Daten und Werbeplattformen geteilt werden, damit diese wissen, in welche Datenverarbeitung der Nutzer eingewilligt hat oder auch, ob er widersprochen hat. Dieser TC-String kann nur über eine vom IAB zertifizierte Consent Management Platform (CMP) generiert werden.
Ist das IAB Framework DSGVO-konform?
Bei der Einholung der Einwilligungspräferenzen wird auch ein Cookie auf dem Endgerät des Nutzers gespeichert. Werden der TC-String und das Cookie der IP-Adresse des Nutzers zugeordnet, kann dieser identifiziert werden. Darin sah die belgische Datenschutzbehörde (Autorité de protection de données) einen Verstoß gegen die DSGVO.
Im Februar 2022 wurde daher das Festlegen und Speichern dieses TC-Strings von der belgischen Datenschutzbehörde für rechtswidrig erklärt.
IAB Europe wurde damals als Verantwortliche dazu verpflichtet, die mit Hilfe der CMP gesammelten personenbezogenen Daten zu löschen und die weitere Verarbeitung personenbezogener Daten im Rahmen des TCF mit den Bestimmungen der DSGVO in Einklang zu bringen.
Gegen diesen Beschluss legte das IAB Europe Rechtsmittel beim Hof van beroep te Brussel (Appellationshof Brüssel, Belgien) ein.
Der Appellationshof Brüssel war sich unsicher in der EU-konformen Auslegung und wandte sich daraufhin an den Europäischen Gerichtshof (EuGH), um im Wege einer Vorabentscheidung die Fragen zu klären, ob ein TC‑String – gegebenenfalls in Kombination mit einer IP‑Adresse – ein personenbezogenes Datum darstellen kann und ob IAB Europe in Bezug auf das TCF als Verantwortlicher anzusehen sei.
TC-String als personenbezogenes Datum im Sinne des Art. 4 Nr. 1 DSGVO
Der Gerichtshof stellt in seiner Entscheidung (C‑604/22) fest, der TC-String, der nach Vorgaben des IAB Europe generiert wird, ist ein personenbezogenes Datum.
„Personenbezogene Daten“ nach dem Art. 4 Nr. 1 DSGVO, sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
In der Begründung führt er aus, dass Art. 4 Nr. 1 DSGVO dahin auszulegen sei,
„dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC‑String, die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Datenbroker und Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt“.
Dies gelte jedenfalls insoweit, als es mit vertretbarem Aufwand und in Verbindung mit einer Kennung wie insbesondere der IP‑Adresse möglich ist, eine Zuordnung zum Endgerät eines Nutzers herzustellen, um die betreffende Person zu identifizieren.
Auch der Umstand, dass IAB Europe selbst nicht direkt über die Möglichkeit verfügt den TC‑String mit der IP‑Adresse des Geräts eines Nutzers zu kombinieren, soll der Einstufung eines TC‑Strings als „personenbezogenes Datum“ nicht entgegenstehen. Sowohl die Mitglieder von IAB Europe als auch andere am TCF teilnehmende Organisationen sind verpflichtet, IAB Europe auf Anfrage alle entsprechenden Informationen zu übermitteln, darunter auch die Daten, die Gegenstand eines TC‑Strings sind. Darin sieht der EuGH den Umstand gegeben, dass der IAB über Mittel verfügt, welche es ihm nach allgemeinem Ermessen ermöglichen, eine bestimmte natürliche Person anhand dieser übermittelten Informationen zu identifizieren.
IAB Europe als „gemeinsam Verantwortlicher“ im Sinne der DSGVO anzusehen
Hinsichtlich der Frage, ob IAB Europe im Rahmen des TCF als Verantwortlicher anzusehen sei, sieht der EuGH jedenfalls eine gemeinsame Verantwortlichkeit zwischen dem IAB Europe und dessen Mitgliedern.
Nach dem Art. 26 Abs. 1 S. 1 DSGVO lautet die Definition für gemeinsame Verantwortlichkeit:
„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“
Die gemeinsame Festlegung hinsichtlich des Zweckes der Verarbeitung sieht der EuGH im TCF. Dieses ist im Wesentlichen auf die Förderung und Ermöglichung von Kauf und Verkauf von Werbeflächen im Internet durch dem IAB beigetretene Wirtschaftsteilnehmer ausgelegt.
Entsprechend der dem Gerichtshof vorgelegten Akten würde das TCF einen Regelungsrahmen darstellen, an dessen Vorgaben sich die Mitglieder von IAB Europe verbindlich zu halten hätten, wenn sie dem Verband beitreten wollen. Bei Nichteinhaltung der Regeln des TCF hat IAB Europe die Möglichkeit eine Suspendierung auszusprechen, welche dazu führen kann, dass das Mitglied vom TCF ausgeschlossen wird. Damit nimmt IAB Europe aus Sicht des EuGHs aus Eigeninteresse Einfluss auf die im Rahmen des TC-Strings vorgenommene Verarbeitungen personenbezogener Daten und legt damit „gemeinsam mit seinen Mitgliedern die Zwecke solcher Vorgänge“ fest.
Welche Konsequenzen folgen nun für IAB Europe und dessen Mitglieder?
Für Unternehmen, die das TCF nutzen, wird das Urteil sicher Änderungen bereithalten. Ob es dabei um Änderungen in der Einholung der Einwilligung über das CMP oder die Generierung des TC-Strings selbst geht, bleibt zunächst offen. IAB Europe selbst hat die EuGH-Entscheidung begrüßt und eine zeitnahe Stellungnahme angekündigt.
Sollte das vorlegende belgische Gericht die Sichtweise des EuGH im Hinblick auf die gemeinsame Verantwortlichkeit bestätigen, so hätte dies für IAB Europe und seine Mitglieder zur Folge, dass sie gemäß Art. 26 Abs. 1 S. 2 DSGVO Vereinbarungen hinsichtlich ihrer gemeinsamen Verantwortlichkeit abschließen müssten. In dieser Vereinbarung ist unter anderem eine Aufgabenbeschreibung vorzunehmen mit Abgrenzung, welcher Verantwortliche welche Aufgaben übernimmt.
Ich halte schon die Einwilligung über die CMP für rechtswidrig, weil kein normaler Mensch verstehen kann, was da passiert. Wenn man alles ausklappt kommen manchmal 80 DIN A4-Seiten Text zusammen. Und von den einzelnen „Purposes“ ganz zu schweigen.