- EuGH entscheidet, dass IAB Europe und ihre Mitglieder gemeinsam verantwortlich für die Nutzerpräferenzen im TCF sind.
- Der TC String enthält personengeschützte Daten, auch wenn IAB Europe keinen direkten Zugriff darauf hat.
- Die gemeinsame Verantwortlichkeit betrifft nicht automatisch die Weiterverarbeitung durch Dritte, wie Publisher oder Werbungspartner.
Der EuGH hat am 7. März 2024 das langerwartete Urteil Rs. 604/22 in der Sache IAB Europe gefällt. IAB Europe ist ein Verband in Belgien, der die digitale Werbeindustrie auf europäischer Ebene vertritt. Mitglieder sind beispielsweise Publisher (also die Unternehmen, die digitale Werbeplätze zur Verfügung stellen) Marketingunternehmen und Vermittler und nationale Verbände.
Der EuGH beurteilt IAB Europe nicht ganz überraschend als mit seinen Mitgliedern gemeinsam verantwortlich für die Erhebung und Übermittlung von Nutzerpräferenzen über das TCF, das Transparency & Consent Framework, von IAB Europe. Diese Präferenzen sollen auch für IAB Europe ein Personendatum sein, obwohl IAB Europe selbst keine Identifizierung vornehmen kann.
In der Sache führt der EuGH damit allerdings nicht die Singularisierung ein – wenn sie das nicht schon ist –, sondern erstreckt die Folge einer nachgelagerten Identifikationsmöglichkeit in der Verarbeitungskette auf vorangehende Glieder. Das Leben wird bei arbeitsteiligen Datenbearbeitungen dadurch sicher nicht leichter.
Die IAB hat dazu eine Medienmitteilung und ein Update zu ihren FAQ zum Verfahren veröffentlicht,
Inhalt
ToggleDas TCF
IAB Europe hat das „Transparency & Consent Framework“ (TCF) entwickelt, einen standardisierten Rahmen zur Einhaltung der Cookie-Richtlinie (und ggf. die zukünftige ePrivacy-Verordnung) und derDSGVO zu bieten. Das TCF ist ein Weg, standardisiert
- Nutzer über den Einsatz von Cookies und vergleichbaren Technologien und die Bekanntgabe ihrer Daten in einer bestimmten Weise zu informieren und
- Einwilligungen für bestimmte Zwecke innerhalb des von der IAB bestimmten Universums und für die Bekanntgabe an bestimmte Empfänger einzuholen (oder bestimmten Bearbeitungen gestützt auf ein berechtigtes Interesse zu widersprechen).
Jedes Unternehmen, das am TCF teilnimmt, muss dazu angeben, welche Bearbeitungen es durchführen will und welche Rechtsgrundlage es dafür in Anspruch nimmt.
Für das vorliegende Urteil besonders relevant ist, was anschliessend geschieht: Über ein standardisiertes Protokoll werden kodiert im “TC String” – also einer nicht menschenlesbaren, mitgelieferten Text-/Zahlenfolge für jede Website oder App und jeden Nutzer – Informationen zur Einwilligung zwischen Websites, Advertisern und ihren Technologiepartnern übertragen. Der String wird über ein Java Script oder ein Bild mit einer kodierten URL generiert und enthält Angaben über das letzte Update, die am TCF teilnehmenden Unternehmen (“Global Vendor List”), die Einwilligung des Nutzers in die Bearbeitung seiner Daten (Zweck/Vendor), die berechtigten Interessen, die der Vendor angegeben hat und ob der Nutzer diesen Zwecken widersprochen hat, Informationen und ggf. Einwilligungen der Publisher für die Datenverwendung für ihre eigenen Zwecke, der Staat des Publishers und gewisse Angaben in diesem Zusammenhang und weitere Angaben.
Dadurch soll sichergestellt werden, dass alle Marktteilnehmer die Einwilligung oder ihr Fehlen respektieren, die Publisher, die Werbetreibenden und Technologieanbieter wie Demand-Side-Plattformen (DSPs) und Sell-Side-Platformen (SSPs).
Hintergrund und Vorlagefragen
Offenbar gingen seit 2019 mehrere Beschwerden gegen IAB Europe ein. Die belgische, federführende Aufsichtsbehörde entschied 2022, IAB Europe sei ein Verantwortlicher in Bezug auf die Erfassung der Einwilligung, der Widersprüche und der Präferenzen der Nutzer im TC String. Letzterer sei einem identifizierbaren Nutzer zugeordnet. Die Aufsichtsbehörde stellte Verstösse fest, u.a. das Fehlen einer Rechtsgrundlage für die Übermittlung des String und einer entsprechenden Datenschutzerklärung (naheliegenderweise, nachdem IAB ja nicht vom Personenbezug des String ausging), und verhängte eine Busse
Dagegen legte IAB Europe ein Rechtsmittel beim Appellationshof Brüssel ein – er sei kein Verantwortlicher und der TC String kein Personendatum, letzteres weil nur die anderen Teilnehmer den String mit einer IP‑Adresse verknüpfen und so in ein Personendaten umwandeln können. Der String selbst sei nicht nutzerspezifisch.
Der Appellationshof legte dem EuGH daher im Wesentlichen die Frage vor, ob der TC String ein Personendatum darstelle, auch aus Sicht der IAB Europe, und ob IAB Europe ein Verantwortlicher sei.
Erwägungen des EuGH: “Personendaten”
Der EuGH geht bei dieser Frage vom Wortlaut der DSGVO aus. Personendaten sind
alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“,
und idenfizierbar ist eine Person.
die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
In der Formulierung “alle Informationen” komme zum Ausdruck, dass der Begriff des Personendatums weit auszulegen ist. Es reiche, wenn eine Information
aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist.
Der EuGH bezieht sich dabei auf sein Urteil i.S. CRIF vom Mai 2023, seinen Pankki-Entscheid und den älteren Breyer-Entscheid, und er hätte auch noch die “Opinion 4/2007 on the concept of personal data” der damaligen Article 29 Working Party anführen können:
- Es genügt eine indirekte Identifizierbarkeit durch “Heranziehung zusätzlicher Informationen”;
- es ist nicht erforderlich, dass sich alle diese Zusatzinformationen “in den Händen einer einzigen Person befinden”;
- weshalb ein Personendatum auch alle Informationen über eine identifizierte oder identifizierbare Person eien, die aus einer Verarbeitung von Personendaten resultieren.
Aus diesen doch eher knappen Hinweisen schliesst der EuGH: Vorliegend enthalte der TC String die Präferenzen des Nutzers, aber selbst wenn er keine Elemente enthielte, die eine direkte Identifizierung ermöglichen: Es reicht, dass er Präferenzen enthält, und anhand der Informationen im String
ein Profil dieses Nutzers erstellt und tatsächlich genau die Person identifiziert werden kann, auf die sich diese Informationen beziehen.
Dabei genüge es, dass die Verbindung des Strings mit Daten der IP‑Adresse eine Identifizierung ermöglicht. Dass IAB Europe selbst eine solche Verbindung nicht vornehmen kann, ändere dies nicht – das ist natürlich der springende Punkt, aber hier geht der EuGH offenbar davon aus, dass der String aufgrund seines Zwecks mit einer Person verknüpft ist. – Zudem seien jedenfalls die Mitglieder von IAB Europe verpflichtet, auf Anfrage alle Informationen an IAB Europe zu übermitteln, die eine Identifikation ermöglichen.
Man denkt hier an den Logistep-Entscheid des Bundesgerichts von 2010, in dem es die Anwendbarkeit des DSG auf Personen erstreckte, die selbst keine Personendaten bearbeiten, aber Informationen einem Dritten weitergeben, der die Identifizierung vornehmen kann – diesbezüglich wohl ein Fehlurteil, das das Bundesgericht auch nicht analog zum EuGH mit dem Zweck oder den Auswirkungen der Bearbeitung begründet hatte, sondern allein mit Rechtsfolgeüberlegungen.
Jedenfalls:
50 Folglich stellt ein TC‑String ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO dar. Insoweit ist es unerheblich, dass eine solche Branchenorganisation ohne einen Beitrag von außen, den sie verlangen kann, weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch den TC‑String mit anderen Kennungen, wie insbesondere der IP‑Adresse des Geräts eines Nutzers, kombinieren kann. […] Unter diesen Umständen schließt der Umstand, dass eine Branchenorganisation, die im Besitz dieser Zeichenfolge ist, ohne einen Beitrag von außen weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch diese Zeichenfolge mit anderen Elementen kombinieren kann, nicht aus, dass diese Zeichenfolge ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt.
Erwägungen des EuGH: Verantwortlicher
Der EuGH beginnt hier mit seiner Standardformulierung:
… dass das Ziel der DSGVO insbesondere darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten […].
Man weiss also, was kommt:
- Bei der gemeinsamen Verantwortung muss jeder einzelne der Verantwortlichen für sich genommen die Definition des “Verantwortlichen” erfüllen. Dabei ist ein Zugang zu den Personendaten nicht erforderlich.
- Wenn mehrere Verantwortliche zusammenwirken, müssen sich die Entscheidungen jeweils auf die Zwecke und Mittel der Verarbeitung auswirken.
- Verarbeitungszweck ist vorliegend die Unterstützung bei der Einhaltung der DSGVO. Das TCF soll damit den Handel mit Werbeflächen im Internet fördern. IAB Europe habe damit aus einem Eigeninteresse Einfluss auf die Verarbeitung und lege die Zwecke gemeinsam mit seinen Mitgliedern fest.
- Bei den Mitteln sei das TCF ein Rahmen für die Mitglieder und gebe auch technische Spezifikationen vor, die das Einholen der Einwilligung und die Erhebung und Bearbeitung weiterer Daten beeinflusse. Es sei also davon auszugehen, dass IAB Europe aus Eigeninteresse auf die Verarbeitung Einfluss nehme und damit gemeinsam mit den Mitgliedern auch die Mittel festlege.
Folglich ist [IAB Europe] gemäß der in Rn. 57 des vorliegenden Urteils angeführten Rechtsprechung als „gemeinsam Verantwortlicher“ im Sinne von Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO anzusehen.
Allerdings erstrecke sich die gemeinsame Verantwortlichkeit nicht automatisch auf die Weiterverarbeitung der Daten bspw. durch Publisher. Diese Weiterverarbeitung erfolge anscheinend ohne Beteiligung von IAB Europe.
Also:
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 4 Nr. 7 und Art. 26 Abs. 1 Satz 1 DSGVO dahin auszulegen sind, dass
- zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen ist, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsam Verantwortlicher im Sinne dieser Bestimmungen sein kann;
- zum anderen sich die etwaige gemeinsame Verantwortlichkeit dieser Branchenorganisation nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie beispielsweise Anbieter von Websites oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft.
Weiterer Verlauf
Der Appellationshof muss nun diese Hinweise des EuGH berücksichtigen und entscheiden, ob und für welche Verarbeitungen die Voraussetzungen für die gemeinsame Verantwortlichkeit effektiv vorliegen und ob die Anforderungen der DSGVO erfüllt sind. In rechtlicher Hinsicht darf er aber nicht von den Feststellungen des EuGH abweichen. Der EuGH hat indessen nicht festgestellt bzw. sich dazu geäussert, ob die Verwendung des TCF widerrechtlich sei.
IAB Europe hatte im Lauf des Verfahrens einen Action Plan vorgelegt, wie den Bedenken der Aufsichtsbehörde Rechnung zu tragen sei. Allenfalls wird der Action Plan nun weiter verfolgt, klar ist dies derzeit aber nicht.