Takea­ways (AI):
  • EuGH ent­schei­det, dass IAB Euro­pe und ihre Mit­glie­der gemein­sam ver­ant­wort­lich für die Nut­zer­prä­fe­ren­zen im TCF sind.
  • Der TC String ent­hält per­so­nen­ge­schütz­te Daten, auch wenn IAB Euro­pe kei­nen direk­ten Zugriff dar­auf hat.
  • Die gemein­sa­me Ver­ant­wort­lich­keit betrifft nicht auto­ma­tisch die Wei­ter­ver­ar­bei­tung durch Drit­te, wie Publisher oder Werbungspartner.

Der EuGH hat am 7. März 2024 das lang­erwar­te­te Urteil Rs. 604/22 in der Sache IAB Euro­pe gefällt. IAB Euro­pe ist ein Ver­band in Bel­gi­en, der die digi­ta­le Wer­be­indu­strie auf euro­päi­scher Ebe­ne ver­tritt. Mit­glie­der sind bei­spiels­wei­se Publisher (also die Unter­neh­men, die digi­ta­le Wer­be­plät­ze zur Ver­fü­gung stel­len) Mar­ke­ting­un­ter­neh­men und Ver­mitt­ler und natio­na­le Verbände.

Der EuGH beur­teilt IAB Euro­pe nicht ganz über­ra­schend als mit sei­nen Mit­glie­dern gemein­sam ver­ant­wort­lich für die Erhe­bung und Über­mitt­lung von Nut­zer­prä­fe­ren­zen über das TCF, das Trans­pa­ren­cy & Con­sent Frame­work, von IAB Euro­pe. Die­se Prä­fe­ren­zen sol­len auch für IAB Euro­pe ein Per­so­nen­da­tum sein, obwohl IAB Euro­pe selbst kei­ne Iden­ti­fi­zie­rung vor­neh­men kann.

In der Sache führt der EuGH damit aller­dings nicht die Sin­gu­la­ri­sie­rung ein – wenn sie das nicht schon ist –, son­dern erstreckt die Fol­ge einer nach­ge­la­ger­ten Iden­ti­fi­ka­ti­ons­mög­lich­keit in der Ver­ar­bei­tungs­ket­te auf vor­an­ge­hen­de Glie­der. Das Leben wird bei arbeits­tei­li­gen Daten­be­ar­bei­tun­gen dadurch sicher nicht leichter.

Die IAB hat dazu eine Medi­en­mit­tei­lung und ein Update zu ihren FAQ zum Ver­fah­ren veröffentlicht,

Das TCF

IAB Euro­pe hat das „Trans­pa­ren­cy & Con­sent Frame­work“ (TCF) ent­wickelt, einen stan­dar­di­sier­ten Rah­men zur Ein­hal­tung der Coo­kie-Richt­li­nie (und ggf. die zukünf­ti­ge ePri­va­cy-Ver­ord­nung) und derDSGVO zu bie­ten. Das TCF ist ein Weg, stan­dar­di­siert

  • Nut­zer über den Ein­satz von Coo­kies und ver­gleich­ba­ren Tech­no­lo­gien und die Bekannt­ga­be ihrer Daten in einer bestimm­ten Wei­se zu infor­mie­ren und
  • Ein­wil­li­gun­gen für bestimm­te Zwecke inner­halb des von der IAB bestimm­ten Uni­ver­sums und für die Bekannt­ga­be an bestimm­te Emp­fän­ger ein­zu­ho­len (oder bestimm­ten Bear­bei­tun­gen gestützt auf ein berech­tig­tes Inter­es­se zu widersprechen).

Jedes Unter­neh­men, das am TCF teil­nimmt, muss dazu ange­ben, wel­che Bear­bei­tun­gen es durch­füh­ren will und wel­che Rechts­grund­la­ge es dafür in Anspruch nimmt.

Für das vor­lie­gen­de Urteil beson­ders rele­vant ist, was anschlie­ssend geschieht: Über ein stan­dar­di­sier­tes Pro­to­koll wer­den kodiert im “TC String” – also einer nicht men­schen­les­ba­ren, mit­ge­lie­fer­ten Text-/Zah­len­fol­ge für jede Web­site oder App und jeden Nut­zer – Infor­ma­tio­nen zur Ein­wil­li­gung zwi­schen Web­sites, Adver­ti­sern und ihren Tech­no­lo­gie­part­nern über­tra­gen. Der String wird über ein Java Script oder ein Bild mit einer kodier­ten URL gene­riert und ent­hält Anga­ben über das letz­te Update, die am TCF teil­neh­men­den Unter­neh­men (“Glo­bal Ven­dor List”), die Ein­wil­li­gung des Nut­zers in die Bear­bei­tung sei­ner Daten (Zweck/Vendor), die berech­tig­ten Inter­es­sen, die der Ven­dor ange­ge­ben hat und ob der Nut­zer die­sen Zwecken wider­spro­chen hat, Infor­ma­tio­nen und ggf. Ein­wil­li­gun­gen der Publisher für die Daten­ver­wen­dung für ihre eige­nen Zwecke, der Staat des Publishers und gewis­se Anga­ben in die­sem Zusam­men­hang und wei­te­re Angaben.

Dadurch soll sicher­ge­stellt wer­den, dass alle Markt­teil­neh­mer die Ein­wil­li­gung oder ihr Feh­len respek­tie­ren, die Publisher, die Wer­be­trei­ben­den und Tech­no­lo­gie­an­bie­ter wie Demand-Side-Platt­for­men (DSPs) und Sell-Side-Plat­for­men (SSPs).

Hin­ter­grund und Vorlagefragen

Offen­bar gin­gen seit 2019 meh­re­re Beschwer­den gegen IAB Euro­pe ein. Die bel­gi­sche, feder­füh­ren­de Auf­sichts­be­hör­de ent­schied 2022, IAB Euro­pe sei ein Ver­ant­wort­li­cher in Bezug auf die Erfas­sung der Ein­wil­li­gung, der Wider­sprü­che und der Prä­fe­ren­zen der Nut­zer im TC String. Letz­te­rer sei einem iden­ti­fi­zier­ba­ren Nut­zer zuge­ord­net. Die Auf­sichts­be­hör­de stell­te Ver­stö­sse fest, u.a. das Feh­len einer Rechts­grund­la­ge für die Über­mitt­lung des String und einer ent­spre­chen­den Daten­schutz­er­klä­rung (nahe­lie­gen­der­wei­se, nach­dem IAB ja nicht vom Per­so­nen­be­zug des String aus­ging), und ver­häng­te eine Busse

Dage­gen leg­te IAB Euro­pe ein Rechts­mit­tel beim Appel­la­ti­ons­hof Brüs­sel ein – er sei kein Ver­ant­wort­li­cher und der TC String kein Per­so­nen­da­tum, letz­te­res weil nur die ande­ren Teil­neh­mer den String mit einer IP‑Adresse ver­knüp­fen und so in ein Per­so­nen­da­ten umwan­deln kön­nen. Der String selbst sei nicht nutzerspezifisch.

Der Appel­la­ti­ons­hof leg­te dem EuGH daher im Wesent­li­chen die Fra­ge vor, ob der TC String ein Per­so­nen­da­tum dar­stel­le, auch aus Sicht der IAB Euro­pe, und ob IAB Euro­pe ein Ver­ant­wort­li­cher sei.

Erwä­gun­gen des EuGH: “Per­so­nen­da­ten”

Der EuGH geht bei die­ser Fra­ge vom Wort­laut der DSGVO aus. Per­so­nen­da­ten sind

alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son beziehen“,

und iden­fi­zier­bar ist eine Person.

die direkt oder indi­rekt, ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie einem Namen, zu einer Kenn­num­mer, zu Stand­ort­da­ten, zu einer Online-Ken­nung oder zu einem oder meh­re­ren beson­de­ren Merk­ma­len, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät die­ser natür­li­chen Per­son sind, iden­ti­fi­ziert wer­den kann.

In der For­mu­lie­rung “alle Infor­ma­tio­nen” kom­me zum Aus­druck, dass der Begriff des Per­so­nen­da­tums weit aus­zu­le­gen ist. Es rei­che, wenn eine Information

auf­grund ihres Inhalts, ihres Zwecks oder ihrer Aus­wir­kun­gen mit einer iden­ti­fi­zier­ba­ren Per­son ver­knüpft ist.

Der EuGH bezieht sich dabei auf sein Urteil i.S. CRIF vom Mai 2023, sei­nen Pankki-Ent­scheid und den älte­ren Brey­er-Ent­scheid, und er hät­te auch noch die “Opi­ni­on 4/2007 on the con­cept of per­so­nal data” der dama­li­gen Artic­le 29 Working Par­ty anfüh­ren können:

  • Es genügt eine indi­rek­te Iden­ti­fi­zier­bar­keit durch “Her­an­zie­hung zusätz­li­cher Informationen”;
  • es ist nicht erfor­der­lich, dass sich alle die­se Zusatz­in­for­ma­tio­nen “in den Hän­den einer ein­zi­gen Per­son befinden”;
  • wes­halb ein Per­so­nen­da­tum auch alle Infor­ma­tio­nen über eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re Per­son eien, die aus einer Ver­ar­bei­tung von Per­so­nen­da­ten resultieren.

Aus die­sen doch eher knap­pen Hin­wei­sen schliesst der EuGH: Vor­lie­gend ent­hal­te der TC String die Prä­fe­ren­zen des Nut­zers, aber selbst wenn er kei­ne Ele­men­te ent­hiel­te, die eine direk­te Iden­ti­fi­zie­rung ermög­li­chen: Es reicht, dass er Prä­fe­ren­zen ent­hält, und anhand der Infor­ma­tio­nen im String

ein Pro­fil die­ses Nut­zers erstellt und tat­säch­lich genau die Per­son iden­ti­fi­ziert wer­den kann, auf die sich die­se Infor­ma­tio­nen beziehen.

Dabei genü­ge es, dass die Ver­bin­dung des Strings mit Daten der IP‑Adresse eine Iden­ti­fi­zie­rung ermög­licht. Dass IAB Euro­pe selbst eine sol­che Ver­bin­dung nicht vor­neh­men kann, ände­re dies nicht – das ist natür­lich der sprin­gen­de Punkt, aber hier geht der EuGH offen­bar davon aus, dass der String auf­grund sei­nes Zwecks mit einer Per­son ver­knüpft ist. – Zudem sei­en jeden­falls die Mit­glie­der von IAB Euro­pe ver­pflich­tet, auf Anfra­ge alle Infor­ma­tio­nen an IAB Euro­pe zu über­mit­teln, die eine Iden­ti­fi­ka­ti­on ermöglichen.

Man denkt hier an den Logi­step-Ent­scheid des Bun­des­ge­richts von 2010, in dem es die Anwend­bar­keit des DSG auf Per­so­nen erstreck­te, die selbst kei­ne Per­so­nen­da­ten bear­bei­ten, aber Infor­ma­tio­nen einem Drit­ten wei­ter­ge­ben, der die Iden­ti­fi­zie­rung vor­neh­men kann – dies­be­züg­lich wohl ein Fehl­ur­teil, das das Bun­des­ge­richt auch nicht ana­log zum EuGH mit dem Zweck oder den Aus­wir­kun­gen der Bear­bei­tung begrün­det hat­te, son­dern allein mit Rechtsfolgeüberlegungen.

Jeden­falls:

50 Folg­lich stellt ein TC‑String ein per­so­nen­be­zo­ge­nes Datum im Sin­ne von Art. 4 Nr. 1 DSGVO dar. Inso­weit ist es uner­heb­lich, dass eine sol­che Bran­chen­or­ga­ni­sa­ti­on ohne einen Bei­trag von außen, den sie ver­lan­gen kann, weder Zugang zu den Daten hat, die von ihren Mit­glie­dern im Rah­men der von ihr auf­ge­stell­ten Regeln ver­ar­bei­tet wer­den, noch den TC‑String mit ande­ren Ken­nun­gen, wie ins­be­son­de­re der IP‑Adresse des Geräts eines Nut­zers, kom­bi­nie­ren kann. […] Unter die­sen Umstän­den schließt der Umstand, dass eine Bran­chen­or­ga­ni­sa­ti­on, die im Besitz die­ser Zei­chen­fol­ge ist, ohne einen Bei­trag von außen weder Zugang zu den Daten hat, die von ihren Mit­glie­dern im Rah­men der von ihr auf­ge­stell­ten Regeln ver­ar­bei­tet wer­den, noch die­se Zei­chen­fol­ge mit ande­ren Ele­men­ten kom­bi­nie­ren kann, nicht aus, dass die­se Zei­chen­fol­ge ein per­so­nen­be­zo­ge­nes Datum im Sin­ne die­ser Bestim­mung darstellt.

Erwä­gun­gen des EuGH: Verantwortlicher

Der EuGH beginnt hier mit sei­ner Standardformulierung:

… dass das Ziel der DSGVO ins­be­son­de­re dar­in besteht, ein hohes Niveau des Schut­zes der Grund­rech­te und Grund­frei­hei­ten natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu gewährleisten […].

Man weiss also, was kommt:

  • Bei der gemein­sa­men Ver­ant­wor­tung muss jeder ein­zel­ne der Ver­ant­wort­li­chen für sich genom­men die Defi­ni­ti­on des “Ver­ant­wort­li­chen” erfül­len. Dabei ist ein Zugang zu den Per­so­nen­da­ten nicht erforderlich.
  • Wenn meh­re­re Ver­ant­wort­li­che zusam­men­wir­ken, müs­sen sich die Ent­schei­dun­gen jeweils auf die Zwecke und Mit­tel der Ver­ar­bei­tung aus­wir­ken.
  • Ver­ar­bei­tungs­zweck ist vor­lie­gend die Unter­stüt­zung bei der Ein­hal­tung der DSGVO. Das TCF soll damit den Han­del mit Wer­be­flä­chen im Inter­net för­dern. IAB Euro­pe habe damit aus einem Eigen­in­ter­es­se Ein­fluss auf die Ver­ar­bei­tung und lege die Zwecke gemein­sam mit sei­nen Mit­glie­dern fest.
  • Bei den Mit­teln sei das TCF ein Rah­men für die Mit­glie­der und gebe auch tech­ni­sche Spe­zi­fi­ka­tio­nen vor, die das Ein­ho­len der Ein­wil­li­gung und die Erhe­bung und Bear­bei­tung wei­te­rer Daten beein­flus­se. Es sei also davon aus­zu­ge­hen, dass IAB Euro­pe aus Eigen­in­ter­es­se auf die Ver­ar­bei­tung Ein­fluss neh­me und damit gemein­sam mit den Mit­glie­dern auch die Mit­tel festlege.

Folg­lich ist [IAB Euro­pe] gemäß der in Rn. 57 des vor­lie­gen­den Urteils ange­führ­ten Recht­spre­chung als „gemein­sam Ver­ant­wort­li­cher“ im Sin­ne von Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO anzusehen.

Aller­dings erstrecke sich die gemein­sa­me Ver­ant­wort­lich­keit nicht auto­ma­tisch auf die Wei­ter­ver­ar­bei­tung der Daten bspw. durch Publisher. Die­se Wei­ter­ver­ar­bei­tung erfol­ge anschei­nend ohne Betei­li­gung von IAB Europe.

Also:

Nach alle­dem ist auf die zwei­te Fra­ge zu ant­wor­ten, dass Art. 4 Nr. 7 und Art. 26 Abs. 1 Satz 1 DSGVO dahin aus­zu­le­gen sind, dass

  • zum einen eine Bran­chen­or­ga­ni­sa­ti­on, soweit sie ihren Mit­glie­dern einen von ihr auf­ge­stell­ten Rege­lungs­rah­men in Bezug auf die Ein­wil­li­gung im Bereich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten anbie­tet, der nicht nur ver­bind­li­che tech­ni­sche Vor­schrif­ten ent­hält, son­dern auch Vor­schrif­ten, die detail­liert fest­le­gen, wie per­so­nen­be­zo­ge­ne Daten, die die­se Ein­wil­li­gung betref­fen, gespei­chert und ver­brei­tet wer­den müs­sen, als „gemein­sam Ver­ant­wort­li­cher“ im Sin­ne die­ser Bestim­mun­gen ein­zu­stu­fen ist, wenn sie unter Berück­sich­ti­gung der beson­de­ren Umstän­de des vor­lie­gen­den Fal­les aus Eigen­in­ter­es­se auf die betref­fen­de Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten Ein­fluss nimmt und damit gemein­sam mit ihren Mit­glie­dern die Zwecke der und die Mit­tel zur betref­fen­den Ver­ar­bei­tung fest­legt. Der Umstand, dass eine sol­che Bran­chen­or­ga­ni­sa­ti­on selbst kei­nen unmit­tel­ba­ren Zugang zu den von ihren Mit­glie­dern inner­halb die­ses Rege­lungs­rah­mens ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten hat, schließt nicht aus, dass sie ein gemein­sam Ver­ant­wort­li­cher im Sin­ne die­ser Bestim­mun­gen sein kann;
  • zum ande­ren sich die etwa­ige gemein­sa­me Ver­ant­wort­lich­keit die­ser Bran­chen­or­ga­ni­sa­ti­on nicht auto­ma­tisch auf die Wei­ter­ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Drit­te, wie bei­spiels­wei­se Anbie­ter von Web­sites oder Anwen­dun­gen, erstreckt, was die Nut­zer­prä­fe­ren­zen für geziel­te Online-Wer­bung betrifft.

Wei­te­rer Verlauf

Der Appel­la­ti­ons­hof muss nun die­se Hin­wei­se des EuGH berück­sich­ti­gen und ent­schei­den, ob und für wel­che Ver­ar­bei­tun­gen die Vor­aus­set­zun­gen für die gemein­sa­me Ver­ant­wort­lich­keit effek­tiv vor­lie­gen und ob die Anfor­de­run­gen der DSGVO erfüllt sind. In recht­li­cher Hin­sicht darf er aber nicht von den Fest­stel­lun­gen des EuGH abwei­chen. Der EuGH hat indes­sen nicht fest­ge­stellt bzw. sich dazu geäu­ssert, ob die Ver­wen­dung des TCF wider­recht­lich sei.

IAB Euro­pe hat­te im Lauf des Ver­fah­rens einen Action Plan vor­ge­legt, wie den Beden­ken der Auf­sichts­be­hör­de Rech­nung zu tra­gen sei. Allen­falls wird der Action Plan nun wei­ter ver­folgt, klar ist dies der­zeit aber nicht.

AI-generierte Takeaways können falsch sein.