EuGH, Urt. 7.3.2024 - C-604/22
TC-String als personenbezogenes Datum
Autor: RA Dr. Niclas Kunczik, Köln
Aus: IT-Rechtsberater, Heft 05/2024
Aus: IT-Rechtsberater, Heft 05/2024
Eine Kombination aus Zahlen, Buchstaben und Zeichen, die die Einwilligung in die Verarbeitung personenbezogener Daten enthält, stellt ein personenbezogenes Datum dar, wenn sie einer Kennung wie der IP-Adresse zugeordnet werden kann.
DSGVO Art. 4 Nr. 1, Nr. 7, 26 Abs. 1
Hauptziel des TCF ist somit insbesondere die datenschutzrechtskonforme Erhebung von Einwilligung der Nutzer sowie die Sicherstellung der rechtskonformen Weitergabe der Informationen entlang der technologischen Kette der involvierten Marktteilnehmer (Feldmann in Redeker, Handbuch der IT Verträge, 2022, Kap. 3.8 Rz. 29). Technisch werden die Einwilligungen mittels sog. Consent Management-Plattformen (CMP) auf den Webseiten und Apps eingeholt und verwaltet. Hierbei speichert die CMP mittels des Transparency and Consent Strings (TC-String) den Umfang der vom jeweiligen Nutzer eingeholten Einwilligungen und Widersprüche. Hiervon betroffene Daten sind insb. der Standort des Nutzers, sein Alter, der Verlauf seiner Suchanfragen und die zuletzt getätigten Einkäufe, die für festgelegte Zwecke wie u.a. Marketing, Werbung bzw. den Austausch mit definierten Anbietern im TC-String erfasst werden. Der TC-String ist eine Kombination aus Buchstaben, Zahlen und Sonderzeichen. Die CMP speichert zudem zeitgleich einen Cookie auf dem Endgerät des Nutzers. Dieser Cookie kann gemeinsam mit dem TC-String der IP-Adresse des Endgeräts des Nutzers zugeordnet werden. Hierüber wird es allen beteiligten Marktteilnehmern technisch ermöglicht, im Rahmen des RTB Werbeflächen zu vermarkten und Nutzern personalisierte Werbung auszuspielen.
Die von Betroffenen angerufene belgische Datenschutzbehörde sah in der beschriebenen Datenverarbeitung die IAB als Verantwortliche für eine Verarbeitung von personenbezogenen Daten und verhängte u.a. eine Geldbuße. Da auch das Appellationsgericht Zweifel hegte, ob es sich bei dem TC-String um ein personenbezogenes Datum handelt und ob IAB im Rahmen des TCF als Verantwortliche anzusehen ist, legte das Gericht die Fragen dem EuGH zur Vorabentscheidung vor.
Personenbezogenes Datum: Zum ersten Fragenkomplex, ob es sich beim TC-String um ein personenbezogenes Datum handele, verweist der EuGH zunächst auf seine hierzu ergangene Rechtsprechung. Der Begriff der personenbezogenen Daten sei weit zu verstehen, so dass auch indirekt identifizierbare Personen als bestimmbar anzusehen seien. Hierbei sei nicht erforderlich, dass die Information für sich genommen die Identifizierung der betreffenden Person ermögliche oder sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzelnen Person befänden (unter Verweis auf EuGH v. 19.10.2016 – C-582/14 – Breyer, ITRB 2016, 267 [Kartheuser] = CR 2016, 791 m. Anm. Nink). Selbst wenn der TC-String als solcher keine Informationen enthalte, die eine direkte Identifizierung ermögliche, so könne durch die Zuordnung mittels einer Kennung wie der IP-Adresse ein Profil des Nutzers erstellt und dieser indirekt identifiziert werden. Daher sei – unter Verweis auf das in Erwgrd. 30 der DSGVO aufgeführte Beispiel der Onlinekennung „IP-Adresse“ – davon auszugehen, dass es sich um ein personenbezogenes Datum handle. Der Umstand, dass IAB den TC-String nicht mit der IP-Adresse des Nutzerendgerätes verknüpfen könne, ändere an der Auslegung des Gerichtshofs nicht. Zudem seien die IAB-Mitglieder vertraglich verpflichtet, Informationen zu übermitteln, die eine Nutzeridentifizierung ermöglichten. Das Appellationsgericht habe noch tatsächlich zu prüfen, ob IAB über Mittel verfüge, Informationen zu erhalten, die es ermöglichen, betroffene Personen zu identifizieren.
Datenschutzrechtlich Verantwortlichkeit: Auch bei der zweiten Vorlagefrage sei auf die bisherige Rechtsprechung zum Begriff des gemeinsam Verantwortlichen zu verweisen und gelte die weite Auslegung dieses Begriffs (unter Verweis auf EuGH v. 5.6.2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, ITRB 2018, 151 [Bergt] = CR 2018, 576 m. Anm. Brüggemann). Insoweit genüge ein Eigeninteresse eines Akteurs, der auf die Zwecke und Mittel der Datenverarbeitung Einfluss nehme, aus; es bedürfe grade keiner gleichwertigen Verantwortlichkeit (EuGH v. 10.7.2018 – C-25/17 – Zeugen Jehovas, ITRB 2019, 3 [Dovas]. Das Appellationsgericht habe zwar noch abschließend tatsächlich zu prüfen, ob IAB aus Eigeninteresse auf die Verarbeitung der personenbezogenen Daten Einfluss nehme. Dass das vorgegeben TCF den Zweck des Verkaufs und Kaufs von Werbeflächen allen IAB-Mitgliedern ermöglichen solle und IAB zudem Sanktionsmöglichkeiten gegenüber Mitgliedern habe, die sich nicht an das TCF hielten, spreche zudem für eine gemeinsame Verantwortlichkeit. Die gemeinsame Verantwortlichkeit der IAB erstrecke sich nicht auf die Weiterverarbeitung personenbezogenen Daten durch Dritte, da diese Verarbeitungen – vorbehaltlich der Prüfung durch das nationale Gericht – ohne Einfluss auf die Zwecke und Mittel durch IAB erfolge.
DSGVO Art. 4 Nr. 1, Nr. 7, 26 Abs. 1
Das Problem
Das Interactive Advertising Bureau Europe (IAB) mit Sitz in Brüssel ist ein international agierender Verband der Onlinewerbewirtschaft, der insb. Branchenstandards entwickelt (s. hierzu ausführlich Keppeler/Schneider, ITRB 2024, 71). Zu diesen Standards gehört das Transparent & Consent Framework (TCF), welches dazu dienen soll, die Einholung von Einwilligungen und die daran anschließende Ausspielung von personalisierter Werbung, vor allem im Rahmen des sog. Real Time Bidding (RTB), d.h. der sofortigen – in der Regel vollautomatisierten – Ansprache von Nutzern von Webseiten oder Apps mittels personalisierter Werbung, rechtskonform zu vereinheitlichen (s. hierzu Baumgartner/Hansch, ZD 2020, 435, sowie Herbrich/Niekrenz, CRi 2021, 129).Hauptziel des TCF ist somit insbesondere die datenschutzrechtskonforme Erhebung von Einwilligung der Nutzer sowie die Sicherstellung der rechtskonformen Weitergabe der Informationen entlang der technologischen Kette der involvierten Marktteilnehmer (Feldmann in Redeker, Handbuch der IT Verträge, 2022, Kap. 3.8 Rz. 29). Technisch werden die Einwilligungen mittels sog. Consent Management-Plattformen (CMP) auf den Webseiten und Apps eingeholt und verwaltet. Hierbei speichert die CMP mittels des Transparency and Consent Strings (TC-String) den Umfang der vom jeweiligen Nutzer eingeholten Einwilligungen und Widersprüche. Hiervon betroffene Daten sind insb. der Standort des Nutzers, sein Alter, der Verlauf seiner Suchanfragen und die zuletzt getätigten Einkäufe, die für festgelegte Zwecke wie u.a. Marketing, Werbung bzw. den Austausch mit definierten Anbietern im TC-String erfasst werden. Der TC-String ist eine Kombination aus Buchstaben, Zahlen und Sonderzeichen. Die CMP speichert zudem zeitgleich einen Cookie auf dem Endgerät des Nutzers. Dieser Cookie kann gemeinsam mit dem TC-String der IP-Adresse des Endgeräts des Nutzers zugeordnet werden. Hierüber wird es allen beteiligten Marktteilnehmern technisch ermöglicht, im Rahmen des RTB Werbeflächen zu vermarkten und Nutzern personalisierte Werbung auszuspielen.
Die von Betroffenen angerufene belgische Datenschutzbehörde sah in der beschriebenen Datenverarbeitung die IAB als Verantwortliche für eine Verarbeitung von personenbezogenen Daten und verhängte u.a. eine Geldbuße. Da auch das Appellationsgericht Zweifel hegte, ob es sich bei dem TC-String um ein personenbezogenes Datum handelt und ob IAB im Rahmen des TCF als Verantwortliche anzusehen ist, legte das Gericht die Fragen dem EuGH zur Vorabentscheidung vor.
Die Entscheidung des Gerichtshofs
Beide Fragen könnten zu bejahen sein.Personenbezogenes Datum: Zum ersten Fragenkomplex, ob es sich beim TC-String um ein personenbezogenes Datum handele, verweist der EuGH zunächst auf seine hierzu ergangene Rechtsprechung. Der Begriff der personenbezogenen Daten sei weit zu verstehen, so dass auch indirekt identifizierbare Personen als bestimmbar anzusehen seien. Hierbei sei nicht erforderlich, dass die Information für sich genommen die Identifizierung der betreffenden Person ermögliche oder sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzelnen Person befänden (unter Verweis auf EuGH v. 19.10.2016 – C-582/14 – Breyer, ITRB 2016, 267 [Kartheuser] = CR 2016, 791 m. Anm. Nink). Selbst wenn der TC-String als solcher keine Informationen enthalte, die eine direkte Identifizierung ermögliche, so könne durch die Zuordnung mittels einer Kennung wie der IP-Adresse ein Profil des Nutzers erstellt und dieser indirekt identifiziert werden. Daher sei – unter Verweis auf das in Erwgrd. 30 der DSGVO aufgeführte Beispiel der Onlinekennung „IP-Adresse“ – davon auszugehen, dass es sich um ein personenbezogenes Datum handle. Der Umstand, dass IAB den TC-String nicht mit der IP-Adresse des Nutzerendgerätes verknüpfen könne, ändere an der Auslegung des Gerichtshofs nicht. Zudem seien die IAB-Mitglieder vertraglich verpflichtet, Informationen zu übermitteln, die eine Nutzeridentifizierung ermöglichten. Das Appellationsgericht habe noch tatsächlich zu prüfen, ob IAB über Mittel verfüge, Informationen zu erhalten, die es ermöglichen, betroffene Personen zu identifizieren.
Datenschutzrechtlich Verantwortlichkeit: Auch bei der zweiten Vorlagefrage sei auf die bisherige Rechtsprechung zum Begriff des gemeinsam Verantwortlichen zu verweisen und gelte die weite Auslegung dieses Begriffs (unter Verweis auf EuGH v. 5.6.2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, ITRB 2018, 151 [Bergt] = CR 2018, 576 m. Anm. Brüggemann). Insoweit genüge ein Eigeninteresse eines Akteurs, der auf die Zwecke und Mittel der Datenverarbeitung Einfluss nehme, aus; es bedürfe grade keiner gleichwertigen Verantwortlichkeit (EuGH v. 10.7.2018 – C-25/17 – Zeugen Jehovas, ITRB 2019, 3 [Dovas]. Das Appellationsgericht habe zwar noch abschließend tatsächlich zu prüfen, ob IAB aus Eigeninteresse auf die Verarbeitung der personenbezogenen Daten Einfluss nehme. Dass das vorgegeben TCF den Zweck des Verkaufs und Kaufs von Werbeflächen allen IAB-Mitgliedern ermöglichen solle und IAB zudem Sanktionsmöglichkeiten gegenüber Mitgliedern habe, die sich nicht an das TCF hielten, spreche zudem für eine gemeinsame Verantwortlichkeit. Die gemeinsame Verantwortlichkeit der IAB erstrecke sich nicht auf die Weiterverarbeitung personenbezogenen Daten durch Dritte, da diese Verarbeitungen – vorbehaltlich der Prüfung durch das nationale Gericht – ohne Einfluss auf die Zwecke und Mittel durch IAB erfolge.