Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 07.03.2024 (Az. C-604/22) eine entscheidende Komponente des Systems zur Einwilligung der Nutzern in Echtzeit-Auktionen für Werbeplätze ("Real Time Bidding") - den "TC-String" zur Übermittlung der Einwilligung - als personenbezogenes Datum eingestuft.
Diese Entscheidung könnte erhebliche Auswirkungen auf die Branche haben.
Wenn jemand eine Website oder App mit Werbeflächen besucht, bieten Firmen, Vermittler und Werbeplattformen im Hintergrund in Echtzeit auf den Erwerb der Werbefläche. Sie erwerben dann die Werbefläche, um darauf maßgeschneiderte Anzeigen für das Benutzerprofil zu zeigen (Real Time Bidding).
Bevor solche zielgerichteten Anzeigen angezeigt werden können, muss der Nutzer seine Zustimmung zur Erhebung und Verarbeitung seiner Daten (beispielsweise Standort, Alter und Such- sowie Kaufhistorie) geben. Die Daten können z.B. für Marketing- oder Werbezwecke verwendet oder mit bestimmten Anbietern geteilt werden. Der Nutzer hat die Möglichkeit, die Einwilligung zur Erhebung und Verarbeitung abzulehnen.
Die IAB Europe ist ein gemeinnütziger Verband mit Sitz in Belgien. Sie vertritt Unternehmen im digitalen Werbe- und Marketingsektor auf europäischer Ebene. IAB Europe hat eine Lösung erarbeitet, um dieses Auktionsverfahren mit der DSGVO in Einklang zu bringen. Die Präferenzen der Benutzer werden in einem String codiert und gespeichert. Der String enthält eine Kombination von Buchstaben und Zeichen e und wird als "Transparenz- und Einwilligungs-String" (TC-String) bezeichnet wird. Dieser wird mit Datenmaklern und Werbeplattformen geteilt. Dadurch wissen sie, wozu der Benutzer zugestimmt oder widersprochen hat. Ein Cookie wird ebenfalls auf dem Gerät des Benutzers platziert. Durch die Kombination des TC-Strings und des Cookies können diese mit der IP-Adresse des Nutzers verknüpft werden.
Im Jahr 2022 entschied die Belgische Datenschutzbehörde, dass der TC-String personenbezogene Daten im Sinne der DSGVO darstellt. Sie stellte außerdem fest, dass IAB Europe als Datenverantwortlicher gehandelt hat, ohne den Anforderungen der DSGVO vollständig nachzukommen. Diese Behörde verhängte mehrere Korrekturmaßnahmen sowie eine Verwaltungsstrafe. Die IAB Europe hat gegen diese Entscheidung Klage bei dem zuständigen belgischen Gericht erhoben. Das belgische Gericht hat diese Fragen zur Vorabentscheidung an den Europäischen Gerichtshof verwiesen.
Das Urteil des Gerichtshofs bestätigt, dass der TC-String personenbezogene Daten im Sinne der DSGVO darstellt, da er Informationen über einen identifizierbaren Benutzer enthält. Wenn die Informationen in einem TC-String mit einem Identifikator wie der IP-Adresse des Geräts des Benutzers verknüpft sind, kann dies die Erstellung eines Benutzerprofils und seine Identifizierung ermöglichen.
Der wohl entscheidende Abschnitt des Urteilsbesagt, dass die IAB Europe gemäß der DSGVO als "gemeinsam Verantwortlicher" anzusehen ist. Es scheint, dass der Verband Einfluss auf die Datenverarbeitungsvorgänge ausübt, wenn die Zustimmungspräferenzen der Benutzer in einem TC-String erfasst werden und gemeinsam mit seinen Mitgliedern sowohl die Zwecke als auch die Mittel dieser Vorgänge bestimmt werden. Ungeachtet etwaiger zivilrechtlicher Haftung nach nationalem Recht kann IAB Europe jedoch nicht als Verantwortlicher im Sinne der DSGVO für Datenverarbeitungsvorgänge angesehen werden, die nach der Erfassung der Zustimmungspräferenzen der Benutzer in einem TC-String stattfinden. Es sei denn, es kann nachgewiesen werden, dass dieser Verband Einfluss auf die Festlegung der Zwecke und Mittel dieser nachfolgenden Vorgänge ausgeübt hat.
Das Urteil des Europäischen Gerichtshofs in der Rechtssache C-604/22 klärt wichtige Fragen bezüglich der Versteigerung von personenbezogenen Daten für Werbezwecke. Insbesondere wird der TC-String als personenbezogenes Datum eingestuft und IAB Europe als "gemeinsam Verantwortlicher" zugeordnet. Dies unterstreicht die Bedeutung der Einhaltung der Datenschutzbestimmungen in der digitalen Werbebranche. Unternehmen sollten ihre Praktiken überprüfen. Außerdem sollten Sie sicherstellen, dass sie die notwendige Zustimmung der Nutzer gemäß der DSGVO erhalten, um den rechtlichen Anforderungen zu entsprechen. Die IAB wird voraussichtlich erneut an ihrem Branchenstandard arbeiten, um diesen wieder rechtskonform zu gestalten.
Autor: Diplomjurist Benjamin Schmidt - externer Datenschutzbeauftragter (TÜV)
Bildquelle: Foto von von René auf Pixabay