Urteil : DS GVO-Konformität des IAB Frameworks : (EuGH, Urteil vom 7. März 2024 – C-604/22 –)
Relevanz für die Praxis
Werbeplätze im Internet werden regelmäßig im sog. Real Time Bidding (RTB)-Verfahren vergeben. Ruft ein Nutzer eine Website auf, erhalten Werbetreibende in Echtzeit die Möglichkeit, die auf dieser Website verfügbaren Werbeplätze für ihre Zwecke zu buchen. Die Verarbeitung personenbezogener Daten zu Werbezwecken erfordert nach der DS-GVO indes regelmäßig eine Einwilligung der betroffenen Person, die zudem jederzeit widerrufen werden kann. Damit alle Beteiligten im RTB-Verfahren Informationen über erteilte und widerrufene Einwilligungen zeitnah einsehen und ihre Handlungen anpassen können, hat das private belgische Interactive Advertising Bureau IAB einen Rahmen für die Erstellung von sog. TC-Strings (Transparency and Consent Strings) entwickelt. Durch die standardisierte Kombination von Buchstaben und Zahlen können Eingeweihte erkennen, für welche Zwecke eine Einwilligung des jeweiligen Nutzers in die Verarbeitung seiner personenbezogenen Daten vorliegt. So können Werbeunternehmen besser einschätzen, ob sich der Erwerb eines Werbeplatzes im RTB-Verfahren für ihre Kunden lohnt. Der EuGH hat im vorliegenden Urteil nunmehr entschieden, dass es sich bei dem TC-String seinerseits um ein personenbezogenes Datum handelt, wenn dieser mit vertretbarem Aufwand einer Kennung zugeordnet werden kann. Auf Nutzer des TC-Strings kommen damit Änderungen zu. Um eine datenschutzkonforme Anwendung sicherzustellen, wird IAB wohl entweder die Regeln zur Generierung des TC-Strings ändern müssen, um den Personenbezug aufzulösen, oder es wird eine Rechtsgrundlage für die Verarbeitung des Strings erforderlich sein.
- Art. 4 Nr. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC-String (Transparency and Consent String), die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Datenbroker und Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, soweit sie, wenn sie mit vertretbarem Aufwand einer Kennung wie insbesondere der IP-Adresse des Geräts dieses Nutzers zugeordnet werden kann, es erlaubt, die betreffende Person zu identifizieren. Unter diesen Umständen schließt der Umstand, dass eine Branchenorganisation, die im Besitz dieser Zeichenfolge ist, ohne einen Beitrag von außen weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch diese Zeichenfolge mit anderen Elementen kombinieren kann, nicht aus, dass diese Zeichenfolge ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt.
- Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass
– zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen ist, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsam Verantwortlicher im Sinne dieser Bestimmungen sein kann;
– zum anderen sich die gemeinsame Verantwortlichkeit dieser Branchenorganisation nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie bspw. Anbieter von Websites oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft.
Aus den Gründen:
Zur ersten Frage:
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 4 Nr. 1 der DS-GVO dahin auszulegen ist, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC-String, die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Broker solcher Daten und durch Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, wenn eine Branchenorganisation den Regelungsrahmen festgelegt hat, nach denen diese Zeichenfolge generiert, gespeichert oder verbreitet werden muss, und die Mitglieder einer solchen Organisation solche Regeln implementiert und somit Zugang zu dieser Zeichenfolge haben. Das vorlegende Gericht möchte ferner wissen, ob es für die Beantwortung dieser Frage erstens darauf ankommt, ob diese Zeichenfolge mit einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers verknüpft wird, so dass die betroffene Person identifiziert werden kann, und zweitens darauf, ob eine solche Branchenorganisation das Recht hat, unmittelbar auf die personenbezogenen Daten zuzugreifen, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden. […]
Hierzu ist festzustellen, dass Art. 4 Nr. 1 DS-GVO den Ausdruck „personenbezogene Daten“ definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, und klarstellt, dass „als identifizierbar … eine natürliche Person angesehen [wird], die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“. […]
Zur „Identifizierbarkeit“ einer Person geht aus dem Wortlaut von Art. 4 Nr. 1 DS-GVO hervor, dass nicht nur eine direkt identifizierbare, sondern auch eine indirekt identifizierbare Person als bestimmbar angesehen wird. […]
Daher erfasst der Begriff „personenbezogene Daten“ nicht nur die von dem Verantwortlichen erhobenen und gespeicherten Daten, sondern auch alle Informationen über eine identifizierte oder identifizierbare Person, die aus einer Verarbeitung personenbezogener Daten resultieren (Urt. v. 22.06.2023, Pankki S, C-579/21, EU:C:2023:501, Rn. 45).
Im vorliegenden Fall ist festzustellen, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC-String die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung von ihn betreffenden personenbezogenen Daten durch Dritte oder in Bezug auf seinen etwaigen Widerspruch gegen eine auf ein behauptetes berechtigtes Interesse im Sinne von Art. 6 Abs. 1 Buchst. f) der DS-GVO gestützte Verarbeitung solcher Daten enthält.
Aber auch wenn ein TC-String selbst keine Elemente enthielte, die eine direkte Identifizierung der betroffenen Person ermöglichen, würde dies nichts daran ändern, dass er zum einen die individuellen Präferenzen eines bestimmten Nutzers bezüglich seiner Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten enthält, d.h. Informationen, „die sich auf eine … natürliche Person … beziehen“, im Sinne von Art. 4 Nr. 1 DS-GVO.
Zum anderen steht auch fest, dass anhand der in einem TC-String enthaltenen Informationen, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts eines solchen Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und tatsächlich genau die Person identifiziert werden kann, auf die sich diese Informationen beziehen.
Soweit die Verknüpfung einer aus einer Kombination von Buchstaben und Zeichen bestehenden Zeichenfolge, wie des TC-Strings, mit zusätzlichen Daten, insbesondere der IP-Adresse des Geräts eines Nutzers oder anderen Kennungen, die Identifizierung dieses Nutzers ermöglicht, ist davon auszugehen, dass der TC-String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne von Art. 4 Abs. 1 DS-GVO darstellt, was durch den 30. ErwG der DS-GVO bestätigt wird, der sich ausdrücklich auf einen solchen Fall bezieht.
Der Umstand allein, dass IAB Europe den TC-String nicht selbst mit der IP-Adresse des Geräts eines Nutzers kombinieren kann und nicht über die Möglichkeit verfügt, unmittelbar auf die von seinen Mitgliedern im Rahmen des TCF verarbeiteten Daten zuzugreifen, vermag diese Auslegung nicht in Frage zu stellen. […]
Folglich stellt ein TC-String ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DS-GVO dar. Insoweit ist es unerheblich, dass eine solche Branchenorganisation ohne einen Beitrag von außen, den sie verlangen kann, weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch den TC-String mit anderen Kennungen, wie insbesondere der IP-Adresse des Geräts eines Nutzers, kombinieren kann. […]
Zur zweiten Frage:
Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 4 Nr. 7 DS-GVO dahin auszulegen ist, dass
– zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „Verantwortlicher“ im Sinne dieser Bestimmung einzustufen ist, und ob es für die Beantwortung dieser Frage darauf ankommt, dass eine solche Branchenorganisation selbst unmittelbaren Zugang zu den personenbezogenen Daten hat, die von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeitet werden;
– zum anderen sich die etwaige gemeinsame Verantwortlichkeit dieser Branchenorganisation automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie bspw. Anbieter von Websites oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft. […]
Nach alledem ist der erste Teil der zweiten Vorlagefrage dahin zu verstehen, dass damit geklärt werden soll, ob eine Branchenorganisation wie IAB Europe als gemeinsam Verantwortlicher im Sinne von Art. 4 Nr. 7 und Art. 26 Abs. 1 DS-GVO angesehen werden kann.
Zu diesem Zweck ist daher zu prüfen, ob sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die Verarbeitung personenbezogener Daten, wie des TC-Strings, Einfluss nimmt und gemeinsam mit anderen die Zwecke der und die Mittel zur fraglichen Verarbeitung festlegt.
Was erstens die Zwecke einer solchen Verarbeitung personenbezogener Daten betrifft, ergibt sich vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen aus den dem Gerichtshof vorliegenden Akten, dass das von IAB Europe eingerichtete TCF, wie in den Rn. 21 und 22 des vorliegenden Urteils ausgeführt, einen Regelungsrahmen darstellt, der sicherstellen soll, dass die Verarbeitung personenbezogener Daten eines Nutzers einer Website oder Anwendung durch bestimmte Wirtschaftsteilnehmer, die an der Online-Versteigerung von Werbeflächen teilnehmen, mit der DS-GVO in Einklang steht.
Unter diesen Umständen soll das TCF im Wesentlichen den Verkauf und den Kauf von Werbeflächen im Internet durch diese Wirtschaftsteilnehmer fördern und ermöglichen.
Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen kann daher davon ausgegangen werden, dass IAB Europe aus Eigeninteresse auf die im Ausgangsverfahren in Rede stehenden Verarbeitungen personenbezogener Daten Einfluss nimmt und damit gemeinsam mit seinen Mitgliedern die Zwecke solcher Vorgänge festlegt.
Was zweitens die für eine solche Verarbeitung personenbezogener Daten eingesetzten Mittel betrifft, ergibt sich vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen aus den dem Gerichtshof vorliegenden Akten, dass das TCF einen Regelungsrahmen darstellt, an den sich die Mitglieder von IAB Europe halten müssen, wenn sie diesem Verband beitreten. Insbesondere kann, wie von IAB Europe in der mündlichen Verhandlung vor dem Gerichtshof bestätigt worden ist, dieser Verband, wenn ein Mitglied die Regeln des TCF nicht einhält, gegenüber diesem Mitglied einen Beschluss erlassen, in dem die Nichteinhaltung festgestellt und eine Suspendierung ausgesprochen wird, und der dazu führen kann, dass dieses Mitglied vom TCF ausgeschlossen wird und sich somit nicht auf die Garantie der Einhaltung der DS-GVO berufen kann, die dieser Regelungsrahmen für die Verarbeitung personenbezogener Daten, die das betreffende Mitglied mittels TC-Strings durchführt, geben soll.
Außerdem enthält das von IAB Europe erstellte TCF aus praktischer Sicht, wie in Rn. 21 des vorliegenden Urteils ausgeführt, technische Spezifikationen für die Verarbeitung des TC-Strings. Insbesondere scheinen diese Spezifikationen genau zu beschreiben, wie die CMP die Präferenzen der Nutzer in Bezug auf die Verarbeitung der sie betreffenden personenbezogenen Daten sammeln müssen und wie solche Präferenzen verarbeitet werden müssen, um einen TC-String zu generieren. Außerdem werden auch genaue Regeln für den Inhalt des TC-Strings sowie dessen Speicherung und Austausch aufgestellt.
So geht aus dem Beschl. v. 02.02.2022 hervor, dass IAB Europe im Rahmen dieser Regeln u.a. die standardisierte Art und Weise vorschreibt, wie die verschiedenen am TCF beteiligten Parteien die in den TC-Strings enthaltenen Präferenzen, Einwände und Einwilligungen der Nutzer einsehen können.
Unter diesen Umständen und vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen ist davon auszugehen, dass eine Branchenorganisation wie IAB Europe aus Eigeninteresse auf die im Ausgangsverfahren in Rede stehenden Verarbeitungen personenbezogener Daten Einfluss nimmt und damit gemeinsam mit seinen Mitgliedern die Mittel festlegt, die diesen Vorgängen zugrunde liegen. Folglich ist sie gem. der in Rn. 57 des vorliegenden Urteils angeführten Rechtsprechung als „gemeinsam Verantwortlicher“ im Sinne von Art. 4 Nr. 7 und Art. 26 Abs. 1 DS-GVO anzusehen. […]
Zur Vertiefung
Schwartmann/Benedikt, OLG Köln: Rechtswidrige Übermittlung der IP-Adresse in die USA = RDV 1/2024
Schwartmann/Jaspers/Lepperhoff/Weiss, Anonymisieren personenbezogener Daten – Ein Schlüssel zum Tor der Freiheit der Datenverarbeitung = RDV 1/2023
Schwartmann/Mühlenbeck, Datenschutz durch Ermöglichungstechnik – Anonymität und Pseudonymität nach der DS-GVO im Kontext von Data Act-Entwurf und Data Governance Act = RDV 5/2022
[Urteil] Zum Personenbezug von IP-Adressen = RDV 6/2016
[Urteil] Kein Personenbezug bei fehlenden Mitteln des Datenempfängers zur Re-Identifizierung m. Anm. von Paul C. Johannes, LL.M. = RDV 4/2023