Der EuGH hat eine weitrechende Entscheidung für die Online-Werbebranche getroffen: Er entschied, dass sogenannte TC-Strings personenbezogene Daten verarbeiten und dass die Entwickler dementsprechend als Verantwortliche im Sinne der DSGVO gelten.
Jeder, der im digitalen Raum navigiert, stößt auf die allgegenwärtigen Cookie-Banner: Ein Klick ist erforderlich, um diesen aufdringlichen Hinweis zu entfernen. Die Optionen sind typischerweise „Zustimmen“ oder „Ablehnen“, und oft wird man zu einer weiteren Seite geleitet, auf der man detailliert auswählen kann, welche Daten auf welche Weise genutzt werden dürfen. Der Prozess dahinter bleibt jedoch vielen verborgen. Durch die Interaktion mit dem Banner entsteht ein sogenannter Transparency and Consent String (TC-String) , eine komplexe Abfolge aus Buchstaben und Zahlen. Diese Kennung ermöglicht es, den Nutzer zu identifizieren: seinen Aufenthaltsort, Alter, Online-Suchverhalten und kürzliche Einkäufe. Auf Basis dieser Informationen wird sodann Werbung auf Webseiten zielgerichtet und in Sekundenschnelle angepasst.
TC-Strings sind personenbezogene Daten
Der Europäische Gerichtshof (EuGH) hat sich nun mit dem Thema Datenverarbeitung zum Zweck personalisierter Werbung beschäftigt und ein höchst interessantes Urteil gesprochen. In seiner Entscheidung stellte der EuGH u.a. heraus, dass bei der Anwendung von sogenannten TC-Strings personenbezogene Daten verarbeitet werden und die Entwicklerin dieses Verfahrens gemäß der Datenschutzgrundverordnung (DSGVO) als Verantwortliche anzusehen sei (EuGH, Rechtssache C-604/22).
Sogenannte TC-Strings sind Kombinationen aus Buchstabend und Zahlen, in denen abgespeichert wird, welchen Nutzungen ihrer Daten die jeweiligen Nutzer zugestimmt haben und welche sie abgelehnt haben. Kommt ein solcher String zum Einsatz, wird zudem ein Cookie auf dem Gerät des Nutzers gespeichert, sodass der String und das Cookie der IP-Adresse des Nutzers zugeordnet werden können. Ein TCF-String wird u.a. jedes Mal versandt, wenn ein Cookie-Banner auf einem Bildschirm auftaucht oder ein Werbebanner geladen wird.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Der EuGH entschied nun, dass es sich bei diesen Strings um personenbezogene Daten im Sinne der DSGVO handelt. Anhand der in einem TC-String enthaltenen Informationen kann nämlich, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und die betreffende Person identifiziert werden.
Der Appelationshof Brüssel hatte dem EuGH die Frage zur Vorentscheidung vorgelegt. Hintergrund war eine Klage von IAB Europe, einem Verband mit Sitz in Belgien, der Unternehmen der digitalen Werbe- und Marketingbranche vertritt. IAB Europe hatte das sogenannte „Transparency and Consent Framework“ entwickelt, das Rahmenbedingungen schaffen soll, die die Personalisierung der Werbung mit der DSGVO in Einklang bringen. Das dazugehörige Tool für die Betreiber werbefinanzierter Website ist die sogenannte „Consent Management Platform“.
TC-Strings ermöglichen Erstellung von Nutzer-Profilen
Die belgische Datenschutzbehörde hatte in diesen Tools Programme zur Verarbeitung personenbezogener Daten gesehen und IAB Europe als Verantwortliche im Sinne der DSGVO ausgemacht. Weil die Behörde davon überzeugt war, dass IAB gegen Bestimmungen der DSGVO verstoßen habe, verhing sie ein Bußgeld gegen den Verband. Dies wollte IAB nicht auf sich sitzen lassen und legte Einspruch ein. Der Appelationshof Brüssel legte den Fall nun dem EuGH vor, um feststellen zu lassen, ob TC-Strings überhaupt als personenbezogene Daten gelten und ob IAB Europe als Verantwortliche betrachten werden könne.
Beides bestätigte der EuGH nun. TC-Strings seien personenbezogene Daten, weil aus ihnen ein individuell identifizierbares Profil erzeugt werden könne. Zudem sei die Entwicklerin IAB Verantwortliche im Sinne der DSGVO, weil sie bei der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String auf die Verarbeitungen personenbezogener Daten Einfluss nehme und gemeinsam mit ihren Mitgliedern sowohl die Zwecke dieser Verarbeitungen als auch die ihnen zugrunde liegenden Mittel festlege.
Dies sei aber nur der Fall, wenn sie nach Speicherung der Daten auch nachweislich weiterhin Einfluss auf die Weiterverarbeitung habe. Der Verantwortlichkeit setzte der EuGH damit also auch eine Grenze.
Noch ist der Rechtsstreit zwar nicht beendet. Die belgischen Gerichte müssen nun erst noch genauer prüfen, ob der Verband der Werbeindustrie wirklich verantwortlich ist. Doch auch wenn das Gerichtsverfahren noch nicht endgültig abgeschlossen ist, ist es naheliegend, dass es mit der bisherigen Erfassung der Internetnutzer so nicht weitergehen kann. Wie Werbung künftig weiterhin möglichst zielgenau platziert werden kann, ist damit erst einmal fraglich.
tke