EuGH: TCF ist nicht DSGVO konform

Die IAB Europe ist ein Verband aus Unternehmen der digitalen Werbung und Marketingindustrie. Dieser bietet seinen Mitgliedern ein datenschutzrechtliches Einwilligungsmanagement an., das Transparency and Consent Framework (TCF). Ziel ist es, dass Nutzer sich einmal entscheiden, für welche Werbung und welche Werbenetzwerken  die persönlichen Präferenzen für die Ausspielung von individualisierter Werbung zugestimmt wird und dann alle angeschlossenen Unternehmen nicht erneut die Einwilligung abfragen müssen.  Inzwischen ist diese vorgeblich DSGVO konforme Lösung weit verbreitet und Grundlage eines Großteils der individualisierten Werbung im Internet. 

Im Rahmen dieses Einwilligungsmanagement wird ein sogenannter TC-String eingesetzt. Der TC-String ist eine komprimierte Zeichenfolge und sieht etwa so aus: „eWLxtaNvteDQgrUefwlYDCsSLAyUuEFr“. Das Beispiel ist kein echter TC-String, da sich mit Blick auf das zu besprechende Urteil eine unbedachte Wiedergabe solcher TC-Strings nicht empfiehlt.

Ein TC-String entsteht auf folgende Weise: Ein Nutzer gibt seine Einwilligung beim Besuch der Webseite eines Inhalteanbieters und Mitglied des IAB über eine Consent Management Plattform des IAB in Form eines Pop-up-Fensters (Cookie-Banner) ab. Die Einwilligung wird dann in einem solchen TC-String einkodiert und als eine technische Option im Browser des Nutzers gespeichert. 

Ein Werbeanbieter und Mitglied des IAB kann diese Zeichenfolge aus dem Browser des Nutzers über den gespeicherten Cookie des Inhalteanbieters abrufen und dekodieren und so erkennen, ob die Einwilligung eines Nutzers für eine einschlägige Verarbeitung von personenbezogenen Daten durch den Teilnehmer vorliegt. Liegt eine entsprechende Einwilligung vor, kann das Mitglied beispielsweise gezielt Werbung für diesen Nutzer ausspielen. Der EuGH beschreibt, dass „miteinander kombiniert, können der TC-String und das Cookie der IP-Adresse dieses Nutzers zugeordnet werden“ (Rn. 25). Die belgische Datenschutzaufsichtsbehörde präzisiert, dass der TC-String in Kombination mit der Content Management Plattform eine Zuordnung zu einer IP-Adresse ermöglicht (Rn. 29).

Nur unter Auswertung des beim Nutzer gesetzten Cookies wird der Zugriff auf die Einwilligung des Nutzers ermöglicht. Dies ist grundsätzlich nur für das Mitglied des IAB und nicht für diesen selber möglich. Daher beruft sich der IAB im Ausgangsverfahren auf eine fehlende datenschutzrechtliche Verantwortlichkeit. Zudem verneint der IAB die Einordnung des TC-String als personenbezogenes Datum. 

Der EuGH schließt sich der Auffassung des IAB nicht an. Der TC-String ist ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO, auch wenn für die Herstellung des Personenbezugs das Handeln Dritter erforderlich sein oder der Personenbezug nur mit vertretbarem Aufwand hergestellt werden kann. Der IAB ist auch gemeinsamer Verantwortlicher nach Art. 4. Nr. 7 und Art. 26 Abs. 1 DSGVO, da er die Rahmenbedingungen der Datenverarbeitung detailliert vorgibt und seine Mitglieder zur Einhaltung dieser Bedingungen verpflichtet. Das Urteil hat zwar Auswirkungen auf das Ausgangsverfahren mit Blick auf das Bußgeld. Jedoch wird das Urteil durch eine Anpassung der TC-String auf die aktuelle Version v2.2 seit dem 16. Mai 2023 in seiner Wirkung beschränkt. Die vorgenommenen Anpassungen in der Version v2.2 erfolgten mit der Intention, den datenschutzrechtlichen Bedenken der Aufsichtsbehörde entgegenzukommen.   Es bleibt abzuwarten, ob es zu einem weiteren Verfahren kommt. 

Mit dem Urteil wird klar, dass für das eigene Unternehmen eine (gemeinsame) Verantwortlichkeit bestehen kann, auch wenn ein Zugang zu den Daten grundsätzlich nicht existiert. Dies gilt auch für Daten, die erst mit vertretbarem Aufwand einen Personenbezug enthalten können. Denkbar sind zudem Auswirkungen auf das Verhältnis der Verantwortlichkeit für personenbezogene Daten in Unternehmensgruppen oder im Kontext von Unternehmensverbänden.

Die Entscheidung zeigt auf, wie wichtig eine genaue und präzise Erfassung des technischen Sachverhalts für eine erfolgreiche datenschutzrechtliche Compliance ist. Für das Vorliegen einer gemeinsamen Verantwortlichkeit kommt es genau auf technischen Einzelheiten an. Zudem lässt das Urteil die Tendenz des EuGH erkennen, die Begriffe des personenbezogenen Datums und der (gemeinsamen) Verantwortlichkeit möglichst weit auszulegen. Für die Praxis empfiehlt sich daher eine entsprechende Ausrichtung ihrer Compliance-Strategie. Für den IAB Europe und die angeschlossenen Werbetreibenden bedeutet es nun vor allem die Verträge und die Datenschutzerklärungen entsprechend anzupassen. 
 

Der Beitrag wurde von Herrn Ass. jur Maximilian Kroker und unserem Partner Kai Bodensiek verfasst. Beide befassen sich intensiv mit Datenschutzrecht und den technischen Zusammenhängen.