EuGH: Versteigerung personenbezogener Daten für Werbezwecke im Lichte der DSGVO
In einem belgischen Fall präzisiert der Europäische Gerichtshof zum einen den Begriff "personenbezogene Daten" und zum anderen die Voraussetzungen, unter denen eine Branchenorganisation, soweit sie ihren Mitgliedern einen Rahmen von Vorschriften über die Einwilligung in die Verarbeitung personenbezogener Daten bietet, als "gemeinsam für die Verarbeitung Verantwortlicher" einzustufen ist. Der EuGH äußert sich dabei auch zu den Grenzen der gesamtschuldnerischen Haftung einer solchen Organisation.
Hintergrund: IAB Europe ist ein Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien, der Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt. IAB Europe hat eine Lösung entwickelt, die dieses Versteigerungssystem mit der DSGVO in Einklang bringen soll. Die Nutzerpräferenzen werden in einem aus einer Kombination von Buchstaben und Zeichen bestehenden String kodiert und gespeichert, der als „Transparency and Consent String“ (TC-String) bezeichnet wird und der mit Brokern für personenbezogene Daten und Werbeplattformen geteilt wird, damit diese wissen, worin der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Auf dem Gerät des Nutzers wird auch ein Cookie gespeichert. Miteinander kombiniert, können der TC-String und das Cookie der IP-Adresse dieses Nutzers zugeordnet werden.
Im Jahr 2022 stellte die belgische Datenschutzbehörde fest, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO darstelle und dass IAB Europe als Verantwortlicher aufgetreten sei, ohne die Vorschriften der DSGVO vollständig einzuhalten.
Mit seinem Urteil bestätigt der EuGH, dass der TC-String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne der DSGVO darstellt. Anhand der in einem TC-String enthaltenen Informationen kann nämlich, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und die betreffende Person identifiziert werden.
Darüber hinaus, so der EuGH, sei IAB Europe als „gemeinsam Verantwortlicher“ im Sinne der DSGVO anzusehen. Allerdings könne, unbeschadet einer etwaigen im nationalen Recht vorgesehenen zivilrechtlichen Haftung, IAB Europe für Datenverarbeitungen, die nach der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String erfolgen, nur dann als im Sinne der DSGVO verantwortlich angesehen werden, wenn nachgewiesen werden kann, dass dieser Verband Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausgeübt hat.
Mehr zu dem Urteil finden Sie in der Pressemitteilung Nr. 44/24 des EuGH vom 7. März 2024. - Das EuGH-Urteil finden Sie hier.
Eine englische Zusammenfassung finden Sie in unserem englischen Blog Tax & Legal.