Phillip Schmidt
Einleitung
Ein Transparency & Consent String (TC-String) besteht aus einer eindeutigen Buchstaben- und Zeichenkombination, der die jeweiligen Entscheidungen des Nutzers bzgl. dessen Einwilligung auf der jeweiligen Website oder App speichert.[1]
Doch handelt es sich bei einem solchen auch um ein personenbezogenes Datum iSd. Art. 4 Nr. 1 Datenschutzgrundverordnung (DSGVO)? Mit dieser Frage hat sich der Europäische Gerichtshof (EuGH) in seinem Urteil vom 7. März 2024 – C-604/22 auseinandergesetzt. Dieser Beitrag beleuchtet die Auseinandersetzung des EuGHs mit dieser Frage und welche Auswirkungen diese auf die Praxis hat.
Funktion eines TC-Strings: Consentmanagement und Real-Time-Bidding (zum streitgegenständlichen Zeitpunkt)
Die Funktion eines TC-Strings wird jedoch erst im Kontext seines Einsatzes verständlich. Viele Websites finanzieren ihr, für die Nutzer*innen bereitgestelltes Angebot, ohne dass hierfür ein Entgelt entrichtet werden muss, mittels Vermarktung als Werbeträger.[2] Die Werbeplätze auf den Websites und Apps werden dabei häufig in Echtzeit im sog. Verfahren des Real-Time-Bidding (RTB) an den Höchstbietenden verkauft. Für diesen Prozess wird vorwiegend auf das OpenRTB-System gesetzt, welches dem Transparency & Consent Framewort (TCF) zugrunde liegt.[3] Der Prozess der Versteigerung, der nur wenige Millisekunden dauert, bindet gleichwohl mehre Akteure, etwa den Websitebetreiber, der den Werbeplatz anbietet, und die werbetreibenden Parteien, die auf diesem Platz Werbung schalten wollen ein, wobei OpenRTB hierfür die notwendige Kommunikationsgrundlage darstellt.[4]
Das von IAB Europe in das OpenRTB eingeführte TCF bestimmt, wie Informationen darüber, ob eine Einwilligung des Betroffenen in die Verarbeitung vorliegt und wie weit diese reicht, im Rahmen der OpenRTB-Auktionen an die verschiedenen Parteien übermittelt werden.[5]
Damit den Nutzer*innen personalisierte Werbung angezeigt werden darf, ist hierfür deren Einwilligung erforderlich. Zwar kommen daneben noch die Rechtfertigungsgründe nach Art. 6 Abs. 1 lit b. und f DSGVO in Betracht, gleichwohl ist deren Anwendbarkeit auf personalisierte Werbung kritisch zu sehen.
Die Rechtmäßigkeit der Datenverarbeitung für personalisierte Werbung ließe sich mit der Argumentation, dass diese zur unentgeltlichen Bereitstellung der Plattform erforderlich seien, auf Art. 6 Abs. 1 lit. b DSGVO stützen, sofern die Finanzierung als das erforderliche Kriterium eingeordnet wird.[6] Zumindest der European Data Protection Board lässt die Finanzierung der Plattform nicht für eine Bejahung der Erforderlichkeit ausreichen.[7]
Besonders umfassende Tracking-und Profilbildungsmaßnahmen können als eingriffsintensive Maßnahme in der Regel auch nicht auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden.[8]
Mithin dürfte die Einwilligung in der Praxis regelmäßig die einzige Rechtsgrundlage darstellen.
Durch die Implementierung der Cosentent-Mangament Plattform (CPM) wird die Einwilligung der Nutzer*innen bzw. die Weigerung, diese zu erteilen, eingeholt.[9]
Diese Präferenzen der Nutzer*innen werden dann u.a. anschließend in dem TC-String gespeichert. Daneben speichert das CMP einen Cookie (Euconsent-v2) auf dem Endgerät der Nutzer*innen, welcher in Kombination mit dem TC-String der jeweiligen IP-Adresse zuordenbar ist.[10]
Damit spielt der TC-String für die Kommunikation der verschiedenen Systeme und zwischen den verschiedenen Parteien eine entscheidende Rolle.
Darstellung der Begründung des Urteils
Das vorlegende Gericht wollte vom EuGH u.a. wissen, ob es sich bei einem TC-String – also eine aus Buchstaben und Zeichen bestehende Kombination bei der eine Branchenorganisation mit determinierten Nutzungsregeln, deren Mitglieder diese Regeln für die Verwendung umsetzen müssen – um ein personenbezogenes Datum iSd. Art. 4 Nr. 1 DSGVO handelt.[11]
Bei der Auslegung des Begriffs des personenbezogenen Datums bezieht sich der EuGH unter Verweis auf seine Rechtsprechung österreichische Datenschutzbehörde[12] auf die gesetzgeberisch intendierte begriffliche Weite, welche anhand der Formulierung „alle Informationen“ in der Legaldefinition in Art. 4 Nr. 1 DSGVO herausgearbeitet wird.[13]
Anschließend setzt sich der EuGH mit dem Kriterium der „Identifizierbarkeit“ auseinander. Hierbei hält dieser an seiner Breyer-Rechtsprechung[14] fest, wonach es nicht erforderlich sei, dass die jeweilige Information isoliert betrachtet nicht die Identifizierung der betroffenen Person ermöglichen muss. Aus dem 26. Erwägungsgrund (EG) folgert der EuGH anschließend unter Verweis auf die Breyer-Rechtsprechung, dass die Identifizierbarkeit nicht voraussetze, dass alle hierfür erforderlichen Informationen im Besitz einer Person sein müssen. Weiterhin hält der EuGH an seiner Rechtsprechung fest, nach der der Begriff des personenbezogenen Datums nicht nur die erhobenen und verarbeiteten Daten, sondern auch die Informationen über eine identifizierte bzw. identifizierbare Person erfasst, die aus der Verarbeitung personenbezogener Daten resultieren.[15] Der TC-String enthalte somit Informationen der Nutzer*innen, die durch die Verarbeitung ihrer personenbezogenen Daten entstanden sind. Diese Informationen enthielten die “individuellen Präferenzen“ der Nutzer*innen bzgl. deren Entscheidung zur Verarbeitung personenbezogener Daten und bezögen sich auf eine natürliche Person. Allerdings sei hierdurch nicht zwingend eine Identifizierbarkeit gegeben.[16]
Den Personenbezug des TC-Strings stellt der EuGH her, indem er auf die Möglichkeit der Profilbildung durch die Kombination einer Kennung wie der IP-Adresse und der im TC-String enthaltenen Informationen verweist. Sofern hierdurch die Identifizierung der Nutzer*innen möglich sei, enthalte der TC-String Informationen über einen identifizierbaren Nutzer und stelle deshalb ein personenbezogenes Datum iSd. Art. 4 Nr. 1 DSGVO dar.[17] Diesbezüglich betont der EuGH zusätzlich noch einmal, dass die Einstufung als personenbezogenes Datum nicht dadurch entfalle, dass IAB-Europe nicht unmittelbar selbst eine solche Verknüpfung durchführen könne, schließlich seien seine Mitglieder verpflichtet auf Nachfrage alle zur Nutzer*innenidentifizierung erforderlichen Informationen zur Verfügung zu stellen.[18]
Bewertung der Entscheidung
Mit der Entscheidung bleibt der EuGH seiner weiten Auslegung der Begrifflichkeit des personenbezogenen Datums treu. Auch wenn die Entscheidung aus der Perspektive des Datenschutzes zu begrüßen ist, vermag die Begründung der Entscheidung nicht in allen Aspekten zu überzeugen.
Keine generelle Auseinandersetzung mit dem Personenzug
Die wesentliche Argumentation des EuGHs für den Personenbezug besteht darin, dass IAB-Europe aufgrund der Verpflichtung seiner Mitglieder zur Auskunftserteilung über alle Mittel einer Identifizierbarkeit iSd. EG 26 DSGVO verfügt.[19]
Hieraus resultiert zunächst die Folgefrage, ob eine solche Identifizierbarkeit in der Praxis möglich ist. Die durch die Vorlagefrage determinierte Prüfung des EuGH setzt sich nicht damit auseinander, inwieweit der TC-String als solches, nur aufgrund der in diesen enthaltenen Nutzer*innenpräferenzen personenbezogen ist.[20]
Der EuGH beantwortet die erste Vorlagefrage damit, dass ein TC-String ein personenbezogenes Datum ist, „soweit sie, wenn sie mit vertretbarem Aufwand einer Kennung wie insb. der IP-Adresse des Geräts dieses Nutzers zugeordnet werden kann, es erlaubt, die betreffende Person zu identifizieren.“[21] Diese Aussage lässt sich auf den Sinngehalt herunterbrechen: ein Personenbezug liegt vor, wenn eine Person identifizierbar ist, was sich ohne weiteres bereits aus Art. 4 Nr. 1 DSGVO ergibt.[22]
Mit dem Kriterium des „Vertretbaren Aufwands“ bedient sich der EuGH erneut einem Begriff, den er nicht weiter konkretisiert und welcher vergleichbar mit den Begriffen der „Maßgeblichkeit“[23] und dem der „Kontextualisierung“[24] mit erheblichen Rechtsunsicherheiten für die Praxis verbunden sind, anstatt die gewünschte Klarheit zu verschaffen.
Dadurch setzt sich der EuGH aber nicht weiter mit der Frage des Personenbezugs auseinander, sodass die Entscheidung bzgl. der Frage, wann ein Personenbezug vorliegt, wenig ergiebig ist.[25]
Ermöglicht die Auskunftstverpflichtung der Mitglieder eine Identifizierbarkeit?
So argumentiert der EuGH u.a., dass die Mitglieder von IAB-Europe gegenüber der Organisation verpflichtet seien, auf Nachfrage alle Informationen zu übermitteln, die die Identifizierung der Nutzer*innen ermöglichen.[26] Damit dies in der Praxis möglich ist, müssten die jeweiligen IAB-Mitglieder über hinreichend eindeutige personenbezogene Daten verfügen, was zumindest nicht bei allen Websitebetreibern anzunehmen ist, sodass die Praxistauglichkeit dieser Annahme zumindest kritisch zu hinterfragen ist.[27]
Weiterhin mag es zwar in der Theorie möglich sein, mittels Verknüpfung des TC-Strings und der IP-Adresse Nutzer*innen zu identifizieren, inwieweit sich diese Möglichkeit aber zu einer realistischen Gefahr der Identifizierung konkretisiert erscheint fragwürdig. Die Zuordnung von IP-Adressen zu einer spezifischen Person ist nur unter Überwindung hoher rechtlicher und faktischer Hürden möglich.[28]
Weiterhin ist die Zuordnung zu einer spezifischen natürlichen Person im Bereich der Online-Werbung oftmals nicht notwendig und ein besonderes Interesse von IAB bzgl. der Identifizierung einzelner Personen ist nicht ersichtlich.[29]
Auch inwieweit es den Mitgliedern von IAB-Europe überhaupt möglich ist, solche Informationen bereitzustellen wird vom EuGH nicht thematisiert. Eine solche Identifizierung wäre etwa möglich, sofern Nutzer*innen mit der Werbung interagieren und ein Kontakt zum Werbetreibenden aufnehmen, etwa durch Transaktionen.[30]
Ergebnis
Aus der Entscheidung folgen bzgl. des Personenbezugs somit keine grundlegend neuen Erkenntnisse. Gleichzeitig hält der EuGH an seiner bisherigen weiten Rechtsprechungslinie bzgl. des Personenbezugs fest, sodass diese noch einmal bestätigt wurde.
Keine Auseinandersetzung mit Kategorien besonderer personenbezogener Daten Art. 9 DSGVO
Das TFC-System bzw. das implementierte CMP holt auch keine ausdrückliche Einwilligung dafür ein, wenn sensible Informationen bzgl. des Zuschnitts der personalisierten Werbung genutzt werden.[31]
Dabei resultiert aus der Ableitung und Annahme aufgrund des Online-Verhaltens der Nutzer*innen und einer diesbezüglichen Zuordnung in Kategorien besonderer personenbezogener Daten bereits die Eröffnung des Anwendungsbereichs des Art. 9 DSGVO.[32]
Dabei spielen besondere Kategorien von personenbezogenen Daten iSd. Art. 9 Abs.1 DSGVO, wie etwa der gesundheitliche Zustand, für die Nutzer*innengruppensegmentierung – auch von AIB-Europe – durchaus eine Rolle.[33]
An die Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO sind im Vergleich zu der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO deutlich höhere Anforderungen zu stellen.[34] Diesen Anforderungen genügt ein einfacher Klick auf „Alle akzeptieren“ bei einem CMP-Tool nicht.[35]
Gleichwohl schweigt der EuGH in diesem Urteil zu dieser Problematik.
Auswirkungen auf die Werbepraxis
Die Einordnung des TC-Strings als personenbezogenes Datum hat jedoch auch für die Werbepraxis Folgen. Damit setzt die Verarbeitung des TC-Strings zukünftig eine der Rechtmäßigkeitsanforderungen des Art. 6 Abs. 1 DSGVO voraus. Hierbei wird Einwilligung nach Art. 6 I lit. a DSGVO in den meisten Anwendungsfällen die einzige mögliche Rechtsgrundlage darstellen können.[36]
AIB-Europe hat nach dem Aufsichtsverfahren der ADP bereits mit der Ausarbeitung des TFC 2.2 begonnen.[37] Diese Änderungen sind zum 16.5.2023 umgesetzt worden und beziehen sich insb. auf die Rechtsgrundlage, die Verständlichkeit, einen neuen Verarbeitungszweck, weitergehende Informationen bzgl. der Anbieter, weitergehende Transparenz bzgl. der eingesetzten Methoden, und der Widerruf der Einwilligung ist künftig einfacher widerrufbar.[38] Durch diese Änderungen wird das Datenschutzniveau im Vergleich zur Vorgängerversion erheblich angehoben.[39] Die größten Auswirkungen für die Praxis dürften aus der in diesem Urteil ebenfalls festgestellten gemeinsamen Verantwortlichkeit von IAB-Europe und seinen Mitgliedern folgen, die aber nicht Bestandteil dieses Beitrags ist.
Der EuGH hat entschieden, dass der Anwendungsbereich des Art. 9 DSGVO unabhängig davon greife, ob der Verantwortliche mit dem Ziel, besonders sensible Informationen zu erlangen, handele.[40] Durch diese weite Auslegung hat Art. 9 DSGVO im Kontext mit personalisierter Werbung erheblich an Bedeutung hinzugewonnen. Insoweit dürfte dieser Umstand angesichts der aktuellen Implementierung der Einwilligung die Werbepraxis vor Herausforderungen stellen.
Aufgrund der vorangegangenen Entscheidung der ADP hatte AIB-Europe bereits die Möglichkeit, sich auf eine Einordnung des TC-Strings als personenbezogenes Datum vorzubereiten und entsprechende Anpassungen vorzunehmen und sich somit bereits vorher auf das Urteil des EuGH vorzubereiten. Insgesamt sehen sich IAB-Europe und seine Mitglieder somit höheren datenschutzrechtlichen Anforderungen ausgesetzt.
Fazit und Ausblick
Da der EuGH den Personenzug durch das Auskunftsrecht von AIB-Europe stützt, hat diese Entscheidung für mit dem TC-String vergleichbare Technologien keine weiterreichende Auswirkung, sofern nicht eine vergleichbare Konstruktion mit einem solchen Auskunftsrecht besteht. Zudem trifft der EuGH bzgl. des Personenbezugs keine neuen weitreichenden Aussagen, sodass die Wirkung der Entscheidung gegenüber anderer Technologie zumindest bzgl. des Personenbezugs eher gering ist. Allerdings verdeutlicht die Entscheidung, dass der EuGH weiterhin an seinem weiten Verständnis des Personenbezugs festhält, sodass zumindest insoweit eine gewisse Signalwirkung an die Werbebranche insgesamt ergeht. Für IAB-Europe hat die Entscheidung gleichwohl weitreichendere Folgen.
[1] Steidle/ Skistims: Jandt/Steidle Datenschutz-HdB. Rn. 235.
[2] CMA: Online platforms and digital advertising Market study final report 1 July 2020 Rn. 2.3 ff; Oechsler: NZKart 2024, 54.
[3] Steidle/ Skistims: Jandt/Steidle Datenschutz-HdB. Rn. 233.
[4] MMR-Aktuell 2022, 445641.
[5] MMR-Aktuell 2022, 445641
[6] Füllsack/Kirschke-Biller, GRUR-Prax 2023, 441, (442).
[7] EDPB, Binding Decision 3/2022 Rn. 94 ff.
[8] Füllsack/Kirschke-Biller, GRUR-Prax 2023, 441, (442).
[9] EuGH, Urt. v. 7. März 2024 – C-604/22 Rn. 24.
[10] EuGH, Urt. v. 7. März 2024 – C-604/22 Rn. 25.
[11] EuGH, Urt. v. 7. März 2024 – C-604/22 Rn. 32.
[12] EuGH, Urt. v. 4. Mai 2023- C487/21 Rn. 23.
[13] EuGH, Urt. v. 7. März 2024 – C-604/22 Rn. 36.
[14] EuGH, Urt. v. 19. Oktober 2016, Breyer, C-582/14, Rn. 41.
[15] EuGH, Urt. v. 22. Juni 2023, Pankki S, C-579/21, Rn. 45.
[16] EuGH, Urt. v. 7. März 2024 – C-604/22 Rn. 42.
[17] EuGH, Urt. v. 7. März 2024 – C-604/22 Rn. 45.
[18] EuGH, Urt. vom 7. März 2024 – C-604/22 Rn. 48.
[19] Koglin, EuGH zu IAB Europe, DSB 2024, 86, (88).
[20] Keppeler / Schneider, MMR 2024, 390, (396).
[21] EuGH, Urt. v. 7. März 2024 – C-604/22 Rn. 51; Hervorhebung durch den Autor.
[22] Koglin, EuGH zu IAB Europe, DSB 2024, 86, (88).
[23] Siehe hierzu: EuGH, Urt. v. 7.12.2023 – C-634/21.
[24] Siehe hierzu: EuGH, Urt. v. 4.5.2023 – C-487/21.
[25] Koglin, EuGH zu IAB Europe, DSB 2024, 86, (88).
[26] EuGH, Urt. v. 7. März 2024 – C-604/22 Rn. 48.
[27] Keppeler/ Schneider, MMR 2024, 390, (396).
[28] Halim/Marosi, CR 2024, 297, (300); Keppeler/Poncza/Wölke, CR 2024, 18, (19).
[29] Keppeler / Ruben Schneider, MMR 2024, 390, (396).
[30] Jandt/Steidle Datenschutz-HdB/Roland Steidle/Hendrik Skistims V. Rn. 234.
[31] Herbrich, ZD-Aktuell 2024, 01623
[32] Herbrich, ZD-Aktuell 2024, 01623; EuGH, Urteil vom 4.7.2023 – C-252/21 Rn. 69 ff.
[33] Herbrich/Niekrenz, CRi 2021, 129, 135.
[34] Weichert: Kühling/Buchner/, 4. Aufl. 2024, DS-GVO Art. 9 Rn. 47.
[35] Herbrich, ZD-Aktuell 2024, 01623.
[36] Kunczik, ITRB 2024, 117, (119)
[37] Chamber of the Data Protection Authority, Case number: DOS-2019-01377, abrufbar unter: https://www.edpb.europa.eu/system/files/2022-03/be_2022-02_decisionpublic_0.pdf
[38] Keppeler/Schneider, ITRB 2024, 71, (74).
[39] Keppeler/Schneider, ITRB 2024, 71, (75).
[40] EuGH, Urt. v. 4.7.2023 – C-252/21Rn. 69.
