Ein Urteil des EuGH (C-604/22) von Anfang März kann der Werbebranche, insbesondere Online-Werbetreibenden, neue Herausforderungen beschaffen. Dabei geht es um das „Transparency and Consent Framework“ des Interactive Advertising Bureau Europe (IAB). Dieses erklärte der EuGH als nicht DS-GVO-konform.
Was ist das Transparency and Consent Framework (TCF)?
Wer kennt es nicht, wenn man eine Website besucht, muss man erst seine Zustimmung bzw. seinen Widerspruch zur Datenverarbeitung angeben, denn bevor eine Seite personalisierte Werbung anzeigen darf, muss dies vorerst eingeholt werden. Darunter fallen Daten wie Alter, Verlauf, Standort oder auch die zuletzt getätigten Einkäufe. Natürlich kann dem auch widersprochen werden.
Das IAB hat mit dem TCF Rahmenbedingungen bereitgestellt, die die Anzeige personalisierter Werbung mit der DS-GVO in Einklang bringen soll. Technisch zusammengefügt werden soll dies mit einer Consent Management Platform (CMP). Mit Hilfe dieses Tools kann eine Website die Einwilligung zur Verarbeitung personenbezogener Daten einholen.
Das Ganze funktioniert so: Die CMP kodiert und speichert die Präferenzen der User:innen in einer Zeichenabfolge – genannt: String. Dies wird dann als TC-String bezeichnet.
Diesen teilt das IAB dann mit Maklern für personenbezogene Daten sowie Werbeplattformen, damit diese wissen, worin die Nutzer:innen eingewilligt haben bzw. was widersprochen wurde. Die Werbeplattformen verdienen dann ihr Geld, indem sie auf Basis dieser Daten Werbeplätze im Echtzeit-Bidding-Verfahren verkaufen.
Und worin liegt das Problem?
Die Krux der Sache liegt bei den Cookies, denn mit dem TC-String wird ein IP-Adress-Cookie gespeichert. Die Kombination dieser beiden kann es ermöglichen, die Daten bestimmten User:innen direkt zuzuordnen.
Hierin sah die belgische Datenschutzbehörde das Problem, denn die Kombination von TC-String und Cookie stellt ein personenbezogenes Datum dar und die Verarbeitung sei dadurch nicht DS-GVO-konform, denn nicht alle Vorschriften seien eingehalten worden. In dem folgenden Verfahren wandte sich der Appellationshof Brüssel dann an den EuGH
Der EuGH entschied daraufhin, dass der TC-String ein personenbezogenes Datum laut DS-GVO ist, denn mit den im String gespeicherten Daten könne ein Profil der User:innen erstellt und die jeweilige Person identifiziert werden.
Das IAB sei außerdem als gemeinsam Verantwortliche laut DS-GVO zu betrachten, denn es beeinflusse die Verarbeitung der personenbezogenen Daten, wenn Einwilligung bzw. Widerspruch im String gespeichert werden.
Hierbei gibt es allerdings eine Grenze: Nach der Speicherung der Einwilligungs- bzw. Widerspruchsinformation sei das IAB nur noch dann als Verantwortliche anzusehen, wenn es die Weiterverarbeitung der Daten nachweislich weiter beeinflusse.
Mit den Antworten des EuGH muss das belgische Gericht nun ein Urteil fällen.
Die Konsequenzen für die Werbebranche können weit reichen und die zukünftige Gestaltung von Werbung verändern, wenn die bisherige Kombination mit dem TC-String nicht mit der DS-GVO vereinbar ist.
(Bild: Alexander Limbach – stock.adobe.com)