Update Datenschutz Nr. 174
Achtung Online-Marketer: Neues EuGH-Urteil zum IAB TCF
Am 7. März 2024 setzte sich der EuGH erstmals mit dem IAB TCF auseinander. Das Urteil bietet einige Sprengkraft und hat Konsequenzen für alle Online-Marketer: Einerseits hat der EuGH den Personenbezug des TC-Strings festgestellt, andererseits die gemeinsame Verantwortlichkeit aller am Online-Marketing beteiligten Akteure für die im Kontext des TC-Strings stattfindenden Datenverarbeitungen.
Was ist das IAB TCF?
Das "Transparency and Content Framework" ("TCF") des Interactive Advertising Bureau ("IAB") ist ein Branchenstandard im Online-Marketing. Die im TCF enthaltenen Regeln für verschiedene Akteure des Online-Marketings dienen der Einhaltung des Datenschutzrechts, insbesondere der DSGVO. Nähere Informationen zum aktuellen IAB TCF 2.2 und seinen Vorgängern finden Sie in unseren Updates Nr. 155, Nr. 131, Nr. 128 und Nr. 76.
Wie kam es zur EuGH-Entscheidung?
Die belgische Datenschutzaufsichtsbehörde hatte im Frühjahr 2022 diverse Praktiken des IAB TCF 2.2 für DSGVO-widrig erklärt. Das IAB ist gegen diese Entscheidung gerichtlich vorgegangen. Das zuständige Berufungsgericht Brüssel hat dem EuGH das Verfahren zur Vorabentscheidung vorgelegt. Das Urteil des EuGH betrifft die Fragen, ob der TC-String in Verbindung mit einer IP-Adresse ein personenbezogenes Datum darstellt und, wenn ja, ob das IAB Europe als datenschutzrechtlich Verantwortlicher zu qualifizieren ist, insbesondere im Hinblick auf die Verarbeitung des TC-Strings. Der TC-String ist eine Zeichenfolge, die von einer Consent Management Platform („CMP“) erzeugt wird, um die Einwilligung oder Ablehnung eines Nutzers für verschiedene Zwecke und Anbieter des Online-Marketings zu speichern und weiterzugeben. Eine CMP ist eine Software, die Webseitenbetreibern hilft, die erforderlichen Informationen über die Datenverarbeitung im Rahmen des Online-Marketings bereitzustellen und die Einwilligung oder Ablehnung der Nutzer einzuholen und zu verwalten.
Wie hat sich der EuGH positioniert?
Personenbezogene Daten: Nach der Auffassung des EuGH handelt es sich bei dem TC-String um ein personenbezogenes Datum. Diese Sichtweise begründet das Gericht damit, dass es durch eine im TC-String enthaltene Information möglich sei, den TC-String mit der IP-Adresse des Geräts eines Nutzers zu verknüpfen und hierdurch die betroffene Person zu identifizieren. Diese Begründung erscheint – innerhalb der Logik der EuGH-Urteile zum Personenbezug – konsequent, genügt es für einen Personenbezug gemäß Art. 4 Nr. 1 DSGVO doch, dass ein Betroffener identifizierbar ist. Der Umstand, dass das IAB den TC-String nicht selbst mit der IP-Adresse des Geräts eines Nutzers kombinieren oder auf die verarbeiteten Daten zugreifen kann, schließt die Einstufung als personenbezogenes Datum insoweit nicht aus. Auch dies ist eine konsequente Fortführung der EuGH-Rechtsprechung „Breyer“ aus dem Jahre 2016, in der das Gericht entschied, dass sich nicht alle zur Identifizierung einer Person erforderlichen Informationen in den Händen einer einzigen Person befinden müssen. Was der EuGH jedoch nicht bedacht hat, ist, dass die IP-Adresse nur in den seltensten Fällen einer Straftat mit Hilfe von Polizei und Staatsanwaltschaft einem Anschlussinhaber (und nicht einer Person; hierfür müssen weitere Ermittlungen hinzugedacht werden) zugeordnet werden kann, da nur die Strafverfolgungsbehörden die entsprechenden Informationen vom jeweiligen Internetprovider erhalten können. Im Fall „Breyer“ aus 2016 wurden die IP-Adressen in den Server-Logfiles zumindest auch zu dem Zweck gespeichert, Hackerangriffe zu erkennen und zu verhindern, so dass zumindest ein vager Bezug zu einer Straftat und einer Strafverfolgung gegeben war. Dies ist im vorliegenden Fall jedoch gerade nicht gegeben, da die Speicherung der TC-String-Daten einschließlich einer IP-Adresse in keiner Weise der Verhinderung und Verfolgung von Straftaten dient. Der EuGH hätte auch darauf abstellen können, dass es bei vielen Vorgängen im Online-Marketing gerade nicht erforderlich ist, eine Person zu identifizieren. Die Begründung des EuGH ist daher insoweit nicht stichhaltig, was aber leider nichts an der Rechtspraxis ändert, die weiterhin mit dem sehr weiten Verständnis des Personenbezugs der Rechtsprechung leben muss. Jeder Webseitenbetreiber, der eine CMP nach dem IAB TCF einbindet, muss zukünftig davon ausgehen, dass der von der CMP erzeugte TC-String vollständig personenbezogen ist.
Gemeinsame Verantwortlichkeit: Zur datenschutzrechtlichen Verantwortlichkeit entschied der EuGH, dass das IAB Europe gemeinsam mit den anderen an der Verarbeitung des TC-Strings beteiligten Akteuren verantwortlich ist. Für eine solche gemeinsame Verantwortlichkeit ist gemäß Art. 4 Nr. 7 DSGVO und Art. 26 Abs. 1 S. 1 DSGVO erforderlich, dass die Akteure gemeinsam über die Mittel und Zwecke der Datenverarbeitung entscheiden. Die gemeinsame Entscheidung über die Verarbeitungszwecke sieht der EuGH darin, dass mit dem TC-String ein Regelungsrahmen geschaffen wird, der sicherstellen soll, dass die Verarbeitung personenbezogener Daten eines Betroffenen im Online-Marketing mit der DSGVO in Einklang steht. Die gemeinsame Entscheidung über die Verarbeitungsmittel ergibt sich für den EuGH daraus, dass sich die am mittels Verarbeitung des TC-String durchgeführten Online-Marketing beteiligten Akteure auf die Beachtung des Regelungsrahmens des IAB TCF verständigen. Dies gelte insbesondere für das IAB selbst, da es die Möglichkeit besitze, einzelne Akteure von der Teilnahme am IAB TCF auszuschließen.
Der EuGH hat die datenschutzrechtliche Verantwortlichkeit im Urteil lediglich für die mit dem TC-String einhergehenden Datenverarbeitungen festgelegt. Dies umfasst im Wesentlichen Informationen über die Einwilligungserteilung des Betroffenen bzw. über den Widerspruch des Betroffenen gegen eine Datenverarbeitung. Für Weiterverarbeitungen wie die Übermittlung dieser Daten an Dritte oder das Ausspielen personalisierter Werbung ist das IAB nach Auffassung des EuGH nicht mitverantwortlich.
Gilt die gemeinsame Verantwortlichkeit nur für IAB-Mitglieder?
Das Urteil des EuGH hat primär die datenschutzrechtliche (Mit-)Verantwortlichkeit des IAB im Blick. Es ist jedoch nicht auszuschließen, dass die Entscheidung durch Datenschutzaufsichtsbehörden und Gerichte auch auf alle anderen Bereiche des Online-Marketings übertragen werden könnte, in denen sich mehrere Akteure zur gemeinsamen Datenverarbeitung unter einem einheitlichen Regelungswerk zusammenschließen. Das EuGH-Urteil ist insoweit nicht eindeutig.
Welche Konsequenzen folgen aus dem Urteil?
Konsequenz der gemeinsamen Verantwortlichkeit mehrerer IAB-Mitglieder ist, dass sie gemäß Art. 26 Abs. 1 S. 2 DSGVO eine interne Vereinbarung über ihre gemeinsame Verantwortlichkeit abschließen müssen. In dieser Vereinbarung haben sie insbesondere festzulegen, wer die Einhaltung welcher DSGVO-Pflichten sicherstellt und wie die Informationspflichten sowie Betroffenenrechte erfüllt werden. Es steht zu erwarten, dass das IAB in Zukunft ein Muster für eine entsprechende interne Vereinbarung bereitstellen wird.
Auf die IAB-Mitglieder kommen als gemeinsam Verantwortliche neue Risiken zu: Gemäß Art. 26 Abs. 3 DSGVO können sie von Betroffenen für die Erfüllung aller Betroffenenrechte in Anspruch genommen werden. Gemäß Art. 82 Abs. 4 DSGVO kann von ihnen sogar Schadensersatz gefordert werden, wenn ein Mitverantwortlicher einen Datenschutzverstoß begeht. Insoweit empfiehlt sich der regelmäßige Austausch mit allen anderen beteiligten IAB-Akteuren sowie die eigene Absicherung mittels eines durchdachten Vertragswerks.
Konsequenz des Personenbezugs des TC-Strings ist, dass die Rechtmäßigkeit aller den TC-String betreffenden Datenverarbeitungen zu prüfen ist. Sofern eine entsprechende Verarbeitung einwilligungsbasiert erfolgt, besteht eine besondere Herausforderung in der Formulierung einer transparenten Einwilligungserklärung. Das gesamte Thema dürfte zukünftig auch in Datenschutzerklärungen zu erwähnen sein, um die Anforderungen des Art. 13 DSGVO zu erfüllen.
Letztendlich bleiben zwei Dinge abzuwarten: Der weitere Entscheidungsgang des Gerichtsverfahrens in Belgien und die Reaktion des IAB. Insoweit steht zu erwarten, dass sich das belgische Berufungsgericht den Ausführungen des EuGH anschließt. Da das IAB die EuGH-Entscheidung begrüßt hat, sind keine weiteren Rechtsmittel zu erwarten.
Insgesamt dürfte das Urteil die seit langem zu beobachtende Tendenz der Ablösung der Auftragsverarbeitung durch die gemeinsame Verantwortlichkeit auch im Bereich des Online-Marketings beschleunigen.