Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
Rechtsanwalt für den Gewerblichen Rechtsschutz, Lebensmittel- und Kosmetikrecht
T (+49) 040 / 7344 086-0
Blog News
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten hat einen sehr hohen Stellenwert. Vor allem in Zeiten der Digitalisierung und des Fortschritts der Technik muss immer wieder neu ausgelegt werden, was unter personenbezogenen Daten verstanden werden muss und inwiefern diese die konkrete Identität der Nutzer preisgeben müssen, um als solche identifiziert zu werden.
Nun hat der EuGH entschieden: der TC-String verstößt gegen die DSGVO
TC-Strings sind Datenpakete, die jedes mal versandt werden, wenn ein Cookie-Banner auf einem Bildschirm auftaucht oder ein Werbebanner geladen wird. Da bislang die Nutzer aber der Übertragung nicht jedes mal explizit ihre Einwilligung erteilen, stellt sich nun die Frage, ob sie mit der DSGVO überhaupt vereinbar sind.
Das IAB (Interactive Advertising Bureaus), ein Verband in Belgien, entwickelte das Transparency & Consent Framework (TCF) für die digitale Werbe- und Marketingindustrie. Nach Beschwerden wegen der Vereinbarkeit des TCF mit der DSGVO leitete die Datenschutzaufsicht ein Kooperationsverfahren ein. Dabei wurde festgestellt, dass IAB Europe als Verantwortlicher agiert, wenn es um die Erfassung von Einwilligungen, Ablehnungen und Präferenzen von Nutzern geht. Dies führte zu Aufforderungen, die TC-Strings mit der DSGVO in Einklang zu bringen und zu einer Geldbuße. IAB legte Berufung ein, da der TC-String nicht als personenbezogenes Datum betrachtet werden könne. Der Appellationshof Brüssel hat das Verfahren ausgesetzt und diese Fragen zur Vorabentscheidung dem Gerichtshof vorgelegt.
Ein TCF, kurz für Transparency & Consent Framework, stellt einen Regelungsrahmen dar, der aus Richtlinien, Anweisungen, technischen Spezifikationen, Protokollen und vertraglichen Verpflichtungen besteht, die es sowohl dem Anbieter einer Website oder Anwendung als auch Datenbrokern oder Werbeplattformen ermöglichen, personenbezogene Daten eines Nutzers, einer Website oder Anwendung rechtmäßig zu verarbeiten.
Das Ziel der TCF ist es, die Einhaltung der DSGVO zu gewährleisten. Besonders interessant ist dies für Wirtschaftsteilnehmer, die das Open RTB ( eines der gängigsten Protokolle für Real Time Bidding, bei dem Nutzerprofile in Echtzeit automatisiert für den Kauf und Verkauf von Werbeplätzen im Internet versteigert werden).
Das TFC soll die Lösung dafür sein, um die Praktiken des massenhaften Austausches personenbezogener Daten über Nutzerprofile im Rahmen dieses Systems mit der DSGVO in Einklang zu bringen.
Das TCF dient als Rahmen für die umfassende Verarbeitung personenbezogener Daten. Es erleichtert die Erfassung von Nutzerpräferenzen durch Content Management Plattforms (CMP).
Diese erfassten Präferenzen werden sodann in einem Transparency and Consent String (TC-String) kodiert und gespeichert.
Ein solcher TC-String besteht aus einer Buchstaben- und Zahlenfolge.
Er wird von IAB Europe erstellt und wird mit den Brokern für personenbezogene Daten und Werbeplattformen geteilt, die am Open-RTB Protokoll teilnehmen. Durch die TC-Strings soll Brokern personenbezogene Daten und Werbeplattformen unter Einhaltung der DSGVO garantiert werden.
Diese Plattformen können durch diese Maßnahme die Zustimmungen oder Ablehnungen der Nutzer effizienter verarbeiten. Dabei wird ein Cookie (Euconsent-v2) auf dem Gerät des Nutzers gespeichert. Die Kombination aus diesem Cookie und dem TC-String ermöglicht die Zuordnung der IP-Adresse des Nutzers.
Wenn der TC-String als personenbezogenes Datum gilt, ist eine explizite Zustimmung der Nutzer zur Übertragung der Daten unumgänglich. Und tun sie das nicht, würde dies für viele Medien zu stark reduzierten Werbeeinnahmen führen.
Um eine einheitliche Auslegung des EU-Rechts in allen Mitgliedstaaten sicherstellen zu können, haben nationale Gerichte die Möglichkeit die Auslegung oder Gültigkeit des EU-Rechts dem EuGH zur Vorabentscheidung vorzulegen, wenn sich bei der Anwendung des EU-Rechts auf konkrete Fälle Unsicherheiten ergeben oder sich in einem Rechtssreit Fragen stellen. Die Antwort des EuGH ist dann bindend und muss von den nationalen Gerichten als Leitlinie befolgt werden, um Fragen in dem betreffenden Fall zu klären.
Vorliegend ging es dabei zunächst um die Frage, ob es sich bei einer standardisierten Zeichenfolge (dem TC-String) gemäß der DSGVO um ein personenbezogenes Datum handelt und ob es dabei eine Rolle spielt, ob diese Zeichenfolge zusammen mit einer IP-Adresse verknüpft ist.
Des weiteren sollte geklärt werden, ob es auf die Antwort einen Einfluss hat, wenn die Organisation, die den Standard festlegt, selbst keinen Zugriff auf die personenbezogenen Daten hat, die von ihren Mitgleidern verarbeitet werden.
Als zweite Frage sollte der EuGH sich dazu äußern, ob eine Branchenorganisation, die einen Standard für die Verwaltung von Einwilligungen bereitstellt, als Verantwortlicher anzusehen ist, wenn dieser Standard Einwilligungsdetails enthält, die personenbezogene Daten sind. Des weiteren musste der EuGH entscheiden, ob sich an der Antwort etwas ändert, wenn die Organisation keinen Zugriff auf diese Daten hat und ob sich die Verantwortung der Organisation auf nachfolgende Datenverarbeitungen Dritter, wie z.B. gezielte Online-Werbung, erstreckt.
Um die Fragen zu klären, wurde zunächst die Definition herangezogen, die die DSGVO selbst bereitstellt:
Im Sinne dieser Verordnung bezeichnet der Ausdruck personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Dabei entschied der EuGH in seinem Urteil (vom 4. Mai 2023, Osterreichische Datenschutzbehörde und CRIF, C487/21, EU:C:2023:369), dass Informationen dann als personenbezogene Daten betrachtet werden, wenn sie aufgrund ihres Inhalts, Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person in Verbindung gebracht werden können. Dabei wird auch die indirekte Identifizierbarkeit eingeschlossen.
Angesichts der Definition und der Entscheidung vom Mai 2023 hat der EuGH entschieden, dass der TC-String ein personenbezogenes Datum ist. Dies gilt insbesondere, da er mit einer Kennung wie einer IP-Adresse eines Geräts verknüpft werden kann, um die betreffende Person zu identifizieren.
Daran ändert auch die Tatsache, dass die Brancheorganisation die den TC-String besitzt selbst keinen direkten Zugang zu den von ihren Mitgliedern verarbeiteten Daten hat und der TC-String nicht mit anderen Informationen kombiniert werden kann.
Da der EuGH darauf abstellt, dass ein Datum dann als personenbezogen gilt, wenn die Person identifizierbar ist, stellt sich natürlcih die Frage, welche Anforderungen an die Identifizierbarkeit gestellt werden.
Um zu bestimmen, ob eine natürliche Person identifizierbar ist, sollten sämtliche verfügbaren Mittel in Betracht gezogen werden.
Grundsätzlich sollen die Grundsätze des Datenschutzes für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Dabei sollen auch diejenigen personenbezogenen Daten, die einer Pseudomysierung unterzogen worden, aber durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden können, als Informationen über eine identifizierbare natürliche Person betrachtet werden.
Bei den personenbezogenen Daten, die bei der Einwilligung zur Verarbeitung bereitgestellt werden, handelt es sich insbesondere um den Standort des Nutzers, sein Alter, den Verlauf seiner Suchanfragen und seine zuletzt getätigten Einkäufe.
Dies schließt auch die potenzielle Nutzung von Techniken durch den Verantwortlichen oder andere Personen ein, die die direkte oder indirekte Identifizierungen der natürlichen Person ermöglichen.
Dabei bestimmen objektive Faktoren, wie die Kosten der Identifizierung, der hierfür erforderliche Zeitaufwand und die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologischen Entwicklungen.
Hierzu gehört beispielsweise das Verfahren des Aussortierens.
Vor allem das Datenschutzrecht ist in seiner vielschichtigen Materie überaus komplex und stellt Gerichte, Medien und Nutzer immer wieder vor Unsicherheiten und Herausforderungen. Die Entscheidung des EuGH hat weitreichende Folgen für viele Medien, denn sie kann zu stark reduzierten Werbeeinnahmen führen.
Dann sind Sie bei uns genau richtig. Unser fachversiertes Team aus spezialisierten Anwälten sowohl aus dem Datenschutzrecht, dem Medienrecht und dem IT-Recht sind in allen Bereichen für Sie da.
Wir prüfen, inwiefern das Urteil Auswirkungen auf Sie und Ihr Geschäft hat, ob explizite Zustimmungen von Nutzern erforderlich sind und sichern Sie und ihre Website durch unsere Prüfung von Webseiten rechtssicher ab.
Vereinbaren Sie noch heute ein unverbindliches Erstgespräch, wir freuen uns auf Sie!