EuGH: Datenschutz – Datencodierung iZm personalisierter Werbung

DSGVO: Art 4, Art 26

Mitglieder der vorliegenden Branchenorganisation (Verband ohne Gewinnerzielungsabsicht) sind Unternehmen der digitalen Werbe- und Marketingindustrie, wie etwa Verlage, E-Commerce- und Marketingunternehmen und Unternehmen, die Werbeplätze auf Websites oder in Anwendungen (Applikationen) verkaufen. Die Branchenorganisation entwickelte einen Regelungsrahmen (das „Transparency & Consent Framework“, TCF) aus Richtlinien, Anweisungen, technischen Spezifikationen, Protokollen und vertraglichen Verpflichtungen, die es sowohl dem Anbieter einer Website oder Anwendung als auch Datenbrokern oder Werbeplattformen ermöglichen, personenbezogene Daten eines Nutzers einer Website oder Anwendung rechtmäßig zu verarbeiten – speziell, wenn diese Wirtschaftsteilnehmer das OpenRTB nutzen, das meistgenutzte Protokoll für Real Time Bidding, ein System der sofortigen und automatisierten Online-Versteigerung von Nutzerprofilen für den Verkauf und den Kauf von Werbeplätzen im Internet, um dort Werbung anzuzeigen, die spezifisch auf das Profil des Nutzers abgestimmt ist.

Vor der Anzeige einer solchen gezielten Werbung wird die Einwilligung des Nutzers eingeholt; dabei werden seine Präferenzen hinsichtlich der Verarbeitung seiner personenbezogenen Daten in einer Kombination von Buchstaben und Zeichen kodiert und gespeichert (Transparency and Consent String, TC-String) und in dieser Form mit den beteiligten Brokern für personenbezogene Daten und Werbeplattformen geteilt, damit diese wissen, worin der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Weiters wird ein Cookie auf dem Gerät des Nutzers gespeichert. Miteinander kombiniert, können der TC-String und das Cookie der IP–Adresse dieses Nutzers zugeordnet werden.

Nach Ansicht des EuGH stellt eine solche Zeichenfolge wie der TC-String ein personenbezogenes Datum iSd Art 4 Nr 1 DSGVO dar, soweit sie mit vertretbarem Aufwand einer Kennung wie insb der IP-Adresse des Geräts des Nutzers zugeordnet werden kann und es damit erlaubt, die betreffende Person zu identifizieren. Eine solche Zeichenfolge kann dabei auch dann ein personenbezogenes Datum iSd Art 4 Nr 1 DSGVO sein, wenn die Branchenorganisation, die im Besitz dieser Zeichenfolge ist, ohne einen Beitrag von außen weder Zugang zu den Daten hat, die von ihren Mitgliedern verarbeitet werden, noch diese Zeichenfolge mit anderen Elementen kombinieren kann.

Eine Branchenorganisation, die ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen betr die Einwilligung von Nutzern zur Verarbeitung personenbezogener Daten anbietet, der ua auch detaillierte Vorschriften enthält, wie personenbezogene Daten betr diese Einwilligung gespeichert und verbreitet werden müssen, ist als „gemeinsam Verantwortlicher“ iSd Art 4 Nr 7 und Art 26 Abs 1 DSGVO einzustufen, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falls aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsam Verantwortlicher iS dieser Bestimmungen sein kann.

Die gemeinsame Verantwortlichkeit dieser Branchenorganisation erstreckt sich nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie etwa Anbieter von Websites oder Anwendungen, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft.

EuGH 7. 3. 2024, C-604/22, IAB Europe