© dapor2560 - Freepik.com
Trendradar, Wissensbox Recht

EuGH wertet TC-String als personenbezogenes Datum – Folgen für KMUEuGH wertet TC-String als personenbezogenes Datum – Folgen für KMU

Der EuGH stellt klar: Der TC-String ist personenbezogen, sobald Sie ihn mit weiteren Kennungen koppeln. Für KMU heißt das: Consent-Management braucht besondere Aufmerksamkeit.

Sachverhalt

Im Mittelpunkt der Entscheidung des Europäischen Gerichtshofs stand die datenschutzrechtliche Einordnung des sog. TC-Strings. Dieser wird im Rahmen von Online-Werbung auf zahlreichen Webseiten eingesetzt, insbesondere dort, wo sog. Consent-Banner erscheinen. Das ist der Hinweis, über den die Nutzenden gefragt werden, ob sie der Verarbeitung ihrer Daten, z. B. für personalisierte Werbung, zustimmen möchten. Trifft ein Nutzer oder eine Nutzerin eine Auswahl, speichert das System die Entscheidung lokal und legt sie zusätzlich in der codierten Zeichenfolge – dem TC-Strin – ab. Dieser String ist Bestandteil des Transparency and Consent Frameworks (TCF), eines europaweiten Branchenstandards, der vom Interactive Advertising Bureau (IAB) Europe entwickelt wurde. Das Ziel des TCF ist es, Einwilligungen standardisiert zu erfassen und an verschiedene Akteure im digitalen Werbeumfeld weiterzuleiten, v. a. im Zusammenhang mit der Echtzeitversteigerung von Werbeplätzen.

Beschwerden bei der belgischen Datenschutzbehörde führten jedoch zu erheblichem Zweifel, ob dieses System mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist. Denn der TC-String enthält nicht nur Informationen über die Zustimmung von Nutzenden, sondern auch zusätzliche Metadaten, wie etwa den Zeitpunkt der Einwilligung, die verwendete TCF-Version oder eine Liste der beteiligten Anbieter. Wird dieser String mit weiteren Daten wie Cookies oder der IP-Adresse kombiniert, kann er potenziell zur Identifizierung des einzelnen Nutzenden verwendet werden. Vor diesem Hintergrund stufte die Aufsichtsbehörde den Umgang mit dem TC-String als potenziell rechtswidrig ein. Sie warf außerdem dem IAB Europe eine Mitverantwortung vor, da dieser mit seinen technischen Vorgaben erheblichen Einfluss darauf nimmt, wie Einwilligungen erhoben, verarbeitet und weitergegeben werden.

Zur Klärung der Fragen, ob der TC-String ein personenbezogenes Datum darstellt und ob IAB Europe als (mit-)verantwortliche Stelle im Sinne der DSGVO einzustufen ist, wurde der Fall dem Europäischen Gerichtshof vorgelegt.

Urteil

Der EuGH hat entschieden, dass der TC-String als personenbezogenes Datum einzustufen ist, sofern er mit einer weiteren Kennung (z. B. IP-Adresse) kombiniert wird, die eine Identifikation des Nutzenden ermöglicht. Selbst wenn IAB Europe keinen direkten Zugriff auf solche zusätzlichen Informationen hat, sei entscheidend, dass eine theoretische Möglichkeit der Identifikation bestehe. Zudem wurde IAB Europe als gemeinsam Verantwortlicher im Sinne von Art. 26 DSGVO eingestuft. Dies begründet der EuGH damit, dass IAB Europe durch die Festlegung technischer Spezifikationen und Richtlinien innerhalb des TCF die Datenverarbeitung maßgeblich beeinflusst. Die Verantwortlichkeit von IAB Europe erstreckt sich jedoch nicht automatisch auf alle nachgelagerten Verarbeitungsphasen durch Dritte, wie das Ausspielen personalisierter Werbung, wenn hierfür keine gemeinsame Festlegung der Zwecke und Mittel erfolge.

Entscheidungsgründe

Der EuGH folgt konsequent seiner bisherigen Rechtsprechung zum weiten Personenbezug. Entscheidend ist nicht, ob eine Identifikation faktisch erfolgt, sondern ob sie potentiell möglich ist, um den Personenbezug anzunehmen. Auch bei der Frage der Verantwortlichkeit legt der Gerichtshof ein weites Verständnis an: Es genügt die faktische Einflussnahme durch Regelungsrahmen, Steuerung oder Koordination, um eine gemeinsame Verantwortlichkeit zu begründen. Eine formelle Vereinbarung ist nicht erforderlich.

Relevanz für Unternehmen

Das Urteil des Europäischen Gerichtshofs hat weitreichende und unmittelbare Auswirkungen auf Unternehmen im digitalen Marketing. Der TC-String ist künftig als personenbezogenes Datum zu behandeln, sobald er potenziell zur Identifikation von Nutzerinnen und Nutzern führen kann. Unternehmen, die das TCF nutzen, bewegen sich in einem vielschichtigen Datenökosystem, in dem die datenschutzrechtliche Verantwortung nicht mit dem Consent-Banner endet – sondern dort beginnt. Sie müssen ihre technischen Systeme entsprechend vollständig an die Anforderungen der DSGVO anpassen. Daraus ergeben sich hohe Anforderungen an den Umgang mit Einwilligungsdaten, insbesondere im Hinblick auf Transparenz, Zweckbindung, Speicherdauer und eine lückenlose Dokumentation.

Auch Branchenorganisationen wie IAB Europe müssen sicherstellen, dass ihre Regelwerke die Anforderungen der DSGVO vollständig erfüllen. Zugleich macht das Urteil deutlich, dass Datenschutzaufsichtsbehörden verstärkt da hinschauen, wo Organisationen faktisch Einfluss auf Datenverarbeitungsprozesse nehmen, unabhängig davon, ob sie formell Teil des TCF sind. Diese Entwicklung betrifft damit nicht nur die Verbände, sondern ebenso Webseitenbetreiber, Plattformen und Anbieter von Werbetechnologien, die aktiv an der Erhebung und Weitergabe von Nutzerdaten beteiligt sind. Unternehmen sollten deshalb ihre bestehenden Vertragsverhältnisse sorgfältig überprüfen. Wer mit Partnern im digitalen Werbeumfeld kooperiert oder Dienste auf Basis des TC-Strings nutzt, sollte klare und konforme Vereinbarungen zur gemeinsamen Verantwortlichkeit i. S. v. Art. 26 DSGVO abschließen. Dabei müssen Rollen, Zuständigkeiten und Datenflüsse eindeutig definiert sein, um rechtliche Risiken zu reduzieren und den Anforderungen der Aufsichtsbehörden gerecht zu werden.

Reaktion auf das Urteil

Die Reaktionen auf die Entscheidung sind geteilt. Während Datenschutzaufsichtsbehörden die Klarstellung begrüßen, wird in der Fachwelt Kritik am sehr weiten Verständnis des Personenbezugs laut. Sie befürchten, dass der EuGH damit die Haftung für technische Standards ausweitet, auch wenn einzelne Akteure keinen Zugriff auf personenbezogene Daten haben. Das könne Innovationen hemmen und den Aufwand für datenschutzkonforme Gestaltung unverhältnismäßig erhöhen. Der EuGH setzt damit seine Linie fort, theoretische Identifikationsmöglichkeiten genügen zu lassen. In der Praxis ist mit einer verstärkten Regulierung und Anpassung bestehender Werbesysteme zu rechnen.

weiterführende Informationen

  1. Der Transparency and Consent String (TC-String) als personenbezogenes Datum. (2024). WRP – Wettbewerb in Recht und Praxis, 7/2024, 790. https://www.tcilaw.de/wp-content/uploads/2024/06/WRP_07_24_Beitrag_Schmidt.pdf

Verwandte Beiträge

© rcphotostock - Freepik.com
Trendradar, Wissensbox Recht

Haftung für KI-generierte fehlerhafte Informationen auf der Website

Datenschutz, Recht verstehen
Mit KI-Systemen können große Datenmengen automatisiert aufbereitet werden. Doch was, wenn dabei fehlerhafte Inhalte veröffentlicht werden? Schützt dann ein Haftungsausschluss?
© sac70 - Freepik.com
Wissensbox Recht

Der Auskunftsanspruch gem. Art. 15 DSGVO – so antworten Sie richtig

Datenschutz & -sicherheit, Gesetze & Regelungen, Recht verstehen, Risk & Compliance
Verarbeitet ein Unternehmen personenbezogene Daten, so haben wir Betroffenen ein Auskunftsrecht nach Art. 15 DSGVO. Wir erklären, wie Sie auf ein entsprechendes Auskunftsersuchen richtig antworten.
© Rawpixel.com - Freepik.com
Wissensbox Recht

Wann sind Daten wirklich anonym?

Datenschutz, Recht verstehen
Was unterscheidet anonyme Daten von Pseudonymen? Welche Kategorien kennt die DSGVO? Wir geben einen Überblick und erklären den Unterschied.
Abmahnung per E-Mail© rawpixel.com - Freepik.com
Wissensbox Recht

Abmahnungen per Mail

Gesetze & Regelungen, Recht verstehen
Eine Abmahnung muss klar und konkret formuliert sein. Doch auf welchem Weg sollte sie zugestellt werden? Das OLG Hamm hält dies fest.
© Shai Halud - Freepik.com
Wissensbox Recht

Datennutzung und KI – Hamburger Urteil zum Urheberrecht

Datenschutz, Gesetze & Regelungen, Risk & Compliance
Ohne Trainingsdaten kein KI-Modell. Doch welche Vorgaben gelten beim Erstellen von Trainingssätzen? Und wie schützt man eigene Inhalte? Damit beschäftigte sich das Landgericht Hamburg.
Recht für digitale Produkte© Freepik.com
Wissensbox Recht

Neues Recht für digitale Produkte

Gesetze & Regelungen, Recht verstehen
Bislang existierten keine speziellen Regelungen für Verträge über Software, Musik- und Videodateien oder Cloud-Anwendungen. Seit 2022 gibt es neues Recht für digitale Produkte, das für alle Verbraucherverträge gilt.