Der Europäische Gerichtshof (EuGH) hat im Verfahren um den verbreiteten TCF-Branchenstandard für Tracking-Einwilligungen in Websites und Apps am 7. März 2024 ein weiteres wichtiges Urteil gefällt. Konkret wurde jetzt entschieden, dass es sich bei den Einwilligungssignalen, den so genannten Transparency and Consent Strings (TC-Strings), um personenbezogene Daten handelt und dass der Branchenverband Interactive Advertising Bureau Europe (IAB Europe) bei ihrer Verarbeitung datenschutzrechtlich (Mit-)Verantwortlicher ist.
TC-Strings sind Kombinationen von Buchstaben und Zahlen, die anzeigen, ob und in welchem Umfang Nutzer:innen der Verwendung ihrer Daten bei Verwendung eines Cookie-Banners zugestimmt haben. Auf Grundlage der in dem TC-String abgespeicherten Informationen werden die Werbeflächen auf beziehungsweise in der genutzten Website oder App im Rahmen eines sogenannten Real-Time-Bidding-Verfahrens versteigert, um so personalisierte Werbung schalten zu können. Dadurch, dass über den TC-String Rückschlüsse auf die Person möglich sind, die die Website oder App nutzt, handelt es sich bei dem TC-String um ein personenbezogenes Datum.
Bei der Speicherung der Einwilligungspräferenzen in einem TC-String ist der Branchenverband IAB Europe datenschutzrechtlich (mit-)verantwortlich, weil das IAB Europe dabei Einfluss auf die Datenverarbeitung nimmt und zusammen mit seinen Mitgliedern die Zwecke und Mittel derselben festlegt, so der EuGH. IAB Europe hat das Transparency and Consent Framework (TCF) entwickelt, das Rahmenbedingungen bereitstellen soll, die es ermöglichen, die Anzeige personalisierter Werbung mit der DSGVO in Einklang zu bringen. Zur technischen Umsetzung dieser Rahmenbedingungen bietet IAB Europe die Consent Management Platform (CMP) an. Mit dieser kann auf einer Website die Einwilligung zur Verarbeitung personenbezogener Daten eingeholt werden, die dann in den TC-String mitaufgenommen wird.
Das Urteil des EuGH wird Anpassungen am TCF-Standard erfordern, direkter Umsetzungsbedarf für Website- und App-Betreiber besteht jedoch vorerst nicht. IAB Europe wird in den nächsten Wochen eine Anpassung am derzeit gültigen TCF 2.2 vornehmen, der dann von den CMP-Anbietern und den Tracking-Dienstleistern umgesetzt werden muss.
Das Urteil wird auch als weiteres deutliches Signal des EuGH gewertet, dass sowohl das Verständnis der datenschutzrechtlichen Verantwortlichkeit als auch die Definition des Begriffs der personenbezogenen Daten äußerst weit auszulegen sind – man kann der DSGVO also nicht so leicht „entkommen“.
(Dr. Lukas Mezger, UNVERZAGT Rechtsanwälte)