Was die Entscheidung für Unternehmen aus der Onlinemarketing-Branche bedeutet
Am 14. Mai hat das Brüsseler Berufungsgericht das vorläufig letzte Urteil im langjährigen Streit zwischen dem Verband der Onlinemarketingbranche IAB Europe und der belgischen Datenschutzbehörde APD gefällt (Az. 2022/AR/292). Während die ursprüngliche Entscheidung der Datenschutzbehörde aus Verfahrensgründen aufgehoben wurde, bestätigte das Gericht mehrere ihrer wichtigsten inhaltlichen Feststellungen. Das Urteil hat weitreichende Folgen für das Transparency and Consent Framework, den von IAB Europe entwickelten Branchenstandard für die Erhebung und Nutzung von Tracking-Einwilligungen in der Onlinewerbung.
IAB Europe muss nach unserer Einschätzung des Urteils nun zusätzlich zu den bereits in der TCF-Version 2.2 erfolgten Anpassungen voraussichtlich ein weiteres „Update“ vornehmen. Unternehmen, die sich auf den TCF-Standard stützen, sollten die Umsetzung des Urteils im Auge behalten.
Hintergrund des Falls
Im Februar 2022 hatte die belgische Datenschutzbehörde in einer vielbeachteten Entscheidung festgestellt, dass der TCF-Standard von IAB Europe in mehrfacher Hinsicht gegen die Datenschutzgrundverordnung verstoße. Die APD war zu dem Schluss gekommen, dass IAB Europe bei der Verarbeitung von TCF-basierten Einwilligungs-Einstellungen von Nutzern („Consent Signals“) als gemeinsamer Verantwortlicher der handelnden Unternehmen anzusehen sei. Sie verhängte eine Geldbuße in Höhe von 250.000 Euro und wies IAB Europe an, verschiedene Anpassungen am TCF-Standard vorzunehmen.
IAB Europe legte gegen die Entscheidung Berufung ein, woraufhin die Brüsseler Richter dem Europäischen Gerichtshof zunächst eine Reihe von Vorfragen vorlegten. In seinem Urteil vom März 2024 bestätigte der EuGH dann, dass es sich bei der nutzerspezifischen Einwilligungs-Codierung („TC String“) in der Tat um personenbezogene Daten handele und dass IAB Europe bei deren Verarbeitung als gemeinsamer Verantwortlicher angesehen werden kann. Das jetzt gefällte Urteil setzt die Vorabentscheidung des EuGH um und schließt den Fall vorerst ab.
Inhalt des Urteils
Das Brüsseler Berufungsgericht erklärte die Entscheidung der belgischen Datenschutzbehörde aufgrund von Verfahrensmängeln zwar für nichtig – bestätigte ihre inhaltlichen Schlussfolgerungen jedoch weitgehend:
- Die Einwilligungs-Codes („TC Strings“) sind personenbezogene Daten, auf ihre Verarbeitung ist die DSGVO ist also voll anwendbar. Diese Einschätzung hatten wir seit dem Beginn des Verfahrens geteilt – sofern man den TC String zusammen mit den jeweiligen Tracking-Identifikatoren betrachtet – und mit unseren Kunden umgesetzt.
- IAB Europe ist hinsichtlich der Erstellung, Speicherung und Weiterleitung von TC Strings zusammen mit den am TCF teilnehmenden Unternehmen als datenschutzrechtlich gemeinsam Verantwortlicher anzusehen. Das Berufungsgericht setzt damit die Linie der Datenschutzbehörden und Gerichte fort, den Anwendungsbereich der gemeinsamen Verantwortlichkeit weit zu ziehen.
- IAB Europe muss sicherstellen, dass für die Verarbeitung der TC Strings eine Rechtsgrundlage (sprich: eine Einwilligung der betroffenen Nutzer) vorliegt.
- Darüber hinaus müssen hinsichtlich Transparenz und Datensicherheit bei der Verarbeitung von TC Strings zusätzliche Schritte getroffen werden.
- Die gegen IAB Europe verhängte Geldbuße in Höhe von 250.000 € wurde aufrecht erhalten.
Praktische Folgen des Urteils für Unternehmen, die Online-Werbung auf der Grundlage des TCF schalten oder ausspielen
Auch wenn das IAB Europe als Reaktion auf die Entscheidung der belgischen Datenschutzbehörde bereits Anpassungen vorgenommen und dazu im Mai 2023 auf die Version 2.2 umgestellt hatte, wird das Urteil eine weitere Überarbeitung des TCF-Standards erforderlich machen. Diese könnte folgendermaßen aussehen:
- Es ist davon auszugehen, dass die dem TCF zugrunde liegende Nutzungsvereinbarung um eine Vereinbarung über eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO hinsichtlich der Verarbeitung der TC Strings ergänzt wird. Darin würden die teilnehmenden Unternehmen lediglich erneut vertraglich zur Einhaltung der Transparenzvorschriften und zum ordnungsgemäßen Einwilligungsmanagement verpflichtet; darüber hinaus würde darin die Verantwortlichkeit insbesondere für die Beantwortung von Betroffenenrechteanfragen geregelt. Für am TCF teilnehmende Unternehmen, die das TCF 2.2 bereits jetzt ordnungsgemäß umgesetzt haben, ist die praktische Bedeutung dieser Anpassung gering.
- Eine Möglichkeit, um eine ausreichende Rechtsgrundlage für die Erstellung, Speicherung und Übermittlung der TC Strings zu schaffen, kann der bei der Umstellung auf das TCF 2.2 bereits aufgenommene zusätzliche Verarbeitungszweck („Consent Purpose“) sein, der bei den Nutzern regelmäßig mit abgefragt wird. Alle Unternehmen, die diese Daten als so genannte Vendoren empfangen und nutzen, wurden von IAB Europe bereits aufgefordert, ihre Registrierung dementsprechend zu ergänzen. Hier könnte es sich jetzt also lohnen, die ordnungsgemäße Umsetzung dieser Anforderung noch einmal zu überprüfen. Wer innerhalb des TCF lediglich als Publisher agiert, muss hier jedoch weiterhin nichts tun, außer für die Einwilligungsabfrage einen TCF-konformen CMP-Dienst einzusetzen.
- Publisher und an sie angeschlossene Vermarktungsunternehmen (Vendoren) müs- sen die Einhaltung der Anforderungen an TCF-Teilnehmer strenger kontrollie-
ren – wovon letztlich alle teilnehmenden Unternehmen profitieren sollten.
Eine alternative Vorgehensweise für IAB Europe wäre, die Nutzungsvereinbarung für am TCF teilnehmende Unternehmen dahin gehend umzuschreiben, dass es seine eigene Rolle noch weiter zurück nimmt, um eine gemeinsame Verantwortlichkeit doch noch zu vermeiden. Auf diese Weise würden die praktischen Konsequenzen der Entscheidung noch weiter reduziert.
Da im Netz teilweise Gegenteiliges zu lesen ist, sei an dieser Stelle aber noch einmal ausdrücklich festgehalten: An der grundsätzlichen Architektur des TCF wird sich in der Folge dieses Urteils aller Voraussicht nach nichts ändern.
Ausblick
Für Unternehmen, die Online-Werbung auf der Grundlage des TCF schalten oder ausspielen, kann die jetzt vorliegende Entscheidung aber zum Anlass dienen, die eigene TCF-Compliance zu überprüfen – wir helfen gern dabei. Wer bislang außerhalb des TCF-Standards agierte, kann seine Entscheidung nun noch einmal überdenken. Da die beschriebenen Anforderungen im Wesentlichen bereits umgesetzt sind, ist die Rechtssicherheit des Einwilligungsmanagements für die Online-Werbung für die teilnehmenden Unternehmen in der aktuellen TCF-Version letztlich sogar gewachsen.
(Dr. Lukas Mezger, Unverzagt Law)