Das vom Interactive Advertising Bureau (IAB) ins Leben gerufene Transparency and Consent Framework (TCF) wird nach der Entscheidung des Europäischen Gerichtshof nachgebessert werden müssen. Das Gericht hat entschieden (EuGH, Urteil vom 6.3.2024, C-604/22), dass der sog. TC-String als personenbezogenes Datum einzuordnen ist. Zudem geht der EuGH davon aus, dass der IAB gemeinsam mit den Mitgliedern der IAB verantwortlich für einen Teil der Datenverarbeitung ist. Im Nachgang zum Urteil des EuGH wird das vorlegende belgische Gericht (Hof van beroep te Brussel) nunmehr prüfen müssen, ob und für welche Verarbeitungsvorgänge die Voraussetzungen für die gemeinsame Verantwortlichkeit tatsächlich vorliegen und den Rechtsstreit zwischen der belgischen Datenschutzaufsichtsbehörde und dem IAB entscheiden. Für Unternehmen, die das IAB TCF im Rahmen der personalisierten Online-Werbung, insbesondere beim Real Time Bidding nutzen, kommen daher wohl Änderungen zu.

Zum Hintergrund:

Das IAB TCF sollte die Antwort auf die Anforderungen der DSGVO und der Cookie-Richtlinie (RL 2002/58/EG, zuletzt geändert durch Art. 2 RL 2009/136/EG vom 25.11.2009) sein und Werbetreibenden sowie Vermarktern rechtssichere Online-Werbung ermöglichen. Das IAB TCF macht deswegen unter anderem Vorgaben dazu, wie Einwilligungen durch Dienstebetreiber einzuholen sind, die das IAB TCF für die Werbung nutzen wollen. Wesentlicher Teil des IAB TCF (mittlerweile Version 2.2) ist der sogenannte TC-String, eine Zeichenfolge, die die wesentlichen Informationen über einen Nutzer enthält, etwa, welche Einwilligungen erteilt wurden, auf welcher Webseite oder App die Einwilligung erteilt wurde und für welche Empfänger etc. Diese Zeichenkette wird zusammen mit der IP-Adresse an den IAB und die anderen Mitglieder übermittelt.

Die belgische Datenschutzaufsichtsbehörde (Gegevensbeschermingsautoriteit) hatte das IAB TCF angegriffen und diverse Praktiken für DSGVO-widrig erklärt. Das IAB ist gegen diese Entscheidung vorgegangen und hat sie gerichtlich angefochten. Parallel wurde das IAB TCF weiterentwickelt, um bestimmte Kritikpunkte der belgischen Aufsichtsbehörde in einem von dieser geforderten und schließlich 2023 auch genehmigten Action-Plan des IAB umzusetzen. Im Rahmen der gerichtlichen Auseinandersetzung hatte das zuständige Gericht in Belgien an den EuGH mehrere Fragen zur Vorabentscheidung vorgelegt. Im Kern möchte das Gericht wissen, ob das IAB Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist und ob der TC-String ein personenbezogenes Datum darstellt.

Zur Entscheidung:

Im Wesentlichen folgt der EuGH der Ansicht der belgischen Aufsichtsbehörde und festigt seine Rechtsprechung, nach der der Begriff des personenbezogenen Datums weit zu verstehen ist. Auch wenn im Rahmen des IAB TCF der IAB nur auf den TC-String zugreifen kann, der für sich genommen keine Informationen enthält, anhand derer der IAB eine natürliche Person ohne weitere Hilfsmittel identifizieren kann, gilt der String gleichwohl als personenbezogenes Merkmal da er – funktionsbedingt – einem bestimmten Nutzer zuordenbar ist und der Nutzer damit identifizierbar ist. Es genügt nach Ansicht des EuGH, dass diese Personenbeziehbarkeit besteht, unabhängig davon, ob zum TC-String zusätzlich noch die IP-Adresse des Nutzers übermittelt wird.

Ebenso im Einklang mit seiner bisherigen Rechtsprechung hat der EuGH die Verantwortlicheneigenschaft des IAB zumindest im Grunde angenommen, vorbehaltlich der weiteren Sachverhaltsaufklärung durch das vorlegende Gericht. Wenn der IAB – wie der EuGH vermutet – gemeinsam mit den Mitgliedern nämlich Zwecke und Mittel der Verarbeitung festlegen, indem etwa bei der Erstellung des IAB TCF die Standards für die Speicherung von Einwilligungspräferenzen und die Übermittlung im IAB TCF gemeinsam festgelegt werden, würde diese Einflussnahme eine Verantwortlichkeit begründen. Davon zu trennen ist die Datenverarbeitung, die nach der Speicherung des IAB TCF erfolgt.

Praxisfolgen:

Unternehmen, die das IAB TCF nutzen, werden sich auf Änderungen einstellen müssen: Das IAB TCF 2.2. erfüllt noch nicht alle Vorgaben des EuGH. Bei einer weiteren Verwendung des IAB TCF muss daher zwingend geprüft werden, ob die Datenverarbeitung trotz der EuGH-Entscheidung rechtmäßig ist. Das vorlegende belgische Gericht wird abschließend über das IAB TCF urteilen und insbesondere die Frage der (gemeinsamen) Verantwortlichkeit klären. Das IAB, welches die Entscheidung wegen der Klarstellung der Verantwortungssphären begrüßt, hat bereits angekündigt, in Kürze über das weitere Vorgehen zu informieren.

---

Update (Mai 2025)

Der Cour des Marchés in Brüssel hat am 14. Mai 2025 die wesentlichen Feststellungen der belgischen Aufsichtsbehörde bestätigt, aber dessen formelle Entscheidung 21/2022 aufgehoben. Infolge des Urteils des EuGH stellen die TC-Strings personenbezogene Daten im Sinne der DSGVO dar und IAB Europe ist als gemeinsamer Verantwortlicher für die Verarbeitung dieser Präferenzen innerhalb des TCF zu qualifizieren. Das Gericht stellte jedoch klar, dass IAB Europe nicht gemeinsam für die Verarbeitungsaktivitäten verantwortlich ist, die vollständig über das OpenRTB-Protokoll durchgeführt werden. Aufgrund der Aufhebung der Entscheidung der Behörde aus formalen Gründen muss die Behörde nun erneut prüfen, wie sowohl die Geldbuße als auch die Verpflichtung zur Vorlage eines Abhilfemaßnahmenplans rechtlich zu begründen sind.