Rechtssache C‑604/22

IAB Europe

gegen

Gegevensbeschermingsautoriteit

(Vorabentscheidungsersuchen des Hof van beroep te Brussel)

Urteil des Gerichtshofs (Vierte Kammer) vom 7. März 2024

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Normative Branchenorganisation, die ihren Mitgliedern Regeln für die Verarbeitung der Einwilligung von Nutzern anbietet – Art. 4 Nr. 1 – Begriff ‚personenbezogene Daten‘ – Folge von Buchstaben und Zeichen, die in strukturierter und maschinenlesbarer Form die Präferenzen eines Internetnutzers in Bezug auf seine Einwilligung in die Verarbeitung seiner persönlichen Daten erfasst – Art. 4 Nr. 7 – Begriff ‚Verantwortlicher‘ – Art. 26 Abs. 1 – Begriff ‚gemeinsam Verantwortliche‘ – Organisation, die selbst keinen Zugang zu den von ihren Mitgliedern verarbeiteten personenbezogenen Daten hat – Verantwortlichkeit der Organisation, die sich auf die Weiterverarbeitung von Daten durch Dritte erstreckt“

1. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Begriff „personenbezogene Daten“ – Folge von Buchstaben und Zeichen, die die Präferenzen eines Internetnutzers in Bezug auf seine Einwilligung in die Verarbeitung seiner persönlichen Daten enthält – Einbeziehung – Voraussetzung – Zeichenfolge, die es erlaubt, die betroffene Person zu identifizieren – Unmöglichkeit für eine Branchenorganisation, die im Besitz dieser Zeichenfolge ist, auf die von ihren Mitgliedern verarbeiteten Daten zuzugreifen oder diese Zeichenfolge mit anderen Elementen zu kombinieren – Keine Auswirkung

   (Verordnung 2016/679 des Europäischen Parlaments und des Rates, Art. 4 Nr. 1)

   (vgl. Rn. 41-51, Tenor 1)

2. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Begriff „gemeinsam Verantwortliche“ – Normative Branchenorganisation, die ihren Mitgliedern Regeln für die Verarbeitung der Einwilligung von Nutzern anbietet – Einbeziehung – Voraussetzung – Einflussnahme dieser Organisation auf die betreffende Verarbeitung personenbezogener Daten sowie Festlegung der Zwecke der und Mittel zur betreffenden Verarbeitung durch diese Organisation gemeinsam mit ihren Mitgliedern – Organisation, die keinen unmittelbaren Zugang zu den von ihren Mitgliedern verarbeiteten personenbezogenen Daten hat – Keine Auswirkung

   (Verordnung 2016/679 des Europäischen Parlaments und des Rates, Art. 4 Nr. 7 und Art. 26 Abs. 1)

   (vgl. Rn. 57-68, 77, Tenor 2)

3. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Gemeinsame Verantwortlichkeit für die Verarbeitung – Normative Branchenorganisation, die ihren Mitgliedern Regeln für die Verarbeitung der Einwilligung von Nutzern anbietet – Gemeinsame Verantwortlichkeit dieser Organisation, die sich automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte erstreckt – Fehlen

   (Verordnung 2016/679 des Europäischen Parlaments und des Rates, Art. 4 Nr. 7 und Art. 26 Abs. 1)

   (vgl. Rn. 74-77, Tenor 2)

Zusammenfassung

Der mit einem Vorabentscheidungsersuchen befasste Gerichtshof erläutert zum einen den Begriff „personenbezogene Daten“ ( 1 ) und zum anderen die Voraussetzungen, unter denen eine Branchenorganisation, soweit sie ihren Mitgliedern einen Regelungsrahmen in Bezug auf die Einwilligung in die Verarbeitung personenbezogener Daten anbietet, als „gemeinsam Verantwortlicher“ ( 2 ) zu qualifizieren ist. Er legt ferner die Grenzen der gemeinsamen Verantwortlichkeit einer solchen Organisation fest.

IAB Europe ist ein Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien, der Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt.

IAB Europe entwickelte das „Transparency & Consent Framework“ (im Folgenden: TCF), einen Regelungsrahmen, der sicherstellen soll, dass die Verarbeitung personenbezogener Daten eines Nutzers einer Website oder Anwendung durch bestimmte Wirtschaftsteilnehmer mit der DSGVO in Einklang steht. Das TCF erleichtert die Einhaltung der DSGVO, wenn diese Wirtschaftsteilnehmer das OpenRTB nutzen, ein Protokoll für Real Time Bidding, also ein System der sofortigen und automatisierten Online-Versteigerung von Nutzerprofilen für den Verkauf und den Kauf von Werbeplätzen im Internet.

In diesem Zusammenhang erleichtert das TCF die Erfassung der Nutzerpräferenzen, die anschließend in einem String kodiert und gespeichert werden, der aus einer Kombination von Buchstaben und Zeichen besteht und von IAB Europe als Transparency and Consent String (im Folgenden: TC‑String) bezeichnet wird. Dieser wird mit den an dem OpenRTB-Protokoll beteiligten Brokern für personenbezogene Daten und Werbeplattformen geteilt, damit diese wissen, worin der Nutzer eingewilligt hat. Auf dem Gerät des Nutzers wird auch ein Cookie gespeichert, das, mit dem TC‑String kombiniert, der IP‑Adresse dieses Nutzers zugeordnet werden kann.

Auf mehrere Beschwerden gegen IAB Europe hin verpflichtete die Streitsachenkammer der Gegevensbeschermingsautoriteit (Datenschutzbehörde, Belgien) mit ihrem Beschluss vom 2. Februar 2022 IAB Europe als Verantwortliche dazu, die Verarbeitung personenbezogener Daten im Rahmen des TCF mit den Bestimmungen der DSGVO in Einklang zu bringen.

IAB Europe legte gegen diesen Beschluss beim Hof van beroep te Brussel (Appellationshof Brüssel, Belgien) ein Rechtsmittel ein. Da der Appellationshof Brüssel Zweifel hegt, ob ein TC‑String – gegebenenfalls in Kombination mit einer IP‑Adresse – ein personenbezogenes Datum darstelle und, gegebenenfalls, ob IAB Europe im Rahmen des TCF als Verantwortlicher anzusehen sei, insbesondere im Hinblick auf die Verarbeitung des TC‑Strings, hat er den Gerichtshof um Vorabentscheidung ersucht.

Würdigung durch den Gerichtshof

Der Gerichtshof stellt erstens fest, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC‑String die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung von ihn betreffenden personenbezogenen Daten durch Dritte oder in Bezug auf seinen etwaigen Widerspruch gegen eine auf ein behauptetes berechtigtes Interesse ( 3 ) gestützte Verarbeitung solcher Daten enthält.

Insoweit geht der Gerichtshof davon aus, dass der TC‑String, soweit seine Verknüpfung mit der IP‑Adresse des Geräts eines Nutzers oder anderen Kennungen die Identifizierung dieses Nutzers ermöglicht, Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum ( 4 ) darstellt. Der Umstand, dass IAB Europe den TC‑String nicht selbst mit der IP‑Adresse des Geräts eines Nutzers kombinieren kann und nicht über die Möglichkeit verfügt, unmittelbar auf die von seinen Mitgliedern im Rahmen des TCF verarbeiteten Daten zuzugreifen, steht der Einstufung eines TC‑Strings als „personenbezogenes Datum“ ( 5 ) nicht entgegen.

Im Übrigen sind die Mitglieder von IAB Europe verpflichtet, diesem auf Anfrage alle Informationen zu übermitteln, die es ihm ermöglichen, die Nutzer zu identifizieren, deren Daten Gegenstand eines TC‑Strings sind. Vorbehaltlich der vom vorlegenden Gericht insoweit vorzunehmenden Prüfungen ist daher davon auszugehen, dass IAB Europe über Mittel verfügt, die es ihm nach allgemeinem Ermessen ermöglichen, eine bestimmte natürliche Person anhand der Informationen zu identifizieren, die ihm seine Mitglieder und andere am TCF teilnehmende Organisationen zur Verfügung stellen müssen ( 6 ).

Der Gerichtshof kommt somit zu dem Schluss, dass ein TC‑String ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO darstellt. Es ist unerheblich, dass eine solche Branchenorganisation ohne einen Beitrag von außen, den sie verlangen kann, weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch den TC‑String mit anderen Kennungen, wie der IP‑Adresse des Geräts eines Nutzers, kombinieren kann.

Zweitens prüft der Gerichtshof, ob IAB Europe als gemeinsam Verantwortlicher angesehen werden kann ( 7 ). Hierzu ist zu beurteilen, ob diese Organisation aus Eigeninteresse auf die Verarbeitung personenbezogener Daten, wie des TC‑Strings, Einfluss nimmt und gemeinsam mit anderen die Zwecke der und die Mittel zur fraglichen Verarbeitung festlegt.

Was zunächst die Zwecke einer solchen Datenverarbeitung betrifft, führt der Gerichtshof aus, dass das TCF im Wesentlichen den Verkauf und den Kauf von Werbeflächen im Internet durch bestimmte Wirtschaftsteilnehmer, die an der Online-Versteigerung von Werbeflächen teilnehmen, fördern und ermöglichen soll. Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen ist daher festzustellen, dass IAB Europe aus Eigeninteresse auf die Verarbeitungen personenbezogener Daten Einfluss nimmt und damit gemeinsam mit seinen Mitgliedern die Zwecke solcher Vorgänge festlegt.

Was zweitens die für die Datenverarbeitung eingesetzten Mittel betrifft, stellt der Gerichtshof fest, dass vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen das TCF einen Regelungsrahmen darstellt, an den sich die Mitglieder von IAB Europe halten müssen, wenn sie diesem Verband beitreten. Insbesondere kann IAB Europe, wenn eines seiner Mitglieder die Regeln nicht einhält, einen Beschluss erlassen, in dem die Nichteinhaltung festgestellt und eine Suspendierung ausgesprochen wird, und der zum Ausschluss dieses Mitglieds vom TCF führen und es daran hindern kann, sich auf die Garantie der Einhaltung der DSGVO zu berufen, die das TCF für die mittels TC‑Strings durchgeführte Datenverarbeitung geben soll. Außerdem enthält das von IAB Europe erstellte TCF technische Spezifikationen für die Verarbeitung des TC‑Strings sowie genaue Regeln für den Inhalt des TC‑Strings, dessen Speicherung und Austausch. Zudem unterstreicht der Gerichtshof, dass IAB Europe im Rahmen dieser Regeln die standardisierte Art und Weise vorschreibt, wie die verschiedenen am TCF beteiligten Parteien die in den TC‑Strings enthaltenen Präferenzen, Einwände und Einwilligungen der Nutzer einsehen können.

Unter diesen Umständen und vorbehaltlich der erwähnten Prüfungen schließt der Gerichtshof, dass eine Branchenorganisation wie IAB Europe aus Eigeninteresse auf die Verarbeitungen personenbezogener Daten Einfluss nimmt und damit gemeinsam mit seinen Mitgliedern die Mittel festlegt, die diesen Vorgängen zugrunde liegen. Sie ist daher als „gemeinsam Verantwortlicher“ ( 8 ) anzusehen.

Schließlich stellt der Gerichtshof klar, dass zwischen der Verarbeitung personenbezogener Daten durch die Mitglieder von IAB Europe wie beispielsweise Anbieter von Websites oder Anwendungen, Datenbroker oder auch Werbeplattformen, bei der Speicherung der Einwilligungspräferenzen der betreffenden Nutzer in einem TC‑String nach den im TCF festgelegten Regeln auf der einen Seite und der Weiterverarbeitung dieser Daten durch diese Wirtschaftsteilnehmer und durch Dritte auf der Grundlage dieser Präferenzen, wie beispielsweise die Übermittlung der Daten an Dritte oder das Angebot personalisierter Werbung an diese Nutzer, auf der anderen Seite unterschieden werden muss.

Eine Branchenorganisation wie IAB Europe kann daher nur dann als für solche Weiterverarbeitungen verantwortlich angesehen werden, wenn feststeht, dass sie Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausgeübt hat, was das vorlegende Gericht zu prüfen hat.

( 1 ) Im Sinne von Art. 4 Nr. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1) (im Folgenden: DSGVO).

( 2 ) Im Sinne von Art. 26 Abs. 1 DSGVO.

( 3 ) Im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO.

( 4 ) Im Sinne von Art. 4 Nr. 1 DSGVO.

( 5 ) Im Sinne von Art. 4 Nr. 1 DSGVO.

( 6 ) Wie es im 26. Erwägungsgrund der DSGVO heißt.

( 7 ) Im Sinne von Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO.

( 8 ) Im Sinne von Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO.