Der TC-String
Der TC-String wurde von der IAB entwickelt, um die, nach Ansicht des IAB, datenschutzkonforme Nutzung von Nutzerdaten im Real-Time-Bidding (RTB) zu ermöglichen.
Im RTB geben Online-Werbetreibende anonym und in Echtzeit Gebote ab, um nutzerprofilbasierte Onlinewerbeflächen zu erwerben. Anschließend werden Anzeigen eingeblendet, die dem Nutzerprofil entsprechen.
RTB ermöglicht es den Werbetreibenden, gezielt Werbung an individuelle Nutzer auszuspielen. Die Gebote basieren nämlich auf umfangreichen Daten wie Standort, Alter, Browserverlauf und Kaufhistorie des Nutzers, die über Cookies, Tracking-Tags oder andere Mechanismen gesammelt wurden.
Der TC-String kommt im Rahmen des Transparency and Consent Framework (TCF), welcher die Erfassung der Nutzerpräferenzen mittels Consent Management Platforms (CMPs) erleichtern soll, zum Einsatz.
Das TCF ist ein “freiwilliger Standard”, der jedoch eine Pflichtvoraussetzung ist, um am RTB teilzunehmen, der die Einhaltung von Datenschutzbestimmungen bei der Erhebung und Verarbeitung von personenbezogenen Daten gewährleisten soll. Das TCF richtet sich an drei Hauptgruppen von Stakeholdern:
- Publisher: Eigentümer oder Betreiber von Online-Inhalten oder -Diensten
- Vendors: Drittunternehmen, die normalerweise keinen direkten Zugang zu Endbenutzern von Verlagen haben, und
- Consent Management Platforms (CMPs): Software- oder Lösungsanbieter, die Hinweise (z. B. Cookie-Banner) entwickeln
Bei Verwendung des TCF wird beim Abrufen einer Webseite der Transparency and Consent TC-String generiert, welcher eine verschlüsselte Zeichenkette darstellt und Informationen über die Nutzer enthält. Der String wird bereits vor Abgabe oder Abfrage einer Einwilligung generiert.
In vielen gängigen Consent-Bannern wird das TCF der IAB Europe eingebunden, unabhängig davon, ob die Verwender des Cookie-Banners am RTB-Verfahren teilnehmen. Somit ist das Thema nicht nur für diejenigen Werbetreibenden wichtig, die am RTB teilnehmen, sondern auch für alle anderen Stakeholder, die sich an dem TCF bedienen.
Mehr zu TC- Strings und dem „Transparency and Consent Framework“ (TCF):
- Belgische Datenschutzaufsicht – Verbreiteter Baustein für Cookie-Banner rechtswidrig.
- IAB Europe: Transparency & Consent Framework
Hintergründe zum Urteil
Bereits im Jahr 2022 geriet die IAB Europe in den Fokus der Datenschutzbehörden. Die belgische Datenschutzbehörde (Autorité de protection des données (APD)) befand, dass der von der IAB Europe entwickelte TC-String ein personenbezogenes Datum im Sinne der DS-GVO darstelle. Die APD warf der IAB Europe vor, die datenschutzrechtlichen Vorschriften der DS-GVO nicht vollständig eingehalten zu haben.
Infolgedessen verhängte die Behörde gegen IAB Europe mehrere Abhilfemaßnahmen und ordnete ein Bußgeld in Höhe von 250.000 € an.
Die IAB Europe focht den Bescheid vom 02. Februar 2022 an und wandte sich an den Hof van beroep te Brussel (Appellationshof Brüssel, Belgien). Der Appelationshof Brüssel legte daraufhin dem Europäischen Gerichtshof (EuGH) Fragen zur Vorabentscheidung vor, um eine klare rechtliche Einordnung des TC-Strings und der Rolle der IAB Europe zu erwirken.
Mehr zu der Entscheidung der APD und ein entsprechendes FAQ zu dem Thema:
Vorabentscheidungsfragen des Appellationshofs Brüssel und die Entscheidung des EuGH
Der Appellationshof Brüssel stellte folgende Fragen:
- Stellt der TC-String personenbezogene Daten im Sinne des Art. 4 Nr.1 DS-GVO dar, auch wenn die IP-Adresse des Nutzers nicht direkt im String enthalten ist, sondern separat gespeichert und nur bei Bedarf zugeordnet wird?
- Kann die IAB Europe als „gemeinsamer Verantwortlicher“ im Sinne des Art. 4 Nr.7 DS-GVO für die Verarbeitung der im TC-String enthaltenen Daten angesehen werden,
obwohl sie den TC-String nicht selbst erstellt oder verarbeitet,
sondern lediglich Vorgaben für seine Erstellung und Verwendung festlegt?
Im Folgenden eine Zusammenfassung des EuGH-Urteils vom 07.03.2024 - C-604/22.
Qualifikation des TC- Strings: Nach der Entscheidung des EuGH steht nun fest, dass TC-Strings personenbezogene Daten gem. Art. 4 Nr.1 DS-GVO darstellen. Die Entscheidung begründet sich damit, dass die im TC-String enthaltenen Informationen, wie z. B. Werbepräferenzen und Browsing-Verhalten, in Kombination mit der IP-Adresse des Nutzers ausreichen, um ihn zu identifizieren. Die Tatsache, dass die IP- Adresse nicht direkt im TC- String gespeichert werde, sondern separat, ändere nichts an der Personenbeziehbarkeit des Strings als solches.
Die Verantwortlichkeit der IAB Europe wurde geklärt: Der EuGH entschied, dass IAB Europe als gemeinsam Verantwortlicher mit den jeweiligen Websitebetreibern betrachtet werden kann.
Dies liegt daran, dass sie ihren Mitgliedern einen Regelungsrahmen für die Verarbeitung personenbezogener Daten bereitstellt. Dieser Rahmen enthält nicht nur technische Vorschriften, sondern auch detaillierte Anweisungen zur Speicherung und Verarbeitung der betreffenden Daten. Somit nimmt sie gemeinsam mit ihren Mitgliedern aktiv Einfluss auf die Verarbeitung der personenbezogenen Daten und legt die Zwecke und Mittel einer solchen Verarbeitung fest.
Selbst wenn kein Zugang zu diesen verarbeiteten Daten bestünde, würde dies eine gemeinsame Verantwortlichkeit im Sinne der DSGVO nicht ausschließen.
Wenn es sich jedoch um eine vor- oder nachgelagerte Datenverarbeitung handelt, für die keine Zwecke oder Mittel festgelegt wurden, kann eine natürliche oder juristische Person nicht als gemeinsam Verantwortlicher angesehen werden.
Da IAB Europe keine Regelung für vor- oder nachgelagerte Datenverarbeitungen hat, erstreckt sich die gemeinsame Verantwortlichkeit deshalb nicht automatisch auf die Weiterverarbeitung der personenbezogenen Daten.
Auswirkungen
Es ist wichtig zu beachten, dass das Urteil des EuGH nicht über den nationalen Rechtsstreit entscheidet. Das bedeutet, dass die Entscheidung der belgischen Datenschutzbehörde gegen die IAB Europe weiterhin nicht rechtskräftig ist. Das nationale Gericht muss nun im Einklang mit der Entscheidung des Gerichtshofs über die Rechtssache entscheiden. Das belgische Gericht muss den Sachverhalt erneut prüfen und entscheiden, ob die gegen die IAB Europe verhängten Abhilfemaßnahmen bestehen bleiben.
Da Einwilligungen, die über TCF-basierte Consent Tools eingeholt werden, mangels Einwilligung in die Generierung und Übermittlung eines TC-Strings unwirksam sind, hat die Entscheidung des europäischen Gerichthofs Auswirkungen auf alle Stakeholder, die sich dem TCF der IAB Europe bedienen.
Handlungsempfehlungen
Einige Consent-Manager-Dienste bieten das TCF-Framework optional an und implementieren das Framework, sowie den TC-String erst, wenn der Website-Betreiber es aktiviert.
Bitte prüfen Sie zunächst das von Ihnen genutzte Tool und die dort vorgenommenen Einstellungen. Wenn Ihr Einwilligungstool die Möglichkeit bietet, die Implementierung des IAB TCF auszuschließen und auf die Teilnahme am RTB zu verzichten, empfehlen wir Ihnen, diese Option zu wählen. Vorausgesetzt, sie nehmen nicht aktiv am RTB-Verfahren teil. Liegt eine solche Option nicht vor, können Sie sich über den Wechsel zu den folgenden alternativen Consent Managern Gedanken machen:
- CCM19 Cookie Consent Manager: Nach eigenen Angaben basiert CCM19 nicht auf TCF, allerdings wird das TCF als zusätzlich aktivierbares Modul innerhalb des CCM19 Systems angeboten. (Stand: 20.03.2024)
- Consent Management Platform (CMP) by Osanobietetdie optionale Möglichkeit der TCF-Implementierung. (Stand: 20.03.2024)