Was passiert eigentlich mit den persönlichen Daten, wenn der Besucher oder die Besucherin einer Webseite den Cookies zustimmt? Die Klicks münden in einen sogenannten „Transparency and Consent-String“, kurz TC-String. Der besteht aus Zahlen und Buchstaben und ermöglicht zusammen mit dem auf dem Gerät des Nutzers hinterlegten Cookie dessen Identifizierung. Das betrifft etwa das Alter, den Standort und vor allem das Nutzungs- und Kaufverhalten. Insofern ermöglichen TC-String und Cookie, demjenigen, der in die Nutzung eingewilligt hat, individuell auf ihn zugeschnittene Werbung anzuzeigen. Das geschieht im sogenannten „Real-Time-Bidding“: Werbetreibende können blitzschnell zuschlagen und sich die freien Werbeplätze auf dem Bildschirm des Besuchers sichern. Dafür muss der TC-String mit Brokern für personenbezogene Daten und Werbeplattformen geteilt werden. Diese wiederum verdienen mit dem Verkauf von Werbeplätzen ihr Geld.
Rolle des IAB Verbands
Der Entwickler der TC-Strings, der IAB, ist ein Verband ohne Gewinnerzielungsabsicht, in dem sich die Unternehmen der digitalen und Marketingindustrie tummeln. 2022 stellte die belgische Datenschutzbehörde den Personenbezug der TC-Strings im Sinne der DSGVO fest. Mit IAB Europe identifizierte sie den Verantwortlichen und setzte in der Folge Abhilfemaßnahmen plus das Bußgeld in Höhe von 250.000 Euro fest. Der Verband wehrte sich vor dem Appellationshof in Brüssel, der sich mit einigen Fragen an den Europäischen Gerichtshof wandte. Der bestätigte nun mit seinem Urteil, dass der TC-String persönliche Informationen über einen identifizierbaren Nutzer enthält.
Verantwortlicher im Sinne der DSGVO
Darüber hinaus sieht der EuGH IAB Europe als „gemeinsam Verantwortlichen“ im Sinne der DSGVO an. Das heißt: „Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen scheint diese Organisation nämlich bei der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String auf die Verarbeitungen personenbezogener Daten Einfluss zu nehmen und gemeinsam mit ihren Mitgliedern sowohl die Zwecke dieser Verarbeitungen als auch die ihnen zugrunde liegenden Mittel festzulegen.“ Allerdings müsse vom nationalen Gericht nachgewiesen werden, dass der IAB tatsächlich Einfluss auf die Festlegung der Zwecke und Modalitäten der Weiterverarbeitung ausgeübt hat. Mit dem Urteil stellt der EuGH die bisherige Werbepraxis in Frage. Ein weiter so wie bisher wird es nicht geben können.
Copyright Bild: IMAGO / imagebroker
