Online-Werbung: Urteil könnte für massenhafte Bußgeldverfahren sorgen

Nachdem der Europäische Gerichtshof bereits im letzten Jahr seine Einschätzung abgegeben hatte, hat ein belgisches Gericht den Rechtsstreit nun beendet: Werden über einen Cookie-Banner Daten für personalisierte Werbung gesammelt, verstößt das gegen die DSGVO, wie Heise berichtete. Bereits im letzten Jahr hatte der Europäische Gerichtshof entschieden, dass es sich bei dem sogenannten Transparency and Consent String um personenbezogene Daten im Sinne der Datenschutzgrundverordnung (DSGVO) handelt. 

TC-String ist personenbezogenes Datum

Damit personalisierte Werbung angezeigt werden kann, muss ein sogenannter Transparency and Consent String, kurz TC-String, erzeugt werden. Dieser wird erstellt, sobald Besucher:innen einer Webseite der Nutzung ihrer Daten über den Cookie-Banner zustimmen. Auf diesem String werden Nutzerpräferenzen hinterlegt und als Cookie auf dem verwendeten Endgerät gespeichert. Auf Grundlage dieser Daten wird dann entschieden, ob und welche personalisierte Werbung dem oder der Nutzer:in angezeigt wird. 

Die belgische Organisation Interactive Advertising Bureau Europe (IAB) hat das „Transparency and Consent Framework“ (kurz TCF) entwickelt, auf dessen Grundlage der TC-String erzeugt wird. Das TCF kommt bei nahezu jeder personenbezogenen Werbung in der EU zum Einsatz. 

Bereits vor einiger Zeit hatte die belgische Datenschutzbehörde ein Bußgeld gegen IAB Europe verhängt, gegen welches die Organisation klagte. Das belgische Gericht legte die Frage dann dem Europäischen Gerichtshof vor.

TCF verstößt gegen DSGVO

Der EuGH hatte entschieden, dass es sich bei dem erstellten TC-String um ein personenbezogenes Datum handelt und die Organisation für die Weiterverarbeitung verantwortlich ist. Da die auf dem TC-String gespeicherten Informationen mit der IP-Adresse der Nutzer:innen verknüpft werden, können sie einem Gerät und somit einer Person zugeordnet werden. Das belgische Gericht musste nun entscheiden, ob die IAB Einfluss auf die Verarbeitung der Daten hat. 

Das belgische Gericht hat jetzt entschieden: Die Daten wurden ohne ausreichende Rechtsgrundlage erhoben und verarbeitet. Dieses Vorgehen verstößt gegen die DSGVO. Über die Datenverarbeitung und Nutzung wurden Nutzer:innen nicht ausreichend informiert. 

Auswirkung auf Werbebranche

Der zuvor verhängte Bußgeldbescheid gegen IAB Europe wurde jedoch mit dem Urteil aus formellen Gründen aufgehoben, weswegen sich die Organisation trotz der inhaltlichen Entscheidung mit dem Urteil zufriedengibt. Außerdem gibt die IAB Europa an, sie habe bereits eine neue Version des TCF entwickelt, welche den datenschutzrechtlichen Voraussetzungen entspricht.
Trotzdem könnte es in Zukunft zu Bußgeldern gegen Unternehmen kommen, die mit TCF gearbeitet haben, da die Daten nicht rechtmäßig erhoben und verarbeitet wurden. Fast jede Echtzeitwerbung, die in der EU geschaltet wurde, wurde mittels TCF und dem dazugehörigen TC-String entwickelt.