Diese Entscheidung könnte weitreichende Auswirkungen auf das Geschäftsmodell der Online-Werbung haben: Der EU-Gerichtshof bestätigte – und folgt somit der Auslegung der belgischen Datenschutzbehörde aus 2022 –, dass der TC-String ein personenbezogenes Datum im Sinne der Datenschutz-Grundverordnung (DSGVO) darstelle.
Experten sehen in der Entscheidung eine enorme Sprengkraft für die digitale Werbung insgesamt. Die einmal gegenüber dem IAB von Userinnen und Usern erteilte Einwilligung könne nicht, wie bisher üblich, beliebig an Onlinemarketingfirmen weitergegeben werden. Das könnte Echtzeit-Werbeauktionen nach Usereigenschaften, Real-Time-Bidding, massiv erschweren oder sogar verunmöglichen.
Personenbezogene Daten
Was ist dieser TC-String und warum ist er wichtig? Es handelt sich um eine Einwilligung in die Nutzung personenbezogener Daten für Werbezwecke, TC steht für "Transparency and Consent". Es ist die Übersetzung des Klicks auf den "OK"-Button durch die Userin in ein technisches Signal, das im weltweiten Werbenetzwerk weitergereicht wird.
Diese Einwilligung ist eine Voraussetzung für Online-Werbung und insbesondere für über "Real-Time-Bidding" verkaufte Onlinewerbung. Real-Time-Bidding ist eine Art Auktionssystem, mit dem Werbung auf verschiedensten Websites verkauft und ausgespielt werden kann. Werbeunternehmen, Datenbroker und Werbeplattformen können anonym in Echtzeit Gebote abgeben, um einen Werbeplatz zu erhalten und dort auf das Profil des Nutzers abgestimmte Werbung anzuzeigen.
"Anhand der in einem TC-String enthaltenen Informationen kann, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und die betreffende Person identifiziert werden", entschied der EuGH. Die belgische Datenschutzbehörde hatte den Verband IAB Europe schon 2022 mit Auflagen und Geldbußen belegt. Die Verfahren ins Rollen brachte der irische Datenschutzaktivist Johnny Ryan vom Irish Council for Civil Liberties, der seit Jahren gegen die Übermittlung von Daten für personalisierte Werbung vorgeht.
IAB Europe "gemeinsam Verantwortlicher" im Sinne der DSGVO
Die IAB Europe sei "gemeinsam Verantwortlicher" im Sinne der DSGVO anzusehen, bestätigte der Europäische Gerichtshof. Schon zuvor kam die belgische Datenschutzbehörde zum Schluss, dass IAB Europe bei der Verarbeitung personenbezogener Daten im Rahmen seines TCF und des Online-Werbesystems "Real-Time-Bidding" (RTB) mehrfach Verstöße gegen die DSGVO begangen habe. IAB Europe argumentierte, dass es nur die Regeln für die Verwendung von Daten festlege, die Daten aber selbst nicht selbst verarbeite.
"Seit der Einführung der Datenschutz-Grundverordnung vor fast sechs Jahren sind die Menschen in ganz Europa täglich auf fast jeder Website und App von Zustimmungs-Pop-ups geplagt worden", sagt Johnny Ryan vom Irish Council for Civil Liberties. "Diese Entscheidung wird nicht nur die größte Spam-Operation der Geschichte beenden. Sie wird der auf Tracking basierenden Online-Werbebranche eine tödliche Wunde zufügen", so Ryan. (red, 7.3.2024)
Link