TC-Strings sind personenbezogene Daten. Was TC-Strings sind und was das EuGH-Urteil bedeutet, erläutern wir hier.
Was sind TC-Strings?
Die sogenannten Transparency and Consent-Strings sind codierte Zeichenketten, die alle einwilligungsbezogenen Informationen des Nutzers enthält. Mit diesen Informationen können Dritte, häufig Werbetreibende, zielgerichtet Werbung auf Internetseiten schalten. TC-Strings sind Teil des sogenannten Transparency and Consent Frameworks. Das Framework wurde durch das Interactive Advertising Bureau Europe erstellt. Es soll dazu dienen, dass einheitliche Standards und Regeln hinsichtlich Internetwerbung gelten. Ein wichtiges Bauteil des TC-Frameworks sind Real Time Bidding Plattformen. Dort können Werbetreibende in Echtzeit auf Werbeslots bieten. Praktisch bedeutet das, dass in den wenigen Milisekunden, in denen eine Internetseite auf Nutzerseite lädt, Werbeslots auf der Internetseite an den Meistbietenden vergeben werden. Das Gebot wird anhand des TC-Strings des Nutzers abgegeben. Der TC-String enthält dabei Informationen wie den Aufenthaltsort, das Alter, das Online-Suchverhalten und kürzliche Einkäufe des Nutzers. Auf der Grundlage des TC-Strings ist es also möglich, zielgerichtete Werbung zu schalten. Deshalb haben TC-Strings auch einen hohen Wert für Werbetreibende.
Bei der IAB Europe wiederum handelt es sich um eine gemeinnützige Organisation, die selbst keinen Zugriff auf die TC-Strings hat. Die IAB Europe selbst setzt sich aus verschiedenen Werbeunternehmen zusammen. TC-Strings werden auf der Grundlage von Consent Management Plattformen (CMP) erstellt. CMP sind häufig als Pop-Up-Fenster gestaltet und fragen umfangreiche Einwilligungen des Nutzers ab. CMP sind dabei häufig mit Cookie-Bannern verbunden.
Warum spielt es eine Rolle, ob TC-Strings personenbezogene Daten sind?
Für personenbezogene Daten und deren Verarbeitung gilt die Datenschutzgrundverordnung (DSGVO). Die DSGVO gibt den Grundsatz vor, dass die Datenverarbeitung von personenbezogenen Daten verboten ist. Nur unter den in Art. 6 Abs. 1 DSGVO genannten Möglichkeiten ist eine Datenverarbeitung erlaubt, deshalb werden die Varianten auch als Erlaubnistatbestände bezeichnet. Der wichtigste Erlaubnistatbestand ist die Einwilligung. Im Rahmen eines CMP wird die Einwilligung in verschiedene Datenverarbeitungen abgefragt. Bis zum Urteil des EuGH ist jedenfalls IAB Europe der Ansicht gewesen, dass die Zusammenstellung der Einwilligungen in einer Zeichenkette selbst kein personenbezogenes Datum sei. Dies hätte die Folge, dass keine Einwilligung oder sonstiger Erlaubnistatbestand notwendig sei, um einen TC-String zu erstellen, zu speichern oder an Dritte weiterzugeben.
Die Rechtslage nach dem 07. März 2024:
Der EuGH ist im Ergebnis dazu gekommen, dass TC-Strings personenbezogene Daten sind. Das bedeutet, dass alle Folgen der DSGVO Anwendung finden und insbesondere eine Einwilligung notwendig ist, für die Datenverarbeitung. Doch wie ist der EuGH zu diesem Ergebnis gekommen.
Dazu muss eine weitere technische Komponente erklärt werden: Kommt ein TC-String zum Einsatz, wird neben dem TC-String auch ein Cookie erstellt und auf dem Gerät des Nutzers gespeichert. TC-String und Cookie gemeinsam, lassen eine Identifikation des Nutzers zu. Dafür reicht es entsprechend der älteren Rechtsprechung sogar aus, dass es das Cookie lediglich die IP-Adresse wiedergibt. Damit ist es möglich einen Personenbezug herzustellen.
Spannend ist insoweit, dass die IAB Europe darüber hinaus potenziell Verantwortliche im Sinne der DSGVO sein kann. Dazu muss zwar, dass oberste Gericht Belgiens weitere Nachforschungen anstellen, jedoch hat der EuGH in gewisser Weise die Richtung vorgegeben. Denn der EuGH stellte fest, dass IAB Europe zwar keine eigene technisch-faktische Zugriffsmöglichkeit auf die TC-Strings hat, dies aber nicht unbedingt notwendig sei, um Verantwortlicher zu sein. IAB Europe nimmt entscheidenden Einfluss darauf, für welche Zwecke TC-Strings geschaffen und gespeichert werden und auch welche Mittel zu einer Verarbeitung verwendet werden. Über diesen Einfluss kann eine Eigenschaft als Verantwortlicher begründet werden, diese wäre dann eine gemeinsame Verantwortlichkeit mit den Internetseitenbetreibern und Dritten die, die Daten verarbeiten.
Für die Zukunft…
wird es zunächst spannend sein, wie das belgische Gericht entscheiden wird. Im Anschluss daran wird man sehen, welche praktischen Auswirkungen das EuGH-Urteil auf die Werbelandschaft im Internet hat. Aber auch darüber hinaus könnte das weite Verständnis für die Annahme einer gemeinsamen Verantwortlichkeit weitreichende Folgen haben. Viele Internetdienste könnten in Zukunft, allein auf der Grundlage eines starken Einflusses auf die Datenverarbeitung, nicht mehr als Auftragsverarbeiter, sondern als gemeinsame Verantwortliche eingestuft werden.
Shownotes
- EuGH, Urteil vom 19.10.2016 – C-582/14 – Personenbezug von IP-Adressen
- EuGH, Urteil vom 05.06.2018 – C-210/16 – Zur (gemeinsamen) Verantwortlichkeit von Facebook und des Betreibers einer Facebook-Fanpage
- EuGH, Urteil vom 07.03.2024 – C-604/22 – TC-Strings
Betrifft Sie dieses Thema? Consent-Management auf der eigenen Website muss technisch und rechtlich funktionieren. Wenn Sie wissen möchten, ob Ihr Cookie-Consent-Tool die Anforderungen des TDDDG erfüllt, klären wir das gemeinsam. Jetzt Kontakt aufnehmen →
Transkript der Folge
Willkommen zum Podcast Kaffeerecht von der Kanzlei TWW Law mit rechtlichen Themen für Kreative, Unternehmer und Unternehmen. Hallo und herzlich willkommen zu einer neuen weiteren Folge unseres Podcasts Kaffeerecht mit mir, Dennis Tölle am Mikrofon auf dieser Seite und Marvin Irifay, hallo auch von meiner Seite. Heute mit einem meiner absoluten Lieblingsthemen, ich als kompletter Datenschutz-Nerd, bin ein großer Fan von Cookies oder eigentlich vielleicht auch Gegner, man weiß es nicht. Und den dazugehörigen TC Strings, Transparency and Consent Strings.
Heute schauen wir uns mal an, was das eigentlich ist, gucken uns so ein bisschen technische Abläufe dahinter auch an, um das alles so ein bisschen zu erklären. Und dann gehen wir darauf ein, was der EuGH diesmal geurteilt hat. Ja, das EuGH-Urteil ist so ein bisschen Anlass dieser Folge. Also, EuGH-Urteil vom 7.
März 2024. Für die, die es interessiert, C604 aus 22. Wir packen das in die Shownotes. Und wer über die Osterfeiertage nichts zu lesen hat, der findet darin ein wenig Inhalt zum Lesen.
Das Urteil hat uns dazu bewogen, über dieses Thema TC-Strings zu sprechen. Du hast es schon gesagt, Transparency in Consent-Strings ist die Langfassung des Ganzen. Und ich glaube, im ersten Schritt schauen wir uns an, was das denn überhaupt ist. Um uns das anzuschauen, müssen wir vielleicht auch so ein bisschen, ein bisschen erstmal drum herum schauen, denn ein TC-String als solches ist erstmal eine kodierte Zeichenkette, wo relevante Informationen drin sind, rund um Einwilligungen des Nutzers.
Das hilft uns jetzt noch nicht so wirklich viel, denn wir müssen uns ja überlegen, wo kommen diese TC-Strings eigentlich her, Also wie entstehen die und was ist deren Zweck? Und da kann ich jetzt ein bisschen sozusagen ausholen. Und zwar geht es darum, dass es sogenannte Consent-Management-Plattformen gibt. Häufig werden sie auch als Cookie-Banner bezeichnet.
Das ist nicht ganz richtig, denn es geht hier jetzt in erster Linie gar nicht mal um Cookies. Das heißt, wenn ich auf eine Internetseite gehe und da kommt dieses Pop-Up-Fenster und es heißt, wollen Sie hier in alles einwilligen und ich bin gelangweilt und will unbedingt auf diese Website und drücke alles Ja, dann willige ich in einige Cookie-Setzungen ein. Ich willige aber auch darin ein, dass einige dieser Einwilligungen zusammengefasst werden in so einen TC-String und gespeichert werden. Der TC-String ist dann sozusagen auf mich als Nutzer identifizierbar, zusammen mit den gesetzten Cookies.
Also man muss die so ein bisschen zusammen sehen. Alleine bringt dieser TC-String erstmal nicht viel. Das heißt, um das nochmal kurz zu konkretisieren, die Cookie-Banner, oder tatsächlich heißen sie ja tatsächlich auch in der Formulierung, wenn ich auf der Website schaue, das Wort Cookie findet sich schon noch, aber es ist häufig auch von Consent-Tool etc. die Rede.
Der Teil, der vielleicht nicht so wahnsinnig bewusst ist, also Cookies sind den Nutzern, glaube ich, relativ bewusst, dass das irgendwie abgefragt wird und häufig erscheint. Aber die weiteren Informationen, die dann da erfasst werden, zusammengefasst und eben auch an Dritte weitergegeben werden, die sind meines Erachtens gar nicht so bekannt, würde ich behaupten. Vor allen Dingen, wenn man sagt, auf technischer Ebene ist es ja so, du hast gesagt, es ist eine kodierte Zeichenkette, die da drin ja eine ganze Menge von Informationen beinhaltet. Das heißt also, da ist nicht nur die Frage dieser Zustimmung zu bestimmten Dingen drin enthalten, sondern, wenn ich das richtig sehe, sind ja auch, weiß ich nicht, Informationen zu Aufenthaltshort, Alter, Online-Verhalten, Einkäufe etc., wenn vorhanden, dann werden die ja auch technisch darin gespeichert.
Ja genau, und es geht ja auch gerade darum, häufig, oder das wissen viele vielleicht auch nicht, Cookies werden ja auf dem Endgerät gespeichert des Nutzers. Das ist mit TC-Strings theoretisch nicht so. Also die werden sozusagen an anderer Stelle gespeichert und in Verbindung zueinander ist es immer wieder möglich für Webseitenbetreiber oder auch Dritte zu reidentifizieren, A, mein Nutzer Marvin Elri Fay ist wieder auf meiner Website gelandet. Aha, der hat laut diesem TC-String, hat er in das und das und das eingewilligt.
Deswegen darf ich seine Daten verarbeiten oder ich darf ihm bestimmte Werbung zeigen. Und das ist sozusagen Hauptzweck der TC-Strings, ist es, dieses sogenannte Real-Time-Bidding-Format aufzuziehen und möglich zu machen. Ja, um vielleicht so ein bisschen das noch in Kontext zu setzen, diese technische Konstruktion des TC-Strings ist ja jetzt auch nicht vom Himmel gefallen, sondern das ist eine Entwicklung, ob das jetzt ganz ursprünglich eine Entwicklung des Ganzen ist, da werden mehrere daran beteiligt gewesen sein, aber hauptsächlich und so auch in diesem EuGH-Urteil relevant, ist ja das IAB, also das Interactive Advertising Bureau Europe, eine Organisation, die hinter dieser technischen Entwicklung steht. Und das haben die ja nicht einfach so gemacht, weil ihnen langweilig war, sondern es ging ja gerade darum, eine technische Lösung zu entwickeln, die auf der einen Seite, wie der Name schon sagt, Transparency and Consent String, transparent gegenüber dem Nutzer darstellt, welche Einwilligungen, welche Verwendungen etc.
deiner Informationen sollen hier stattfinden. Auf der anderen Seite soll es aber, und das sind Mitgliedsunternehmen des IAB, Werbetreibenden ermöglichen, diese Informationen möglichst leicht zu erhalten und die auch möglichst standardisiert und einfach zu verwenden. Ganz konkret geht es darum, nicht jeder Werbetreibende muss einzeln über eine Website die Daten erfassen, die er gerne haben möchte, um seine Werbung auszuspielen, sondern er kann quasi dieses Mittel des IAB nutzen, um da dann die Informationen von ganz, ganz vielen Nutzern zu erhalten mit den entsprechenden Informationen, die ich eben genannt habe. Also was habe ich eingekauft, habe ich eine Zustimmung zu, was auch immer und dann kann ich meine Werbung entsprechend ausrichten.
Ja und das geht ja sogar noch ein bisschen weiter in dem Sinne, dass ich als Nutzer habe einen bestimmten TC-String, der mir zugeordnet wird. wenn ich immer in alle, also bei diesen CMP-Plattformen immer eingestimmt habe in diese Pop-Up-Fenster und ich sage immer ja, ja, ja, ja, dann irgendwann ist ein sehr umfangreicher TC-String über mich, wird erschaffen. Und wenn ich jetzt auf eine Webseite gehe, auf der sozusagen Werbung geschaltet werden soll, so rechts am Rand, man kennt das ja, dann gibt es da so Werbebanner, wo irgendwie Werbung für Amazon gemacht wird oder ich soll gerne irgendwie einen Urlaub buchen, sowas. Und wenn ich diese Werbebanner, die werden in der Millisekunde, bevor die Internetseite sozusagen bei mir lädt, auf meiner Seite, werden die verkauft an den Höchstbietenden sozusagen.
Das ist dieses Real-Time-Bidding. Und auf der Grundlage des TC-Strings kann natürlich der Werbetreibende den Witt am meisten Geld für dieses Werbebanner ausgeben, der die höchste Erfolgswahrscheinlichkeit glaubt, dass dieses Werbebanner-Effekt hat. Also das heißt, wenn ich sehr interessiert bin, Urlaub auf den Malediven zu machen, dann wird ein Werbeanbieter, der selber Reisen in die Malediven anbietet, vielleicht möglicherweise einen Cent mehr bezahlen, um die Werbung bei mir zu schalten, als jemand anderes. Und dann wird die an den meist Bietenden verkauft, deswegen dieses Real-Time-Bidding.
Und das passiert auf der Grundlage dieser TC-Strings und der Informationen, die dort sozusagen enthalten sind. Ich sehe da so ein bisschen Parallele zu diesem System, wie ja auch Google Ads funktionieren. Das heißt also, du legst im Hintergrund dein maximales Gebot fest, was du bereit bist auszugeben, um eben bei bestimmten Suchbegriffen in der Google-Suche zu erscheinen. Und auch da bist du dann ja, je nachdem wie groß der Wettbewerb ist für bestimmte Suchbegriffe, bist du natürlich jetzt, weiß ich nicht, vielleicht vor den Osterferien, gerade ist dann vielleicht irgendwie, weiß ich nicht, sehr sonnenreiche Regionen sind dann wahrscheinlich sehr beliebt und da sind die Preise besonders hoch, dass man sagt, okay, komm, ich will vielleicht die Malediven da eben pushen, leg da mein Gebot hoch fest und die Leute, die in der Vergangenheit schon sich über solche Angebote erkundigt haben oder sowas vielleicht schon mal gebucht haben etc., Deren TC-String enthält dann eben diese Information und an die wird es dann eben ausgespielt zugunsten desjenigen, der dann am meisten für dieses Ziel geboten hat.
Also Nutzer, die gerne auf die Malediven fahren, Nutzer, die in einem bestimmten Altersbereich sind, Nutzer, die ein bestimmtes Suchverhalten enthalten. Also ich stelle es mir dann so ein bisschen auch so vor, wie ich bei, sagen wir mal Meta, im Hintergrund Werbung schalten kann. Dass ich also sage, okay, ich kann meine Werbung so schön zielgerichtet steuern, dass ich sage, okay, ich möchte nur Leute haben, die irgendwie im Alter von 30 bis 40 Jahren sind, nur männlich. Nur solche, die vielleicht gerade, also teilweise ist es ja sehr konkret, ob das dann immer zutrifft, ist eine andere Frage.
Da müssen die Informationen natürlich passen. Aber ich bin Baumarktanbieter und möchte gerne irgendwie Baustoffe oder jetzt, weiß nicht, gerade wieder aktuell ist ja, glaube ich, auch zugeworfen mit Angeboten zu Gartenprodukten. Dass ich sage, okay, ich will eben die Eigenheimbesitzer treffen, die ein bestimmtes Alter haben, eine bestimmte wirtschaftliche Situation. Die sollen bei mir jetzt Blumenherde kaufen, die sollen Blumen kaufen, die sollen neue Möbel für den Garten kaufen, die sollen solche Dinge.
Und das kann ich eben alles auch aus diesen TC-Strings lesen und kann dann relativ zielgenau meine Werbung steuern und dann natürlich entsprechend hoch bieten dafür. Ja, um vielleicht noch ein ganz praktisches Beispiel zu bringen. Manchmal, also ich weiß nicht, sozusagen eine Herausforderung an unsere ZuhörerInnen. Manchmal geht man ja auf eine Webseite und wundert sich ein bisschen, warum da jetzt Werbung für vielleicht irgendwie Golfschläger kam, obwohl man lange Zeit irgendwie sich nie mit Golf beschäftigt hat und einmal irgendwo auf irgendeiner Webseite irgendwas mit Golf angeklickt hat, vielleicht ein YouTube-Video geschaut hat zum Golfen.
Und wenn dann plötzlich Werbung für Golfschläger, Golfausrüstung geschalten wird, das ist genau der Grund sozusagen oder es ist genau auf diese TC-Strings zurückzuführen, dass dieses Video geschaut wurde, dass irgendwie möglicherweise irgendwas mal in einen Einkaufswagen gelegt wurde, das wird gespeichert in dem TC-String und dann wird abgeglichen, aha, das ist der Nutzer, der zuletzt irgendwas sich mit Golf angeschaut hat und deswegen geben wir ihm jetzt Golfwerbung. oder dann ist der Höchstbietende der Golf-Werbebetreiber. Ja, ich bin ja so ein bisschen interessiert im Bereich Produktivität und ich weiß, dass du da auch nicht ganz unberührt bist. Und bei mir führt das dann immer häufig dazu, dass bei Google, wobei ich weiß gar nicht, ob das auf den TC-Strings beruht oder anderen Algorithmen von Google, dass ich da also sehr häufig mit Videos konfrontiert werde, die mir zeigen sollen, wie ich über das Wochenende ein Millionär werde.
Stimmt. Ich habe es noch nicht probiert, aber wenn es dann mal so weit ist, dann gucke ich mir das an, damit ich dann auch über das Wochenende Millionär werde. Aber das scheint irgendwie in engem Kontakt zu sein. Da bin ich wohl von meinem Verhalten her potenziell da Adressat für solche Werbesachen.
Aber in der Tat, das sind halt so Sachen. Ich habe mal aus Versehen, glaube ich, war das auf ein Angebot auf einer Website geklickt. Da ging es um, ich meine, es waren irgendwie so Gefrierkombinationsschränke. Und es war, ich weiß nicht, ob ich da irgendwas Besonderes getroffen habe, aber es war derart penetrant, dass ich das künftig dann angezeigt bekommen habe.
Das war schon nicht so doll. Aber letztlich, es kann auf unterschiedlichen Algorithmen beruhen. Aber eben so dieser gemischte Bereich oder dieser sehr schwer zu fassende Bereich der Website-Besucher. Ich meine das so, dass ich sage, wenn ich bei YouTube irgendwas schaue, dann kann YouTube natürlich sehen, was ich schaue und kann dann anpassen, was ich dann weiter angezeigt bekomme, was irgendwie in einem ähnlichen Bereich liegt.
So, wenn ich aber unterschiedliche Webseiten besuche, das sind Nachrichten-Websites, das sind Shopping-Websites, das sind Blogs, das sind, was weiß ich, Websites zu Podcast-Hosts und all so ein Kram, dann ist es natürlich für Werbetreibende sehr schwierig herauszufinden, wo die Interessen liegen, weil die Quellen so unterschiedlich sind. Und da ein einheitliches System zu haben, das hat sich die IAB ein bisschen auf die Flagge geschrieben und hat gesagt, okay, wir entwickeln da auch was Technisches zu, was zum einen den Werbetreibenden ermöglicht, einheitliche Informationen zu bekommen, auf der anderen Seite eben eine möglichst transparente Darstellung auch auf Seiten der Nutzer ermöglichen soll. Wobei, da muss man auch sagen, das ist nur sehr überschaubar der Fall, weil wir alle kennen Cookie-Banner und wir alle wissen, was wir mit Cookie-Bannern machen. Die einen klicken auf alles annehmen, die anderen klicken auf alles ablehnen.
Und ob wir da dann alles durchsehen, wo das alles hingeht. Ich bezweifle das, dass das tatsächlich so transparent ist, wie es sein soll. Aber es ist jedenfalls ein Ansatz. Und dieser Ansatz, diese TC-Strings, in denen diese Informationen enthalten sind, die sind das Thema dieser Folge.
Du hast noch was? Ja, ich würde noch ganz kurz einwenden zu der Transparenz von den Cookie-Bannern. Das ist ja dann auch wieder so ein bisschen an dem Webseitenbetreiber bzw. weiteren Drittanbietern, wie der aufgebaut ist und wie transparent der wiederum ist.
Ich bin dann automatisch in fieser Eigenwerbung wieder bei der Folge zu Dark Pattern. Und zwar, wie der sozusagen aufgebaut ist und ob der transparent oder nicht ist, das ist nicht unbedingt Sache von IAB Europe gewesen, mit ihrem Transparency and Consent Framework, beziehungsweise mit den Strings, sie sind nur diejenigen, die die Ergebnisse dann zusammenfassen in einheitlicher Form. Ja, vielleicht sollten wir das auch nochmal hervorheben, dass ich als Website-Betreiber natürlich entscheide, ob ich dieses Konstrukt verwende. Also ich selber kann natürlich sagen, ich nutze das auch gar nicht.
Ich habe entweder, zeige ich meinen Nutzern anders, dass ich vielleicht Cookies verwende oder welche Einwilligungen ich hier einhole. Vielleicht verwende ich auch gar keine Cookies, gar keine Cookies ist ein bisschen schwierig. Vielleicht informiere ich auch nicht drüber, aber ich kann eben sagen, okay, ich verwende ein bestimmtes System, gelöst vielleicht über ein Plugin, wenn ich WordPress oder weiß ich nicht, Typo3, Drupal, was weiß ich, was verwende oder ich habe eben eine Eigenentwicklung. Aber dann kann ich eben auf dieses System zurückgreifen und bekomme damit natürlich, das muss man sagen, viel Arbeit abgenommen an Darstellung, Entwicklung etc.
Aber muss eben auch damit leben, dass ich meinen Benutzern zumute, dass sie ihre Einwilligung möglicherweise erteilen zu einer sehr viel weitergehenden Nutzung ihrer Daten. vorsichtig nenne ich das mal ihrer Daten. Und ob das dann, klar, ich kann dann selber gestalten, wie transparent, oder ich habe Einfluss darauf, wie transparent ich das gestalte. Aber die Masse und die Anzahl der Informationen steigt schon erheblich.
Und machen wir uns nichts vor, häufig sehen diese Cookie-Banner alle gleich aus. Das mag daran liegen, dass bestimmte Anbieter einfach sehr weit verbreitet sind, die eben ihre Plugins gut vermarkten, die das da drin integriert haben. Und da habe ich persönlich meine Zweifel, ob das wahnsinnig transparent ist, aber das ist auch nur meine persönliche Meinung. Ja, und letztendlich kann man ganz klar sagen, um eine Internetseite anzubieten, brauche ich erstmal in erster Linie keine bis fast keine Cookies.
Also es gibt ein paar technisch notwendige Cookies, wenn ich sozusagen mehrere Unterseiten habe, damit ich einen Nutzer identifizieren kann, während der auf meiner Seite ist. Aber auch da ist es zum Beispiel möglich, dass sobald die Webseite einmal geschlossen wird, ich die Cookies sofort, sozusagen die Cookies sich sofort selbst löschen und dann muss der Nutzer, wenn er zurückkehrt, sich wieder neu identifizieren. Also Cookies sind eigentlich nur sehr eingeschränkt technisch notwendig. Ich glaube auch, dass da, wir wirften ein bisschen ab, aber nur ganz kurz.
Ich glaube auch, dass bei den technisch notwendigen Cookies sich manchmal noch ein paar Cookies verirren, die gar nicht technisch notwendig sind. Und deswegen, der EuGH tut da sein Bestes sozusagen, Datenschutz hochzuhalten. In der Praxis ist das noch nicht ganz angekommen. Ich denke aber, dass wir damit eigentlich eine ganz gute Überleitung haben zu der Frage, sind TC-Strings jetzt personenbezogene Daten?
Das bringt uns zu dem Thema, inwieweit TC-Strings überhaupt rechtlich von Relevanz sind, weil wir ja, das können wir ja vorwegnehmen, dass der EuGH sich eben mit genau dieser Frage zu beschäftigen hatte, ob TC-Strings personenbezogene Daten sind oder nicht. Das Ganze hat deswegen eine, oder diese TC-Strings haben deswegen eben eine rechtliche Relevanz, weil wenn man davon ausgeht, dass es sich bei TC-Strings um personenbezogene Daten handeln würde, dann hätte man einen Anwendungsbereich eröffnet, der eine Vielzahl von Folgen hätte, so grob zusammengefasst. Und zwar ist es so, dass die Datenschutzgrundverordnung, die uns ja jetzt schon eine ganze Weile begleitet und für manches Auf und Ab bei Website-Betreibern gesorgt hat, meistens eher für ein Ab und Stress und vielleicht auch Unsicherheit. Aber diese Datenschutzgrundverordnung kommt ja überhaupt nur dann zur Anwendung, wenn es um personenbezogene Daten geht.
Das steht in Artikel 1 und in Absatz 1. Auch diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Nur wenn ich personenbezogene Daten habe, komme ich überhaupt dahin, dass ich was mit der DSGVO zu tun habe. Ja, und TC-Strings waren so ein bisschen außerhalb der DSGVO bisher.
das heißt von IAB Europe und den anderen Werbetreibenden, die dahinter sozusagen stehen, wurden TC-Strings nicht als personenbezogene Daten angesehen. Das heißt wiederum, dass das Zusammenführen der Informationen in kodierten Zeichen, wie wir das sozusagen einleitend genannt haben, also in diesen TC-Strings, keine eigenständiges personenbezogenes Datum sind und deshalb ich keine Einwilligung brauche oder sonst irgendeine Rechtfertigungsgrundlage, um diese TC-Strings zu verarbeiten. Also um sie zum Beispiel zu, in Anführungsstrichen jetzt, zu verkaufen, um dann perfekte Werbung zu schalten beispielsweise. Ich brauche da die DSGVO nicht beachten, so war die Annahme, und kann sozusagen die einfach frei nach Belieben nutzen, speichern, weitergeben, was man will.
Und ich glaube, es war die belgische Datenschutzbehörde. Der war das nicht ganz geheuer. IAB Europe, muss man dazu sagen, sitzt in Belgien. Und die waren der Meinung, das ist falsch.
Und sind dann sozusagen den Instanzenzug bis vor den EuGH gegangen, um das anzufechten. Und vor den EuGH kamen dann die Vorlagefragen. Also man muss dazu sagen, das war jetzt gerade ein bisschen falsch. Die belgische Datenschutzbehörde ist gerade bei dem obersten Gericht in Belgien in einem Verfahren gegen IAB Europe und das oberste Gericht hatte dann Vorlagefragen an den EuGH, die dieser wiederum zu beantworten hatte und beantwortet hat.
Die erste Frage, sind TC-Strings personenbezogene Daten, also ganz runtergebrochen? Und die zweite Frage bezieht sich auf die Verantwortlichkeit, da kommen wir aber gleich noch zu, das würde ich jetzt erstmal noch ausklammern. Ja, weil das ist ja so ein bisschen der Punkt, dass man, wie du gesagt hast, am Anfang versucht hat, oder das Ziel der IAB war, etwas zu schaffen, was außerhalb der DSGVO funktioniert. Und das war eben diese technische Konstruktion TC-String, weil man gesagt hat, okay, das ist ja kein personenbezogenes Datum, weil personenbezogenes Datum ist jedenfalls nach der Definition, die die DSGVO uns gibt, eben eine Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht.
Das geht dort noch ein bisschen weiter, da gibt es auch ein paar konkrete Beispiele, Kennnummern, Standortdaten, Online-Kennung etc. Und in der Vergangenheit hatten wir ja schon die Entscheidung des EuGH, der gesagt hat, okay, eine IP-Adresse ist ein personenbeziehbares Datum und Und damit fällt es per Definition unter diesen Artikel 4. Das heißt, die DSGVO ist anwendbar. Da vielleicht insofern ein kleiner Exkurs.
Könnte man meinen, naja, so eine IP-Adresse, personenbezogenes Datum, wie kann ich denn da eine Person identifizieren? Oder wie komme ich denn dahin, dass ich eine einzelne Person identifiziere? Da hat der EuGH ganz klar gesagt, es geht nicht darum, dass das jeder Mann kann, sondern es ist ausreichend und so steht es letztlich, oder so hat er auch diese Definition ausgelegt, dass sie grundsätzlich identifizierbar ist. Und das ist, nehmen wir Strafverfolgungsbehörden, die die Möglichkeit hätten, theoretisch zu sagen, hinter dieser IP steckt der folgende Anbieter, steckt die folgende Person, die den Anschluss bei dem Anbieter hat.
Also es ist durchaus möglich, eine Person zu identifizieren. Ergo hat der EuGH gesagt, das reicht uns um zu sagen, IP-Adressen sind personenbezogene Daten. Und hat den Anwendungsbereich schon relativ weit gefasst. Mit der damaligen Folge, dass eben auch da bei der Verarbeitung, Erhebung etc.
von IP-Adressen, was zwingend notwendig ist, wenn ich eine Website betreibe, bestimmte Informationen notwendig sind. Das war zum Beispiel einer dieser Punkte auch, warum auch bei ganz, ganz einfach gestrickten Websites ich eine relativ umfangreiche Datenschutzhinweise brauche, wenn ich denn DSGVO-konform agieren möchte. Ja, und in einem zweiten Urteil, auf das der EuGH jetzt in dem aktuellen Urteil verwiesen hat, hat er auch noch festgestellt, dass diejenigen Daten personenbezogene Daten sind, die aus der Verarbeitung anderer personenbezogener Daten resultieren. Das heißt, die Daten, die aus den personenbezogenen Daten resultieren, müssen vielleicht gar nicht mehr selber so einen hohen Personenbezug aufweisen oder möglicherweise ist es da schon sehr viel abwegiger, dass die selber als personenbezogenes Datum zu handhaben sind oder gelten.
Aber nach der sogenannten Punky-Rechssprechung sind auch diese erstmal von dem Begriff der personenbezogenen Daten umfasst. Das ist insoweit interessant, als dass es auch auf die TC-Strings im weitesten Sinne Anwendung findet. Auch da gehe ich wieder einen Schritt zurück und sage, okay, wir haben, was ist denn das Problem, wenn die Datenschutzgrundverordnung Anwendung findet? Die ist ja jetzt vielleicht gar nicht so schlimm, das ist ja vielleicht ein guter Gedanke dahinter.
Und Datenschutzgrundverordnung kann ja durchaus einen gewissen Schutz für, manche sagen für die Daten, manche sagen für die Personen, zu denen diese Daten gehören. Jedenfalls bietet sie ein gewisses Schutzkonzept. Und das ist ja per se nicht schlecht, führt aber natürlich dazu, dass wenn ich im Anwendungsbereich bin, dass ich dann gewisse Anforderungen erfüllen muss, wenn ich mit Daten etwas machen möchte, sehr salopp gesagt. So, das fängt an mit bestimmten Grundsätzen bei der Verarbeitung, die einigermaßen allgemein gehalten sind, also diese DSGVO-Grundsätze, Zweckbindung, Datenminimierung, Richtigkeit und all so ein Kram.
Einer der großen Knackpunkte ist aber ganz sicherlich Artikel 6, wo ich eben die Rechtmäßigkeit einer Verarbeitung definiert habe, wo es darum geht, dass ich eine Verarbeitung nur dann rechtmäßig durchführen kann, wenn ich eine von in dem Fall sechs Varianten erfüllt habe. Das geht ganz konkret darum, dass man diesen Grundsatz hat, die Datenverarbeitung ist grundsätzlich untersagt, außer sie ist erlaubt. Also erstmal zu all meinen No und außer ich habe eben einen dieser sechs Gründe vorliegen. Einer davon ist natürlich eine Einwilligung, das heißt, wenn der Nutzer sagt, das ist in Ordnung, dass du das machst, dann ist das okay.
Diese Einwilligung kann er aber eben nur erteilen, wenn er überhaupt gefragt wurde, wenn er aufgeklärt wurde darüber, was damit gemacht werden soll, in welchem Umfang, an wen die Daten weitergegeben werden. Also ich muss umfangreich hinweisen, sodass ich da möglicherweise manchmal vielleicht schon gar nicht die Einwilligung habe, die ich vermeintlich mir erdacht habe, dass ich sie habe. Und dann gibt es noch fünf andere Gründe, so gesetzliche Standardgründe, die irgendwie zur Vertragserfüllung, zur Erfüllung einer rechtlichen Verpflichtung, irgendwelche lebenswichtigen Interessen, die ich erfülle etc. Da gibt es so ein paar Gründe, die aber, das muss man auch sagen, relativ einschränkend von den Gerichten ausgelegt werden.
Das heißt, mit der Einwilligung fahre ich da schon ganz gut, wenn ich die entsprechend vorher informiert eingeholt habe. Sehr wichtig zu nennen wäre wahrscheinlich noch das berechtigte Interesse. Es gibt, das ist als Rechtfertigungsgrund auch in Artikel 6 Absatz 1 Buchstabe F enthalten. Also wenn der potenzielle Datenverarbeiter ein berechtigtes Interesse hat an der Datenverarbeitung und dieses Interesse auch dem Interesse an der Privatsphäre und der informationellen Selbstbestimmtheit des Betroffenen überwiegt, also nicht gleich ist, sondern überwiegt, dann darf ich auf Grundlage dieses berechtigten Interesses die Daten verarbeiten.
Da muss man aber genau sagen, wie du es auch gerade schon gesagt hast, dass die Gerichte sehr, sehr restriktiv damit ausgehen und in der Interessenabwägung sehr genau darauf pochen, ob das berechtigte Interesse überwiegt oder nicht. Insbesondere, nur um das vielleicht mal auf unseren Fall hier zu übertragen, diese TC-Strings haben ja so ein gewisses wirtschaftliches Interesse, dass man dann diesen Werbemarkt sozusagen am Laufen halten kann mit diesen TC-Strings und da wird man wohl zu dem Ergebnis kommen, dass da kein berechtigtes Interesse überwiegen kann, wenn diese TC-Strings natürlich personenbezogene Daten sind. Genau, das schauen wir uns gleich noch an. Ich habe einen Aspekt noch, der natürlich die DSGVO auf Seiten der Werbetreibenden als Hindernis erscheinen lässt und zwar ist das so ein bisschen die Verlässlichkeit meiner Daten.
Also ich habe ja, selbst wenn ich eine Einwilligung zur Nutzung von bestimmten Daten, zur Ausspielung von Werbung, Weitergabe etc., dann habe ich bei personenbezogenen Daten immer ein grundloses, jederzeit durchführbares Widerrufsrecht. Also diese Einwilligung, mit der ich dann vielleicht heute kalkuliere, die kann morgen schon wieder weg sein, weil der Nutzer gesagt hat, nö, doch nicht mehr. Und das ist natürlich immer schwierig. Da gibt es jetzt auch meines Wissens keinen Vertrauensschutz, dass man sagt, oh Mensch, jetzt hatte ich aber damit geplant, dass ich die nächsten drei Jahre da schön diese Daten weiter verhandeln kann und weiter handeln kann und benutzen kann.
Das gibt es ja so nicht. Wenn der Nutzer sagt, ist nicht mehr, dann ist es halt nicht mehr. Und dieses System, das zu berücksichtigen, diesen Widerruf, das muss ich natürlich schaffen, wenn ich konform handeln will. Da ist es selbstverständlich einfacher zu sagen, okay, ich habe kein personenbezogenes Datum, sondern ich kann mit diesen Daten eben, ohne die Voraussetzungen einzuhalten oder einhalten zu müssen, hergehen und sagen, naja, ich mache damit in Anführungsstrichen, was ich möchte.
Und vielleicht auch, nur weil du das Widerspruchsrecht genannt hast, vielleicht auch viel grundlegender das Auskunftsrecht, das ja auch besteht und dem man dann gerecht werden müsste. Also ich kann jederzeit sozusagen Auskunft ersuchen bei potenziellen Datenverarbeitern, ob sie überhaupt über mich Daten haben und verarbeiten und wenn ja, welche und wie und unter welchen, unter Grundlage welcher Zwecke und also sehr einen umfangreichen Auskunftsanspruch habe ich in Artikel 15 DSGVO und das heißt, die Daten, die ich eigentlich über Menschen verarbeite, müssen in gewisser Weise relativ gut aufbereitet sein. Also ich darf eigentlich nicht so einen Datenmischmasch haben, wo ich gar nicht weiß, wem welches Datum zugehörig ist, sondern das können dann nur Dritte sagen, sondern ich muss eigentlich sehr genau sozusagen Kartei führen darüber, wie meine Daten vorhanden sind und wie sie da bei denen liegen. Das heißt, die DSGVO ist bestimmt in gewisser Weise ein Hindernis, soll aber natürlich dann dazu führen, dass ich wiederum Kontrolle ausüben kann.
Also gerade dieses Auskunftsrecht, aber auch das Widerspruchsrecht sind ja sozusagen Ausflüsse dessen, dass ich Kontrolle zurückbekommen soll über meine personenbezogenen Daten. Dann ist natürlich aber die entscheidende Frage, ist es richtig oder falsch, dass diese personenbezogenen Daten relativ umfassend gefasst werden, also dass fast alles ein personenbezogenes Datum sein kann. Ist das dann so vernünftig und in guter Abwägung miteinander? Aber das ist eher eine rechtspolitische Fragestellung, vielleicht auch eine Fragestellung von grundrechtlicher Relevanz, sozusagen wie hochwerten wir Privatsphäre und wie umfassend ist Privatsphäre zu verstehen.
Hier ist es zwar nicht Privatsphäre, sondern sogenannte informationelle Selbstbestimmung, aber es geht ungefähr parallel zueinander. Und deswegen wollen wir uns dann gar nicht so sehr damit beschäftigen. Wir nehmen sozusagen den Status Quo, wie er nun mal ist. Die DSGVO ist sehr umfassend, sie wird auch sehr umfassend verstanden, wie auch wieder das aktuelle Urteil des EuGH erklärt.
Jetzt habe ich ein bisschen das Ergebnis vorweggenommen, aber gut. Und ja, dann schauen wir uns doch mal an, warum TC-Strings möglicherweise personenbezogene Daten sind. Ja, jetzt haben wir lange um den heißen Brei drumherum geredet und haben auf die Folter gespannt, haben wir niemanden, weil das klang durch. Aber ja, also der EuGH hatte sich, du hast das vorhin schon ganz kurz skizziert, wie das Ganze gelaufen ist, also die Belgische Datenschutzbehörde war der Auffassung, dass es sich bei diesen TC-Strings um personenbezogene Daten handelt.
Die IAB ist der Auffassung, dass dem nicht so ist und hat ihr geschäftliches Treiben vorangetrieben. Und die belgische Datenschutzbehörde hat meines Wissens ein Bußgeld gegen die IAB verhängt. Und IAB ist dagegen rechtlich vorgegangen. Das Ganze ging dann bis vor, dass ich meine oberste belgische Gericht, das dann wiederum Vorlagefragen an den Europäischen Gerichtshof formuliert hat und ihm insbesondere zwei Fragen vorgelegt hat.
die ich jetzt nicht wiedergebe in der konkreten Form, wie sie gestellt worden sind, sondern ein bisschen zusammengefasst. Nämlich zum einen sind TC-Strings personenbezogene Daten und wer ist verantwortlich für die Nutzung? Und diese beiden Fragen hatte der EuGH zu beantworten und hat, insofern können wir anknüpfen an das, was du eben gesagt hast, so beantwortet, dass er gesagt hat, okay, TC-Strings sind als personenbezogene Daten zu bewerten. Was die Frage angeht, haben sie aber wiederum das nicht nur auf eine Argumentation gestützt, was eigentlich ganz interessant ist.
Also sie haben sozusagen gesagt, naja, wenn so ein TC-String die Einwilligungsentscheidungen und auch den Widerspruch gegen behauptete berechtigte Interessen zusammenfasst in einer Zeichenfolge, dann ist das eigentlich per se schon ein personenbezogenes Datum. Aber selbst wenn diese Elemente nicht enthalten wären, sondern nur eine Identifizierung ermöglicht werden würde, zusammen mit IP-Adresse oder aber auch Cookies, die in dem Gerät des Nutzers gespeichert werden, selbst dann wäre es sozusagen personenbezogene Daten. Also das heißt, im Ergebnis kann ich den TC-String nicht abändern, damit er nicht personenbezogenes Datum ist. Er wird immer ein personenbezogenes Datum sein, wenn er seinen Zweck erfüllen muss.
Das ist eigentlich noch vielleicht ganz interessant. Also sie sind relativ umfassend gewesen, was die Argumentation oder die Fragestellung angeht, ob es sich um personenbezogene Daten handelt. Das heißt, zum einen sind wir wieder auf dieser Ebene nicht eine identifizierte Person, sondern eine identifizierbare Person. Und da sagt der EuGH relativ klar, dass ein individuell identifizierbares Profil erzeugt werden kann, eben in Kombination dieser gesamten Informationen.
Und das führt ja dann, also letztlich, das ist ein weites Verständnis, das der EuGH bisher schon gehabt hat, dass er jetzt hierauf anwendet, das dann auch eben dazu führt, dass für diesen gesamten Bereich die Datenschutzgrundverordnung Anwendung findet. Zum einen aufgrund der Einschätzung, dass es ein personenbezogenes Datum ist. Und dann kommt man aus der Nummer in Anführungsstrichen ja nur noch raus, wenn man sagt, okay, ich muss all diese Voraussetzungen erfüllen, beim Erheben der Daten, beim Speichern der Daten, bei allem, was ich mit diesen Daten tue. Wenn ich sage, okay, mag ja sein, aber ich bin nicht derjenige, der hier zuständig ist für die ganze Kiste.
Und das ist ja letztlich so ein bisschen die zweite Frage. Eine Sache würde ich dem aber noch vorschieben, der zweiten Frage. Und zwar könnte man ja auch sagen, naja, jedenfalls sind diese TC-Strings für IAB Europe nicht personenbezogene Daten, denn sie haben in keinerlei Weise Zugriff auf entweder die IP-Adresse oder andere sozusagen Kenndaten von den Nutzern. Also dazu müsste man erstmal ausführen, ein Datum kann für eine Partei ein personenbezogenes Datum sein, aber für eine andere Partei nicht.
Dann, wenn es so abwegig ist, dass ich als andere Partei die Zusammenführung mit anderen Daten machen kann, damit eine Person dahinter identifizierbar ist. Und auch dem hat der EuGH eine Absage erteilt und hat gesagt, naja, selbst wenn erstmal nicht diese Möglichkeit besteht für IAB Europe, ist es gar nicht mal ausgeschlossen, dass sie irgendwie auf die Möglichkeiten von Dritten, möglicherweise von Mitgliedern, die im Rahmen dieses Frameworks dann diese TC-Strings verarbeiten, darauf zugreifen. Und da das sozusagen nicht allzu abwegig war, hat man dann entschieden, dass auch das nicht greift und es immer noch personenbezogenes Datum auch für IAB Europe ist. Ja, jetzt ist aber ja der Punkt, also ich sage mal, in diesem ganzen Spiel sind ja mehrere Personen beteiligt.
Ich habe die Website-Betreiber, ich habe IAB, die dieses Framework anbieten und diese TC-Strings entwickelt haben, salopp gesagt. Und dann habe ich diese Werbetreibenden, die mit diesen TC-Strings irgendetwas tun, Werbung ausspielen, am Bidingssystem teilnehmen etc. Und jetzt ist es ja grundsätzlich erstmal so, wenn ich eine Website betreibe und ich setze bestimmte Dienste ein etc., ich biete ein paar Sachen an, ich setze Cookies, also ich in Anführungsstrichen setze Cookies, aber sagen wir mal, ich binde PayPal ein, ich binde andere vielleicht Zahlungsdienstleister ein oder andere externe Dienste, ist ja im Moment erstmal der Grundsatz, dass ich auch dafür verantwortlich bin, was mit diesen Daten passiert. Das heißt, ich bin dafür verantwortlich, auch im Sinne der DSGVO, die da auch eine Definition für hat.
Und die besagt eben, dass ein Verantwortlicher eine natürliche oder juristische Person ist, Behörden etc., die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. So, das heißt, klar, wenn ich einen bestimmten Dienst einbinde, dann entscheide ich schon in einer gewissen Weise, ob diese Daten überhaupt erhoben werden. Und jetzt ist es aber ja so, dieser IAB Europe hat dieses System entwickelt und betreibt im Hintergrund ein, ich glaube zumindest, dass sie auch dieses Bidding-System betreiben. und die haben aber jetzt zu Recht, Fragezeichen, angeführt, dass sie gesagt haben, naja, okay, aber wir sind ja nicht verantwortlich für diese ganzen Vorgänge.
Was hat der EuGH dazu gesagt? Vielleicht bevor man sozusagen dem EuGH Raum gibt, einmal ganz kurz noch, dass es ja natürlich in gewisser Weise ein richtiger Einwand ist, denn die Webseitenbetreiber sind ja, wie du es jetzt sehr gut dargestellt hast, diejenigen, die eine CMP-Plattform, eine CM-Plattform einbinden und dann sozusagen TC-Strings werden ja nur dadurch erstellt, dass Webseitenbetreiber dieses Framework einbinden und dann wiederum Daten weitergeben. Deswegen kann man diesen Einwand erstmal machen. Der EuGH ist dem nicht ganz gefolgt.
Die endgültige Entscheidung steht noch aus, da diese Frage sozusagen wieder zurückgeschickt wurde an das oberste Gericht. Da müssen auch weitere Tatsachenfeststellungen gemacht werden, ob jetzt IAB Europe wirklich gemeinsamer verantwortlicher ist oder nicht. Aber der EuGH hat zumindest die Tür dafür geöffnet, dass sie gemeinsamer verantwortlicher sind. Und zwar hat er gesagt, dass eine solche Organisation, wie es IAB Europe ist, dann als mit oder als verantwortlich angesehen werden kann für Weiterverarbeitungen, wenn feststeht, dass sie Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitung ausgeübt hat.
Und genau, das muss jetzt halt einfach noch in Zukunft geprüft werden. Das heißt, ich habe, also grundsätzlich ist das ja insofern nichts Neues, dass ich natürlich irgendwie einen Einfluss üben muss, um überhaupt in diesen Bereich zu kommen. Das heißt, wenn ich einfach gar keinen Einfluss habe und alles passiert ohne mein Zutun, mein Wissen, mein Wollen, dann bin ich raus. Aber würdest du denn sagen, dass er das hier auch, ich sage mal, das, was er jetzt schon sagen konnte zu den Punkten, die vorliegen, dass das ein weites Verständnis ist, dass er also auch diesen Kreis der gemeinsamen Verantwortlichkeiten weit zieht?
Ich denke schon. Insbesondere ist ja so ein bisschen die Frage, wie verstehen wir jetzt Einfluss auf die Festlegung der Zwecke und Modalitäten? Und wenn man sich das jetzt am Beispiel von IAB Europe anschaut, die haben ja dieses Framework aufgestellt, die haben diese CM-Plattformen da also sozusagen skizziert und technisch sozusagen erklärt, wie die sein müssen und haben dann auch diese TC-Strings in technischer Hinsicht sozusagen definiert, wie diese auszusehen haben. Das ist aber nichts weiter als Grundsteine legen, damit andere das wiederum nutzen.
Und selbst das, wenn man den EuGH sozusagen zwischen den Zeilen so verstehen will, könnte oder sollte ausreichen, um gemeinsame Verantwortlichkeit zu bejahen, da ja hier sozusagen Zwecke vorab definiert werden durch IAB Europe. und da auch durch diese technischen Vorgaben ein großer Einfluss genommen wird auf die Art, wie TC-Strings gestaltet werden. Und das könnte man jetzt möglicherweise auch auf ganz viele andere Fälle, die im Internet so bestehen, ummünzen und übertragen und sagen, oh, da an vielen Ecken und Enden wartet eigentlich gemeinsame Verantwortlichkeit auf uns. Um das vielleicht, du hattest da in der Vorbesprechung schon Gedanken zu, da vielleicht vorab noch kurz zu, also das, ich sage mal nicht, der Gegenpart zur gemeinsamen Verantwortlichkeit, aber so das Mittel der Wahl in der aktuellen Situation ist es ja, dass man sagt, okay, ich habe einen Dienst, den ich einsetze, dessen ich mich bediene.
Weiß ich nicht, sagen wir mal, ich habe einen Dienst, den ich monatlich dafür bezahle, dass er meine Newsletter-Abonnenten verwaltet, dass er den Versand meines Newsletters abwickelt, der dafür sorgt, dass ich nicht im Spam lande, der dafür sorgt, dass das grafisch schon ein bisschen nett ist, etc. Dann schließe ich mit diesem Dienst in der Regel eine Auftragsverarbeitungsvereinbarung, in der ich sage, bitte behandle die Daten entsprechend der Datenschutzgrundverordnung. So steht meistens ein bisschen mehr drin, ein bisschen konkreter, aber so ganz im Groben, dass ich sage, okay, ich sorge dafür, dass alle von mir eingesetzten Dienste sich DSGVO-konform verhalten und sie sich vor allen Dingen nur so verhalten, wie ich es gegenüber meinen Nutzern als Verantwortlicher tun muss. Ich bin also gegenüber meinen Nutzern verantwortlich.
Ich frage meine Nutzer, Hallo, ich möchte gerne eine E-Mail-Adresse haben, um dir ein Newsletter zu schicken. Und ich sage dir, dass ich darauf aufpasse, dass die datenschutzkonform oder DSGVO-konform genutzt werden. Dementsprechend, wenn ich jemand anderes einsetze, kann ich das tun, muss ihn aber eben genauso verpflichten, auf diese Daten aufzupassen. Und das ist ein anderes Konzept als das, was in dieser Entscheidung besprochen wurde.
Das heißt, da geht es nicht darum, dass der eine verantwortlich ist und dann PayPal einsetzt und eine AVV mit PayPal erstellt, weil dann habe ich als Nutzer nämlich, ja auch wenn man so will, nur einen Ansprechpartner, nämlich den Verantwortlichen, den Website-Betreiber, Sondern es geht ja dahin, dass ein zweiter Verantwortlicher oder ein dritter oder ein vierter Verantwortlicher auf einmal definiert wird, der gegenüber den Nutzern als, ich sage jetzt mal, Ansprechpartner mindestens zur Verfügung steht. Und darüber hinaus, du hattest da, glaube ich, noch einen Gedanken zu. Ja, also gemeinsame Verantwortlichkeit zeichnet sich ja sozusagen dadurch aus, dass ich als Betroffener dann an mehrere mich richten kann. In der Version der Auftragsverarbeitung ist es ja so, dass ich, wenn ich an den Auftragsverarbeiter mich wende und sage, naja, du verarbeitest Daten von mir, was machst du mit denen, Auskunftsanspruch zum Beispiel, dann würde der mich verweisen an den Hauptverantwortlichen.
Dann würde der sagen, naja, hier, guck mal, ich bin nur Auftragsverarbeiter, wende dich mal an den und den, das ist der Verantwortliche dieser Datenverarbeitung und der wiederum müsste dann mir Auskunft geben. In der Version der gemeinsamen Verantwortlichkeit gibt es zwei Parteien, die mir gleich geordnet, gleichrangig sozusagen gegenüberstehen und ich kann mich an beide wenden für alle Datenverarbeitung. Das heißt, ich kann mich einerseits, könnte ich mich an IAB Europe wenden und sagen, naja, hallo, Sie haben Daten von mir verarbeitet, möglicherweise, was machen Sie mit denen? Und andererseits könnte ich mich aber auch an den Webseitenbetreiber wenden und sagen, naja, was macht ihr da eigentlich mit IAB Europe?
Und das ist sozusagen eine umfassendere, Haftung ist das falsche Wort, aber sozusagen eine umfassendere Inanspruchnahme ist dann möglich. Dann stelle ich mich mal auf die Seite der Betreiber, egal welcher Dienste und würde mal behaupten, dass das ja ein Zustand ist, der absolut nicht wünschenswert wäre für mich, weil ich weder Einfluss auf die Systeme des anderen habe. Ich habe in der Regel nicht mal einen Blick. Das heißt, mich erinnert das so ein bisschen an eine Entscheidung, die wir hatten.
Ich meine auch das EuGH, wo es auch um gemeinsame Verantwortlichkeiten ging, Fanpage betreiben bei Facebook, wo der Fanpage-Betreiber gemeinsam verantwortlich ist mit Facebook über die dort stattfindende Datenverarbeitung. Wo ja damals schon die Argumentation war, wie soll ich denn gleichwertig irgendwelche Auskünfte erteilen? Ich habe ja nicht mal Einblick in das, was Facebook da tut. Ich habe keinen Zugriff.
Also das ist ja schwer, wenn ich das jetzt übertrage und mir überlege, dass ich dann irgendwie gleich einmal, oder dass auch aus der anderen Seite, wenn PayPal jetzt auf einmal als Diensteanbieter da steht und sagt, naja, ich habe aber auch keinen Einblick auf die Systeme meiner Kunden, die meine Dienste anbieten, meiner Website-Betreiber. Also das funktioniert ja in keine Richtung. Das erscheint mir eine Situation zu sein, die nicht zu weniger Schwierigkeiten führen dürfte. Nee, eher zu mehr würde ich sogar behaupten.
Und zwar in der Form, dass solche Systeme möglicherweise erheblich eingeschränkt werden würden, wenn man das wirklich so knallhart durchzieht. Ich muss auch gestehen, mir ist diese Überlegung gekommen, ich bin da auch noch relativ alleine mit. Ich habe noch keine große Diskussion zu dieser Fragestellung der gemeinsamen Verantwortlichkeit gesehen. Es kann ja auch sein, dass jetzt das oberste Gericht in Belgien in einer Tatsachenfeststellung irgendwelche Informationen erhält und feststellt, dass keine gemeinsame Verantwortlichkeit vorliegt.
Ich möchte noch eine Sache dazu ergänzen, zu der Frage der gemeinsamen Verantwortlichkeit und was die sozusagen ausschließen kann und was nicht. Denn der EuGH hat noch ergänzt, dass der Umstand, dass eine solche Organisation keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens, also dieses Framework, verarbeiteten personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsamer Verantwortlicher im Sinne dieser Bestimmung, also der DSGVO sein kann. Das heißt, gemeinsame Verantwortliche müssen nicht selber unmittelbar Zugang zu den Daten haben. Das ist wirklich weitgehend.
Also, und da ist, also das ist wirklich sozusagen, da besteht die Möglichkeit, dass wirklich sehr, sehr viel als gemeinsame Verantwortlichkeit erklärt wird. Und nur um das vielleicht noch ganz kurz zu erklären, warum ich auf die Idee komme, dass möglicherweise jetzt irgendwie PayPal als gemeinsamer Verantwortlicher zu sehen ist, wenn ich PayPal auf meiner Shop-Seite einbinden möchte, dann ist es ja nicht so, dass ich zu PayPal gehe und sage, das ist der Auftragsverarbeitungsvertrag, das sind die Regeln, an die du dich halten musst und du darfst die Daten nur so und so und so weiterverarbeiten. Sondern es ist ja eher so, dass PayPal ein gewisses System hat, wie man PayPal einbindet und selber eigentlich umgangssprachlich die Zügel in der Hand hat, wie sozusagen die Zwecke auch sind, zu denen verarbeitet wird und sozusagen die Umstände nach denen verarbeitet wird. Und deswegen kann man auch mit dieser EuGH-Rechtsprechung und der Rechtsprechung von davor sehr gut zu dem Schluss kommen, naja, eigentlich ist das keine Auftragsverarbeitung, denn dafür hat PayPal oder von mir aus auch Google in Google Maps Einbindungsfällen einen viel zu großen Einfluss und viel zu große Macht darüber, welche Daten wie verarbeitet werden.
Du nimmst, glaube ich, Bezug auf, das hatten wir uns vorhin mal kurz angeguckt, also Randnummer 140 in diesem Urteil, die sagt da was zu. 140 und das mit dem, dass kein unmittelbarer Zugang vorhanden sein muss, ist 142 am Ende. Also, um die Hörer da vielleicht ein bisschen abzuholen, daran wird besagt, dass, ich zitiere das mal, somit kann eine Branchenorganisation wie IAB Europe nur dann als für solche Weiterverarbeitungen verantwortlich angesehen werden. Da steht jetzt nur dann, aber ich finde, das ist nicht nur dann, sondern es sollte eigentlich schon, es klingt danach wie ein schon dann, auch dann schon, wenn feststeht, dass sie Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitung ausgeübt hat.
Das heißt, das, was du ansprichst, wenn PayPal jetzt nur als Beispiel gibt, diverse andere, aber wenn ich eben das System, die Modalitäten festlege und ganz klar sage, pass mal auf, lieber Website-Betreiber, du kannst unser System benutzen, aber nur so, nur unter Einhaltung dieser Optionen und Möglichkeiten, so musst du es einbinden, dann kommt es eben schon in Betracht, dass ich auch selber als Verantwortlicher gelte. Oder vielleicht auch ein ganz interessanter Fall, an den man nicht sofort denkt, ist, was ist mit solchen Internet-Dienstleistern wie WordPress oder hier dieses Iornos-Baukassensystem, wo man dann eine Webseite mit aufsetzt. Auch die geben ja sehr große Vorgaben dahin, was so eine Seite tut und was sie nicht tut. Wenn ich da irgendeinen Link setze, welche Daten dabei erhoben werden, wird ja auch durch die möglicherweise festgestellt.
Also ich habe mich wirklich nicht mit deren Nutzungsbedingungen und AGB jetzt im Vorfeld enger beschäftigt, aber ich sehe da sozusagen Potenzial, dass sehr viele Dienstleister oder Einbindungen im Internet jetzt nicht mehr Auftragsverarbeitung sein können, sondern nur noch gemeinsame Verantwortlichkeit. Ja, da malst du ja den Teufel an die Wand, hör mal. Ja, aber in der Tat, also es lässt jedenfalls diese Gedanken zu und dann wird man wahrscheinlich, klar, also diese Tatsachenfeststellung, die dann da noch erfolgen müssen, werden das für diesen Einzelfall festlegen, aber es klingt so, als wenn der EuGH da auch gerne eine weite Verantwortlichkeit annehmen würde. Wir lassen uns mal überraschen.
Das ist auf jeden Fall so oder so schon ein insofern datenschutzrechtlich sehr interessantes Urteil, allein schon, weil eben dieser Kreis der personenbezogenen Daten wieder vielleicht noch ein Stückchen weiter gezogen wird, als das bisher der Fall ist. Und dieses Konzept, wir schaffen etwas, mit dem wir die DSGVO, sagen wir mal, vorsichtig vermeiden können, da ja dann durchaus schon mal schief gegangen ist. Und vielleicht ein ganz besonderer Call to Action heute, wenn es da draußen unseren Hörerinnen, Hörern, Rechtsanwälte, Rechtsanwältinnen oder sogar Studierende gibt, irgendwen gibt, der sich mit Datenschutz besonders gut auskennt und der Meinung ist, ich erzähle hier ganz großen Schwachsinn und das darf man so nicht verstehen, das EuGH-Urteil, dann wäre ich sehr, sehr glücklich und würde mich sehr freuen über Feedback und sozusagen eine vielleicht auch Gegenmeinung. Ich bin auch gerne bereit, die in der nächsten Folge dann sozusagen zu erwähnen, damit das nicht dann sozusagen einfach verfliegt.
Ich bin da auch sehr diskussionsfreudig, also ich würde mich sehr freuen, da Rückmeldungen zu bekommen. podcast.tvw.law ist die E-Mail-Adresse. Ja, dann ist das doch, glaube ich, ein ganz guter Abschluss. Falls ihr ansonsten irgendwie Kritik, Wünsche, Fragen habt, die E-Mail-Adresse podcast.tvw.law ist dafür gedacht.
Meldet euch gerne. Wir sagen an dieser Stelle auf Wiederhören. Wir wünschen euch angenehme Osterfeiertage und wir sehen uns, hören uns wie gewohnt in zwei Wochen wieder. Ich sage Tschüss.
Ja, Tschüss auch von meiner Seite. Es hat mir wie immer sehr viel Spaß gemacht. Und ich, da ich ja jetzt schon den Call to Action gemacht habe, mache ich es nicht nochmal und wünsche euch auch frohe Osterfeiertage und bis in zwei Wochen.
Kostenloser Newsletter
Neue Folgen, aktuelle Urteile und Praxistipps aus Marken-, Urheber-, Medien- und Wettbewerbsrecht. Kompakt per E-Mail.
Double-Opt-in. Abmeldung jederzeit über den Link in jeder E-Mail.