TC-Strings sind personenbezogene Daten. Was TC-Strings sind und was das EuGH-Urteil bedeutet, erläutern wir hier.
Was sind TC-Strings?
Die sogenannten Transparency and Consent-Strings sind codierte Zeichenketten, die alle einwilligungsbezogenen Informationen des Nutzers enthält. Mit diesen Informationen können Dritte, häufig Werbetreibende, zielgerichtet Werbung auf Internetseiten schalten. TC-Strings sind Teil des sogenannten Transparency and Consent Frameworks. Das Framework wurde durch das Interactive Advertising Bureau Europe erstellt. Es soll dazu dienen, dass einheitliche Standards und Regeln hinsichtlich Internetwerbung gelten. Ein wichtiges Bauteil des TC-Frameworks sind Real Time Bidding Plattformen. Dort können Werbetreibende in Echtzeit auf Werbeslots bieten. Praktisch bedeutet das, dass in den wenigen Milisekunden, in denen eine Internetseite auf Nutzerseite lädt, Werbeslots auf der Internetseite an den Meistbietenden vergeben werden. Das Gebot wird anhand des TC-Strings des Nutzers abgegeben. Der TC-String enthält dabei Informationen wie den Aufenthaltsort, das Alter, das Online-Suchverhalten und kürzliche Einkäufe des Nutzers. Auf der Grundlage des TC-Strings ist es also möglich, zielgerichtete Werbung zu schalten. Deshalb haben TC-Strings auch einen hohen Wert für Werbetreibende.
Bei der IAB Europe wiederum handelt es sich um eine gemeinnützige Organisation, die selbst keinen Zugriff auf die TC-Strings hat. Die IAB Europe selbst setzt sich aus verschiedenen Werbeunternehmen zusammen. TC-Strings werden auf der Grundlage von Consent Management Plattformen (CMP) erstellt. CMP sind häufig als Pop-Up-Fenster gestaltet und fragen umfangreiche Einwilligungen des Nutzers ab. CMP sind dabei häufig mit Cookie-Bannern verbunden.
Warum spielt es eine Rolle, ob TC-Strings personenbezogene Daten sind?
Für personenbezogene Daten und deren Verarbeitung gilt die Datenschutzgrundverordnung (DSGVO). Die DSGVO gibt den Grundsatz vor, dass die Datenverarbeitung von personenbezogenen Daten verboten ist. Nur unter den in Art. 6 Abs. 1 DSGVO genannten Möglichkeiten ist eine Datenverarbeitung erlaubt, deshalb werden die Varianten auch als Erlaubnistatbestände bezeichnet. Der wichtigste Erlaubnistatbestand ist die Einwilligung. Im Rahmen eines CMP wird die Einwilligung in verschiedene Datenverarbeitungen abgefragt. Bis zum Urteil des EuGH ist jedenfalls IAB Europe der Ansicht gewesen, dass die Zusammenstellung der Einwilligungen in einer Zeichenkette selbst kein personenbezogenes Datum sei. Dies hätte die Folge, dass keine Einwilligung oder sonstiger Erlaubnistatbestand notwendig sei, um einen TC-String zu erstellen, zu speichern oder an Dritte weiterzugeben.
Die Rechtslage nach dem 07. März 2024:
Der EuGH ist im Ergebnis dazu gekommen, dass TC-Strings personenbezogene Daten sind. Das bedeutet, dass alle Folgen der DSGVO Anwendung finden und insbesondere eine Einwilligung notwendig ist, für die Datenverarbeitung. Doch wie ist der EuGH zu diesem Ergebnis gekommen.
Dazu muss eine weitere technische Komponente erklärt werden: Kommt ein TC-String zum Einsatz, wird neben dem TC-String auch ein Cookie erstellt und auf dem Gerät des Nutzers gespeichert. TC-String und Cookie gemeinsam, lassen eine Identifikation des Nutzers zu. Dafür reicht es entsprechend der älteren Rechtsprechung sogar aus, dass es das Cookie lediglich die IP-Adresse wiedergibt. Damit ist es möglich einen Personenbezug herzustellen.
Spannend ist insoweit, dass die IAB Europe darüber hinaus potenziell Verantwortliche im Sinne der DSGVO sein kann. Dazu muss zwar, dass oberste Gericht Belgiens weitere Nachforschungen anstellen, jedoch hat der EuGH in gewisser Weise die Richtung vorgegeben. Denn der EuGH stellte fest, dass IAB Europe zwar keine eigene technisch-faktische Zugriffsmöglichkeit auf die TC-Strings hat, dies aber nicht unbedingt notwendig sei, um Verantwortlicher zu sein. IAB Europe nimmt entscheidenden Einfluss darauf, für welche Zwecke TC-Strings geschaffen und gespeichert werden und auch welche Mittel zu einer Verarbeitung verwendet werden. Über diesen Einfluss kann eine Eigenschaft als Verantwortlicher begründet werden, diese wäre dann eine gemeinsame Verantwortlichkeit mit den Internetseitenbetreibern und Dritten die, die Daten verarbeiten.
Für die Zukunft…
wird es zunächst spannend sein, wie das belgische Gericht entscheiden wird. Im Anschluss daran wird man sehen, welche praktischen Auswirkungen das EuGH-Urteil auf die Werbelandschaft im Internet hat. Aber auch darüber hinaus könnte das weite Verständnis für die Annahme einer gemeinsamen Verantwortlichkeit weitreichende Folgen haben. Viele Internetdienste könnten in Zukunft, allein auf der Grundlage eines starken Einflusses auf die Datenverarbeitung, nicht mehr als Auftragsverarbeiter, sondern als gemeinsame Verantwortliche eingestuft werden.