Der Europäische Gerichtshof (EuGH) (Az. C-604/22) hat sich am Donnerstag zu der Frage geäußert, inwiefern personalisierte Werbung gegen die Datenschutzgrundverordnung verstößt. Das Urteil sägt dabei an den grundlegenden, technischen Hintergründen von Cookie-Bannern.

Cookie-Banner, TC-Strings und Versteigerungen

Die Entscheidung beschäftigt sich mit einem Mischmasch aus technischen und wirtschaftlichen Abläufen. Doch fangen wir von vorn an: Nutzer:innen können, wenn sie eine Seite besuchen, über den Cookie-Banner der Anzeige von personalisierter Werbung zustimmen. Wie aber kommt die auf mich zugeschneiderte Werbung auf meinen Bildschirm? Klicke ich auf diese Einwilligung, wird ein sogenannter „Transparency and Consent String“, kurz TC-String erzeugt. Dieser kodiert in einer Kombination von Buchstaben und Zeichen meine Präferenzen. Der String speichert außerdem, wofür ich meine Einwilligung erteilt habe – und wofür eben nicht. Auf diesen so erzeugten String können Broker bieten und sich so den Werbeplatz auf meinem Bildschirm sichern. Auf meinem PC wird dann ein Cookie gespeichert. In Kombination mit dem TC-String, kann das Cookie meiner IP-Adresse zugeordnet werden.

Mehr zum Thema:

Bußgeld gegen eine belgische Organisation

In der Entscheidung ging es nun um die Interactive Advertising Bureau Europe (IAB). Dabei handelt es sich um eine belgische Organisation, die Werbeunternehmen auf europäischer Ebene vertritt.

IAB hat das sogenannte „Transparency and Consent Framework“ (kurz TCF) entwickelt. Das ist die Technik, mit der der TC-String erzeugt wird. Außerdem bietet die Organisation noch eine „Consent Management Platform“ (CMP) an, mit der die Einwilligung zur Verarbeitung personenbezogener Daten eingeholt werden kann.

Die belgische Datenschutzbehörde hatte gegen die Organisation IAB Maßnahmen und ein Bußgeld verhängt. Ihrer Ansicht nach ist die Organisation zum einen verantwortlich für die Datenverarbeitung und zum anderen verstieße das System gegen die DSGVO. Gegen diese Entscheidung klagte IAB. Das zuständige, belgische Gericht legte die Akte nun dem EuGH vor, um offene Fragen zu klären. 

TC-String ist personenbezogenes Datum

Wie die LTO berichtet, ist der TC-String laut dem EuGH ein personenbezogenes Datum. Durch die im String gespeicherten Informationen wird ein Nutzer:innenprofil erstellt. Durch die Verknüpfung mit der IP-Adresse können diese Informationen auch einem Gerät zugeordnet werden. Die Person hinter dem String kann so identifiziert werden. Die Organisation ist obendrein auch für die Datenverarbeitung verantwortlich. Der EuGH betonte, dass es den Anschein mache, dass die Organisation Einfluss auf die Verarbeitungen personenbezogener Daten nehme. Ob dem tatsächlich so ist, muss das belgische Gericht abschließend feststellen. Außerdem lege die IAB gemeinmit mit den Mitgliedern, die die Technik nutzen, den Zweck und auch die Mittel der Datenverarbeitung fest.

Anzeige

Neben den umfangreichen Leistungen in puncto Rechtssicherheit im Online-Shop bietet der Händlerbund auch den Rundum-Service für den Datenschutz in Unternehmen. Mit dem Datenschutz-Paket Pro stehen Unternehmern nicht nur passende Datenschutzerklärungen, umfangreiche Vorlagen und Checklisten zur Verfügung, sondern auch ein externer Datenschutzbeauftragter. Weitere Informationen zum Datenschutz-Paket Pro finden Sie hier.

Artikelbild: http://www.depositphotos.com