EuGH-Urteil zu Real Time Bidding: Was Werbetreibende jetzt beachten müssen

Der EuGH hat am 7. März 2024 sein Urteil in der Rechtssache C-604/22 veröffentlicht.

Das Vorlagenverfahren betrifft grundlegende Fragen zum Datenschutz in digitalen Werbe-Ökosystemen. Das gezielte Ausspielen von (digitaler) Werbung für einen Nutzer gehört seit Jahren zum Werkzeugkasten jedes Werbetreibenden. Die Entscheidung wird daher aller Voraussicht nach weitreichende praktische Konsequenzen haben.

Hintergründe

Hintergründe zum Real Time Bidding-Verfahren
Für das gezielte Ausspielen von digitaler Werbung an einen bestimmten Webseitennutzer oder einen Nutzer einer Anwendung („App“) wird in der Praxis häufig das sog. Real Time Bidding-Verfahren genutzt.

Wenn ein Nutzer eine Webseite oder eine App mit einem Werbeplatz aufruft, können Werbeunternehmen, insbesondere Data Broker und Werbeplattformen, die Tausende von Werbetreibenden vertreten, anonym in Echtzeit Gebote abgeben, um über ein automatisiertes Versteigerungssystem („Bidding“) unter Verwendung von Algorithmen diesen Werbeplatz zu erhalten und dort gezielt Werbung anzuzeigen, die spezifisch auf das Profil eines solchen Nutzers abgestimmt ist.

Der Vorteil für einen Werbetreibenden ist u. a., dass er seinen Streuverlust bei der Schaltung von Werbung reduzieren kann. Der Werbetreibende zahlt für möglichst gezielte Werbung an bestimmte Nutzer.

Für Webseitenbetreiber liegt der Vorteil in der „mehrfachen“ Verkaufsmöglichkeit von digitalen Werbeflächen. Zwei Nutzer, die zeitgleich eine bestimmte Webseite aufrufen, sehen (mit an Sicherheit grenzender Wahrscheinlichkeit) unterschiedliche Werbungen, basierend auf unterschiedlichen Profilen. Der Webseitenbetreiber verdient doppelt.
 

Hintergründe zur Nutzung des Real Time Bidding-Verfahrens auf der Grundlage des Transparency & Consent Framework des IAB Europe
Das Interactive Advertising Bureau („IAB Europe“) ist ein Verband, welcher die digitale Werbe- und Marketingindustrie auf europäischer Ebene vertritt. Zu den Mitgliedern von IAB Europe gehören u. a. Unternehmen, die durch den Verkauf von Werbeplätzen auf Webseiten oder in Apps hohe Einnahmen erzielen.

IAB Europe hat das „Transparency & Consent Framework“ („TCF“) entwickelt. Dies stellt einen Regelungsrahmen dar, der aus Richtlinien, Anweisungen, technischen Spezifikationen, Protokollen und vertraglichen Verpflichtungen besteht, die es sowohl dem Anbieter einer Webseite oder App als auch Datenbrokern oder Werbeplattformen ermöglichen, personenbezogene Daten („pbD“) eines Nutzers rechtmäßig zu verarbeiten.

Das Ziel des TCF besteht insbesondere darin, die Einhaltung der DSGVO zu erleichtern, wenn Unternehmen das Real Time Bidding nutzen. Bevor jedoch eine solche gezielte Werbung angezeigt wird, muss die vorherige Einwilligung des Nutzers eingeholt werden.

Dafür wird eine „Consent Management Platform“ („CMP“) genutzt, welche es dem Nutzer ermöglicht, zum einen dem Anbieter der Webseite bzw. App seine Einwilligung zur Erhebung und Verarbeitung seiner pbD für vorher festgelegte Zwecke, wie u. a. Marketing oder Werbung, oder zum Austausch dieser Daten mit bestimmten Anbietern zu geben, und zum anderen verschiedenen Arten der Datenverarbeitung oder dem Austausch von Daten aufgrund der von den Anbietern geltend gemachten berechtigten Interessen im Sinne von Artikel 6 Abs. 1 lit. f) DSGVO („berechtigtes Interesse“) zu widersprechen. Diese pbD betreffen insbesondere den Standort des Nutzers, sein Alter, den Verlauf seiner Suchanfragen und seine zuletzt getätigten Einkäufe.

Das TCF bietet einen Rahmen für die umfangreiche Verarbeitung pbD und erleichtert die Erfassung der Nutzerpräferenzen mittels der CMP.

Diese Präferenzen werden anschließend in einem String kodiert und gespeichert, der aus einer Kombination von Buchstaben und Zeichen besteht und von IAB Europe als Transparency and Consent String („TC‑String“) bezeichnet wird. Der jeweilige TC-String wird mit den an Real Time Bidding-Verfahren beteiligten Brokern für pbD und Werbeplattformen geteilt. Diese können damit feststellen, worin der Nutzer eingewilligt und/oder wogegen er Widerspruch eingelegt hat.

Die CMP speichert auch ein Cookie (Euconsent‑v2) auf dem jeweiligen genutzten Gerät des Nutzers.

Miteinander kombiniert, können der jeweilige TC‑String und das jeweilige Cookie der genutzten IP‑Adresse eines konkreten Nutzers zugeordnet werden.

Rechtliche Fragestellungen

TC‑String kann ein personenbezogenes Datum darstellen.
Zunächst musste der EuGH die Frage klären, ob ein TC-String, im vorgelegten Sachverhalt, als pbD anzusehen ist. Dabei geht der EuGH zunächst davon aus, dass ein TC-String ein pbD sein kann, auch wenn ein solcher TC-String selbst keine unmittelbar identifizierbaren Informationen enthält.

Aufgrund der weiten Definition des Begriffs „Personenbezug“ in Artikel 4 Nr. 1 DSGVO ist auch eine Personenbeziehbarkeit ausreichend, wenn wie hier eine Zuordnung zu einer bestimmten natürlichen Person möglich ist. Der EuGH hat IAB Europe daher als Verantwortlichen im Sinne der DSGVO eingestuft (vgl. Artikel 4 Nr. 7 DSGVO).

Selbst die Tatsache, dass IAB Europe nicht selbst und unmittelbar über die Mittel einer Identifizierung verfügt, ist nach Ansicht des EuGH und seiner bisherigen Rechtsprechung kein Grund, den Personenbezug aus Sicht der IAB Europe zu verneinen. Aufgrund der Aktenlage geht der EuGH davon aus, dass Mitglieder von IAB Europe (= z. B. Werbetreibende; Data Broker) verpflichtet sind, dem IAB Europe auf Anfrage alle Informationen zu übermitteln, die es ihm ermöglichen, die Nutzer zu identifizieren, deren Daten Gegenstand eines TC‑Strings sind.

Damit verfüge der IAB Europe grundsätzlich über Mittel, die es ihm nach allgemeinem Ermessen ermöglichen, eine bestimmte natürliche Person anhand der Informationen zu identifizieren, die ihm seine Mitglieder und andere am TCF teilnehmende Organisationen zur Verfügung stellen müssen (vgl. Erwägungsgrund Nr. 26 S. 3 und S. 4 DSGVO).

Ein TC-String ist daher, aus der Perspektive des IAB Europe, als pbD anzusehen.

Branchenverbände, wie IAB Europe, können als Joint Controller angesehen werden.
Der EuGH musste anschließend die Fragen klären, ob der IAB Europe nicht nur als Verantwortlicher im datenschutzrechtlichen Sinne anzusehen ist, sondern für das TCF sogar eine gemeinsame Verantwortlichkeit gegeben sein kann im Sinne von Artikel 26 DSGVO. Eine gemeinsame Verantwortlichkeit führt zu weiteren datenschutzrechtlichen Anforderungen, auch im Rahmen von Webseiten- und/oder App-Datenschutzhinweisen.

Der IAB Europe, als Branchenorganisation, hat seinen Mitgliedern einen von dem IAB Europe aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten angeboten, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie pbD, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen. Dabei war auch fraglich, ob sich die Einschätzung daran richtet, ob der IAB Europe selbst unmittelbaren Zugang zu den pbD hat, die von seinen Mitgliedern innerhalb dieses Regelungsrahmens verarbeitet werden.

Zudem musste der EuGH klären, ob eine gemeinsame Verantwortung (vgl. Artikel 26 DSGVO) anzunehmen ist, wenn eine solche Branchenorganisation auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie beispielsweise Mitgliedern des IAB Europe, Einfluss hat, z. B. in Bezug auf Nutzerpräferenzen für gezielte Online-Werbung.

1. Branchenverband kann Verantwortlicher sein.
   Zunächst hat der EuGH unter Verweis auf ältere EuGH-Entscheidungen entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung pbD Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als Verantwortlicher im Sinne von Artikel 4 Nr. 7 DSGVO angesehen werden kann.
    
2. Branchenverband kann Gemeinsamer Verantwortlicher sein.
   Die Mitwirkung an der Entscheidung über die Zwecke und Mittel der Verarbeitung kann verschiedene Formen annehmen und sich sowohl aus einer gemeinsamen Entscheidung von zwei oder mehr Einrichtungen als auch aus übereinstimmenden Entscheidungen solcher Einrichtungen ergeben.
   
   Daher kann auch eine Branchenorganisation wie der IAB Europe als Gemeinsamer Verantwortlicher im Sinne von Artikel 4 Nr. 7 und Artikel 26 Abs. 1 DSGVO angesehen werden. Nach der Rechtsprechung des EuGH setzt die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nach der DSGVO nicht voraus, dass jeder der Akteure Zugang zu den betreffenden pbD hat (vgl. entsprechende EuGH-Entscheidung vom 10. Juli 2018, C‑25/17, Zeugen Jehovas).
   
   Im Einzelfall ist daher zu prüfen, ob eine solche Branchenorganisation unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die Verarbeitung pbD, wie des TC‑Strings, Einfluss nimmt und gemeinsam mit anderen die Zwecke der und die Mittel zur fraglichen Verarbeitung festlegt. Der IAB Europe wäre dann nicht lediglich eine Organisation zur Standardisierung von Prozessen (hier: der Verarbeitung von pbD in einem bestimmten Kontext), sondern möglicherweise gemeinsam, mit anderen Verantwortlichen, als Gemeinsamer Verantwortlicher im Sinne von Artikel 4 Nr. 7 und Artikel 26 Abs. 1 DSGVO abzusehen.
   
   Was erstens die Zwecke einer solchen Verarbeitung pbD betrifft, ergibt sich für den EuGH – vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen –, dass das von IAB Europe eingerichtete TCF einen Regelungsrahmen darstellt, der sicherstellen soll, dass die Verarbeitung pbD eines Nutzers einer Webseite oder App durch bestimmte Wirtschaftsteilnehmer, die an der Online-Versteigerung von Werbeflächen teilnehmen, mit der DSGVO in Einklang steht.
   
   Unter diesen Umständen soll das TCF im Wesentlichen den Verkauf und den Kauf von Werbeflächen im Internet durch diese Wirtschaftsteilnehmer fördern und ermöglichen.
   
   Vorbehaltlich der Prüfung des nationalen Gerichts im Einzelfall kann daher davon ausgegangen werden, dass IAB Europe aus Eigeninteresse auf die hier relevanten Verarbeitungen pbD Einfluss nimmt und damit gemeinsam mit seinen Mitgliedern die Zwecke solcher Verarbeitungsvorgänge festlegt.
    

Ausblick

Die Entscheidung des EuGH überrascht wenig. Der EuGH führt seine Rechtsprechung fort. Daher ist es weiterhin wichtig festzuhalten, dass der EuGH keine klare Entscheidung in Richtung „absoluter Personenbezug“ oder „relativer Personenbezug“ trifft. Dies war hier wohl auch nicht nötig, weil Mitglieder des IAB Europe verpflichtet sind, Informationen zu Nutzern zur Verfügung zu stellen und diese Nutzer dann jedenfalls identifizierbar sind.

Die Argumentation in Richtung einer Gemeinsamen Verantwortlichkeit überrascht ebenfalls wenig.

Aus praktischer Sicht sind die Anforderungen an Datenschutzhinweise und datenschutzrechtliche Marketingeinwilligungen im Rahmen des Real Time Bidding-Verfahrens (weiterhin) hoch. Werbetreibende stehen vor hohen Herausforderungen. Zum einen ist es eine Herausforderung, die transparente Darstellung aller Player in einem digitalen und dynamischen Werbe-Ökosystem, in welchem Real Time Bidding genutzt wird, zu erreichen. Zum anderen ist die transparente Vorformulierung für eine entsprechende datenschutzrechtliche Marketingeinwilligung eine Herausforderung.

Ob der IAB Europe sein TCF (es gibt verschiedene Versionen) weiterentwickelt und den Ansatzpunkten des EuGH den Boden entzieht bzw. entziehen kann, bleibt abzuwarten. Für die digitale Werbeindustrie wäre es jedenfalls den Versuch wert. Zudem werden auch andere Anbieter für digitale Werbe-Ökosysteme prüfen müssen, inwieweit diese EuGH-Entscheidung auf ihre Konstruktionen anwendbar ist.