In einem Urteil vom 7. März 2024 (Az. C-604/22) präzisiert der Europäische Gerichtshof (EuGH) die Definition von "personenbezogenen Daten" (Art. 4 Nr. 1 DSGVO) und die "Verantwortlichkeit" (Art. 4 Nr. 7 i.V.m. Art. 26 Abs. 1 DSGVO) in der Online-Werbebranche. Geklagt hatte das Interactive Advertising Bureau Europe (IAB), eine Vertretung von Werbeunternehmen auf europäischer Ebene, gegen die belgische Datenschutzbehörde, die Maßnahmen und Bußgelder wegen angeblicher Verstöße gegen die DSGVO verhängt hatte. Das IAB hat das "Transparency and Consent Framework" (TCF) entwickelt, das dazu dient, personalisierte Werbung gemäß der DSGVO zu ermöglichen. Dazu kodiert und speichert die Consent Management Platform (CMP) des IAB die Präferenzen der Website-User in einer Zeichenfolge, bekannt als "Transparency and Consent String" (TC-String).
Im Ergebnis entschied der EuGH, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO ist. Darüber hinaus sei das IAB als gemeinsam Verantwortlicher im Sinne der DSGVO anzusehen. Gleichzeitig hob das Gericht aber hervor, dass nach der Speicherung der Einwilligungspräferenzen das IAB nur noch dann im Sinne der DSGVO verantwortlich sei, wenn es nachweislich auch Einfluss auf die Weiterverarbeitung der Daten hatte.
Mittwoch, 10 April 2024 12:53