Der Europäische Gerichtshof (EuGH) hat entschieden, dass eine Branchenorganisation durch das Setzen eines Verarbeitungsstandards auch ohne Zugriff auf die personenbezogenen Daten gemeinsam verantwortlich mit dem verarbeitenden Unternehmen sein kann. Für die gemeinsame Verantwortlichkeit genügt schon die Einflussnahme auf den Verarbeitungsprozess, ohne dass das ein Zugriff auf die konkreten Daten nötig wäre.

Es geht um Onlineeinwilligungen: personenbezogen und gemeinsam?

Der Entscheidung lag ein Sachverhalt aus dem Bereich der Onlinewerbung zugrunde. Es ging um das marktführende Einwilligungsmanagementsystem für Onlinewerbung bereitgestellt durch das Interactive Advertising Bureau (IAB), dem europäischen Branchenverband der digitalen Werbe- und Marketingindustrie. Das IAB hat mit dem Ziel, webseitenübergreifendes Onlinetracking zu ermöglichen, ein Einwilligungsstandard entwickelt. Dieser Standard wird als Transparency & Consent Framework (TCF) bezeichnet. Das TCF soll Werbetreibenden und Vermarktern von Onlineinventar die Einhaltung der Anforderung der DSGVO beim Onlinetracking erleichtern. Dazu hat das IAB eine Technologie basierend auf einer sogenannten Consent Management Plattform (CMP) vorgesehen. Durch CMP erhobene Nutzerpräferenzen werden in einem String kodiert und gespeichert, der aus einer Kombination von Buchstaben und Zeichen besteht, dem sogenannten TC-String. Dieser TC-String wird mit Werbeplattformen geteilt, damit diese wissen, in welche Datenverarbeitung der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Die CMP speichert auch ein Cookie auf dem Endgerät des Nutzers, das zusammen mit dem TC-String der IP Adresse des Nutzers zugerechnet werden kann.

Die für das IAB zuständige belgische Datenschutzbehörde stellte gegenüber dem IAB in einem förmlichen Bescheid fest, dass der TC-String ein personenbezogenes Datum im Sinne des Art. 4 Nr. 1 DSGVO darstelle und das IAB als gemeinsam Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO agiere und mithin die Vorschriften der DSGVO insofern einzuhalten hat. Hier gegen legt das IAB Rechtsmittel ein. Das zuständige Gericht in Brüssel legte dem EuGH zusammengefasst folgende Vorlagefragen vor:

• Stellt der TC-String ein personenbezogenes Datum in Sinne von Art. 4 Nr. 1 DSGVO dar?
• Ist eine Branchenorganisation wie das IAB, soweit siehe Mitgliedern einen Einwilligungsstandard vorschlägt und darin festschreibt, wie die Einwilligung betreffenden Daten gespeichert und verarbeitet werden müssen, als „Verantwortlicher“ einzustufen?
• Erstreckt sich eine etwaige gemeinsame Verantwortlichkeit des IAB auch auf die Weiterverarbeitung der so unter dem Standard gesammelten personenbezogenen Daten durch Dritte?

EuGH: gemeinsame Verantwortung kommt von Einfluss, nicht von Zugriff auf Daten

Der EuGH hat in seinem Urteil von 07. März 2024 entschieden, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC-String, die die Präferenzen eines Nutzers in Bezug auf dessen Einwilligung in die Verarbeitung der personenbezogenen Daten enthält, ein personenbezogenes Datum in Sinne der DSGVO darstellt. Außerdem ist eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten gespeichert und verarbeitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne der DSGVO einzustufen, wenn sie aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass das IAB keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten hat, schließt die gemeinsame Verantwortlichkeit nicht aus, so der EuGH. Allerdings erstreckt sich die gemeinsame Verantwortlichkeit des IAB nicht automatisch auf die Weiterverarbeitung der so gewonnenen personenbezogenen Daten durch Dritte, wie beispielsweise Anbieter von Websites oder Anwendungen.

Unternehmen müssen mehr auf Verarbeitungsherrschaft als auf Datenzugriff achten!

Unternehmen scheuen die gemeinsame Verantwortlichkeit. Zum einen müssen bei Vorliegen einer gemeinsamen Verantwortlichkeit in Sinne des Art. 4 Nr. 7 bzw. Art 26 DSGVO besondere formale Anforderungen eingehalten werden, die auch bußgeldbewehrt sind. Zum anderen bedeutet gemeinsame Verantwortlichkeit auch gesamtschuldnerische Haftung. Schon mit dem Urteil EuGH C-25/17 – Zeugen Jehovas hat der EuGH eine Organisationshoheit hinsichtlich der Datenverarbeitung für eine gemeinsame Verantwortlichkeit ausreichen lassen. Es kam nicht auf die unmittelbare Zugriffsmöglichkeit auf die personenbezogenen Daten an. Dieser Ansatz wird mit dem hier besprochenen Urteil vom 07. März 2024 verfestigt. Der EuGH stellt auch für den Onlinewebekontext fest, dass allein die Einflussnahme aus Eigeninteresse auf die Verarbeitungsprozesse für eine gemeinsame Verantwortlichkeit in Sinne der DSGVO ausreichen könne. Das bedeutet in der Praxis, dass Unternehmen beim Identifizieren von gemeinsamer Verantwortlichkeit nicht auf „gemeinsamen Zugriffsmöglichkeiten“ schauen, sondern Verarbeitungsprozesse und die Einflussnahme auf die Verarbeitungsprozesse analysieren sollten.

Gleichzeitig ist durch das Urteil auch bestätigt, dass die gemeinsame Verantwortlichkeit auf den gemeinsamen beeinflussten Verarbeitungsschritt begrenzt ist. Sie umfasst nicht die weiteren, nicht beeinflussten Verarbeitungsschritte im Data-Lifecycle der Datenverarbeitung.

Unternehmen sollten also Datenverarbeitungsprozesse und Data-Lifecycles in ihren Unternehmen segmentiert danach analysieren, ob Dritte aus Eigeninteresse bestimmenden Einfluss auf den jeweiligen Datenverarbeitungsschritt haben, auch ohne Zugriff auf die betroffenen Daten zu haben. Es kommt auf die Einflussnahme und gemeinsame Beherrschung des Verarbeitungsgeschehens an, nicht auf den Datenzugriff. In einem solchen Fall müssen Unternehmen die formalen Anforderungen an die gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO erfüllen, um Haftungs- und Bußgeldrisiken zu vermeiden.

(EuGH Urteil vom 07. März 2024, C-604/22-IAB Europe)