EuGH, Urteil vom 07.03.2024, Az. C-604/22
Art. 4 Nr. 7 EU-VO 2016/679, Art. 4 Nr. 1 EU-VO 2016/679, Art. 26 Abs. 1 EU-VO 2016/679
Auf Grund des individuellen Verhaltens eines Nutzers im Internet verbleiben Spuren, die zur Einblendung personalisierter Werbung genutzt werden können. Diese werden im Rahmen des von der Organisation IAB Europe angebotenen Real Time Bidding (RTB)-Auktionsverfahren zum Kauf angeboten. IAB Europe selbst hat keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten. IAB Europe hatte in der Folge jede Verantwortung für die Datenverarbeitung abgelehnt. Dies sah der EuGH anders. Der EuGH hat entschieden, dass es sich bei einer strukturierten Abfolge von Zeichen, welche die Vorlieben eines identifizierbaren Nutzers im Internet erfasst, um personenbezogene Daten handeln kann. Im Übrigen käme auch eine Organisation, wie IAB Europe, welche selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern insoweit verarbeiteten personenbezogenen Daten habe, aber die Methode zur Generierung der Zeichenabfolge vorschreibe als „gemeinsam Verantwortlicher“ gem. Art. 4 Nr. 7 und Art. 26 Abs. 1 EU-VO 2016/679 in Betracht. Zum Volltext der Entscheidung:
Urteil des Gerichtshofs (Vierte Kammer)
In der Rechtssache C‑604/22
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Hof van beroep te Brussel (Appellationshof Brüssel, Belgien) mit Entscheidung vom 7. September 2022, beim Gerichtshof eingegangen am 19. September 2022, in dem Verfahren
IAB Europe
gegen
Gegevensbeschermingsautoriteit,
Beteiligte:
…
erlässt
DER GERICHTSHOF (Vierte Kammer)
unter Mitwirkung von …
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 21.09.2023,
unter Berücksichtigung der Erklärungen
…
aufgrund des nach Anhörung der Generalanwältin ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,
folgendes
Urteil
1 Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 4 Nrn. 1 und 7 sowie Art. 24 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO) in Verbindung mit den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta).
2 Es ergeht im Rahmen eines Rechtsstreits zwischen IAB Europe und der Gegevensbeschermingsautoriteit (Datenschutzbehörde, Belgien) (im Folgenden: DSB) wegen eines Beschlusses der Streitsachenkammer der DSB, mit dem IAB Europe ein Verstoß gegen mehrere Bestimmungen der DSGVO zur Last gelegt wird.
Rechtlicher Rahmen
Unionsrecht
3 In den Erwägungsgründen 1, 10, 26 und 30 der DSGVO heißt es:
„(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der [Charta] sowie Artikel 16 Absatz 1 [AEUV] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
…
(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …
…
(26) Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.
…
(30) Natürlichen Personen werden unter Umständen Online-Kennungen wie IP‑Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“
4 Art. 1 („Gegenstand und Ziele“) Abs. 2 DSGVO bestimmt:
„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“
5 Art. 4 dieser Verordnung sieht vor:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
7. ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
…
11. ‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
…“
6 Art. 6 („Rechtmäßigkeit der Verarbeitung“) DSGVO bestimmt:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
…
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
…“
7 Art. 24 („Verantwortung des für die Verarbeitung Verantwortlichen“) Abs. 1 dieser Verordnung lautet:
„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“
8 Art. 26 („Gemeinsam Verantwortliche“) Abs. 1 dieser Verordnung sieht vor:
„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. …“
9 Kapitel VI („Unabhängige Aufsichtsbehörden“) der DSGVO umfasst die Art. 51 bis 59.
10 Art. 51 („Aufsichtsbehörde“) Abs. 1 und 2 der Verordnung bestimmt:
„(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird …
(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen.“
11 Art. 55 („Zuständigkeit“) Abs. 1 und 2 DSGVO sieht vor:
„(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
(2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.“
12 Art. 56 („Zuständigkeit der federführenden Aufsichtsbehörde“) Abs. 1 der Verordnung lautet:
„Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung.“
13 Art. 57 („Aufgaben“) Abs. 1 der Verordnung bestimmt:
„Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a) die Anwendung dieser Verordnung überwachen und durchsetzen;
…
g) mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten;
…“
14 Abschnitt 1 („Zusammenarbeit“) von Kapitel VII („Zusammenarbeit und Kohärenz“) der DSGVO umfasst die Art. 60 bis 62. Art. 60 („Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden“) Abs. 1 lautet:
„Die federführende Aufsichtsbehörde arbeitet mit den anderen betroffenen Aufsichtsbehörden im Einklang mit diesem Artikel zusammen und bemüht sich dabei, einen Konsens zu erzielen. Die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden tauschen untereinander alle zweckdienlichen Informationen aus.“
15 Art. 61 („Gegenseitige Amtshilfe“) DSGVO bestimmt in Abs. 1:
„Die Aufsichtsbehörden übermitteln einander maßgebliche Informationen und gewähren einander Amtshilfe, um diese Verordnung einheitlich durchzuführen und anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um vorherige Genehmigungen und eine vorherige Konsultation, um Vornahme von Nachprüfungen und Untersuchungen.“
16 Art. 62 („Gemeinsame Maßnahmen der Aufsichtsbehörden“) Abs. 1 und 2 der Verordnung sieht vor:
„(1) Die Aufsichtsbehörden führen gegebenenfalls gemeinsame Maßnahmen einschließlich gemeinsamer Untersuchungen und gemeinsamer Durchsetzungsmaßnahmen durch, an denen Mitglieder oder Bedienstete der Aufsichtsbehörden anderer Mitgliedstaaten teilnehmen.
(2) Verfügt der Verantwortliche oder der Auftragsverarbeiter über Niederlassungen in mehreren Mitgliedstaaten oder werden die Verarbeitungsvorgänge voraussichtlich auf eine bedeutende Zahl betroffener Personen in mehr als einem Mitgliedstaat erhebliche Auswirkungen haben, ist die Aufsichtsbehörde jedes dieser Mitgliedstaaten berechtigt, an den gemeinsamen Maßnahmen teilzunehmen. …“
17 Abschnitt 2 („Kohärenz“) von Kapitel VII der DSGVO umfasst die Art. 63 bis 67. Art. 63 („Kohärenzverfahren“) lautet:
„Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem Abschnitt beschriebenen Kohärenzverfahrens untereinander und gegebenenfalls mit der Kommission zusammen.“
Belgisches Recht
18 Die Wet tot oprichting van de Gegevensbeschermingsautoriteit (Gesetz zur Errichtung der Datenschutzbehörde) vom 3. Dezember 2017 (Belgisch Staatsblad vom 10. Januar 2018, S. 989, im Folgenden: GED) bestimmt in Art. 100 § 1 [Nr.] 9°:
„Die Streitsachenkammer ist befugt,
…
9° anzuordnen, dass die Verarbeitung mit den Vorschriften in Einklang gebracht wird“.
19 Art. 101 GED sieht vor:
„Die Streitsachenkammer kann beschließen, gegen die verfolgten Parteien eine Geldbuße gemäß den allgemeinen Bedingungen in Artikel 83 [DSGVO] zu verhängen.“
Ausgangsverfahren und Vorlagefragen
20 IAB Europe ist ein Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien, der Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt. Mitglieder von IAB Europe sind sowohl Unternehmen dieses Sektors, wie beispielsweise Verlage, E‑Commerce- und Marketingunternehmen oder Vermittler, als auch nationale Verbände, darunter die nationalen IAB (Interactive Advertising Bureaus), zu deren Mitgliedern ebenfalls Unternehmen dieses Sektors zählen. Zu den Mitgliedern von IAB Europe gehören u. a. Unternehmen, die durch den Verkauf von Werbeplätzen auf Websites oder in Anwendungen (Applikationen) hohe Einnahmen erzielen.
21 IAB Europe entwickelte das „Transparency & Consent Framework“ (im Folgenden: TCF), das einen Regelungsrahmen darstellt, der aus Richtlinien, Anweisungen, technischen Spezifikationen, Protokollen und vertraglichen Verpflichtungen besteht, die es sowohl dem Anbieter einer Website oder Anwendung als auch Datenbrokern oder Werbeplattformen ermöglichen, personenbezogene Daten eines Nutzers einer Website oder Anwendung rechtmäßig zu verarbeiten.
22 Das Ziel des TCF besteht insbesondere darin, die Einhaltung der DSGVO zu erleichtern, wenn diese Wirtschaftsteilnehmer das OpenRTB nutzen, d. h. eines der am meisten verwendeten Protokolle für Real Time Bidding (im Folgenden: RTB), bei dem es sich um ein System der sofortigen und automatisierten Online-Versteigerung von Nutzerprofilen für den Verkauf und den Kauf von Werbeplätzen im Internet handelt. Angesichts bestimmter Praktiken, die von Mitgliedern von IAB Europe im Rahmen dieses Systems für den massenhaften Austausch personenbezogener Daten über Nutzerprofile angewandt wurden, wurde das TCF von IAB Europe als eine Lösung dargestellt, die geeignet sei, dieses Versteigerungssystem mit der DSGVO in Einklang zu bringen.
23 Insbesondere können, wie aus den dem Gerichtshof vorgelegten Akten hervorgeht, in technischer Hinsicht, wenn ein Nutzer eine Website oder eine Anwendung mit einem Werbeplatz aufruft, Werbeunternehmen, insbesondere Datenbroker und Werbeplattformen, die Tausende von Werbetreibenden vertreten, anonym in Echtzeit Gebote abgeben, um über ein automatisiertes Versteigerungssystem unter Verwendung von Algorithmen diesen Werbeplatz zu erhalten und dort Werbung anzuzeigen, die spezifisch auf das Profil eines solchen Nutzers abgestimmt ist.
24 Bevor jedoch eine solche gezielte Werbung angezeigt wird, muss die vorherige Einwilligung des Nutzers eingeholt werden. So erscheint, wenn er erstmals eine Website oder eine Anwendung aufruft, eine „Consent Management Platform“ (im Folgenden: CMP) genannte Einwilligungsplattform in einem Pop‑up-Fenster, das es dem Nutzer zum einen ermöglicht, dem Anbieter der Website bzw. Anwendung seine Einwilligung zur Erhebung und Verarbeitung seiner personenbezogenen Daten für vorher festgelegte Zwecke, wie u. a. Marketing oder Werbung, oder zum Austausch dieser Daten mit bestimmten Anbietern zu geben, und zum anderen, verschiedenen Arten der Datenverarbeitung oder dem Austausch von Daten aufgrund der von den Anbietern geltend gemachten berechtigten Interessen im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO zu widersprechen. Diese personenbezogenen Daten betreffen insbesondere den Standort des Nutzers, sein Alter, den Verlauf seiner Suchanfragen und seine zuletzt getätigten Einkäufe.
25 In diesem Zusammenhang bietet das TCF einen Rahmen für die umfangreiche Verarbeitung personenbezogener Daten und erleichtert die Erfassung der Nutzerpräferenzen mittels der CMP. Diese Präferenzen werden anschließend in einem String kodiert und gespeichert, der aus einer Kombination von Buchstaben und Zeichen besteht und von IAB Europe als Transparency and Consent String (im Folgenden: TC‑String) bezeichnet wird, der mit den an dem OpenRTB-Protokoll beteiligten Brokern für personenbezogene Daten und Werbeplattformen geteilt wird, damit diese wissen, worin der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Die CMP speichert auch ein Cookie (Euconsent‑v2) auf dem Gerät des Nutzers. Miteinander kombiniert, können der TC‑String und das Cookie der IP‑Adresse dieses Nutzers zugeordnet werden.
26 Das TCF spielt somit eine Rolle bei der Funktionsweise des OpenRTB-Protokolls, da es ermöglicht, die Nutzerpräferenzen im Hinblick auf ihre Weitergabe an potenzielle Verkäufer zu erfassen und verschiedene Verarbeitungsziele zu erreichen, darunter das Angebot maßgeschneiderter Werbung. Das TCF zielt u. a. darauf ab, Brokern personenbezogener Daten und Werbeplattformen mittels des TC‑Strings die Einhaltung der DSGVO zu garantieren.
27 Seit 2019 gingen bei der DSB mehrere Beschwerden gegen IAB Europe sowohl aus Belgien als auch aus Drittländern ein, die sich auf die Vereinbarkeit des TCF mit der DSGVO beziehen. Nach Prüfung dieser Beschwerden leitete die DSB in ihrer Eigenschaft als federführende Aufsichtsbehörde im Sinne von Art. 56 Abs. 1 DSGVO das Zusammenarbeits- und Kohärenzverfahren gemäß den Art. 60 bis 63 dieser Verordnung ein, um zu einem gemeinsamen Beschluss zu gelangen, der von allen 21 am Verfahren beteiligten nationalen Aufsichtsbehörden gebilligt wurde. So entschied die Streitsachenkammer der DSB mit Beschluss vom 2. Februar 2022, dass IAB Europe in Bezug auf die Erfassung der Einwilligung, der Ablehnung und der Präferenzen einzelner Nutzer mittels eines TC‑Strings, der einem identifizierbaren Nutzer zugeordnet sei, als Verantwortlicher auftrete. Im Übrigen verpflichtete die Streitsachenkammer der DSB IAB Europe in diesem Beschluss gemäß Art. 100 § 1 [Nr.] 9 GED, die Verarbeitung personenbezogener Daten im Rahmen des TCF mit den Bestimmungen der DSGVO in Einklang zu bringen, und verhängte gegen IAB Europe mehrere Abhilfemaßnahmen sowie eine Geldbuße.
28 IAB Europe legte gegen diesen Beschluss beim Hof van beroep te Brussel (Appellationshof Brüssel, Belgien), dem vorlegenden Gericht, ein Rechtsmittel ein. IAB Europe beantragt, den Beschluss vom 2. Februar 2022 aufzuheben. Er rügt u. a. die Feststellung, dass er als Verantwortlicher gehandelt habe. Außerdem sei dieser Beschluss, soweit darin festgestellt werde, dass der TC‑String ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO sei, nicht hinreichend differenziert und begründet und jedenfalls fehlerhaft. IAB Europe hebt insbesondere hervor, dass nur die anderen TCF‑Teilnehmer den TC‑String mit einer IP‑Adresse verknüpfen und so in ein personenbezogenes Datum umwandeln könnten, dass der TC‑String nicht nutzerspezifisch sei und dass er selbst keinen Zugang zu den Daten habe, die in diesem Rahmen von seinen Mitgliedern verarbeitet würden.
29 Die DSB, im nationalen Verfahren unterstützt durch Herrn Jef Ausloos, Herrn Pierre Dewitte, Herrn Johnny Ryan, die Fundacja Panoptykon, die Stichting Bits of Freedom und die Ligue des Droits Humains VZW, macht u. a. geltend, dass die TC‑Strings sehr wohl personenbezogene Daten darstellten, da die CMP den TC‑Strings IP‑Adressen zuordnen könnten, dass die TCF‑Teilnehmer die Nutzer zudem auch anhand anderer Daten identifizieren könnten, dass IAB Europe zu diesem Zweck Zugang zu den Informationen habe, und dass diese Identifizierung des Nutzers gerade der Zweck des TC‑Strings sei, der den Verkauf gezielter Werbung vereinfachen solle. Darüber hinaus macht die DSB u. a. geltend, dass sich aus der entscheidenden Rolle von IAB Europe bei der Verarbeitung von TC‑Strings ergebe, dass er als Verantwortlicher im Sinne der DSGVO anzusehen sei. Diese Organisation lege die Zwecke und Mittel der Verarbeitung fest und bestimme, wie die TC‑Strings generiert, angepasst und ausgelesen würden, wie und wo die erforderlichen Cookies gespeichert würden, wer die personenbezogenen Daten erhalte und anhand welcher Kriterien die Fristen für die Speicherung der TC‑Strings festgelegt werden könnten.
30 Das vorlegende Gericht hegt Zweifel, ob ein TC‑String – gegebenenfalls in Kombination mit einer IP‑Adresse – ein personenbezogenes Datum darstelle und, wenn ja, ob IAB Europe im Rahmen des TCF als für die Verarbeitung personenbezogener Daten Verantwortlicher anzusehen sei, insbesondere im Hinblick auf die Verarbeitung des TC‑Strings. Insoweit weist das vorlegende Gericht darauf hin, dass der Beschluss vom 2. Februar 2022 zwar den gemeinsamen Standpunkt der verschiedenen im vorliegenden Fall beteiligten nationalen Aufsichtsbehörden widerspiegele, der Gerichtshof jedoch noch keine Gelegenheit gehabt habe, sich zu dieser neuen, mit tiefgreifenden Folgen verbundenen Technologie des TC‑Strings zu äußern.
31 Unter diesen Umständen hat der Hof van beroep te Brussel (Appellationshof Brüssel) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. a) Ist Art. 4 Nr. 1 DSGVO in Verbindung mit den Art. 7 und 8 der Charta dahin auszulegen, dass eine Zeichenfolge, die die Präferenzen eines Internetnutzers im Zusammenhang mit der Verarbeitung seiner personenbezogenen Daten auf strukturierte und maschinenlesbare Weise erfasst, aus Sicht (1) einer Branchenorganisation, die ihren Mitgliedern einen Standard bereitstellt, mit dem sie ihnen vorschreibt, auf welche Weise diese Zeichenfolge in praktischer und technischer Hinsicht generiert, gespeichert und/oder verbreitet werden muss, und (2) der Parteien, die diesen Standard auf ihren Websites oder in ihren Anwendungen implementiert und daher auf diese Weise Zugang zu dieser Zeichenfolge haben, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt?
b) Macht es dabei einen Unterschied, wenn die Implementierung des Standards beinhaltet, dass diese Zeichenfolge zusammen mit einer IP‑Adresse verfügbar ist?
c) Fällt die Antwort auf die Fragen 1 a) und 1 b) anders aus, wenn diese normierende Branchenorganisation selbst kein Recht auf Zugang zu den personenbezogenen Daten hat, die im Rahmen dieses Standards von ihren Mitgliedern verarbeitet werden?
2. a) Sind Art. 4 Nr. 7 und Art. 24 Abs. 1 DSGVO in Verbindung mit den Art. 7 und 8 der Charta dahin auszulegen, dass eine normierende Branchenorganisation als Verantwortlicher einzustufen ist, wenn sie ihren Mitgliedern einen Standard für die Verwaltung der Einwilligung anbietet, der neben einem verbindlichen technischen Rahmen Vorschriften enthält, die detailliert festlegen, wie diese Einwilligungsdaten, die personenbezogene Daten darstellen, gespeichert und verbreitet werden müssen?
b) Fällt die Antwort auf die Frage 2 a) anders aus, wenn diese normierende Branchenorganisation selbst kein Recht auf Zugang zu den personenbezogenen Daten hat, die im Rahmen dieses Standards von ihren Mitgliedern verarbeitet werden?
c) Falls die normierende Branchenorganisation als für die Verarbeitung der Präferenzen von Internetnutzern Verantwortlicher oder als gemeinsam dafür Verantwortlicher einzustufen ist, erstreckt sich diese (gemeinsame) Verantwortung der normierenden Branchenorganisation dann auch automatisch auf die anschließenden Verarbeitungen Dritter, für die die Präferenzen der Internetnutzer bereitgestellt wurden, wie gezielte Online-Werbung durch Verleger und Verkäufer?
Zur ersten Frage
32 Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 4 Nr. 1 der DSGVO dahin auszulegen ist, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC‑String, die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Broker solcher Daten und durch Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, wenn eine Branchenorganisation den Regelungsrahmen festgelegt hat, nach denen diese Zeichenfolge generiert, gespeichert oder verbreitet werden muss, und die Mitglieder einer solchen Organisation solche Regeln implementiert und somit Zugang zu dieser Zeichenfolge haben. Das vorlegende Gericht möchte ferner wissen, ob es für die Beantwortung dieser Frage erstens darauf ankommt, ob diese Zeichenfolge mit einer Kennung wie insbesondere der IP‑Adresse des Geräts des Nutzers verknüpft wird, so dass die betroffene Person identifiziert werden kann, und zweitens darauf, ob eine solche Branchenorganisation das Recht hat, unmittelbar auf die personenbezogenen Daten zuzugreifen, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden.
33 Vorab ist darauf hinzuweisen, dass, da die DSGVO die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31) aufgehoben und ersetzt hat und die maßgeblichen Bestimmungen dieser Verordnung inhaltlich im Wesentlichen mit denen dieser Richtlinie übereinstimmen, die zur Richtlinie ergangene Rechtsprechung des Gerichtshofs grundsätzlich auch für die Verordnung einschlägig ist (Urteil vom 17. Juni 2021, M.I.C.M., C‑597/19, EU:C:2021:492, Rn. 107).
34 Weiter ist darauf hinzuweisen, dass nach ständiger Rechtsprechung bei der Auslegung einer Vorschrift des Unionsrechts nicht nur deren Wortlaut, sondern auch der Zusammenhang, in dem sie steht, sowie die Zwecke und Ziele, die mit dem Rechtsakt, zu dem sie gehört, verfolgt werden, zu berücksichtigen sind (Urteil vom 22. Juni 2023, Pankki S, C‑579/21, EU:C:2023:501, Rn. 38 und die dort angeführte Rechtsprechung).
35 Hierzu ist festzustellen, dass Art. 4 Nr. 1 DSGVO den Ausdruck „personenbezogene Daten“ definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, und klarstellt, dass „als identifizierbar … eine natürliche Person angesehen [wird], die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.
36 In der Verwendung der Formulierung „alle Informationen“ bei der Bestimmung des Begriffs „personenbezogene Daten“ in dieser Vorschrift kommt das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C487/21, EU:C:2023:369, Rn. 23 und die dort angeführte Rechtsprechung).
37 Insoweit hat der Gerichtshof entschieden, dass es sich um eine Information über eine identifizierte oder identifizierbare natürliche Person handelt, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C487/21, EU:C:2023:369, Rn. 24 und die dort angeführte Rechtsprechung).
38 Zur „Identifizierbarkeit“ einer Person geht aus dem Wortlaut von Art. 4 Nr. 1 DSGVO hervor, dass nicht nur eine direkt identifizierbare, sondern auch eine indirekt identifizierbare Person als bestimmbar angesehen wird.
39 Wie der Gerichtshof bereits entschieden hat, deutet die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht (vgl. entsprechend Urteil vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 41). Im Gegenteil geht aus Art. 4 Nr. 5 DSGVO in Verbindung mit dem 26. Erwägungsgrund der DSGVO hervor, dass personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person betrachtet werden sollten (Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 58).
40 Außerdem heißt es in diesem 26. Erwägungsgrund, dass bei der Feststellung, ob eine natürliche Person identifizierbar ist, „alle Mittel berücksichtigt werden [sollten], die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern“. Dieser Wortlaut legt nahe, dass es, um Daten als „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 dieser Verordnung qualifizieren zu können, nicht erforderlich ist, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. entsprechend Urteil vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 43).
41 Daher erfasst der Begriff „personenbezogene Daten“ nicht nur die von dem Verantwortlichen erhobenen und gespeicherten Daten, sondern auch alle Informationen über eine identifizierte oder identifizierbare Person, die aus einer Verarbeitung personenbezogener Daten resultieren (Urteil vom 22. Juni 2023, Pankki S, C‑579/21, EU:C:2023:501, Rn. 45).
42 Im vorliegenden Fall ist festzustellen, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC‑String die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung von ihn betreffenden personenbezogenen Daten durch Dritte oder in Bezug auf seinen etwaigen Widerspruch gegen eine auf ein behauptetes berechtigtes Interesse im Sinne von Art. 6 Abs. 1 Buchst. f der DSGVO gestützte Verarbeitung solcher Daten enthält.
43 Aber auch wenn ein TC‑String selbst keine Elemente enthielte, die eine direkte Identifizierung der betroffenen Person ermöglichen, würde dies nichts daran ändern, dass er zum einen die individuellen Präferenzen eines bestimmten Nutzers bezüglich seiner Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten enthält, d. h. Informationen, „die sich auf eine … natürliche Person … beziehen“, im Sinne von Art. 4 Nr. 1 DSGVO.
44 Zum anderen steht auch fest, dass anhand der in einem TC‑String enthaltenen Informationen, wenn sie einer Kennung wie insbesondere der IP‑Adresse des Geräts eines solchen Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und tatsächlich genau die Person identifiziert werden kann, auf die sich diese Informationen beziehen.
45 Soweit die Verknüpfung einer aus einer Kombination von Buchstaben und Zeichen bestehenden Zeichenfolge, wie des TC‑Strings, mit zusätzlichen Daten, insbesondere der IP‑Adresse des Geräts eines Nutzers oder anderen Kennungen, die Identifizierung dieses Nutzers ermöglicht, ist davon auszugehen, dass der TC‑String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne von Art. 4 Abs. 1 DSGVO darstellt, was durch den 30. Erwägungsgrund der DSGVO bestätigt wird, der sich ausdrücklich auf einen solchen Fall bezieht.
46 Der Umstand allein, dass IAB Europe den TC‑String nicht selbst mit der IP‑Adresse des Geräts eines Nutzers kombinieren kann und nicht über die Möglichkeit verfügt, unmittelbar auf die von seinen Mitgliedern im Rahmen des TCF verarbeiteten Daten zuzugreifen, vermag diese Auslegung nicht in Frage zu stellen.
47 Wie sich nämlich aus der in Rn. 40 des vorliegenden Urteils angeführten Rechtsprechung ergibt, steht dieser Umstand der Einstufung eines TC‑Strings als „personenbezogenes Datum“ im Sinne von Art. 4 Nr. 1 DSGVO nicht entgegen.
48 Im Übrigen geht aus den dem Gerichtshof vorliegenden Akten und insbesondere aus dem Beschluss vom 2. Februar 2022 hervor, dass die Mitglieder von IAB Europe verpflichtet sind, diesem auf Anfrage alle Informationen zu übermitteln, die es ihm ermöglichen, die Nutzer zu identifizieren, deren Daten Gegenstand eines TC‑Strings sind.
49 Vorbehaltlich der vom vorlegenden Gericht insoweit vorzunehmenden Prüfungen ist daher davon auszugehen, dass IAB Europe, wie es im 26. Erwägungsgrund der DSGVO heißt, über Mittel verfügt, die es ihm nach allgemeinem Ermessen ermöglichen, eine bestimmte natürliche Person anhand der Informationen zu identifizieren, die ihm seine Mitglieder und andere am TCF teilnehmende Organisationen zur Verfügung stellen müssen.
50 Folglich stellt ein TC‑String ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO dar. Insoweit ist es unerheblich, dass eine solche Branchenorganisation ohne einen Beitrag von außen, den sie verlangen kann, weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch den TC‑String mit anderen Kennungen, wie insbesondere der IP‑Adresse des Geräts eines Nutzers, kombinieren kann.
51 Nach alledem ist auf die erste Frage zu antworten, dass Art. 4 Nr. 1 DSGVO dahin auszulegen ist, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC‑String, die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Datenbroker und Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, soweit sie, wenn sie mit vertretbarem Aufwand einer Kennung wie insbesondere der IP‑Adresse des Geräts dieses Nutzers zugeordnet werden kann, es erlaubt, die betreffende Person zu identifizieren. Unter diesen Umständen schließt der Umstand, dass eine Branchenorganisation, die im Besitz dieser Zeichenfolge ist, ohne einen Beitrag von außen weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch diese Zeichenfolge mit anderen Elementen kombinieren kann, nicht aus, dass diese Zeichenfolge ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt.
Zur zweiten Frage
52 Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 4 Nr. 7 DSGVO dahin auszulegen ist, dass
– zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „Verantwortlicher“ im Sinne dieser Bestimmung einzustufen ist, und ob es für die Beantwortung dieser Frage darauf ankommt, dass eine solche Branchenorganisation selbst unmittelbaren Zugang zu den personenbezogenen Daten hat, die von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeitet werden;
– zum anderen sich die etwaige gemeinsame Verantwortlichkeit dieser Branchenorganisation automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie beispielsweise Anbieter von Websites oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft.
53 Vorab ist darauf hinzuweisen, dass das Ziel der DSGVO insbesondere darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres in Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union und in Art. 16 Abs. 1 AEUV verankerten Rechts auf Privatleben – bei der Verarbeitung personenbezogener Daten zu gewährleisten (Urteil vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C‑60/22, EU:C:2023:373, Rn. 64).
54 Diesem Ziel entsprechend ist der Begriff „Verantwortlicher“ in Art. 4 Nr. 7 DSGVO weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
55 Wie der Gerichtshof bereits entschieden hat, besteht das Ziel dieser Bestimmung nämlich darin, durch eine weite Definition des Begriffs „Verantwortlicher“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (vgl. entsprechend Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, Rn. 28).
56 Zudem verweist der Begriff „Verantwortlicher“, da er sich, wie Art. 4 Nr. 7 DSGVO ausdrücklich vorsieht, auf die Stelle bezieht, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt (vgl. entsprechend Urteile vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, Rn. 29, und vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 65).
57 Der Gerichtshof hat auch entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO angesehen werden kann (vgl. entsprechend Urteil vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 68). So handelt es sich nach Art. 26 Abs. 1 DSGVO um „gemeinsam Verantwortliche“, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen (Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 40).
58 Insoweit muss zwar jeder gemeinsam Verantwortliche für sich genommen die Definition des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO erfüllen, doch hat das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten zur Folge. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Im Übrigen setzt die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nach dieser Bestimmung nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat (vgl. entsprechend Urteil vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 66 und 69 sowie die dort angeführte Rechtsprechung).
59 Die Mitwirkung an der Entscheidung über die Zwecke und Mittel der Verarbeitung kann verschiedene Formen annehmen und sich sowohl aus einer gemeinsamen Entscheidung von zwei oder mehr Einrichtungen als auch aus übereinstimmenden Entscheidungen solcher Einrichtungen ergeben. In letzterem Fall müssen sich diese Entscheidungen in einer Weise ergänzen, dass sich jede von ihnen konkret auf die Entscheidung über die Verarbeitungszwecke und ‑mittel auswirkt. Dagegen ist nicht erforderlich, dass zwischen diesen Verantwortlichen eine förmliche Vereinbarung über die Zwecke und Mittel der Verarbeitung besteht (Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 43 und 44).
60 Nach alledem ist der erste Teil der zweiten Vorlagefrage dahin zu verstehen, dass damit geklärt werden soll, ob eine Branchenorganisation wie IAB Europe als gemeinsam Verantwortlicher im Sinne von Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO angesehen werden kann.
61 Zu diesem Zweck ist daher zu prüfen, ob sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die Verarbeitung personenbezogener Daten, wie des TC‑Strings, Einfluss nimmt und gemeinsam mit anderen die Zwecke der und die Mittel zur fraglichen Verarbeitung festlegt.
62 Was erstens die Zwecke einer solchen Verarbeitung personenbezogener Daten betrifft, ergibt sich vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen aus den dem Gerichtshof vorliegenden Akten, dass das von IAB Europe eingerichtete TCF, wie in den Rn. 21 und 22 des vorliegenden Urteils ausgeführt, einen Regelungsrahmen darstellt, der sicherstellen soll, dass die Verarbeitung personenbezogener Daten eines Nutzers einer Website oder Anwendung durch bestimmte Wirtschaftsteilnehmer, die an der Online-Versteigerung von Werbeflächen teilnehmen, mit der DSGVO in Einklang steht.
63 Unter diesen Umständen soll das TCF im Wesentlichen den Verkauf und den Kauf von Werbeflächen im Internet durch diese Wirtschaftsteilnehmer fördern und ermöglichen.
64 Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen kann daher davon ausgegangen werden, dass IAB Europe aus Eigeninteresse auf die im Ausgangsverfahren in Rede stehenden Verarbeitungen personenbezogener Daten Einfluss nimmt und damit gemeinsam mit seinen Mitgliedern die Zwecke solcher Vorgänge festlegt.
65 Was zweitens die für eine solche Verarbeitung personenbezogener Daten eingesetzten Mittel betrifft, ergibt sich vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen aus den dem Gerichtshof vorliegenden Akten, dass das TCF einen Regelungsrahmen darstellt, an den sich die Mitglieder von IAB Europe halten müssen, wenn sie diesem Verband beitreten. Insbesondere kann, wie von IAB Europe in der mündlichen Verhandlung vor dem Gerichtshof bestätigt worden ist, dieser Verband, wenn ein Mitglied die Regeln des TCF nicht einhält, gegenüber diesem Mitglied einen Beschluss erlassen, in dem die Nichteinhaltung festgestellt und eine Suspendierung ausgesprochen wird, und der dazu führen kann, dass dieses Mitglied vom TCF ausgeschlossen wird und sich somit nicht auf die Garantie der Einhaltung der DSGVO berufen kann, die dieser Regelungsrahmen für die Verarbeitung personenbezogener Daten, die das betreffende Mitglied mittels TC‑Strings durchführt, geben soll.
66 Außerdem enthält das von IAB Europe erstellte TCF aus praktischer Sicht, wie in Rn. 21 des vorliegenden Urteils ausgeführt, technische Spezifikationen für die Verarbeitung des TC‑Strings. Insbesondere scheinen diese Spezifikationen genau zu beschreiben, wie die CMP die Präferenzen der Nutzer in Bezug auf die Verarbeitung der sie betreffenden personenbezogenen Daten sammeln müssen und wie solche Präferenzen verarbeitet werden müssen, um einen TC‑String zu generieren. Außerdem werden auch genaue Regeln für den Inhalt des TC‑Strings sowie dessen Speicherung und Austausch aufgestellt.
67 So geht aus dem Beschluss vom 2. Februar 2022 hervor, dass IAB Europe im Rahmen dieser Regeln u. a. die standardisierte Art und Weise vorschreibt, wie die verschiedenen am TCF beteiligten Parteien die in den TC‑Strings enthaltenen Präferenzen, Einwände und Einwilligungen der Nutzer einsehen können.
68 Unter diesen Umständen und vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen ist davon auszugehen, dass eine Branchenorganisation wie IAB Europe aus Eigeninteresse auf die im Ausgangsverfahren in Rede stehenden Verarbeitungen personenbezogener Daten Einfluss nimmt und damit gemeinsam mit seinen Mitgliedern die Mittel festlegt, die diesen Vorgängen zugrunde liegen. Folglich ist sie gemäß der in Rn. 57 des vorliegenden Urteils angeführten Rechtsprechung als „gemeinsam Verantwortlicher“ im Sinne von Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO anzusehen.
69 Der vom vorlegenden Gericht angeführte Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den TC‑Strings und damit zu den personenbezogenen Daten hat, die von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeitet werden und mit denen sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung dieser Daten festlegt, hindert nach der in Rn. 58 des vorliegenden Urteils angeführten Rechtsprechung nicht daran, sie als „Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen.
70 Außerdem ist auf die von diesem Gericht geäußerten Zweifel hin auszuschließen, dass sich die etwaige gemeinsame Verantwortlichkeit dieser Branchenorganisation automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie beispielsweise Anbieter von Websites oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft.
71 Insoweit ist zum einen darauf hinzuweisen, dass Art. 4 Nr. 2 DSGVO die „Verarbeitung“ personenbezogener Daten definiert als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.
72 Nach dieser Definition kann eine Verarbeitung personenbezogener Daten aus einem oder mehreren Vorgängen bestehen, von denen jeder einen Bezug zu einer anderen Verarbeitungsstufe hat.
73 Zum anderen ergibt sich, wie der Gerichtshof bereits entschieden hat, aus Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO, dass eine natürliche oder juristische Person nur dann als gemeinsam für die Verarbeitung personenbezogener Daten Verantwortlicher angesehen werden kann, wenn sie gemeinsam mit anderen deren Zwecke und Mittel festlegt. Folglich kann, unbeschadet einer etwaigen insoweit im nationalen Recht vorgesehenen zivilrechtlichen Haftung, diese natürliche oder juristische Person für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als im Sinne dieser Vorschriften verantwortlich angesehen werden (vgl. entsprechend Urteil vom 29. Juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 74).
74 Im vorliegenden Fall muss zwischen der Verarbeitung personenbezogener Daten durch die Mitglieder von IAB Europe, d. h. Anbieter von Websites oder Anwendungen sowie Datenbroker oder auch Werbeplattformen, bei der Speicherung der Einwilligungspräferenzen der betreffenden Nutzer in einem TC‑String nach den im TCF festgelegten Regeln auf der einen Seite und der Weiterverarbeitung personenbezogener Daten durch diese Wirtschaftsteilnehmer und durch Dritte auf der Grundlage dieser Präferenzen, wie beispielsweise die Übermittlung dieser Daten an Dritte oder das Angebot personalisierter Werbung an diese Nutzer, auf der anderen Seite unterschieden werden.
75 Diese Weiterverarbeitung scheint nämlich vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen nicht die Beteiligung von IAB Europe zu implizieren, so dass eine automatische gemeinsame Verantwortlichkeit einer solchen Organisation mit diesen Wirtschaftsteilnehmern und Dritten für die Verarbeitung personenbezogener Daten auf der Grundlage der in einem TC‑String enthaltenen Präferenzdaten der betreffenden Nutzer auszuschließen ist.
76 Somit kann eine Branchenorganisation wie IAB Europe nur dann als für solche Weiterverarbeitungen verantwortlich angesehen werden, wenn feststeht, dass sie Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausgeübt hat, was das vorlegende Gericht anhand aller relevanten Umstände des Ausgangsverfahrens zu prüfen hat.
77 Nach alledem ist auf die zweite Frage zu antworten, dass Art. 4 Nr. 7 und Art. 26 Abs. 1 Satz 1 DSGVO dahin auszulegen sind, dass
– zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen ist, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsam Verantwortlicher im Sinne dieser Bestimmungen sein kann;
– zum anderen sich die etwaige gemeinsame Verantwortlichkeit dieser Branchenorganisation nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie beispielsweise Anbieter von Websites oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft.
Kosten
78 Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Aus diesen Gründen hat der Gerichtshof (Vierte Kammer) für Recht erkannt:
1. Art. 4 Nr. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC‑String (Transparency and Consent String), die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Datenbroker und Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, soweit sie, wenn sie mit vertretbarem Aufwand einer Kennung wie insbesondere der IP‑Adresse des Geräts dieses Nutzers zugeordnet werden kann, es erlaubt, die betreffende Person zu identifizieren. Unter diesen Umständen schließt der Umstand, dass eine Branchenorganisation, die im Besitz dieser Zeichenfolge ist, ohne einen Beitrag von außen weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch diese Zeichenfolge mit anderen Elementen kombinieren kann, nicht aus, dass diese Zeichenfolge ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt.
2. Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679
sind dahin auszulegen, dass
– zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen ist, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsam Verantwortlicher im Sinne dieser Bestimmungen sein kann;
– zum anderen sich die gemeinsame Verantwortlichkeit dieser Branchenorganisation nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie beispielsweise Anbieter von Websites oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft.
Unterschriften