MIR-Newsletter

Der MIR-Newsletter informiert Sie regelmäßig über neue Inhalte in MEDIEN INTERNET und RECHT!

Schließen Abonnieren
MIR-Logo mobil

Logo MEDIEN INTERNET und RECHT
Logo MEDIEN INTERNET und RECHT

Rechtsprechung // Datenschutzrecht



EuGH, Urteil vom 07.03.2024 - C-604/22

IAB Europe - Zur Frage, ob der Transparency and Consent String (TC String) des IAB Transparency and Consent Framework (TCF) ein personenbezogenes Datum darstellen kann und zur gemeinsamen Verantwortlichkeit bei personalisierter Werbung

DSGVO [Verordnung (EU) 2016/679] Art. 4 Nr. 1, Art. 4 Nr. 7, Art. 26 Abs. 1

Leitsätze:*

1. Art. 4 Nr. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC‑String (Transparency and Consent String), die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Datenbroker und Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, soweit sie, wenn sie mit vertretbarem Aufwand einer Kennung wie insbesondere der IP‑Adresse des Geräts dieses Nutzers zugeordnet werden kann, es erlaubt, die betreffende Person zu identifizieren. Unter diesen Umständen schließt der Umstand, dass eine Branchenorganisation, die im Besitz dieser Zeichenfolge ist, ohne einen Beitrag von außen weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch diese Zeichenfolge mit anderen Elementen kombinieren kann, nicht aus, dass diese Zeichenfolge ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt.

2. Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass

- zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen ist, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsam Verantwortlicher im Sinne dieser Bestimmungen sein kann;

- zum anderen sich die gemeinsame Verantwortlichkeit dieser Branchenorganisation nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie beispielsweise Anbieter von Websites oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft.

MIR 2024, Dok. 028


Anm. der Redaktion: Die Leitsätze geben den Tenor der Entscheidung wieder.
Download: Entscheidungsvolltext PDF

Bearbeiter: Rechtsanwalt Thomas Ch. Gramespacher
Online seit: 02.04.2024
Kurz-Link zum Artikel: http://miur.de/3357

*Redaktionell. Amtliche Leit- und Orientierungssätze werden in einer "Anm. der Redaktion" benannt.

// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
dejure.org StellenmarktAnzeige