Der EuGH konnte sich mit der Frage beschäftigen, ob eine aus Buchstaben und Zeichen bestehende Zeichenfolge, die die Präferenzen eines Internetnutzers in Bezug auf die Verarbeitung seiner personenbezogenen Daten darstellt, selbst als personenbezogene Daten zu betrachten sind. Im speziellen Fall der Rechtssache C‑604/22, betreffend IAB Europe gegen die belgische Datenschutzbehörde, ging es um die sogenannten „Transparency and Consent Strings“ (TC-Strings), die im Rahmen des „Transparency & Consent Frameworks“ (TCF) genutzt werden.
Schlüsselerkenntnisse aus der EuGH-Entscheidung in der Rechtssache C‑604/22
- Definition personenbezogener Daten: Der EuGH stellte fest, dass TC-Strings, die die Präferenzen eines Nutzers bezüglich der Verarbeitung seiner personenbezogenen Daten erfassen, selbst als personenbezogene Daten im Sinne von Art. 4 Nr. 1 der DSGVO zu betrachten sind. Dies gilt besonders, wenn diese Daten einer Kennung wie der IP-Adresse des Nutzers zugeordnet werden können.
- Verantwortung von IAB Europe: Es wurde bestätigt, dass IAB Europe, eine Organisation, die Standards für die Verarbeitung von Einwilligungen im digitalen Werbemarkt vorgibt, als „Verantwortlicher“ im Sinne der DSGVO angesehen werden kann. Dies bezieht sich auf ihre Rolle bei der Festlegung der Regeln für die Generierung, Speicherung und Verbreitung von TC-Strings.
- Weiterverarbeitung von Daten: Die Verantwortlichkeit von IAB Europe erstreckt sich jedoch nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie z. B. Websitebetreiber oder Online-Werbeplattformen, auf Basis dieser Nutzerpräferenzen.
Bedeutung und Auswirkungen der Entscheidung
Dieses Urteil des EuGH hat weitreichende Implikationen für die digitale Werbeindustrie und den Datenschutz im Internet. Es betont die Notwendigkeit, dass Organisationen, die Rahmenwerke zur Datenerfassung bereitstellen, eine klare Verantwortung für die Einhaltung der Datenschutzbestimmungen tragen. Ebenso wichtig ist die Feststellung, dass Informationen, die auf den ersten Blick nicht direkt identifizierbar sind, unter bestimmten Umständen als personenbezogene Daten gelten können.
Für Unternehmen im digitalen Werbemarkt bedeutet dies, dass sie ihre Praktiken und Verfahren überprüfen müssen, um die Konformität mit den DSGVO-Vorgaben sicherzustellen. Die Entscheidung unterstreicht zudem die Bedeutung transparenter und verantwortungsvoller Datenverarbeitung im digitalen Raum.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- „Geh putzen“ – OLG Hamm zur Strafbarkeit politischer Kritik im Netz - 16. Mai 2026
- Strafverschärfung bei K.-o.-Tropfen 2026 - 15. Mai 2026
- Gesichtserkennung als Haftgrundlage? AG Reutlingen zieht rote Linie - 15. Mai 2026
