Europees Hof: IAB Europe aansprakelijk voor TCF-cookiebanners

Samenvatting

Eerst even terug naar het begin. Begin 2022 nam de Belgische Gegevensbeschermingsautoriteit (GBA) het besluit om IAB Europe een boete op te leggen van 250.000 euro. Volgens de toezichthouder verwerkte het Transparency and Consent Framework (TCF) persoonsgegevens in strijd met de AVG én moest IAB Europe hiervoor worden aangemerkt als verwerkingsverantwoordelijke. Het TCF wordt gebruikt om cookievoorkeuren van websitebezoekers vast te leggen in zogeheten TC-strings, een willekeurige reeks tekens die gekoppeld wordt aan een websitebezoeker. Bij toestemming van de websitebezoeker in het TCF kan een profiel worden opgebouwd op basis waarvan gerichte advertenties worden getoond via het proces van Real Time Bidding.

Volgens de GBA moeten deze TC-strings worden gezien als persoonsgegevens, omdat ze te koppelen zijn aan een individuele websitebezoeker. Daarnaast is het bij verwerking van persoonsgegevens verplicht voor de verwerkingsverantwoordelijk om een grondslag te hebben, duidelijk te informeren én een verwerkingsregister te hebben. Punten waaraan niet was voldaan volgens de GBA en waarvoor een boete werd opgelegd.

IAB Europe kon zich niet vinden in het oordeel van de GBA en ging in beroep bij de rechter, maar werkte ondertussen wel (in overleg met de toezichthouder) aan aanpassingen van het TCF. Bij de rechter stelde IAB dat TC-strings voor hen geen persoonsgegevens zijn aangezien zij de gegevens niet kunnen herleiden, maar enkel de overige deelnemers van het systeem. Om diezelfde reden zou IAB ook geen verantwoordelijke zijn, aangezien zij geen toegang heeft tot de gegevens.

Het oordeel van het Europees Hof

De Belgische rechter kwam er zelf niet uit en besloot daarom twee prejudiciële (ophelderende) vragen neer te leggen bij de hoogste Europese rechter:

1. Moet een TC-string worden gezien als een persoonsgegeven?

2. Moet IAB Europe worden beschouwd als verwerkingsverantwoordelijke?
a. Zo ja, geldt dat ook voor daaropvolgende verwerkingen door andere organisaties?

Vraag 1: Moet een TC-string worden gezien als een persoonsgegeven?

Over de eerste vraag is het Europees Hof vrij bondig: ja TC-strings zijn persoonsgegevens. Volgens de rechter zegt de TC-strings iets over de (cookie) voorkeuren die een persoon heeft én is het in combinatie met een identificator (zoals een IP-adres) herleidbaar tot één enkele websitebezoeker. Dat IAB Europe zelf niet over deze gegevens beschikt, doet hier niks aan af. Sterker nog: de leden van IAB Europe zijn in sommige gevallen verplicht om informatie te verstrekken wanneer hierom wordt verzocht. Daarmee beschikt IAB Europe over de redelijke middelen om de gegevens te herleiden.

Vraag 2: Moet IAB Europe worden beschouwd als verwerkingsverantwoordelijke?

De tweede vraag ligt iets complexer, maar uiteindelijk volgt het Hof ook hier grotendeels de beredenering van de GBA. De belangrijkste criteria hier zijn dat IAB Europe (mede) het doel en de middelen van de verwerking bepaalt.

Doel: Volgens het Hof is het TCF ontwikkeld door IAB Europe met het doel ‘om de verkoop en aankoop van de advertentieruimte op het internet door ondernemingen te bevorderen en mogelijk te maken’. Daarmee oefent IAB Europe voor eigen doeleinde invloed uit op de verwerking van de persoonsgegevens.

Middel: Daarnaast stelt het Hof dat IAB Europe verplichtingen oplegt aan de gebruikers van het TCF. Zo wordt er beschreven hoe de persoonsgegevens moeten worden geregistreerd, hoe TC-strings moeten worden gegenereerd en hoe deze mogen worden gedeeld en hoelang ze worden opgeslagen. Daarmee stelt IAB Europe ook (samen met leden) de middelen vast van de verwerking.

De conclusie van de rechter is daarmee dat IAB Europe moet worden gezien als gezamenlijk verwerkingsverantwoordelijke samen met de gebruikers van het TCF omdat zij betrokken is bij een gedeelte van de verwerking. Op de vraag of IAB Europe ook aansprakelijk is voor daaropvolgende verwerking via Real Time Bidding, met als doel het tonen van gerichte advertenties, antwoordt de rechter dat dit niet automatisch zo is. Volgens het Hof moet dan blijken dat IAB ook bij latere verwerkingen op dergelijke wijze betrokken is dat het mede het doel en de middelen bepaalt.

Hoe nu verder?

Allereerst is deze uitspraak van het Europees Hof een uitleg van het recht en geen definitief oordeel over de eventuele onrechtmatigheid en aansprakelijkheid. Met deze antwoorden moet nu de Belgische rechter zelf nog een oordeel vellen over het beroep dat door IAB Europe is ingesteld. Wel ligt voor de hand dat met deze uitleg de boete zal blijven staan. Verder is IAB Europe (zoals eerder benoemd) al enige tijd bezig met aanpassingen van het TCF, waarmee het systeem in lijn moet worden gebracht met de wet. Door de wijzigingen in het TCF worden de cookiebanners in feite meer begrijpelijk voor consumenten.

De IAB-uitspraak is naar mening van DDMA een duidelijk voorbeeld hoe een toezichthouder met handhaving kan inspelen op maatschappelijke zorgen, waaronder die van óók onze regering over vermeende dark patterns.

Benieuw hoe de IAB-zaak nu verder gaat bij de Belgische rechter? DDMA blijft de rechtsgang op de voet volgen, en we houden je op de hoogte van eventuele ontwikkelingen.

• Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
• Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
• Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Romar van der Leij

Voormalig Legal counsel | DDMA