Op 7 maart jl. heeft het Europese Hof van Justitie (“HvJEU”) geoordeeld (1) over enkele aspecten van het cookie consent systeem (het Transparency and Consent Framework (“TCF”)) van IAB Europe. Dit gebeurde naar aanleiding van prejudiciële vragen gesteld in een procedure tussen IAB Europe en de Belgische Gegevensbeschermingsautoriteit (hierna ook: de “GBA”). Het HvJEU bevestigt de conclusies (2) die de Geschillenkamer van de GBA op 2 februari 2022 had getrokken.
IAB Europe is de Europese tak van het Interactive Advertising Bureau, een belangenorganisatie die spelers uit de digitale advertentie-industrie vertegenwoordigt. IAB Europe focust op de ontwikkeling en bevordering van digitale marketingstandaarden en -praktijken, het faciliteren van onderzoek en het bieden van juridisch en beleidsadvies aan haar leden. Het doel van IAB Europe is, naar eigen zeggen, om een duurzame groei van de digitale advertentiemarkt te ondersteunen, terwijl ze ook streven naar een evenwicht tussen de belangen van de industrie en de privacy-rechten van consumenten. De organisatie biedt advies over de wijze waarop bedrijven in de online advertentie-industrie kunnen voldoen aan (Europese) privacyregels.
IAB Europe heeft ook initiatieven zoals het TCF ontwikkeld, dat een industrie-brede standaard beoogt te bieden om te voldoen aan de vereisten van de AVG en de Telecommunicatiewet voor het verzamelen en gebruiken van persoonsgegevens binnen het OpenRTB-protocol. Het OpenRTB-protocol is één van de meest gebruikte protocollen voor "Real Time Bidding", d.w.z. de ogenblikkelijke, geautomatiseerde online veiling van gebruikersprofielen voor het verkopen en het aankopen van advertentieruimte op het internet. Dit gebeurt veelal door middel van cookies.
De bedoeling was dat bedrijven door middel van het TCF zouden kunnen laten zien dat ze geldige toestemming hebben gekregen van gebruikers om hun persoonsgegevens te verwerken, wat een essentiële component is in de huidige digitale advertentie-ecosystemen. In 2022 oordeelde de GBA echter dat het mechanisme van het TCF in strijd was met de AVG. De rechtsgeldigheid van talloze verwerkingen van persoonsgegevens in verband met cookies kwam daarmee op losse schroeven te staan.
IAB Europe functioneert met het TCF als een soort van tussenpersoon. Wanneer internetbezoekers een aangesloten website bezoeken verschijnt een interface die vraagt om toestemming, een zogenaamd Consent Management Platform of CMP. Het TCF vergemakkelijkt het vastleggen van de voorkeuren van internetbezoekers die de mogelijkheid krijgen om voor tal van verschillende aangesloten apart of in één keer toestemming te geven of te weigeren.
Deze voorkeuren worden dan gecodeerd en opgeslagen in een "TC string", die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem zodat zij weten waarvoor de websitebezoeker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt. Het CMP plaatst ook een cookie (euconsent-v2) op het apparaat van de website bezoeker. In combinatie kunnen de TC string en de euconsent-v2 cookie worden gekoppeld aan het IP-adres van de gebruiker, waardoor de persoon die zijn online voorkeuren heeft opgegeven identificeerbaar wordt.
De GBA en IAB Europe verschilden van mening over de vraag of de TC string als persoonsgegeven kwalificeert en (zo ja) of IAB Europe dan als verwerkingsverantwoordelijke optreedt ten aanzien van de verwerking van die TC String. De GBA oordeelde dat dat het geval was en verder dat IAB Europe geen rechtsgrond voor de verwerking kon inroepen.
Bovendien was de GBA van oordeel dat er binnen het systeem van IAB Europe onmogelijk sprake zou kunnen zijn van een afdoende geïnformeerde toestemming. Onder andere stelde de GBA dat de partners voor wie de toestemming werd verkregen zo talrijk waren dat de gebruikers onevenredig veel tijd nodig zouden hebben om deze informatie te lezen, waardoor hun toestemming zelden voldoende geïnformeerd kan zijn. Daarnaast nam de Geschillenkamer het standpunt in dat de verrijking van de gegevens in een bid request met persoonsgegevens reeds in bezit van de vendors en de mogelijk betrokken Data Management Platforms als gevolg heeft dat de gebruikers onmogelijk op passende wijze geïnformeerd kunnen worden zolang het TCF in zijn huidige formaat niet voorziet dat de deelnemende organisaties aangeven over welke persoonsgegevens zij reeds beschikken en welke verwerkingen ze alvast met deze gegevens uitvoeren (3).
Dit oordeel van de GBA heeft de deelnemers aan het OpenRTB-protocol met een groot probleem opgezadeld. Het lijkt immers vrijwel ondoenlijk om effectief aan de gestelde transparantie-eis te voldoen. Het komt in dat kader logisch voor dat third party cookies steeds verder worden uitgefaseerd.
IAB Europe stelde beroep in bij het Belgische Marktenhof dat vervolgens prejudiciële vragen stelde aan het HvJEU. Allereerst wenst het Marktenhof te vernemen of de TC-string een persoonsgegeven is, ten tweede of een ‘normerende sectororganisatie’ zoals de vereniging IAB Europe als verwerkingsverantwoordelijke dient te worden aangemerkt wanneer zij aan haar leden een standaard voor het beheer van toestemming aanbiedt die naast een bindend technisch kader voorschriften bevat waarin gedetailleerd wordt bepaald hoe deze toestemmingsgegevens, die persoonsgegevens uitmaken, opgeslagen en verspreid moeten worden.
Het HvJEU herinnert er allereerst aan dat aan het begrip persoonsgegeven een ruime betekenis dient te worden toegekend en dat daarvoor niet vereist is dat alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd, bij een en dezelfde persoon berust. Het HvJEU stelt vast dat de TC string persoonlijke voorkeuren van de gebruiker bevat ten aanzien van zijn toestemming voor de verwerking van persoonsgegevens. Daarnaast stelt het HvJEU vast dat de koppeling van de in een TC string vervatte informatie aan een identificator zoals met name het IP-adres van het toestel van de betrokken gebruiker het mogelijk kan maken om een profiel van deze gebruiker op te stellen en om de persoon waar die informatie specifiek betrekking op heeft, daadwerkelijk te identificeren. Het feit dat IAB Europe niet zelf de TC string aan het IP-adres van het toestel van een gebruiker kan koppelen en dat dat IAB Europe geen rechtstreekse toegang heeft tot de gegevens die binnen het TCF door haar leden worden verwerkt, doe daar niet aan af aldus het HvJEU in o. 46.
In dit verband stelt het HvJEU vast dat het TCF er op is gericht om de verkoop en aankoop van advertentieruimte op het internet door die ondernemingen te bevorderen en mogelijk te maken. Derhalve kan, aldus het HvJEU – onder voorbehoud van de verificaties die de verwijzende rechter dient te verrichten – worden aangenomen dat IAB Europe voor eigen doeleinden invloed uitoefent op de verwerkingen van persoonsgegevens die in het hoofdgeding aan de orde zijn en daardoor samen met haar leden het doel van die verwerkingen vaststelt. Ten aanzien van de middelen wijst het HvJEU erop dat IAB Europe gedetailleerd de specifieke werkwijze voorschrijft ten aanzien van het opslaan van de TC string en partners die het TCF niet naleven kan schorsen waarna de partner zich niet langer kan beroepen op de conformiteitswaarborg.
Dit leidt tot de conclusie dat IAB Europe gezamenlijk verwerkingsverantwoordelijke is ten aanzien van de opslag van toestemmingsvoorkeuren middels de TC string. De gezamenlijke verantwoordelijkheid van strekt zich echter niet automatisch uit tot latere verwerkingen van persoonsgegevens door derden – zoals aanbieders van internetsites of applicaties – wat de voorkeuren van gebruikers met het oog op gerichte online reclame betreft.
Het oordeel van de Geschillenkamer blijft overeind ten aanzien van de kwestie of sprake was van een persoonsgegeven en in de kern ook ten aanzien van de gezamenlijke verwerkingsverantwoordelijkheid van IAB Europe.
Dit heeft vanzelfsprekend consequenties voor de rechtsgeldigheid van de verwerkingen die tot op heden via het TCF hebben plaatsgevonden. Het feit dat sprake is van een persoonsgegeven en dat IAB Europe anders dan zij zelf meende verwerkingsverantwoordelijke is ten aanzien van de TC string lijkt een probleem dat uit compliance oogpunt oplosbaar zou moeten zijn.
Helaas is geen prejudiciële vraag gesteld over het voor de Adtech-industire meest verstrekkende oordeel van de Geschillenkamer van de GBA ten aanzien van de onmogelijkheid om internetbezoekers effectief te informeren, zodat geen geïnformeerde toestemming verkregen kan worden. Dat zou wel eens een niet te slechten barrière kunnen zijn. Als dat al zou lukken dan impliceert het oordeel dat de grootschalige verwerkingen van gebruikersprofielen door de Adtech-industrie tot op heden onrechtmatig zijn geweest.
(1) https://curia.europa.eu/juris/document/document.jsf;jsessionid=068F149935EC20EFAAB66605ABE6C0D7?text=&docid=283529&pageIndex=0&doclang=NL&mode=lst&dir=&occ=first&part=1&cid=1390814
(2) https://www.gegevensbeschermingsautoriteit.be/burger/iab-europe-wordt-verantwoordelijk-gehouden-voor-een-mechanisme-dat-in-strijd-is-met-de-avg
(3) Beslissing ten gronde 21/2022 van de Geschillenkamer van de Gegevensbeschermingsautoriteit d.d. 2 februari 2022 par. 437 e.v.