Arrest HvJ EU inzake de online veiling van persoonsgegevens

HvJ EU 7 maart 2024, IT 4498; ECLI:EU:C:2024:214 (IAB Europe tegen Gegevensbeschermingsautoriteit). Het Real Time Bidding-fenomeen is – kortgezegd – een vorm van adverteren waarmee digitale advertenties rechtstreeks kunnen worden gekocht en verkocht. Er vindt een "realtime" veiling plaats waarbij het hoogste bod in de veiling zijn advertentie weergegeven krijgt op betreffend medium. Gebruikers van het medium zullen eerst toestemming moeten geven aan de aanbieder van de website of applicatie voordat hun persoonsgegevens worden verzameld voor (meestal) marketing- en reclamedoeleinden. IAB Europe is een vereniging zonder winstoogmerk die de ondernemingen van de sector van digitale reclame en marketing vertegenwoordigt op Europees niveau. Zij heeft een oplossing uitgewerkt waarvan zij stelt dat deze dat veilingsysteem in overeenstemming kan brengen met de AVG. De voorkeuren van de gebruikers worden hierbij gecodeerd en opgeslagen in een zogenaamd “Transparency and Consent String” (TC-string) die vervolgens gedeeld wordt met makelaars in persoonsgegevens en reclameplatformen. Ook wordt een cookie op het toestel van de gebruiker geplaatst. Deze kan dan met de TC-string gekoppeld worden aan het IP-adres van de gebruiker. De Belgische autoriteit heeft geoordeeld dat de TC-string een persoonsgegeven in de zin van de AVG vormt en dat IAB als verwerkingsverantwoordelijke onrechtmatig heeft gehandeld. IAB Europe betwist dit en heeft hoger beroep ingesteld bij het hof van beroep Brussel (België), dat prejudiciële vragen heeft voorgelegd aan het Hof.

Het Hof oordeelt dat de vervatte informatie (met name het IP-adres) inderdaad een persoonsgegeven in de zin van de AVG vormt, omdat deze het mogelijk maakt een profiel van de gebruiker op te stellen en hem te identificeren. Voorts oordeelt het Hof dat IAB Europe als sectororganisatie moet worden beschouwd als een "gezamenlijke verwerkingsverantwoordelijke” in de zin van de AVG, nu zij voor eigen doeleinden invloed uitoefent op de betreffende verwerking van persoonsgegevens en aldus samen met haar leden het doel van en de middelen voor die verwerking vaststelt. Desalniettemin kan IAB Europe niet worden geacht in de zin van de AVG verantwoordelijk te zijn voor gegevensverwerkingen die plaatsvinden na de registratie van de toestemmingsvoorkeuren van de gebruikers in een TC-string, tenzij kan worden aangetoond dat zij invloed heeft uitgeoefend op de vaststelling van het doel van die latere verwerkingen en van de wijze waarop deze worden verricht.

51. Gelet op een en ander dient op de eerste prejudiciële vraag te worden geantwoord dat artikel 4, punt 1, AVG aldus moet worden uitgelegd dat een letter- en tekenreeks als de TC-string, die de voorkeuren van een internetgebruiker of een gebruiker van een applicatie bevat met betrekking tot zijn toestemming voor de verwerking van zijn persoonsgegevens door aanbieders van internetsites of applicaties alsook door makelaars in persoonsgegevens en reclameplatformen, een persoonsgegeven in de zin van die bepaling is aangezien deze tekenreeks het mogelijk maakt om de betrokken gebruiker te identificeren wanneer zij met redelijke middelen kan worden gekoppeld aan een identificator zoals met name het IP-adres van het toestel van die gebruiker. Dat een sectororganisatie die in het bezit is van deze tekenreeks, zonder externe medewerking geen toegang heeft tot de gegevens die haar leden binnen de door haar opgestelde standaard verwerken, en dat zij die tekenreeks evenmin kan koppelen aan andere gegevens, staat er dan ook niet aan in de weg dat die tekenreeks een persoonsgegeven in de zin van voornoemde bepaling is.

77. Gelet op een en ander dient op de tweede prejudiciële vraag te worden geantwoord dat artikel 4, punt 7, en artikel 26, lid 1, AVG aldus moeten worden uitgelegd dat:
– een sectororganisatie die haar leden een door haar opgestelde standaard aanbiedt die betrekking heeft op de toestemming voor de verwerking van persoonsgegevens en die behalve bindende technische regels ook voorschriften bevat waarbij gedetailleerd is bepaald hoe de persoonsgegevens met betrekking tot die toestemming moeten worden opgeslagen en verspreid, dient te worden aangemerkt als „gezamenlijke verwerkingsverantwoordelijke” in de zin van die bepalingen indien zij gelet op de specifieke omstandigheden van het geval voor eigen doeleinden invloed uitoefent op de betreffende verwerking van persoonsgegevens en aldus samen met haar leden het doel van en de middelen voor die verwerking vaststelt. Dat een dergelijke sectororganisatie niet zelf rechtstreeks toegang heeft tot de persoonsgegevens die haar leden binnen die standaard verwerken, staat er niet aan in de weg dat zij de hoedanigheid van gezamenlijke verwerkingsverantwoordelijke in de zin van voornoemde bepalingen heeft;
– de gezamenlijke verantwoordelijkheid van die sectororganisatie zich niet automatisch uitstrekt tot latere verwerkingen van persoonsgegevens door derden – zoals aanbieders van internetsites of applicaties – wat de voorkeuren van gebruikers met het oog op gerichte online reclame betreft.