Vorabentscheidungsersuchen des Hof van beroep te Brussel (Belgien), eingereicht am 19. September 2022 – IAB Europe/Gegevensbeschermingsautoriteit; Beteiligte: TR u. a.

(Rechtssache C-604/22)

Verfahrenssprache: Niederländisch

Vorlegendes Gericht

Hof van beroep te Brussel

Parteien des Ausgangsverfahrens

Berufungsführerin: IAB Europe

Berufungsgegnerin: Gegevensbeschermingsautoriteit

Beteiligte: TR, UV, SP, Fundacja Panoptykon, Stichting Bits of Freedom, Ligue des Droits Humains VZW

Vorlagefragen

a)    Ist Art. 4 Nr. 1 der Verordnung (EU) 2016/679¹ des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG in Verbindung mit den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Zeichenfolge, die die Präferenzen eines Internetnutzers im Zusammenhang mit der Verarbeitung seiner personenbezogenen Daten auf strukturierte und maschinenlesbare Weise erfasst, aus Sicht (1) einer Branchenorganisation, die ihren Mitgliedern einen Standard bereitstellt, mit dem sie ihnen vorschreibt, auf welche Weise diese Zeichenfolge in praktischer und technischer Hinsicht generiert, gespeichert und/oder verbreitet werden muss, und (2) der Parteien, die diesen Standard auf ihren Websites oder in ihren Anwendungen implementiert und daher auf diese Weise Zugang zu dieser Zeichenfolge haben, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt?

b)    Macht es dabei einen Unterschied, wenn die Implementierung des Standards beinhaltet, dass diese Zeichenfolge zusammen mit einer IP-Adresse verfügbar ist?

c)    Fällt die Antwort auf die Fragen a) + b) anders aus, wenn diese normierende Branchenorganisation selbst keinen gesetzlichen Zugang zu den personenbezogenen Daten hat, die im Rahmen dieses Standards von ihren Mitgliedern verarbeitet werden?

a)    Sind Art. 4 Nr. 7 und Art. 24 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG in Verbindung mit den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine normierende Branchenorganisation als Verantwortliche einzustufen ist, wenn sie ihren Mitgliedern einen Standard für die Verwaltung der Einwilligung anbietet, der neben einem verbindlichen technischen Rahmen Vorschriften enthält, die detailliert festlegen, wie diese Einwilligungsdaten, die personenbezogene Daten darstellen, gespeichert und verbreitet werden müssen?

b)    Fällt die Antwort auf Frage a) anders aus, wenn diese Branchenorganisation selbst keinen gesetzlichen Zugang zu den personenbezogenen Daten hat, die im Rahmen dieses Standards von ihren Mitgliedern verarbeitet werden?

c)    Falls die normierende Branchenorganisation als für die Verarbeitung der Präferenzen von Internetnutzern Verantwortliche oder als gemeinsam dafür Verantwortliche einzustufen ist, erstreckt sich diese (gemeinsame) Verantwortung der normierenden Branchenorganisation dann auch automatisch auf die anschließenden Verarbeitungen Dritter, für die die Präferenzen der Internetnutzer bereitgestellt wurden, wie gezielte Online-Werbung durch Verleger und Verkäufer?

____________