OLG München: Kostenloser Account auf Online-Plattformen berechtigt zum Versenden von Werbe-E-Mails ohne separate Newsletter-Einwilligung

Das Verarbeiten personenbezogener Daten zu Werbe- und Marketingzwecken ist in vielen Fällen nur mit vorheriger Einwilligung des Betroffenen zulässig, was für Unternehmen ein nicht unerhebliches Hindernis für die Vermarktung Ihrer Produkte und Dienstleistungen darstellt. Insbesondere die hohen Anforderungen an das wirksame Einholen einer Einwilligung von Verbrauchern ist nicht selten eine große Herausforderung, denn Fehler können schlimmstenfalls zu ihrer Unwirksamkeit und damit zu einem bußgeldbehafteten Datenschutzverstoß führen.

Von dem beschriebenen Grundsatz gibt es im Bereich des E-Mail-Marketings die sogenannte „Bestandskundenausnahme“, die in § 7 Abs. 3 UWG geregelt ist. In den engen Grenzen dieser Sondervorschrift ist es Unternehmen erlaubt, Werbe-Emails an ihre Kunden auch ohne vorherige Einwilligung zu senden.

OLG München: „Bestandskundenausnahme“ greift auch beim Anlegen eines kostenlosen Accounts

Genau mit dieser Ausnahme musste sich das OLG München in einem schon älteren, jedoch nach wie vor relevanten Urteil beschäftigten und darüber entscheiden, ob das Anlegen eines kostenlosen Accounts auf einer Online-Plattform (hier: einer Partnerbörse) durch einen Internetnutzer dazu berechtigt, diesen Kunden ohne separate Einwilligung Werbe-E-Mails zu versenden (Urteil vom 15.02.2018, Az. 29 U 2799/17). Kern des Urteils war die Frage, ob das Anlegen des kostenlosen Accounts einen „Verkauf einer Ware oder Dienstleistung“ nach § 7 Abs. 3 Nr. 1 UWG darstellt, was eine wesentliche Voraussetzung der Ausnahmeregelung ist.

Das OLG bejahte dies mit der Begründung, dass mit „Verkauf“ nicht nur der klassische Kaufvertrag – wie es das Wort andeuten würde –, sondern jeder Austauschvertrag gemeint ist. Um dies am vorliegenden Fall zu verdeutlichen:

  • Der Kunde erhält mit der Registrierung vom Plattformbetreiber (zumindest) die Möglichkeit, auf der Partnerbörse die Bilder anderer Mitglieder zu sehen, die ebenfalls auf Partnersuche sind.
  • Im Gegenzug erhält der Plattformbetreiber die Daten des Kunden wie dessen E-Mail-Adresse und weitere mittelbare „Vorteile“ (höhere Plattformattraktivität wegen größerer Zahl an Mitgliedern; Möglichkeit des Sendens von Werbebotschaften, wenn sich der Kunde auf der Plattform aufhält).

Auch die übrigen Anforderungen des § 7 Abs. 3 UWG sah das OLG München als erfüllt an, sodass eine Einwilligung für die Werbe-E-Mails nicht erforderlich war.
 
Was bedeutet die Entscheidung für Unternehmen?


Das Urteil stellt im Bereich der Bestandskundenwerbung eine erhebliche Erleichterung für Unternehmen dar, die kostenlose „Austauschverhältnisse“ anbieten – vorausgesetzt, dass auch die übrigen Anforderungen des § 7 UWG erfüllt sind. Zudem sollten auch die weiteren gesetzlichen Vorschriften, insbesondere das Datenschutzrecht (und bei eHealth-Anwendungen die DiGA-Verordnung) nicht außer Acht gelassen werden.

Mit unserer langjährigen Erfahrung im Bereich des Onlinemarketingrechts beraten und unterstützen wir Sie gern.

Künstliche Intelligenz: rechtliche Grenzen und Risiken

KI-gestützte Anwendungen finden immer mehr Einzug in den Arbeitsalltag. Bereits jetzt sind sie flexibel und vielseitig einsetzbar und können auch komplizierte und langwierige Aufgaben schnell und zuverlässig bearbeiten. Unternehmen sollten sich allerdings vor der Verwendung von KI-Anwendungen in ihrem Betrieb über die möglichen rechtlichen Grenzen und daraus folgenden Risiken dieser Technologie bewusst sein.

Im Folgenden möchten wir Ihnen einen allgemeinen Überblick über die Funktionsweise und die hieraus nach aktuellem Stand resultierenden rechtlichen Risiken geben und Strategien beschreiben, mit denen Sie letztere minimieren können.

Wie funktionieren KI-Anwendungen?

Allgemein werden KI-Anwendungen durch die Eingaben von Nutzern (so genannte „Prompts“) gesteuert. Ein Prompt kann beispielsweise darin bestehen, die KI-Anwendung aufzufordern, ein Bild mit bestimmten Charakteristiken zu erstellen:

„Erstelle ein Bild einer Blumenvase im Stil von Andy Warhol.“

Möglich ist aber auch, dass eine KI-Anwendungen aufgefordert wird, Texte zu erstellen oder bestehende Texte zu überarbeiten:

„Bitte prüfe den folgenden Text und verbessere Fehler in der Grammatik und der Kommasetzung.“

Die KI-Anwendung verarbeitet diese Prompts und liefert dann das fertige Ergebnis in der Ausgabe aus.

Woher beziehen KI-Anwendungen ihr „Wissen“?

Der hinter KI-Anwendungen stehende Algorithmus wird im ersten Schritt durch die Vernetzung von Datenmaterial aus verschiedenen Quellen („Crawling“) und im zweiten Schritt häufig auch durch jeden späteren Prompt von Nutzern und jede hochgeladene Datei weiter angelernt („trainiert“). Die zumeist öffentlich zugänglichen Quellen sind etwa Websites und die dortigen Inhalte Dritter und können Texte, Bilder, Musikdateien und vieles mehr umfassen. KI-Anwendungen steht somit ein potenziell endloser Datenschatz zur Verfügung, auf dessen Grundlage sie Nutzern antworten können.

Welche Risiken muss ich beim Einsatz von KI-Anwendungen beachten?

Die Funktionsweise von KI-Anwendungen begegnet aufgrund der beschriebenen Funktionsweise Risiken, die durch das nutzende Unternehmen identifiziert und mitigiert werden sollten. Diese Risiken lassen sich im Wesentlichen wie folgt zusammenfassen:

  • Schutz von Geschäftsgeheimnissen: Durch die Eingabe unbedachter Prompts besteht das Risiko, das Geschäftsgeheimnisse (beispielsweise der Name oder die Spezifikationen von unveröffentlichten Produkten) in den Algorithmus eingespeist und dauerhaft in ihm gespeichert und so anderen Nutzern preisgegeben werden.
  • Datenschutz: Im Bereich des Datenschutzes ist insbesondere die Einspeisung von personenbezogenen Daten über Prompts oder Trainingsmaterial ein Risikofaktor. Wie bei Geschäftsgeheimnissen können dann personenbezogene Daten (z.B. das Bildnis oder der Name einer Person) in der Ausgabe auftauchen. Für solch eine Nutzung dieser Daten, aber auch für ihre Weiternutzung aus der Ausgabe der KI-Anwendung heraus fehlt es in der Regel an einer wirksamen Rechtsgrundlage, konkret der Einwilligung des Betroffenen. Sowohl Hersteller von KI-Anwendungen als auch ihre Nutzer können hierdurch Datenschutzverstöße begehen.

Es sei erwähnt, dass auch eine vorherige „Anonymisierung“ von Daten in der Regel nicht weiterhilft. So sind die Anforderungen an eine wirksame Anonymisierung nach der DSGVO sehr hoch und werden im Regelfall nicht erfüllt.

  • Urheberrecht und Markenrecht: Urheberrechtlich geschützte Werke können über Trainingsmaterial, aber auch über Prompts dem Algorithmus zugeführt werden (z.B. urheberrechtlich geschützte Texte und Bilder), die abermals in den Ausgaben von Nutzern landen können. Gleiches gilt für markenrechtlich geschützte Begriffe und Zeichen. Auch hier laufen Hersteller und Nutzer Gefahr, Rechtsverletzungen zu begehen.

Weitere Risikofelder bei der Nutzung von KI-Anwendungen

  • Es ist an Fälle möglicher Diskriminierung durch KI-gestützte Entscheidungen (so genannter AI-Bias) zu denken, die Haftungsrisiken nach dem Allgemeinem Gleichbehandlungsgesetz (AGG) bedeuten können. Es sind zum Beispiel schon Fälle bekannt, in denen Unternehmen in der Folge des Einsatzes von KI-gestützten Systemen wegen rassistischer Geschäftspraktiken haftbar gemacht wurden. Grund dafür war, dass die eingesetzten KI-Dienste keine Vorkehrungen zum Schutz vor rassistischen Entscheidungen enthielten.
  • Auch beauftragte Drittdienstleister können sich entscheiden, für die Durchführung eines Auftrags ohne Wissen und Wollen des Auftraggebers auf KI-Anwendungen zurückzugreifen, sodass sich der Auftraggeber unbemerkt den oben geschilderten Risiken ausgesetzt sehen kann.
  • Nicht zuletzt bestehen auch die allgemeinen vertraglichen Haftungsrisiken gegenüber Vertragspartnern, die beispielsweise mangelhafte Produkte des Unternehmens abnehmen, die unter Zuhilfenahme von KI-Anwendungen erstellt wurden.

Was können Unternehmen tun, um diese Risiken zu verringern?

Zunächst ist festzuhalten, dass die Anbieter von KI-Diensten im Regelfall keine Maßnahmen zur Vermeidung der genannten Risiken treffen und in ihren AGB jegliche Haftung ausschließen. Deshalb müssen Unternehmer in diesem Bereich selbst aktiv werden:

  • Im Betrieb sollte der Arbeitgeber klare Regeln für die Nutzung von KI-Anwendungen aufstellen, beispielsweise in welchen Bereichen, für welche Arbeitsprozesse und mit welchen Daten sie eingesetzt werden dürfen.
  • Bei Geschäftsgeheimnissen besteht zurzeit nur die Möglichkeit, ihre Eingabe in KI-Anwendungen zu verhindern/zu untersagen. Im Idealfall könnte beim Hersteller der KI-Anwendung eine Vereinbarung erreicht werden, dass die Prompts nicht für das Training des Algorithmus verwendet werden – dies ist nach jetzigem Stand aber bei den verbreiteten Produkten nur in wenigen Einzelfällen der Fall.
  • Auch beim Datenschutz sowie beim Urheberrecht und Markenrecht bleibt – vorbehaltlich des (seltenen) Falls, dass hier in der Tat eine gesetzliche oder vertragliche Erlaubnis vorliegt – zurzeit ebenfalls nur die Option, entsprechende Eingaben in KI-Anwendungen zu verhindern/zu untersagen, um jedenfalls von eigener Seite die oben aufgezeigten Risiken zu verringern. Allerdings verbleibt hier das Restrisiko, dass Daten oder geschützte Werke oder Zeichen (bereits) über das Trainingsmaterial in den Algorithmus gelangt sind und entsprechend in Ausgaben auftauchen können.
  • Bei der Beauftragung von Drittdienstleistern (gemeint sind nicht die Hersteller der KI-Anwendungen) sollten Unternehmen außerdem vertraglich regeln, ob diese Drittdienstleister KI-Anwendungen überhaupt nutzen dürfen und welche Grenzen dafür bestehen (z.B. Offenlegungspflicht, welche Bestandteile des Produkts KI-generiert sind; Geschäftsgeheimnisschutz). Besonders wichtig ist sodann die Regelung der Haftung, etwa für den Fall, dass in dem Produkt des Dienstleisters KI-generierte Inhalte gegen Rechte Dritter verstößt.

Muss ein Unternehmen Dritte (z.B. Kunden) darüber aufklären, wenn KI-Anwendungen genutzt werden?

Eigentlich bestehen nach geltendem Recht keine Kennzeichnungspflichten für KI-generierte oder mit KI-Anwendungen bearbeitete Inhalte und Produkte.

Allerdings kann es Situationen geben, in denen eine Offenlegungspflicht besteht. Dies sind vor allem Fälle, in denen die berechtigte Erwartung späterer Nutzer besteht, dass ein Inhalt „menschlicher“ Herkunft ist. Dies ist insbesondere denkbar in folgenden Fällen:

  • Fotografie im Journalismus (für Zeitungen, Verlage, etc.): Hier besteht die berechtigte Erwartung, dass Fotografien die Realität so abbilden, wie sie ist.
  • Eine Offenlegungspflicht kann sich auch aus einer vertraglichen Nebenpflicht ergeben, zum Beispiel in einem Arbeitsverhältnis.

Im Übrigen müssen nach der DSGVO Betroffene – z.B. in der Datenschutzerklärung – über das Bestehen einer „automatisierten Entscheidungsfindung“ informiert werden. Klassisches Beispiel ist das Kredit-Scoring.

Ausblick

Dedizierte regulatorische Leitplanken für den Einsatz von KI-Anwendungen, welche sich unter anderem mit zulässigen oder unzulässigen Einsatzfeldern von KI beschäftigen, sind zurzeit noch nicht vorhanden. Der sich noch im Gesetzgebungsprozess befindende Entwurf einer KI-Verordnung der EU-Kommission dürfte allerdings in Zukunft mehr Aufschluss bringen. Interessant ist hier insbesondere die Einteilung von KI-Anwendungen nach Risikoklassen. Mit einem Inkrafttreten der Verordnung ist aber erst 2024 zu rechnen, Änderungen am Entwurf (auch wesentlicher Art) sind bis dahin noch sehr wahrscheinlich.

Stand jetzt sollten Unternehmen die oben aufgezeigten rechtlichen Risiken berücksichtigen, wenn sie KI-gestützte Anwendungen in ihrem Betrieb verwenden wollen. Dies macht eine konkrete Prüfung erforderlich, welche Risiken besonderer Beachtung bedürfen, und welche Strategien angewendet werden, um diese zu minimieren.

Gern unterstützen und beraten wir Sie, wenn Sie KI-gestützte Anwendungen in Ihrem Betrieb verwenden bzw. verwenden möchten.

EuGH: Meta (Facebook) muss für die Nutzung von Daten zu Werbezwecken eine separate Einwilligung einholen

Dass die datenschutzrechtlichen Praktiken von Meta das Tech- und Social-Media-Unternehmen bereits mehrfach in der Vergangenheit mit Aufsichtsbehörden und Gerichten in Konflikt brachte, dürfte mittlerweile bekannt sein. Erst im Mai dieses Jahres wurde von der irischen Datenschutzbehörde ein Bußgeld in Höhe von 1,2 Milliarden Euro gegen das Unternehmen wegen der rechtswidrigen Übermittlung von Nutzerdaten in die USA verhängt (wir berichteten).

Nun musste das Unternehmen sich vor dem EuGH erneut aufgrund seiner Verarbeitung von Facebook-Nutzerdaten behaupten (Urteil vom 04.07.2023, Az. C-252/21).

Versteckte „Nutzereinwilligung“ in die Nutzung von „Off-Facebook-Daten“

Der Sachverhalt: Im Rahmen der Anmeldung beim von Meta betriebenen sozialen Netzwerk Facebook müssen Nutzer die AGB und die Datenschutzerklärung akzeptieren. Letztere führt aus, dass Meta Nutzeraktivitätsdaten nicht nur auf Facebook, sondern auch außerhalb des sozialen Netzwerks erfassen und diese dem Facebook-Konto zuordnen kann (sog. Off-Facebook-Daten). Die Daten können von dritten Websites oder Apps stammen, die mit Facebook über eingebundene Programmschnittstellen wie den „Facebook Business Tools“ verbunden sind, aber auch von anderen von Meta angebotenen Diensten (z.B. Instagram und WhatsApp). Diese Daten werden von Meta insbesondere zu Werbezwecken genutzt.

Gegen diese Praxis ging das deutsche Bundeskartellamt vor und untersagte Meta insbesondere, die Nutzung von Facebook in den AGB von der Verarbeitung der Off-Facebook-Daten abhängig zu machen und sie ohne Einwilligung zu verarbeiten. Aufgrund dessen sah das Bundeskartellamt bei Meta eine missbräuchliche Ausnutzung seiner marktbeherrschenden Stellung auf dem deutschen Markt für soziale Netzwerke.

Bundeskartellamt durfte Einhaltung der DSGVO prüfen

In seinem Urteil bejahte der EuGH zunächst, dass das Bundeskartellamt als nationale Wettbewerbsbehörde die Einhaltung der DSGVO bei Meta prüfen durfte, allerdings nur in den Grenzen ihrer Befugnis, den Missbrauch einer marktbeherrschenden Stellung festzustellen. Nationale Wettbewerbsbehörden treten, so der EuGH, nicht an die Stelle der durch die DSGVO eingerichteten Aufsichtsbehörden. Sie sind insoweit zur Abstimmung und loyalen Zusammenarbeit mit den Aufsichtsbehörden verpflichtet.

Meta kann sich nicht auf Vertragserfüllung und berechtigte Interessen berufen

Ausführlich beschäftigte sich der EuGH mit der Frage, ob sich Meta bei der Datenverarbeitung auf eine andere Rechtsgrundlage als die Einwilligung berufen kann. Im Fokus standen hierbei besonders die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) und die berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).

Hinsichtlich der Vertragserfüllung betonte der EuGH, dass eine Datenverarbeitung nur dann als für sie erforderlich anzusehen ist, wenn sie objektiv unerlässlich ist, der Vertrag also ohne sie nicht erfüllt werden kann. Doch sowohl bei den Argumenten der Personalisierung von Inhalten und der durchgängigen und nahtlosen Nutzung von Meta-Diensten, die die Datenverarbeitung rechtfertigen sollten, meldete der EuGH Zweifel an. So sei eine Personalisierung von Inhalten für Facebook-Nutzer zwar nützlich, jedoch nicht erforderlich, um ihnen die Dienste anbieten zu können, bestehe doch ggf. die gleichwertige Alternative, die Dienste auch ohne Personalisierung zu erbringen. Auch die nahtlose Nutzung von anderer Meta-Diensten sei laut EuGH nicht erforderlich, da ihre Nutzung nicht zwingend notwendig sei, um ein Facebook-Konto einzurichten.

Auch hinsichtlich der berechtigten Interessen zweifelte der EuGH, ob insbesondere das Interesse an der Personalisierung von Werbung gegenüber den Interessen und Grundrechten von Nutzern überwiegt. Zwar führte der EuGH aus, dass nach Erwägungsgrund 47 der DSGVO der Zweck der Direktwerbung als ein berechtigtes Interesse angesehen werden kann. Allerdings könne ein Nutzer, auch wenn ein soziales Netzwerk wie Facebook kostenlos ist, vernünftigerweise nicht damit rechnen, dass dessen Betreiber seine personenbezogenen Daten für personalisierte Werbung ohne seine Einwilligung verarbeitet. Es sei daher davon auszugehen, dass die Interessen des Nutzers gegenüber dem Interesse des Betreibers an der Personalisierung von Werbung zur Finanzierung seines Angebots überwiegen.

Der EuGH bewertete zudem negativ, dass die beschriebene Praxis von Meta eine sehr umfassende Datenverarbeitung mit potentiell unbegrenzten Daten bedeute. Nutzer könnten sich so kontinuierlich überwacht fühlen.

Facebook-Nutzerdaten können sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten

Der EuGH führte zudem aus, dass Facebook-Nutzerdaten unter Umständen sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten können, beispielsweise wenn ein Nutzer Websites aufruft oder dort Daten eingibt (z.B. bei einer Registrierung), die einen Bezug zu den Datenkategorien in Art. 9 DSGVO haben (z.B. politische Meinungen, sexuelle Orientierung), und auf dieser Website Facebook-Schnittstellen implementiert sind, die dann Daten mit dem entsprechenden Konto verknüpfen und verwenden. Der EuGH lehnt in diesem Zuge ab, dass diese Verarbeitung ausnahmsweise zulässig ist, weil der betroffene Nutzer die Daten hiermit offensichtlich öffentlich gemacht hat (Art. 9 Abs. 2 lit. e DSGVO). Sowohl beim Aufrufen der Website als auch grundsätzlich bei der Eingabe von Daten oder dem Bedienen von Schaltflächen (z.B. einem „Like“-Button) sei hiervon nicht auszugehen.

Was bedeutet die Entscheidung für Unternehmen?

Das Urteil ist wenig überraschend, bestätigt es doch die seit längerem herrschende und spätestens mit der Entscheidung der belgischen Aufsichtsbehörde APD zum TCF 2.0. gefestigte Ansicht, dass Daten zu Werbezwecken grundsätzlich nur mit Einwilligung des Nutzers verarbeitet werden können.

Dies bedeutet für Unternehmer, dass sie in ihren Web-Anwendungen (Website & Apps) Programmierschnittstellen bereithalten müssen, um die Einwilligung von Nutzern rechtssicher einholen und speichern zu können, wie etwa über die bekannten Consent-Management-Plattformen („CMP“).

Gern unterstützen wir Sie bei der Einrichtung eines rechtssicheren Einwilligungsmanagements.

Frankreich verhängt 40-Millionen-Bußgeld gegen Adtech-Unternehmen Criteo

Geschrieben am

Die französische Datenschutzbehörde CNIL hat ihr bereits seit Ende 2018 laufendes Prüfverfahren gegen das französische Adtech-Unternehmen Criteo abgeschlossen und aufgrund mehrerer festgestellter Datenschutzverstöße ein Bußgeld in Höhe von 40 Millionen Euro verhängt. Hintergrund des Verfahrens waren von Privacy International und NOYB eingereichte Beschwerden, welche sich auf die offenbar mangelhafte Möglichkeit zum Widerruf einmal erteilter Einwilligungen für Onlinewerbung gegenüber Criteo bezogen. Die CNIL nahm die Beschwerden zum Anlass, eine umfangreiche Prüfung des Unternehmens durchzuführen und bezog insofern auch andere Aspekte der DSGVO-Compliance des Unternehmens mit ein.

Criteo ist ein bekanntes Unternehmen aus der Onlinemarketing-Branche, welches sich auf Retargeting-Dienste spezialisiert hat. Besuchen Nutzer Websites von Criteo-Partnern, erfasst ein Tracker (Cookie) die Browser-Daten der Nutzer. Hierdurch kann das Unternehmen das Surfverhalten der Nutzer analysieren und ihnen im Auftrag seiner Kunden so auf sie abgestimmte, personalisierte Werbung anzeigen.

Welche Verstöße wurden von der CNIL festgestellt?

Folgende Verstöße, für welche Criteo bereits Abhilfemaßnahmen getroffen haben soll, wurden von der CNIL festgestellt:

Verstoß gegen die Nachweispflicht der Einwilligung

Die CNIL betonte, dass nach den einschlägigen Gesetzen der Criteo-Tracker nur nach Einholung der Einwilligung der Nutzer auf deren Geräten platziert werden darf und die Einholung der Einwilligung der Nutzer zwar in den Verantwortungsbereich der Datenpartner von Criteo fällt, das Unternehmen aber dennoch überprüfen und nachweisen muss, dass die jeweiligen Nutzer tatsächlich ihre Einwilligung gegeben haben.

Die Behörde stellte jedoch fest, dass einige Partner den Tracker von Criteo komplett ohne Einwilligungsmechanismus verwendeten. Darüber hinaus hatte Criteo keine Maßnahmen ergriffen, um sicherzustellen, dass seine Partner die Einwilligung von Nutzern einholten, deren Daten es verarbeitete. In dieser Hinsicht stellte die CNIL insbesondere fest, dass die Verträge zwischen Criteo und seinen Datenpartnern keine Verpflichtung für die Datenpartner enthielten, Criteo die Einwilligung der Nutzer nachzuweisen, und dass das Unternehmen keine diesbezüglichen Prüfungen durchgeführt hatte.

Laut CNIL hat Criteo nun seine Verträge mit seinen Datenpartnern geändert und eine Klausel hinzugefügt, die die Datenpartner verpflichtet, Criteo auf Anfrage und zu jeder Zeit einen Nachweis über die Einwilligung der Nutzer zu liefern.

Verstoß gegen die Informations- und Transparenzpflicht

Die Datenschutzerklärung von Criteo führte einige Verarbeitungszwecke gar nicht auf. Auch waren einige Verarbeitungsvorgänge nur vage beschrieben, sodass Nutzer nicht verstehen konnten, welche Daten für welche Zwecke verarbeitet werden.

Insbesondere in Bezug auf den letztgenannten Punkt wies die CNIL auf die unverständliche und widersprüchliche Art und Weise hin, mit der Criteo die Nutzer in seiner Datenschutzerklärung informierte, da bestimmte Verarbeitungszwecke, die Criteo auf berechtigten Interessen stützte, in Wirklichkeit eng mit der Verarbeitung personenbezogener Daten für personalisierte Werbung verbunden waren, die, wie Criteo auswies, auf einer Einwilligung beruhte.

Weitere Verstöße

Die CNIL stellte im Übrigen die folgenden weiteren Verstöße fest:

Missachtung von Auskunftsanfragen

Auskunftsanfragen von Nutzern wurden von Criteo nur unvollständig und für Nutzer nicht verständlich beantwortet. 

Nichtbeachtung des Widerrufsrechts und des Rechts auf Löschung

Widerriefen Betroffene ihre Einwilligung oder baten um Löschung ihrer personenbezogenen Daten, wurde von Criteo die Ausspielung personalisierter Werbung für diese Betroffenen zwar eingestellt, allerdings wurden weder die der Person zugewiesene Tracking-ID noch die mit ihr verbundenen personenbezogenen Daten wirksam gelöscht.

Verstoß gegen die Pflicht des Abschlusses einer Vereinbarung zwischen gemeinsam Verantwortlichen (Joint Controller Agreement)

Die zwischen Criteo und seinen Partnern geschlossene Vereinbarung wies Mängel in Bezug auf die Spezifizierung der datenschutzrechtlichen Pflichten der für die Verarbeitung Verantwortlichen auf, etwa im Hinblick auf die Ausübung von Betroffenenrechten.

Welche Bedeutung hat der Fall für Unternehmen aus der Onlinemarketing-Branche?

Der Fall zeigt, wie aus einer vergleichsweise kleinen Prüfung eine weitreichende Überprüfung der datenschutzrechtlichen Dokumentation und Umsetzung im Unternehmen werden konnte.

Bemühungen um die Einhaltung des Datenschutzrechts sollten daher innerhalb eines Unternehmens priorisiert werden, um das Risiko erheblicher Geldbußen für Verstöße gegen die DSGVO zu verringern.

Unternehmen aus der Onlinemarketing-Branche sollten sich die einzelnen von der CNIL angesprochenen Punkte genauer ansehen und ihre Umsetzung bei sich überprüfen, insbesondere mit Blick auf (a.) den Nachweis der Nutzer-Einwilligung und (b.) die Informations- und Transparenzpflichten nach der DSGVO.

Wir beraten und unterstützen Sie hierbei gern.

EU-US Data Privacy Framework: EU-Kommission veröffentlicht Angemessenheitsbeschluss für Datentransfers in die USA

Die Europäische Kommission hat heute den lange erwarteten Angemessenheitsbeschluss für die neue EU-US-Datenschutzvereinbarung („EU-US Data Privacy Framework“) veröffentlicht. Der Beschluss stellt fest, dass die Vereinigten Staaten nunmehr ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten also „gefahrlos“ aus der EU an US-Unternehmen, die an dem neuen Programm teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.

Welche Maßnahmen sieht die neue Vereinbarung vor?

Die jetzt geltende Vereinbarung zwischen der EU und den USA führt neue verbindliche Vorgaben ein, um die vom Europäischen Gerichtshof im berühmten „Schrems II“-Urteil geäußerten Bedenken auszuräumen, einschließlich einer Beschränkung der Zugriffrechte von US-Geheimdiensten auf EU-Daten auf das „notwendige und verhältnismäßige“ Maß und sogar der Einrichtung eines unabhängigen Datenschutzüberprüfungs-„Gerichts“ (DPRC), zu dem EU-Bürger Zugang haben. Das neue Programm sieht erhebliche Verbesserungen gegenüber dem alten Mechanismus vor, der unter dem so genannten „Privacy Shield“-Programm galt. Stellt das DPRC beispielsweise fest, dass Daten unter Verstoß gegen die neuen Vorgaben erhoben wurden, kann es die Löschung der Daten anordnen.

Der neue EU-US-Datenschutzrahmen soll so einen sicheren Austausch für Daten von EU-Bürgern gewährleisten und Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Hintergrund der Entscheidung der EU-Kommission war eine Vereinbarung mit der US-Regierung, die darauf aufbauend wesentliche neue Verwaltungsvorschriften zum Schutz personenbezogener Daten von EU-Bürgern erlassen.

EU-Bürger können bestimmte Rechtsbehelfe in Anspruch nehmen, wenn ihre Daten von US-Unternehmen rechtswidrig verarbeitet werden. Darüber hinaus sehen die neuen Regelungen auf US-Seite eine Reihe von Garantien gegen den ungehemmten Zugriff von US-Behörden auf Daten vor, die auf der Grundlage des Programms übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten soll auf das Maß beschränkt werden, das zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.

Wie geht es jetzt weiter?

US-Unternehmen können dem Programm nun beitreten, indem sie sich gegenüber der US-Regierung verpflichten, eine Reihe bestimmter Datenschutzregeln einzuhalten, darunter zum Beispiel die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und eine Kontinuität des entsprechenden Schutzes zu gewährleisten, wenn personenbezogene Daten wiederum an Dritte weitergegeben werden. Es ist davon auszugehen, dass die großen Anbieter wie Google und Facebook zu den ersten Unternehmen gehören, die in das Register der US-Regierung aufgenommen werden und dass über die nächsten Monate nach und nach alle relevanten Dienstleister folgen werden.

Europäische Unternehmen müssen dann nur prüfen, ob ihre Anbieter bereits dem neuen Programm unterfallen und einen entsprechenden Hinweis in ihre Datenschutzerklärung aufnehmen. Mehr ist dann tatsächlich nicht zu tun.

Wird die neue Regelung Bestand haben?

Das Funktionieren der neuen Vereinbarung soll in regelmäßigen Abständen von der Europäischen Kommission zusammen mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um zu überprüfen, ob alle relevanten Elemente vollständig in den US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Es ist jedoch davon auszugehen, dass europäische Datenschutz-Aktivisten gegen die Entscheidung der EU-Kommission gerichtlich vorgehen werden – allen voran der Österreicher Max Schrems, der bereits zweimal einen Angemessenheitsbeschluss für die USA zu Fall gebracht hat. Das neue Data Privacy Framework ist aus Sicht seiner Organisation im Wesentlichen nur eine Kopie des gescheiterten Privacy-Shields, das wichtige der zuvor kritisierten Punkte vermissen lässt. Das letzte Wort hat dann wiederum der Europäische Gerichtshof. Echte Sicherheit besteht also erst nach einem entsprechenden Urteil, also in etwa zwei bis drei Jahren.