Dass die datenschutzrechtlichen Praktiken von Meta das Tech- und Social-Media-Unternehmen bereits mehrfach in der Vergangenheit mit Aufsichtsbehörden und Gerichten in Konflikt brachte, dürfte mittlerweile bekannt sein. Erst im Mai dieses Jahres wurde von der irischen Datenschutzbehörde ein Bußgeld in Höhe von 1,2 Milliarden Euro gegen das Unternehmen wegen der rechtswidrigen Übermittlung von Nutzerdaten in die USA verhängt (wir berichteten).

Nun musste das Unternehmen sich vor dem EuGH erneut aufgrund seiner Verarbeitung von Facebook-Nutzerdaten behaupten (Urteil vom 04.07.2023, Az. C-252/21).

Versteckte „Nutzereinwilligung“ in die Nutzung von „Off-Facebook-Daten“

Der Sachverhalt: Im Rahmen der Anmeldung beim von Meta betriebenen sozialen Netzwerk Facebook müssen Nutzer die AGB und die Datenschutzerklärung akzeptieren. Letztere führt aus, dass Meta Nutzeraktivitätsdaten nicht nur auf Facebook, sondern auch außerhalb des sozialen Netzwerks erfassen und diese dem Facebook-Konto zuordnen kann (sog. Off-Facebook-Daten). Die Daten können von dritten Websites oder Apps stammen, die mit Facebook über eingebundene Programmschnittstellen wie den „Facebook Business Tools“ verbunden sind, aber auch von anderen von Meta angebotenen Diensten (z.B. Instagram und WhatsApp). Diese Daten werden von Meta insbesondere zu Werbezwecken genutzt.

Gegen diese Praxis ging das deutsche Bundeskartellamt vor und untersagte Meta insbesondere, die Nutzung von Facebook in den AGB von der Verarbeitung der Off-Facebook-Daten abhängig zu machen und sie ohne Einwilligung zu verarbeiten. Aufgrund dessen sah das Bundeskartellamt bei Meta eine missbräuchliche Ausnutzung seiner marktbeherrschenden Stellung auf dem deutschen Markt für soziale Netzwerke.

Bundeskartellamt durfte Einhaltung der DSGVO prüfen

In seinem Urteil bejahte der EuGH zunächst, dass das Bundeskartellamt als nationale Wettbewerbsbehörde die Einhaltung der DSGVO bei Meta prüfen durfte, allerdings nur in den Grenzen ihrer Befugnis, den Missbrauch einer marktbeherrschenden Stellung festzustellen. Nationale Wettbewerbsbehörden treten, so der EuGH, nicht an die Stelle der durch die DSGVO eingerichteten Aufsichtsbehörden. Sie sind insoweit zur Abstimmung und loyalen Zusammenarbeit mit den Aufsichtsbehörden verpflichtet.

Meta kann sich nicht auf Vertragserfüllung und berechtigte Interessen berufen

Ausführlich beschäftigte sich der EuGH mit der Frage, ob sich Meta bei der Datenverarbeitung auf eine andere Rechtsgrundlage als die Einwilligung berufen kann. Im Fokus standen hierbei besonders die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) und die berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).

Hinsichtlich der Vertragserfüllung betonte der EuGH, dass eine Datenverarbeitung nur dann als für sie erforderlich anzusehen ist, wenn sie objektiv unerlässlich ist, der Vertrag also ohne sie nicht erfüllt werden kann. Doch sowohl bei den Argumenten der Personalisierung von Inhalten und der durchgängigen und nahtlosen Nutzung von Meta-Diensten, die die Datenverarbeitung rechtfertigen sollten, meldete der EuGH Zweifel an. So sei eine Personalisierung von Inhalten für Facebook-Nutzer zwar nützlich, jedoch nicht erforderlich, um ihnen die Dienste anbieten zu können, bestehe doch ggf. die gleichwertige Alternative, die Dienste auch ohne Personalisierung zu erbringen. Auch die nahtlose Nutzung von anderer Meta-Diensten sei laut EuGH nicht erforderlich, da ihre Nutzung nicht zwingend notwendig sei, um ein Facebook-Konto einzurichten.

Auch hinsichtlich der berechtigten Interessen zweifelte der EuGH, ob insbesondere das Interesse an der Personalisierung von Werbung gegenüber den Interessen und Grundrechten von Nutzern überwiegt. Zwar führte der EuGH aus, dass nach Erwägungsgrund 47 der DSGVO der Zweck der Direktwerbung als ein berechtigtes Interesse angesehen werden kann. Allerdings könne ein Nutzer, auch wenn ein soziales Netzwerk wie Facebook kostenlos ist, vernünftigerweise nicht damit rechnen, dass dessen Betreiber seine personenbezogenen Daten für personalisierte Werbung ohne seine Einwilligung verarbeitet. Es sei daher davon auszugehen, dass die Interessen des Nutzers gegenüber dem Interesse des Betreibers an der Personalisierung von Werbung zur Finanzierung seines Angebots überwiegen.

Der EuGH bewertete zudem negativ, dass die beschriebene Praxis von Meta eine sehr umfassende Datenverarbeitung mit potentiell unbegrenzten Daten bedeute. Nutzer könnten sich so kontinuierlich überwacht fühlen.

Facebook-Nutzerdaten können sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten

Der EuGH führte zudem aus, dass Facebook-Nutzerdaten unter Umständen sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten können, beispielsweise wenn ein Nutzer Websites aufruft oder dort Daten eingibt (z.B. bei einer Registrierung), die einen Bezug zu den Datenkategorien in Art. 9 DSGVO haben (z.B. politische Meinungen, sexuelle Orientierung), und auf dieser Website Facebook-Schnittstellen implementiert sind, die dann Daten mit dem entsprechenden Konto verknüpfen und verwenden. Der EuGH lehnt in diesem Zuge ab, dass diese Verarbeitung ausnahmsweise zulässig ist, weil der betroffene Nutzer die Daten hiermit offensichtlich öffentlich gemacht hat (Art. 9 Abs. 2 lit. e DSGVO). Sowohl beim Aufrufen der Website als auch grundsätzlich bei der Eingabe von Daten oder dem Bedienen von Schaltflächen (z.B. einem „Like“-Button) sei hiervon nicht auszugehen.

Was bedeutet die Entscheidung für Unternehmen?

Das Urteil ist wenig überraschend, bestätigt es doch die seit längerem herrschende und spätestens mit der Entscheidung der belgischen Aufsichtsbehörde APD zum TCF 2.0. gefestigte Ansicht, dass Daten zu Werbezwecken grundsätzlich nur mit Einwilligung des Nutzers verarbeitet werden können.

Dies bedeutet für Unternehmer, dass sie in ihren Web-Anwendungen (Website & Apps) Programmierschnittstellen bereithalten müssen, um die Einwilligung von Nutzern rechtssicher einholen und speichern zu können, wie etwa über die bekannten Consent-Management-Plattformen („CMP“).

Gern unterstützen wir Sie bei der Einrichtung eines rechtssicheren Einwilligungsmanagements.

Die französische Datenschutzbehörde CNIL hat ihr bereits seit Ende 2018 laufendes Prüfverfahren gegen das französische Adtech-Unternehmen Criteo abgeschlossen und aufgrund mehrerer festgestellter Datenschutzverstöße ein Bußgeld in Höhe von 40 Millionen Euro verhängt. Hintergrund des Verfahrens waren von Privacy International und NOYB eingereichte Beschwerden, welche sich auf die offenbar mangelhafte Möglichkeit zum Widerruf einmal erteilter Einwilligungen für Onlinewerbung gegenüber Criteo bezogen. Die CNIL nahm die Beschwerden zum Anlass, eine umfangreiche Prüfung des Unternehmens durchzuführen und bezog insofern auch andere Aspekte der DSGVO-Compliance des Unternehmens mit ein.

Criteo ist ein bekanntes Unternehmen aus der Onlinemarketing-Branche, welches sich auf Retargeting-Dienste spezialisiert hat. Besuchen Nutzer Websites von Criteo-Partnern, erfasst ein Tracker (Cookie) die Browser-Daten der Nutzer. Hierdurch kann das Unternehmen das Surfverhalten der Nutzer analysieren und ihnen im Auftrag seiner Kunden so auf sie abgestimmte, personalisierte Werbung anzeigen.

Welche Verstöße wurden von der CNIL festgestellt?

Folgende Verstöße, für welche Criteo bereits Abhilfemaßnahmen getroffen haben soll, wurden von der CNIL festgestellt:

Verstoß gegen die Nachweispflicht der Einwilligung

Die CNIL betonte, dass nach den einschlägigen Gesetzen der Criteo-Tracker nur nach Einholung der Einwilligung der Nutzer auf deren Geräten platziert werden darf und die Einholung der Einwilligung der Nutzer zwar in den Verantwortungsbereich der Datenpartner von Criteo fällt, das Unternehmen aber dennoch überprüfen und nachweisen muss, dass die jeweiligen Nutzer tatsächlich ihre Einwilligung gegeben haben.

Die Behörde stellte jedoch fest, dass einige Partner den Tracker von Criteo komplett ohne Einwilligungsmechanismus verwendeten. Darüber hinaus hatte Criteo keine Maßnahmen ergriffen, um sicherzustellen, dass seine Partner die Einwilligung von Nutzern einholten, deren Daten es verarbeitete. In dieser Hinsicht stellte die CNIL insbesondere fest, dass die Verträge zwischen Criteo und seinen Datenpartnern keine Verpflichtung für die Datenpartner enthielten, Criteo die Einwilligung der Nutzer nachzuweisen, und dass das Unternehmen keine diesbezüglichen Prüfungen durchgeführt hatte.

Laut CNIL hat Criteo nun seine Verträge mit seinen Datenpartnern geändert und eine Klausel hinzugefügt, die die Datenpartner verpflichtet, Criteo auf Anfrage und zu jeder Zeit einen Nachweis über die Einwilligung der Nutzer zu liefern.

Verstoß gegen die Informations- und Transparenzpflicht

Die Datenschutzerklärung von Criteo führte einige Verarbeitungszwecke gar nicht auf. Auch waren einige Verarbeitungsvorgänge nur vage beschrieben, sodass Nutzer nicht verstehen konnten, welche Daten für welche Zwecke verarbeitet werden.

Insbesondere in Bezug auf den letztgenannten Punkt wies die CNIL auf die unverständliche und widersprüchliche Art und Weise hin, mit der Criteo die Nutzer in seiner Datenschutzerklärung informierte, da bestimmte Verarbeitungszwecke, die Criteo auf berechtigten Interessen stützte, in Wirklichkeit eng mit der Verarbeitung personenbezogener Daten für personalisierte Werbung verbunden waren, die, wie Criteo auswies, auf einer Einwilligung beruhte.

Weitere Verstöße

Die CNIL stellte im Übrigen die folgenden weiteren Verstöße fest:

Missachtung von Auskunftsanfragen

Auskunftsanfragen von Nutzern wurden von Criteo nur unvollständig und für Nutzer nicht verständlich beantwortet. 

Nichtbeachtung des Widerrufsrechts und des Rechts auf Löschung

Widerriefen Betroffene ihre Einwilligung oder baten um Löschung ihrer personenbezogenen Daten, wurde von Criteo die Ausspielung personalisierter Werbung für diese Betroffenen zwar eingestellt, allerdings wurden weder die der Person zugewiesene Tracking-ID noch die mit ihr verbundenen personenbezogenen Daten wirksam gelöscht.

Verstoß gegen die Pflicht des Abschlusses einer Vereinbarung zwischen gemeinsam Verantwortlichen (Joint Controller Agreement)

Die zwischen Criteo und seinen Partnern geschlossene Vereinbarung wies Mängel in Bezug auf die Spezifizierung der datenschutzrechtlichen Pflichten der für die Verarbeitung Verantwortlichen auf, etwa im Hinblick auf die Ausübung von Betroffenenrechten.

Welche Bedeutung hat der Fall für Unternehmen aus der Onlinemarketing-Branche?

Der Fall zeigt, wie aus einer vergleichsweise kleinen Prüfung eine weitreichende Überprüfung der datenschutzrechtlichen Dokumentation und Umsetzung im Unternehmen werden konnte.

Bemühungen um die Einhaltung des Datenschutzrechts sollten daher innerhalb eines Unternehmens priorisiert werden, um das Risiko erheblicher Geldbußen für Verstöße gegen die DSGVO zu verringern.

Unternehmen aus der Onlinemarketing-Branche sollten sich die einzelnen von der CNIL angesprochenen Punkte genauer ansehen und ihre Umsetzung bei sich überprüfen, insbesondere mit Blick auf (a.) den Nachweis der Nutzer-Einwilligung und (b.) die Informations- und Transparenzpflichten nach der DSGVO.

Wir beraten und unterstützen Sie hierbei gern.