Die französische Datenschutzbehörde CNIL hat ihr bereits seit Ende 2018 laufendes Prüfverfahren gegen das französische Adtech-Unternehmen Criteo abgeschlossen und aufgrund mehrerer festgestellter Datenschutzverstöße ein Bußgeld in Höhe von 40 Millionen Euro verhängt. Hintergrund des Verfahrens waren von Privacy International und NOYB eingereichte Beschwerden, welche sich auf die offenbar mangelhafte Möglichkeit zum Widerruf einmal erteilter Einwilligungen für Onlinewerbung gegenüber Criteo bezogen. Die CNIL nahm die Beschwerden zum Anlass, eine umfangreiche Prüfung des Unternehmens durchzuführen und bezog insofern auch andere Aspekte der DSGVO-Compliance des Unternehmens mit ein.

Criteo ist ein bekanntes Unternehmen aus der Onlinemarketing-Branche, welches sich auf Retargeting-Dienste spezialisiert hat. Besuchen Nutzer Websites von Criteo-Partnern, erfasst ein Tracker (Cookie) die Browser-Daten der Nutzer. Hierdurch kann das Unternehmen das Surfverhalten der Nutzer analysieren und ihnen im Auftrag seiner Kunden so auf sie abgestimmte, personalisierte Werbung anzeigen.

Welche Verstöße wurden von der CNIL festgestellt?

Folgende Verstöße, für welche Criteo bereits Abhilfemaßnahmen getroffen haben soll, wurden von der CNIL festgestellt:

Verstoß gegen die Nachweispflicht der Einwilligung

Die CNIL betonte, dass nach den einschlägigen Gesetzen der Criteo-Tracker nur nach Einholung der Einwilligung der Nutzer auf deren Geräten platziert werden darf und die Einholung der Einwilligung der Nutzer zwar in den Verantwortungsbereich der Datenpartner von Criteo fällt, das Unternehmen aber dennoch überprüfen und nachweisen muss, dass die jeweiligen Nutzer tatsächlich ihre Einwilligung gegeben haben.

Die Behörde stellte jedoch fest, dass einige Partner den Tracker von Criteo komplett ohne Einwilligungsmechanismus verwendeten. Darüber hinaus hatte Criteo keine Maßnahmen ergriffen, um sicherzustellen, dass seine Partner die Einwilligung von Nutzern einholten, deren Daten es verarbeitete. In dieser Hinsicht stellte die CNIL insbesondere fest, dass die Verträge zwischen Criteo und seinen Datenpartnern keine Verpflichtung für die Datenpartner enthielten, Criteo die Einwilligung der Nutzer nachzuweisen, und dass das Unternehmen keine diesbezüglichen Prüfungen durchgeführt hatte.

Laut CNIL hat Criteo nun seine Verträge mit seinen Datenpartnern geändert und eine Klausel hinzugefügt, die die Datenpartner verpflichtet, Criteo auf Anfrage und zu jeder Zeit einen Nachweis über die Einwilligung der Nutzer zu liefern.

Verstoß gegen die Informations- und Transparenzpflicht

Die Datenschutzerklärung von Criteo führte einige Verarbeitungszwecke gar nicht auf. Auch waren einige Verarbeitungsvorgänge nur vage beschrieben, sodass Nutzer nicht verstehen konnten, welche Daten für welche Zwecke verarbeitet werden.

Insbesondere in Bezug auf den letztgenannten Punkt wies die CNIL auf die unverständliche und widersprüchliche Art und Weise hin, mit der Criteo die Nutzer in seiner Datenschutzerklärung informierte, da bestimmte Verarbeitungszwecke, die Criteo auf berechtigten Interessen stützte, in Wirklichkeit eng mit der Verarbeitung personenbezogener Daten für personalisierte Werbung verbunden waren, die, wie Criteo auswies, auf einer Einwilligung beruhte.

Weitere Verstöße

Die CNIL stellte im Übrigen die folgenden weiteren Verstöße fest:

Missachtung von Auskunftsanfragen

Auskunftsanfragen von Nutzern wurden von Criteo nur unvollständig und für Nutzer nicht verständlich beantwortet. 

Nichtbeachtung des Widerrufsrechts und des Rechts auf Löschung

Widerriefen Betroffene ihre Einwilligung oder baten um Löschung ihrer personenbezogenen Daten, wurde von Criteo die Ausspielung personalisierter Werbung für diese Betroffenen zwar eingestellt, allerdings wurden weder die der Person zugewiesene Tracking-ID noch die mit ihr verbundenen personenbezogenen Daten wirksam gelöscht.

Verstoß gegen die Pflicht des Abschlusses einer Vereinbarung zwischen gemeinsam Verantwortlichen (Joint Controller Agreement)

Die zwischen Criteo und seinen Partnern geschlossene Vereinbarung wies Mängel in Bezug auf die Spezifizierung der datenschutzrechtlichen Pflichten der für die Verarbeitung Verantwortlichen auf, etwa im Hinblick auf die Ausübung von Betroffenenrechten.

Welche Bedeutung hat der Fall für Unternehmen aus der Onlinemarketing-Branche?

Der Fall zeigt, wie aus einer vergleichsweise kleinen Prüfung eine weitreichende Überprüfung der datenschutzrechtlichen Dokumentation und Umsetzung im Unternehmen werden konnte.

Bemühungen um die Einhaltung des Datenschutzrechts sollten daher innerhalb eines Unternehmens priorisiert werden, um das Risiko erheblicher Geldbußen für Verstöße gegen die DSGVO zu verringern.

Unternehmen aus der Onlinemarketing-Branche sollten sich die einzelnen von der CNIL angesprochenen Punkte genauer ansehen und ihre Umsetzung bei sich überprüfen, insbesondere mit Blick auf (a.) den Nachweis der Nutzer-Einwilligung und (b.) die Informations- und Transparenzpflichten nach der DSGVO.

Wir beraten und unterstützen Sie hierbei gern.

Die irische Datenschutzbehörde DPC (Data Protection Commission) in Dublin, wo auch Facebooks Mutterkonzern Meta seinen europäischen Sitz hat, hat den Internetriesen zu einem Rekord-Bußgeld von 1,2 Milliarden Euro verurteilt. Vorangegangen ist ein seit Jahren anhaltender Streit über den Umgang mit Nutzerdaten und deren mangelnder Schutz durch Meta. Die Daten werden nämlich bislang aus Europa in die USA geleitet. Dort ist es US-Geheimdiensten ohne besondere rechtliche Hürden möglich, die Daten einzufordern und für ihre Zwecke zu nutzen. Dieses Vorgehen und der unzureichende Schutz sensibler Nutzerdaten verstößt bekanntermaßen gegen die europäische Datenschutzgrundverordnung (DSGVO).

Der Entscheidung liegt damit dieselbe Problematik zu Grunde wie das kürzlich ergangene Urteil des Landgerichts Köln bezüglich der Nutzung von Google Ads, das aber ebenfalls noch nicht rechtskräftig ist.

Die Rekordstrafe reiht sich ein in eine Reihe hoher Bußgelder wegen DSGVO-Verstößen in der jüngeren Vergangenheit und hätte für Meta sogar noch höher ausfallen können. So wurde zuletzt Amazon 2021 wegen eines ähnlichen Verstoßes zu einem Bußgeld in Höhe von 746 Millionen € verurteilt. Die Facebook-Mutter Meta ist – gemessen an der Höhe der zu zahlenden Bußgelder –  sechsmal in den Top 10 der DSGVO-Verstöße vertreten. Datenschutz-Aktivist Maximilian Schrems wurde mit den folgenden Worten zitiert: „Die Höchststrafe liegt bei über vier Milliarden. Und Meta hat zehn Jahre lang wissentlich gegen die DSGVO verstoßen, um Profit zu machen.“ Der Bußgeldentscheidung war ein langes Ringen unter den europäischen Datenschutzbehörden vorangegangen, dem Umgang großer Internetkonzerne nicht länger tatenlos zusehen zu  wollen.

Allerdings steckt hinter dem neuen Rekord-Bußgeld auch ein rechtliches Dilemma: Letztlich sind es die US-amerikanischen Sicherheitsgesetze, die es den dortigen Geheimdiensten ermöglichen, Nutzerdaten ohne ausreichende rechtliche Schranken von Unternehmen einzufordern und nachrichtendienstlich zu verwerten. Wenn Meta nun verhindern möchte, dass Daten in die USA übermittelt und dort geheimdienstlich genutzt werden, muss es seine Systeme wohl grundlegend umstrukturieren. Zunächst einmal hat Meta aber angekündigt, rechtliche Schritte gegen die Entscheidung einzulegen.

Über die weiteren Entwicklungen zu diesem Thema halten wir Sie selbstverständlich auf dem Laufenden.

Der Bundesgerichtshof hat am 26. Januar eine wegweisende Entscheidung mit Auswirkungen auf die gesamte Affiliate-Branche gefällt: Weder Unternehmen, die Affiliate-Werbung für sich nutzen, noch die Betreiber von Affiliate-Netzwerken haften für Rechtsverstöße ihrer Affiliate-Partner, also der Publisher.

Jahrelang war diese für das Onlinemarketing wichtige Frage zwischen den deutschen Gerichten umstritten, jetzt ist sie dank einer Grundsatzentscheidung des Bundesgerichtshofs geklärt. Das UNVERZAGT-Team von Ulrich Börger und Mina Kianfar vertrat in diesem Verfahren Amazons Affiliate-Netzwerk gegen den Matratzenhersteller Bett1, der Amazon für Rechtsverstöße von Affiliate-Partnern haftbar machen wollte.

Auch die Tagesschau berichtete über die Entscheidung des BGH.

Wir freuen uns, dass wir auf diese Weise zu mehr Rechtssicherheit in der Affiliate-Branche beitragen konnten. Wenn Sie Fragen zu den Auswirkungen dieser Entscheidung auf Ihr Geschäftsmodell oder zu weiteren aktuellen Themen im Affiliate-Marketing haben, sprechen Sie uns gern an.

Insbesondere Fragen des korrekten Einwilligungsmanagements sind hier weiterhin im Fokus der Aufsichtsbehörden und mit entsprechenden Haftungsrisiken verbunden.

Die Diskussion um die rechtlichen Anforderungen an „Cookie-Einwilligungen“ geht weiter: Am 11. Januar hat die belgische Datenschutzaufsichtsbehörde APD nun die Entscheidung veröffentlicht, dass sie den „action plan“ des Branchenverbands der Online-Werbebranche, IAB Europe, in Bezug auf den TCF 2.0-Standard „akzeptieren“ wird.

Was bedeutet die Entscheidung für Unternehmen aus der Online-Werbebranche?

Es geht um die Frage, ob der mittlerweile auf den meisten Websites genutzte Branchenstandard TCF 2.0 rechtswirksam für die Einholung von Einwilligung für die Nutzung von Cookies und Nutzerdaten zu Werbezwecken genutzt werden kann. Aus Belgien waren daran zuletzt grundsätzliche Zweifel zu hören:

Die Erstellung eines „action plan“ war eine Auflage der Entscheidung der APD vom 2. Februar 2022 an IAB Europe, neben der Zahlung eines Bußgelds das TCF 2.0 mit ihrer Auslegung der DSGVO in Einklang zu bringen (wir hatten berichtet).

Der am 1. April 2022 von IAB Europe bei der APD eingereichte „action plan“ zur Anpassung der TCF Policies an die Entscheidung der APD wurde bislang vom IAB Europe (bewusst) nicht veröffentlicht.

Gleichzeitig zur Erstellung des „action plan“ war das IAB Europe nämlich gegen die Entscheidung der APD vor das zuständige Gericht in Belgien gezogen, welches wiederum bestimmte Rechtsfragen dem EuGH zur Vorabentscheidung vorgelegt hat. Streitig ist hier, (1) ob das IAB Europe bei der Verarbeitung der Nutzerdaten tatsächlich gemeinsamer Verantwortlicher ist (unsere Meinung: nein) und (2) ob das TCF-Signal (auch „consent string“) ein personenbezogenes Datum darstellt (unsere Meinung: zusammen mit einer Nutzer-ID ja, sonst nein). Dieses Verfahren läuft zunächst weiter.

Mit der Entscheidung, den „action plan“ von IAB Europe zu „akzeptieren“, macht die APD den Weg dafür frei, dass das TCF in überarbeiteter Form von der Branche weiterhin zum Einholen von Nutzer-Einwilligungen zur Verarbeitung von personenbezogenen Daten in der Online-Werbung genutzt werden kann. Andere europäische Aufsichtsbehörden waren an dieser Entscheidung jedoch nicht beteiligt und sie ist weder für diese noch für die Gerichte bindend.

IAB Europe soll den „action plan“ nun binnen sechs Monaten umsetzen. Aus dem TCF 2.0 würde dann ein „TCF 2.1“.

Weder die APD noch IAB Europe haben bislang den Inhalt des „action plan“ veröffentlicht, um das parallel weiter laufende Gerichtsverfahren nicht zu beeinflussen. Es ist unklar, ob IAB Europe die Klage nun möglicherweise zurücknimmt, wenn es mit dem „action plan“ zufrieden ist.

Erst mit dieser Umsetzung, also der Veröffentlichung einer neuen Fassung der komplexen TCF Policies, die dem TCF-Standard zu Grunde liegen, ändern sich die Anforderungen für an das TCF angeschlossene Publisher und Vendoren.

Es kann aber auch sein, dass der „action plan“ nie umgesetzt wird, wenn die Klage des IAB Europe gegen die ursprüngliche Entscheidung der APD Erfolg hat.

Damit ist zu hoffen, dass die Rechtsunsicherheit hinsichtlich der DSGVO-Konformität bei Einhaltung des TCF 2.0 endlich abnimmt. Insbesondere die Frage, ob ein Nutzer über eine TCF-CMP angesichts der Masse an Beteiligten und der gleichzeitig sowohl vagen als auch überbordenden Informationen überhaupt eine wirksame Einwilligung abgeben kann, ist weiterhin offen – das Landgericht München I hat sie kürzlich in Sachen focus.de verneint (wir berichteten).

Bis dahin sollten Unternehmen sich bemühen, den aktuell geltenden Branchenstandard so gut wie möglich einzuhalten – wir beraten unsere Mandanten dazu laufend.

Cookie-Banner – ein Dauerbrenner im Datenschutz

Cookie-Banner sind im Internet allgegenwärtig: Fast jede Website fragt ihre Besucher nach einer Einwilligung für die Nutzung von Tracking-Cookies und die Verarbeitung von personenbezogenen Nutzerdaten zu Werbezwecken. An diese Einwilligung stellen DSGVO und TTDSG hohe Anforderungen. Aufgrund ihrer Verbreitung und datenschutzrechtlichen Relevanz überrascht es daher nicht, dass Cookie-Banner regelmäßig im Fokus der Aufsichtsbehörden stehen, was etwa die länderübergreifende und koordinierte Prüfung von Websites reichweitenstarker Verlage vor zwei Jahren zeigt (wir berichteten).

Ein immer wiederkehrendes Thema ist die rechtskonforme Gestaltung von Cookie-Bannern, denn diese beeinflusst, ob eine Einwilligung wirksame eingeholt wird oder eben nicht. Insbesondere wird geprüft, ob das Cookie-Banner es dem Besucher erlaubt, eine informierte und freiwillige Entscheidung in Bezug auf das Setzen von Cookies oder der Verarbeitung seiner Daten zu treffen. Die Aufsichtsbehörden haben dazu Vorgaben gemacht. Erst kürzlich konkretisierte die deutsche Datenschutzkonferenz diese Vorgaben in der aktualisierten Orientierungshilfe für Telemedienanbieter.

Landgericht München I: keine wirksamen Einwilligungen über das Cookie-Banner auf „Focus Online“

Wie ein Cookie-Banner nicht auszusehen hat, zeigt kürzliches, noch unveröffentlichtes Urteil des Landgericht München I (Az. 33 O 14776/19) gegen den Betreiber von Focus Online. Geklagt hatte der Verbraucherzentrale Bundesverband, welcher auch gegen vier weitere Verlagshäuser Klage erhoben hat.

In seiner Entscheidung führt das Landgericht München I aus, dass das im Zeitpunkt der Klageerhebung 2019 eingesetzte Cookie-Banner auf Focus Online nicht dafür geeignet war, informierte und freiwillige Einwilligungen der Nutzer einzuholen. Die zwei wesentlichen Kritikpunkte:

1. zu viele (!) Informationen: Das Urteil enthält 141 (!) Seiten mit Screenshots der Cookie-Banner zum entscheidungserheblichen Zeitpunkt 2019. Eine solche Fülle an Informationen kann aus Sicht des Gerichts von einem durchschnittlichen Besucher vernünftigerweise nicht erfasst werden.
2. Aufwand der Ablehnung zu hoch (keine „alles ablehnen“-Schaltfläche): Der Betreiber hatte sich damit verteidigt, dass das Gesetz nicht ausdrücklich vorsieht, dass Besucher bereits auf der ersten Ebene eines Cookie-Banners alle Datenverarbeitungen mit einem Klick ablehnen können und sich stattdessen an die „Zweistufigkeit“ von Bannern gewöhnt hätten. Das Gericht entschied, dass es beim Banner auf Focus-Online zu viel Zeit des Besuchers in Anspruch nahm, die Einwilligung zu verweigern.

Kein Berufen auf „berechtigte Interessen“ für Analyse- und Werbezwecke

Des Weiteren äußerte sich das Landgericht München zu der Frage, ob das Tracking des Nutzerverhaltens zu Analyse- und Werbezwecken (alternativ) auf berechtigte Interessen gestützt werden kann – und damit gar keine Einwilligung erforderlich ist. Dies lehnte das Gericht jedoch ab. Das Finanzierungsinteresse journalistischer Inhalte, wie es der Betreiber vorgetragen hatte, reicht dafür nicht aus.

Ebenso entschied das Gericht, dass die Cookies, welche für ein derartiges Tracking verwendet werden, nicht als für den Betrieb der Website „unbedingt erforderlich“ eingestuft werden können – sie bedürfen daher der Einwilligung.

Auswirkungen des Urteils: Cookie-Banner auf Focus Online basiert auf dem TCF-Standard

Zu erwähnen ist schließlich, dass das Cookie-Banner von Focus Online auf dem weit verbreiteten Transparency and Consent Framework (TCF) der Branchenorganisation IAB Europe basiert. Dieser war von der zuständigen belgischen Datenschutzbehörde erst im Frühjahr dieses Jahres für unzulässig erklärt worden (wir berichteten).

Bezeichnend für das TCF ist unter anderem, dass mit einem Klick die Zustimmung eines Besuchers für dutzende oder teils mehr als hundert Werbedienstleister erhoben wird – was wohl in vorliegendem Urteil auch erklärt, weshalb das Cookie-Banner von Focus Online einen solch großen Informationsumfang hatte. Genau das sah das Gericht aber als problematisch an.

Ausblick

Zentral für die Gestaltung eines rechtskonformen Cookie-Banners bleibt die Einhaltung der Anforderungen an die Einwilligung nach DSGVO und TTDSG. Werden diese Anforderungen nicht erfüllt, kann insbesondere im Bereich des Besuchertrackings oder der personalisierten Werbung nicht auf berechtigte Interessen zurückgegriffen werden.

Der Betreiber hat bereits angekündigt, gegen das Urteil Rechtsmittel einzulegen. Bis zu einer rechtskräftigen Entscheidung bleibt die Erkenntnis, dass die eigene Datenschutz-Compliance auch das Thema Cookie-Banner nicht vernachlässigen sollte. So werden nach den großen Anbietern wie Google und Amazon zunehmend auch nationale Unternehmen von den Aufsichtsbehörden ins Auge gefasst.

Dies kann für Unternehmen mit einer Vielzahl an Datenverarbeitungsvorgängen auf der eigenen Website herausfordernd sein. Bedauerlicherweise helfen hierbei aber momentan Industriestandards wie das TCF nicht ab. Vielmehr zeigt das Urteil, dass das TCF in seiner jetzigen Beschaffenheit Datenschutz-Probleme eher schafft als löst. Jedenfalls kann mit der Nutzung des TCF nicht automatisch davon ausgegangen werden, dass man datenschutzkonform aufgestellt ist.

Bei Fragen zur Gestaltung Ihres Cookie-Banners, zum TCF und zu allen anderen datenschutzrelevanten Themen unterstützen wir Sie gern.