OLG München: Kostenloser Account auf Online-Plattformen berechtigt zum Versenden von Werbe-E-Mails ohne separate Newsletter-Einwilligung

Das Verarbeiten personenbezogener Daten zu Werbe- und Marketingzwecken ist in vielen Fällen nur mit vorheriger Einwilligung des Betroffenen zulässig, was für Unternehmen ein nicht unerhebliches Hindernis für die Vermarktung Ihrer Produkte und Dienstleistungen darstellt. Insbesondere die hohen Anforderungen an das wirksame Einholen einer Einwilligung von Verbrauchern ist nicht selten eine große Herausforderung, denn Fehler können schlimmstenfalls zu ihrer Unwirksamkeit und damit zu einem bußgeldbehafteten Datenschutzverstoß führen.

Von dem beschriebenen Grundsatz gibt es im Bereich des E-Mail-Marketings die sogenannte „Bestandskundenausnahme“, die in § 7 Abs. 3 UWG geregelt ist. In den engen Grenzen dieser Sondervorschrift ist es Unternehmen erlaubt, Werbe-Emails an ihre Kunden auch ohne vorherige Einwilligung zu senden.

OLG München: „Bestandskundenausnahme“ greift auch beim Anlegen eines kostenlosen Accounts

Genau mit dieser Ausnahme musste sich das OLG München in einem schon älteren, jedoch nach wie vor relevanten Urteil beschäftigten und darüber entscheiden, ob das Anlegen eines kostenlosen Accounts auf einer Online-Plattform (hier: einer Partnerbörse) durch einen Internetnutzer dazu berechtigt, diesen Kunden ohne separate Einwilligung Werbe-E-Mails zu versenden (Urteil vom 15.02.2018, Az. 29 U 2799/17). Kern des Urteils war die Frage, ob das Anlegen des kostenlosen Accounts einen „Verkauf einer Ware oder Dienstleistung“ nach § 7 Abs. 3 Nr. 1 UWG darstellt, was eine wesentliche Voraussetzung der Ausnahmeregelung ist.

Das OLG bejahte dies mit der Begründung, dass mit „Verkauf“ nicht nur der klassische Kaufvertrag – wie es das Wort andeuten würde –, sondern jeder Austauschvertrag gemeint ist. Um dies am vorliegenden Fall zu verdeutlichen:

  • Der Kunde erhält mit der Registrierung vom Plattformbetreiber (zumindest) die Möglichkeit, auf der Partnerbörse die Bilder anderer Mitglieder zu sehen, die ebenfalls auf Partnersuche sind.
  • Im Gegenzug erhält der Plattformbetreiber die Daten des Kunden wie dessen E-Mail-Adresse und weitere mittelbare „Vorteile“ (höhere Plattformattraktivität wegen größerer Zahl an Mitgliedern; Möglichkeit des Sendens von Werbebotschaften, wenn sich der Kunde auf der Plattform aufhält).

Auch die übrigen Anforderungen des § 7 Abs. 3 UWG sah das OLG München als erfüllt an, sodass eine Einwilligung für die Werbe-E-Mails nicht erforderlich war.
 
Was bedeutet die Entscheidung für Unternehmen?


Das Urteil stellt im Bereich der Bestandskundenwerbung eine erhebliche Erleichterung für Unternehmen dar, die kostenlose „Austauschverhältnisse“ anbieten – vorausgesetzt, dass auch die übrigen Anforderungen des § 7 UWG erfüllt sind. Zudem sollten auch die weiteren gesetzlichen Vorschriften, insbesondere das Datenschutzrecht (und bei eHealth-Anwendungen die DiGA-Verordnung) nicht außer Acht gelassen werden.

Mit unserer langjährigen Erfahrung im Bereich des Onlinemarketingrechts beraten und unterstützen wir Sie gern.

Künstliche Intelligenz: rechtliche Grenzen und Risiken

KI-gestützte Anwendungen finden immer mehr Einzug in den Arbeitsalltag. Bereits jetzt sind sie flexibel und vielseitig einsetzbar und können auch komplizierte und langwierige Aufgaben schnell und zuverlässig bearbeiten. Unternehmen sollten sich allerdings vor der Verwendung von KI-Anwendungen in ihrem Betrieb über die möglichen rechtlichen Grenzen und daraus folgenden Risiken dieser Technologie bewusst sein.

Im Folgenden möchten wir Ihnen einen allgemeinen Überblick über die Funktionsweise und die hieraus nach aktuellem Stand resultierenden rechtlichen Risiken geben und Strategien beschreiben, mit denen Sie letztere minimieren können.

Wie funktionieren KI-Anwendungen?

Allgemein werden KI-Anwendungen durch die Eingaben von Nutzern (so genannte „Prompts“) gesteuert. Ein Prompt kann beispielsweise darin bestehen, die KI-Anwendung aufzufordern, ein Bild mit bestimmten Charakteristiken zu erstellen:

„Erstelle ein Bild einer Blumenvase im Stil von Andy Warhol.“

Möglich ist aber auch, dass eine KI-Anwendungen aufgefordert wird, Texte zu erstellen oder bestehende Texte zu überarbeiten:

„Bitte prüfe den folgenden Text und verbessere Fehler in der Grammatik und der Kommasetzung.“

Die KI-Anwendung verarbeitet diese Prompts und liefert dann das fertige Ergebnis in der Ausgabe aus.

Woher beziehen KI-Anwendungen ihr „Wissen“?

Der hinter KI-Anwendungen stehende Algorithmus wird im ersten Schritt durch die Vernetzung von Datenmaterial aus verschiedenen Quellen („Crawling“) und im zweiten Schritt häufig auch durch jeden späteren Prompt von Nutzern und jede hochgeladene Datei weiter angelernt („trainiert“). Die zumeist öffentlich zugänglichen Quellen sind etwa Websites und die dortigen Inhalte Dritter und können Texte, Bilder, Musikdateien und vieles mehr umfassen. KI-Anwendungen steht somit ein potenziell endloser Datenschatz zur Verfügung, auf dessen Grundlage sie Nutzern antworten können.

Welche Risiken muss ich beim Einsatz von KI-Anwendungen beachten?

Die Funktionsweise von KI-Anwendungen begegnet aufgrund der beschriebenen Funktionsweise Risiken, die durch das nutzende Unternehmen identifiziert und mitigiert werden sollten. Diese Risiken lassen sich im Wesentlichen wie folgt zusammenfassen:

  • Schutz von Geschäftsgeheimnissen: Durch die Eingabe unbedachter Prompts besteht das Risiko, das Geschäftsgeheimnisse (beispielsweise der Name oder die Spezifikationen von unveröffentlichten Produkten) in den Algorithmus eingespeist und dauerhaft in ihm gespeichert und so anderen Nutzern preisgegeben werden.
  • Datenschutz: Im Bereich des Datenschutzes ist insbesondere die Einspeisung von personenbezogenen Daten über Prompts oder Trainingsmaterial ein Risikofaktor. Wie bei Geschäftsgeheimnissen können dann personenbezogene Daten (z.B. das Bildnis oder der Name einer Person) in der Ausgabe auftauchen. Für solch eine Nutzung dieser Daten, aber auch für ihre Weiternutzung aus der Ausgabe der KI-Anwendung heraus fehlt es in der Regel an einer wirksamen Rechtsgrundlage, konkret der Einwilligung des Betroffenen. Sowohl Hersteller von KI-Anwendungen als auch ihre Nutzer können hierdurch Datenschutzverstöße begehen.

Es sei erwähnt, dass auch eine vorherige „Anonymisierung“ von Daten in der Regel nicht weiterhilft. So sind die Anforderungen an eine wirksame Anonymisierung nach der DSGVO sehr hoch und werden im Regelfall nicht erfüllt.

  • Urheberrecht und Markenrecht: Urheberrechtlich geschützte Werke können über Trainingsmaterial, aber auch über Prompts dem Algorithmus zugeführt werden (z.B. urheberrechtlich geschützte Texte und Bilder), die abermals in den Ausgaben von Nutzern landen können. Gleiches gilt für markenrechtlich geschützte Begriffe und Zeichen. Auch hier laufen Hersteller und Nutzer Gefahr, Rechtsverletzungen zu begehen.

Weitere Risikofelder bei der Nutzung von KI-Anwendungen

  • Es ist an Fälle möglicher Diskriminierung durch KI-gestützte Entscheidungen (so genannter AI-Bias) zu denken, die Haftungsrisiken nach dem Allgemeinem Gleichbehandlungsgesetz (AGG) bedeuten können. Es sind zum Beispiel schon Fälle bekannt, in denen Unternehmen in der Folge des Einsatzes von KI-gestützten Systemen wegen rassistischer Geschäftspraktiken haftbar gemacht wurden. Grund dafür war, dass die eingesetzten KI-Dienste keine Vorkehrungen zum Schutz vor rassistischen Entscheidungen enthielten.
  • Auch beauftragte Drittdienstleister können sich entscheiden, für die Durchführung eines Auftrags ohne Wissen und Wollen des Auftraggebers auf KI-Anwendungen zurückzugreifen, sodass sich der Auftraggeber unbemerkt den oben geschilderten Risiken ausgesetzt sehen kann.
  • Nicht zuletzt bestehen auch die allgemeinen vertraglichen Haftungsrisiken gegenüber Vertragspartnern, die beispielsweise mangelhafte Produkte des Unternehmens abnehmen, die unter Zuhilfenahme von KI-Anwendungen erstellt wurden.

Was können Unternehmen tun, um diese Risiken zu verringern?

Zunächst ist festzuhalten, dass die Anbieter von KI-Diensten im Regelfall keine Maßnahmen zur Vermeidung der genannten Risiken treffen und in ihren AGB jegliche Haftung ausschließen. Deshalb müssen Unternehmer in diesem Bereich selbst aktiv werden:

  • Im Betrieb sollte der Arbeitgeber klare Regeln für die Nutzung von KI-Anwendungen aufstellen, beispielsweise in welchen Bereichen, für welche Arbeitsprozesse und mit welchen Daten sie eingesetzt werden dürfen.
  • Bei Geschäftsgeheimnissen besteht zurzeit nur die Möglichkeit, ihre Eingabe in KI-Anwendungen zu verhindern/zu untersagen. Im Idealfall könnte beim Hersteller der KI-Anwendung eine Vereinbarung erreicht werden, dass die Prompts nicht für das Training des Algorithmus verwendet werden – dies ist nach jetzigem Stand aber bei den verbreiteten Produkten nur in wenigen Einzelfällen der Fall.
  • Auch beim Datenschutz sowie beim Urheberrecht und Markenrecht bleibt – vorbehaltlich des (seltenen) Falls, dass hier in der Tat eine gesetzliche oder vertragliche Erlaubnis vorliegt – zurzeit ebenfalls nur die Option, entsprechende Eingaben in KI-Anwendungen zu verhindern/zu untersagen, um jedenfalls von eigener Seite die oben aufgezeigten Risiken zu verringern. Allerdings verbleibt hier das Restrisiko, dass Daten oder geschützte Werke oder Zeichen (bereits) über das Trainingsmaterial in den Algorithmus gelangt sind und entsprechend in Ausgaben auftauchen können.
  • Bei der Beauftragung von Drittdienstleistern (gemeint sind nicht die Hersteller der KI-Anwendungen) sollten Unternehmen außerdem vertraglich regeln, ob diese Drittdienstleister KI-Anwendungen überhaupt nutzen dürfen und welche Grenzen dafür bestehen (z.B. Offenlegungspflicht, welche Bestandteile des Produkts KI-generiert sind; Geschäftsgeheimnisschutz). Besonders wichtig ist sodann die Regelung der Haftung, etwa für den Fall, dass in dem Produkt des Dienstleisters KI-generierte Inhalte gegen Rechte Dritter verstößt.

Muss ein Unternehmen Dritte (z.B. Kunden) darüber aufklären, wenn KI-Anwendungen genutzt werden?

Eigentlich bestehen nach geltendem Recht keine Kennzeichnungspflichten für KI-generierte oder mit KI-Anwendungen bearbeitete Inhalte und Produkte.

Allerdings kann es Situationen geben, in denen eine Offenlegungspflicht besteht. Dies sind vor allem Fälle, in denen die berechtigte Erwartung späterer Nutzer besteht, dass ein Inhalt „menschlicher“ Herkunft ist. Dies ist insbesondere denkbar in folgenden Fällen:

  • Fotografie im Journalismus (für Zeitungen, Verlage, etc.): Hier besteht die berechtigte Erwartung, dass Fotografien die Realität so abbilden, wie sie ist.
  • Eine Offenlegungspflicht kann sich auch aus einer vertraglichen Nebenpflicht ergeben, zum Beispiel in einem Arbeitsverhältnis.

Im Übrigen müssen nach der DSGVO Betroffene – z.B. in der Datenschutzerklärung – über das Bestehen einer „automatisierten Entscheidungsfindung“ informiert werden. Klassisches Beispiel ist das Kredit-Scoring.

Ausblick

Dedizierte regulatorische Leitplanken für den Einsatz von KI-Anwendungen, welche sich unter anderem mit zulässigen oder unzulässigen Einsatzfeldern von KI beschäftigen, sind zurzeit noch nicht vorhanden. Der sich noch im Gesetzgebungsprozess befindende Entwurf einer KI-Verordnung der EU-Kommission dürfte allerdings in Zukunft mehr Aufschluss bringen. Interessant ist hier insbesondere die Einteilung von KI-Anwendungen nach Risikoklassen. Mit einem Inkrafttreten der Verordnung ist aber erst 2024 zu rechnen, Änderungen am Entwurf (auch wesentlicher Art) sind bis dahin noch sehr wahrscheinlich.

Stand jetzt sollten Unternehmen die oben aufgezeigten rechtlichen Risiken berücksichtigen, wenn sie KI-gestützte Anwendungen in ihrem Betrieb verwenden wollen. Dies macht eine konkrete Prüfung erforderlich, welche Risiken besonderer Beachtung bedürfen, und welche Strategien angewendet werden, um diese zu minimieren.

Gern unterstützen und beraten wir Sie, wenn Sie KI-gestützte Anwendungen in Ihrem Betrieb verwenden bzw. verwenden möchten.

EuGH: Meta (Facebook) muss für die Nutzung von Daten zu Werbezwecken eine separate Einwilligung einholen

Dass die datenschutzrechtlichen Praktiken von Meta das Tech- und Social-Media-Unternehmen bereits mehrfach in der Vergangenheit mit Aufsichtsbehörden und Gerichten in Konflikt brachte, dürfte mittlerweile bekannt sein. Erst im Mai dieses Jahres wurde von der irischen Datenschutzbehörde ein Bußgeld in Höhe von 1,2 Milliarden Euro gegen das Unternehmen wegen der rechtswidrigen Übermittlung von Nutzerdaten in die USA verhängt (wir berichteten).

Nun musste das Unternehmen sich vor dem EuGH erneut aufgrund seiner Verarbeitung von Facebook-Nutzerdaten behaupten (Urteil vom 04.07.2023, Az. C-252/21).

Versteckte „Nutzereinwilligung“ in die Nutzung von „Off-Facebook-Daten“

Der Sachverhalt: Im Rahmen der Anmeldung beim von Meta betriebenen sozialen Netzwerk Facebook müssen Nutzer die AGB und die Datenschutzerklärung akzeptieren. Letztere führt aus, dass Meta Nutzeraktivitätsdaten nicht nur auf Facebook, sondern auch außerhalb des sozialen Netzwerks erfassen und diese dem Facebook-Konto zuordnen kann (sog. Off-Facebook-Daten). Die Daten können von dritten Websites oder Apps stammen, die mit Facebook über eingebundene Programmschnittstellen wie den „Facebook Business Tools“ verbunden sind, aber auch von anderen von Meta angebotenen Diensten (z.B. Instagram und WhatsApp). Diese Daten werden von Meta insbesondere zu Werbezwecken genutzt.

Gegen diese Praxis ging das deutsche Bundeskartellamt vor und untersagte Meta insbesondere, die Nutzung von Facebook in den AGB von der Verarbeitung der Off-Facebook-Daten abhängig zu machen und sie ohne Einwilligung zu verarbeiten. Aufgrund dessen sah das Bundeskartellamt bei Meta eine missbräuchliche Ausnutzung seiner marktbeherrschenden Stellung auf dem deutschen Markt für soziale Netzwerke.

Bundeskartellamt durfte Einhaltung der DSGVO prüfen

In seinem Urteil bejahte der EuGH zunächst, dass das Bundeskartellamt als nationale Wettbewerbsbehörde die Einhaltung der DSGVO bei Meta prüfen durfte, allerdings nur in den Grenzen ihrer Befugnis, den Missbrauch einer marktbeherrschenden Stellung festzustellen. Nationale Wettbewerbsbehörden treten, so der EuGH, nicht an die Stelle der durch die DSGVO eingerichteten Aufsichtsbehörden. Sie sind insoweit zur Abstimmung und loyalen Zusammenarbeit mit den Aufsichtsbehörden verpflichtet.

Meta kann sich nicht auf Vertragserfüllung und berechtigte Interessen berufen

Ausführlich beschäftigte sich der EuGH mit der Frage, ob sich Meta bei der Datenverarbeitung auf eine andere Rechtsgrundlage als die Einwilligung berufen kann. Im Fokus standen hierbei besonders die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) und die berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).

Hinsichtlich der Vertragserfüllung betonte der EuGH, dass eine Datenverarbeitung nur dann als für sie erforderlich anzusehen ist, wenn sie objektiv unerlässlich ist, der Vertrag also ohne sie nicht erfüllt werden kann. Doch sowohl bei den Argumenten der Personalisierung von Inhalten und der durchgängigen und nahtlosen Nutzung von Meta-Diensten, die die Datenverarbeitung rechtfertigen sollten, meldete der EuGH Zweifel an. So sei eine Personalisierung von Inhalten für Facebook-Nutzer zwar nützlich, jedoch nicht erforderlich, um ihnen die Dienste anbieten zu können, bestehe doch ggf. die gleichwertige Alternative, die Dienste auch ohne Personalisierung zu erbringen. Auch die nahtlose Nutzung von anderer Meta-Diensten sei laut EuGH nicht erforderlich, da ihre Nutzung nicht zwingend notwendig sei, um ein Facebook-Konto einzurichten.

Auch hinsichtlich der berechtigten Interessen zweifelte der EuGH, ob insbesondere das Interesse an der Personalisierung von Werbung gegenüber den Interessen und Grundrechten von Nutzern überwiegt. Zwar führte der EuGH aus, dass nach Erwägungsgrund 47 der DSGVO der Zweck der Direktwerbung als ein berechtigtes Interesse angesehen werden kann. Allerdings könne ein Nutzer, auch wenn ein soziales Netzwerk wie Facebook kostenlos ist, vernünftigerweise nicht damit rechnen, dass dessen Betreiber seine personenbezogenen Daten für personalisierte Werbung ohne seine Einwilligung verarbeitet. Es sei daher davon auszugehen, dass die Interessen des Nutzers gegenüber dem Interesse des Betreibers an der Personalisierung von Werbung zur Finanzierung seines Angebots überwiegen.

Der EuGH bewertete zudem negativ, dass die beschriebene Praxis von Meta eine sehr umfassende Datenverarbeitung mit potentiell unbegrenzten Daten bedeute. Nutzer könnten sich so kontinuierlich überwacht fühlen.

Facebook-Nutzerdaten können sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten

Der EuGH führte zudem aus, dass Facebook-Nutzerdaten unter Umständen sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten können, beispielsweise wenn ein Nutzer Websites aufruft oder dort Daten eingibt (z.B. bei einer Registrierung), die einen Bezug zu den Datenkategorien in Art. 9 DSGVO haben (z.B. politische Meinungen, sexuelle Orientierung), und auf dieser Website Facebook-Schnittstellen implementiert sind, die dann Daten mit dem entsprechenden Konto verknüpfen und verwenden. Der EuGH lehnt in diesem Zuge ab, dass diese Verarbeitung ausnahmsweise zulässig ist, weil der betroffene Nutzer die Daten hiermit offensichtlich öffentlich gemacht hat (Art. 9 Abs. 2 lit. e DSGVO). Sowohl beim Aufrufen der Website als auch grundsätzlich bei der Eingabe von Daten oder dem Bedienen von Schaltflächen (z.B. einem „Like“-Button) sei hiervon nicht auszugehen.

Was bedeutet die Entscheidung für Unternehmen?

Das Urteil ist wenig überraschend, bestätigt es doch die seit längerem herrschende und spätestens mit der Entscheidung der belgischen Aufsichtsbehörde APD zum TCF 2.0. gefestigte Ansicht, dass Daten zu Werbezwecken grundsätzlich nur mit Einwilligung des Nutzers verarbeitet werden können.

Dies bedeutet für Unternehmer, dass sie in ihren Web-Anwendungen (Website & Apps) Programmierschnittstellen bereithalten müssen, um die Einwilligung von Nutzern rechtssicher einholen und speichern zu können, wie etwa über die bekannten Consent-Management-Plattformen („CMP“).

Gern unterstützen wir Sie bei der Einrichtung eines rechtssicheren Einwilligungsmanagements.

Frankreich verhängt 40-Millionen-Bußgeld gegen Adtech-Unternehmen Criteo

Geschrieben am

Die französische Datenschutzbehörde CNIL hat ihr bereits seit Ende 2018 laufendes Prüfverfahren gegen das französische Adtech-Unternehmen Criteo abgeschlossen und aufgrund mehrerer festgestellter Datenschutzverstöße ein Bußgeld in Höhe von 40 Millionen Euro verhängt. Hintergrund des Verfahrens waren von Privacy International und NOYB eingereichte Beschwerden, welche sich auf die offenbar mangelhafte Möglichkeit zum Widerruf einmal erteilter Einwilligungen für Onlinewerbung gegenüber Criteo bezogen. Die CNIL nahm die Beschwerden zum Anlass, eine umfangreiche Prüfung des Unternehmens durchzuführen und bezog insofern auch andere Aspekte der DSGVO-Compliance des Unternehmens mit ein.

Criteo ist ein bekanntes Unternehmen aus der Onlinemarketing-Branche, welches sich auf Retargeting-Dienste spezialisiert hat. Besuchen Nutzer Websites von Criteo-Partnern, erfasst ein Tracker (Cookie) die Browser-Daten der Nutzer. Hierdurch kann das Unternehmen das Surfverhalten der Nutzer analysieren und ihnen im Auftrag seiner Kunden so auf sie abgestimmte, personalisierte Werbung anzeigen.

Welche Verstöße wurden von der CNIL festgestellt?

Folgende Verstöße, für welche Criteo bereits Abhilfemaßnahmen getroffen haben soll, wurden von der CNIL festgestellt:

Verstoß gegen die Nachweispflicht der Einwilligung

Die CNIL betonte, dass nach den einschlägigen Gesetzen der Criteo-Tracker nur nach Einholung der Einwilligung der Nutzer auf deren Geräten platziert werden darf und die Einholung der Einwilligung der Nutzer zwar in den Verantwortungsbereich der Datenpartner von Criteo fällt, das Unternehmen aber dennoch überprüfen und nachweisen muss, dass die jeweiligen Nutzer tatsächlich ihre Einwilligung gegeben haben.

Die Behörde stellte jedoch fest, dass einige Partner den Tracker von Criteo komplett ohne Einwilligungsmechanismus verwendeten. Darüber hinaus hatte Criteo keine Maßnahmen ergriffen, um sicherzustellen, dass seine Partner die Einwilligung von Nutzern einholten, deren Daten es verarbeitete. In dieser Hinsicht stellte die CNIL insbesondere fest, dass die Verträge zwischen Criteo und seinen Datenpartnern keine Verpflichtung für die Datenpartner enthielten, Criteo die Einwilligung der Nutzer nachzuweisen, und dass das Unternehmen keine diesbezüglichen Prüfungen durchgeführt hatte.

Laut CNIL hat Criteo nun seine Verträge mit seinen Datenpartnern geändert und eine Klausel hinzugefügt, die die Datenpartner verpflichtet, Criteo auf Anfrage und zu jeder Zeit einen Nachweis über die Einwilligung der Nutzer zu liefern.

Verstoß gegen die Informations- und Transparenzpflicht

Die Datenschutzerklärung von Criteo führte einige Verarbeitungszwecke gar nicht auf. Auch waren einige Verarbeitungsvorgänge nur vage beschrieben, sodass Nutzer nicht verstehen konnten, welche Daten für welche Zwecke verarbeitet werden.

Insbesondere in Bezug auf den letztgenannten Punkt wies die CNIL auf die unverständliche und widersprüchliche Art und Weise hin, mit der Criteo die Nutzer in seiner Datenschutzerklärung informierte, da bestimmte Verarbeitungszwecke, die Criteo auf berechtigten Interessen stützte, in Wirklichkeit eng mit der Verarbeitung personenbezogener Daten für personalisierte Werbung verbunden waren, die, wie Criteo auswies, auf einer Einwilligung beruhte.

Weitere Verstöße

Die CNIL stellte im Übrigen die folgenden weiteren Verstöße fest:

Missachtung von Auskunftsanfragen

Auskunftsanfragen von Nutzern wurden von Criteo nur unvollständig und für Nutzer nicht verständlich beantwortet. 

Nichtbeachtung des Widerrufsrechts und des Rechts auf Löschung

Widerriefen Betroffene ihre Einwilligung oder baten um Löschung ihrer personenbezogenen Daten, wurde von Criteo die Ausspielung personalisierter Werbung für diese Betroffenen zwar eingestellt, allerdings wurden weder die der Person zugewiesene Tracking-ID noch die mit ihr verbundenen personenbezogenen Daten wirksam gelöscht.

Verstoß gegen die Pflicht des Abschlusses einer Vereinbarung zwischen gemeinsam Verantwortlichen (Joint Controller Agreement)

Die zwischen Criteo und seinen Partnern geschlossene Vereinbarung wies Mängel in Bezug auf die Spezifizierung der datenschutzrechtlichen Pflichten der für die Verarbeitung Verantwortlichen auf, etwa im Hinblick auf die Ausübung von Betroffenenrechten.

Welche Bedeutung hat der Fall für Unternehmen aus der Onlinemarketing-Branche?

Der Fall zeigt, wie aus einer vergleichsweise kleinen Prüfung eine weitreichende Überprüfung der datenschutzrechtlichen Dokumentation und Umsetzung im Unternehmen werden konnte.

Bemühungen um die Einhaltung des Datenschutzrechts sollten daher innerhalb eines Unternehmens priorisiert werden, um das Risiko erheblicher Geldbußen für Verstöße gegen die DSGVO zu verringern.

Unternehmen aus der Onlinemarketing-Branche sollten sich die einzelnen von der CNIL angesprochenen Punkte genauer ansehen und ihre Umsetzung bei sich überprüfen, insbesondere mit Blick auf (a.) den Nachweis der Nutzer-Einwilligung und (b.) die Informations- und Transparenzpflichten nach der DSGVO.

Wir beraten und unterstützen Sie hierbei gern.

Internationale Datentransfers: Facebook-Konzern Meta muss DSGVO-Bußgeld von 1,2 Milliarden Euro zahlen

Die irische Datenschutzbehörde DPC (Data Protection Commission) in Dublin, wo auch Facebooks Mutterkonzern Meta seinen europäischen Sitz hat, hat den Internetriesen zu einem Rekord-Bußgeld von 1,2 Milliarden Euro verurteilt. Vorangegangen ist ein seit Jahren anhaltender Streit über den Umgang mit Nutzerdaten und deren mangelnder Schutz durch Meta. Die Daten werden nämlich bislang aus Europa in die USA geleitet. Dort ist es US-Geheimdiensten ohne besondere rechtliche Hürden möglich, die Daten einzufordern und für ihre Zwecke zu nutzen. Dieses Vorgehen und der unzureichende Schutz sensibler Nutzerdaten verstößt bekanntermaßen gegen die europäische Datenschutzgrundverordnung (DSGVO).

Der Entscheidung liegt damit dieselbe Problematik zu Grunde wie das kürzlich ergangene Urteil des Landgerichts Köln bezüglich der Nutzung von Google Ads, das aber ebenfalls noch nicht rechtskräftig ist.

Die Rekordstrafe reiht sich ein in eine Reihe hoher Bußgelder wegen DSGVO-Verstößen in der jüngeren Vergangenheit und hätte für Meta sogar noch höher ausfallen können. So wurde zuletzt Amazon 2021 wegen eines ähnlichen Verstoßes zu einem Bußgeld in Höhe von 746 Millionen € verurteilt. Die Facebook-Mutter Meta ist – gemessen an der Höhe der zu zahlenden Bußgelder –  sechsmal in den Top 10 der DSGVO-Verstöße vertreten. Datenschutz-Aktivist Maximilian Schrems wurde mit den folgenden Worten zitiert: „Die Höchststrafe liegt bei über vier Milliarden. Und Meta hat zehn Jahre lang wissentlich gegen die DSGVO verstoßen, um Profit zu machen.“ Der Bußgeldentscheidung war ein langes Ringen unter den europäischen Datenschutzbehörden vorangegangen, dem Umgang großer Internetkonzerne nicht länger tatenlos zusehen zu  wollen.

Allerdings steckt hinter dem neuen Rekord-Bußgeld auch ein rechtliches Dilemma: Letztlich sind es die US-amerikanischen Sicherheitsgesetze, die es den dortigen Geheimdiensten ermöglichen, Nutzerdaten ohne ausreichende rechtliche Schranken von Unternehmen einzufordern und nachrichtendienstlich zu verwerten. Wenn Meta nun verhindern möchte, dass Daten in die USA übermittelt und dort geheimdienstlich genutzt werden, muss es seine Systeme wohl grundlegend umstrukturieren. Zunächst einmal hat Meta aber angekündigt, rechtliche Schritte gegen die Entscheidung einzulegen.

Über die weiteren Entwicklungen zu diesem Thema halten wir Sie selbstverständlich auf dem Laufenden.