Besucht man eine Nachrichtenseite, wird man nicht selten vor die Wahl gestellt: „mit Werbung weiterlesen“ oder „kostenpflichtig ohne Werbung“? Diese „Pay or Consent“-Modelle (auch „Cookie-Walls“ oder „Pur-Lösung“ genannt) wurden nun vom Zusammenschluss der EU-Datenschutzaufsichtsbehörden, dem Europäischen Datenschutzausschuss (EDSA), unters Licht genommen. In seiner Stellungnahme äußerte der EDSA insbesondere Zweifel an der erforderlichen Freiwilligkeit einer von den Nutzern erteilten Einwilligung zur Verarbeitung ihrer personenbezogener Daten zu Werbezwecken.

Die Stellungnahme wurde auf Initiative der niederländischen, norwegischen und hamburgischen Datenschutzbehörden verabschiedet – jede EU-Aufsichtsbehörde kann beantragen, dass eine Angelegenheit mit allgemeiner Bedeutung vom EDSA geprüft wird.

Im Falle von „Pay or Consent“-Modellen willigen Nutzer in die Verarbeitung ihrer personenbezogenen Daten ein, wenn sie nicht eine kostenpflichtige Variante des Angebots nutzen. Diese personenbezogenen Daten nutzt der Anbieter wiederum, um personalisierte Werbung auf der Website zu schalten. Nach Ansicht des EDSA werden Nutzer auf diese Weise dazu gezwungen, Entscheidungen zu treffen, die sie sonst nicht treffen würden, da die meisten Nutzer der Verarbeitung ihrer personenbezogenen Daten zustimmen, um das Angebot kostenfrei nutzen zu können. Dabei würden sie mitunter nicht genau verstehen, wozu sie ihre Einwilligung erteilen, befürchtet der EDSA.

Genutzt werden „Pay or Consent“-Modelle auch und vor allem von so genannten „großen Online-Plattformen“ wie Facebook. Damit niemand von deren Nutzung ausgeschlossen wird, fordert der EDSA, dass diese großen Plattformen ihren Nutzern eine „echte“ Wahl geben müssen, die neben der Einwilligung in die Verarbeitung personenbezogener Daten und die kostenpflichtige Nutzung des Angebots auch noch die Möglichkeit eröffnet, das Angebot mit nicht-personalisierter Werbung zu nutzen. Nur auf diese Weise, so der EDSA, könne verhindert werden, dass Nutzer, die einer Verarbeitung ihrer personenbezogenen Daten nicht zustimmen, Angebote großer Online-Plattformen überhaupt nicht nutzen können.

Die Haltung des EDSA wurde vom Bundesverband Digitale Wirtschaft (BVDW) scharf kritisiert. Der BVDW hebt hervor, dass mit den „Pay or Consent“-Modellen etwa Online-Journalismus finanziert würde, indem Nutzer von Nachrichtenseiten entweder selbst eine Gebühr an den Anbieter zahlen oder aber der Anbieter Werbeflächen verkauft, die höhere Preise erzielen, wenn sie für personalisierte Werbung genutzt werden können. Dieses Geschäftsmodell entspreche der Idee der Marktwirtschaft, wäre aber nicht mehr tragfähig, müssten die Anbieter auch die Nutzung der Website ohne personalisierte Werbung ermöglichen. Das Grundrecht auf Datenschutz dürfe nicht in die unternehmerische Freiheit der Betreiber eingreifen.

Für Kritik sorgte auch die vom EDSA verwendete Terminologie. So bezieht sich die Stellungnahme dem Wortlaut nach nur auf so genannte Large Online Platforms, also Anbieter wie Google oder Facebook. Aus dem Zusammenhang des Texts ergibt sich jedoch, dass damit eigentlich doch alle Marktteilnehmer, also auch kleinere Anbieter, gemeint sein sollen. Laut dem BVDW entstehe durch die nicht trennscharfe Bezeichnung eine erhebliche Rechtsunsicherheit.

Damit Sie und Ihr Unternehmen Ihr Geschäftsmodell weiterhin DSGVO-konform und entsprechend den Anforderungen aus der Stellungnahme des EDSA nutzen können, stehen wir Ihnen gerne beratend zur Seite.

Das Verarbeiten personenbezogener Daten zu Werbe- und Marketingzwecken ist in vielen Fällen nur mit vorheriger Einwilligung des Betroffenen zulässig, was für Unternehmen ein nicht unerhebliches Hindernis für die Vermarktung Ihrer Produkte und Dienstleistungen darstellt. Insbesondere die hohen Anforderungen an das wirksame Einholen einer Einwilligung von Verbrauchern ist nicht selten eine große Herausforderung, denn Fehler können schlimmstenfalls zu ihrer Unwirksamkeit und damit zu einem bußgeldbehafteten Datenschutzverstoß führen.

Von dem beschriebenen Grundsatz gibt es im Bereich des E-Mail-Marketings die sogenannte „Bestandskundenausnahme“, die in § 7 Abs. 3 UWG geregelt ist. In den engen Grenzen dieser Sondervorschrift ist es Unternehmen erlaubt, Werbe-Emails an ihre Kunden auch ohne vorherige Einwilligung zu senden.

OLG München: „Bestandskundenausnahme“ greift auch beim Anlegen eines kostenlosen Accounts

Genau mit dieser Ausnahme musste sich das OLG München in einem schon älteren, jedoch nach wie vor relevanten Urteil beschäftigten und darüber entscheiden, ob das Anlegen eines kostenlosen Accounts auf einer Online-Plattform (hier: einer Partnerbörse) durch einen Internetnutzer dazu berechtigt, diesen Kunden ohne separate Einwilligung Werbe-E-Mails zu versenden (Urteil vom 15.02.2018, Az. 29 U 2799/17). Kern des Urteils war die Frage, ob das Anlegen des kostenlosen Accounts einen „Verkauf einer Ware oder Dienstleistung“ nach § 7 Abs. 3 Nr. 1 UWG darstellt, was eine wesentliche Voraussetzung der Ausnahmeregelung ist.

Das OLG bejahte dies mit der Begründung, dass mit „Verkauf“ nicht nur der klassische Kaufvertrag – wie es das Wort andeuten würde –, sondern jeder Austauschvertrag gemeint ist. Um dies am vorliegenden Fall zu verdeutlichen:

• Der Kunde erhält mit der Registrierung vom Plattformbetreiber (zumindest) die Möglichkeit, auf der Partnerbörse die Bilder anderer Mitglieder zu sehen, die ebenfalls auf Partnersuche sind.
• Im Gegenzug erhält der Plattformbetreiber die Daten des Kunden wie dessen E-Mail-Adresse und weitere mittelbare „Vorteile“ (höhere Plattformattraktivität wegen größerer Zahl an Mitgliedern; Möglichkeit des Sendens von Werbebotschaften, wenn sich der Kunde auf der Plattform aufhält).

Auch die übrigen Anforderungen des § 7 Abs. 3 UWG sah das OLG München als erfüllt an, sodass eine Einwilligung für die Werbe-E-Mails nicht erforderlich war.
 
Was bedeutet die Entscheidung für Unternehmen?

Das Urteil stellt im Bereich der Bestandskundenwerbung eine erhebliche Erleichterung für Unternehmen dar, die kostenlose „Austauschverhältnisse“ anbieten – vorausgesetzt, dass auch die übrigen Anforderungen des § 7 UWG erfüllt sind. Zudem sollten auch die weiteren gesetzlichen Vorschriften, insbesondere das Datenschutzrecht (und bei eHealth-Anwendungen die DiGA-Verordnung) nicht außer Acht gelassen werden.

Mit unserer langjährigen Erfahrung im Bereich des Onlinemarketingrechts beraten und unterstützen wir Sie gern.

KI-gestützte Anwendungen finden immer mehr Einzug in den Arbeitsalltag. Bereits jetzt sind sie flexibel und vielseitig einsetzbar und können auch komplizierte und langwierige Aufgaben schnell und zuverlässig bearbeiten. Unternehmen sollten sich allerdings vor der Verwendung von KI-Anwendungen in ihrem Betrieb über die möglichen rechtlichen Grenzen und daraus folgenden Risiken dieser Technologie bewusst sein.

Im Folgenden möchten wir Ihnen einen allgemeinen Überblick über die Funktionsweise und die hieraus nach aktuellem Stand resultierenden rechtlichen Risiken geben und Strategien beschreiben, mit denen Sie letztere minimieren können.

Wie funktionieren KI-Anwendungen?

Allgemein werden KI-Anwendungen durch die Eingaben von Nutzern (so genannte „Prompts“) gesteuert. Ein Prompt kann beispielsweise darin bestehen, die KI-Anwendung aufzufordern, ein Bild mit bestimmten Charakteristiken zu erstellen:

„Erstelle ein Bild einer Blumenvase im Stil von Andy Warhol.“

Möglich ist aber auch, dass eine KI-Anwendungen aufgefordert wird, Texte zu erstellen oder bestehende Texte zu überarbeiten:

„Bitte prüfe den folgenden Text und verbessere Fehler in der Grammatik und der Kommasetzung.“

Die KI-Anwendung verarbeitet diese Prompts und liefert dann das fertige Ergebnis in der Ausgabe aus.

Woher beziehen KI-Anwendungen ihr „Wissen“?

Der hinter KI-Anwendungen stehende Algorithmus wird im ersten Schritt durch die Vernetzung von Datenmaterial aus verschiedenen Quellen („Crawling“) und im zweiten Schritt häufig auch durch jeden späteren Prompt von Nutzern und jede hochgeladene Datei weiter angelernt („trainiert“). Die zumeist öffentlich zugänglichen Quellen sind etwa Websites und die dortigen Inhalte Dritter und können Texte, Bilder, Musikdateien und vieles mehr umfassen. KI-Anwendungen steht somit ein potenziell endloser Datenschatz zur Verfügung, auf dessen Grundlage sie Nutzern antworten können.

Welche Risiken muss ich beim Einsatz von KI-Anwendungen beachten?

Die Funktionsweise von KI-Anwendungen begegnet aufgrund der beschriebenen Funktionsweise Risiken, die durch das nutzende Unternehmen identifiziert und mitigiert werden sollten. Diese Risiken lassen sich im Wesentlichen wie folgt zusammenfassen:

• Schutz von Geschäftsgeheimnissen: Durch die Eingabe unbedachter Prompts besteht das Risiko, das Geschäftsgeheimnisse (beispielsweise der Name oder die Spezifikationen von unveröffentlichten Produkten) in den Algorithmus eingespeist und dauerhaft in ihm gespeichert und so anderen Nutzern preisgegeben werden.

• Datenschutz: Im Bereich des Datenschutzes ist insbesondere die Einspeisung von personenbezogenen Daten über Prompts oder Trainingsmaterial ein Risikofaktor. Wie bei Geschäftsgeheimnissen können dann personenbezogene Daten (z.B. das Bildnis oder der Name einer Person) in der Ausgabe auftauchen. Für solch eine Nutzung dieser Daten, aber auch für ihre Weiternutzung aus der Ausgabe der KI-Anwendung heraus fehlt es in der Regel an einer wirksamen Rechtsgrundlage, konkret der Einwilligung des Betroffenen. Sowohl Hersteller von KI-Anwendungen als auch ihre Nutzer können hierdurch Datenschutzverstöße begehen.

Es sei erwähnt, dass auch eine vorherige „Anonymisierung“ von Daten in der Regel nicht weiterhilft. So sind die Anforderungen an eine wirksame Anonymisierung nach der DSGVO sehr hoch und werden im Regelfall nicht erfüllt.

• Urheberrecht und Markenrecht: Urheberrechtlich geschützte Werke können über Trainingsmaterial, aber auch über Prompts dem Algorithmus zugeführt werden (z.B. urheberrechtlich geschützte Texte und Bilder), die abermals in den Ausgaben von Nutzern landen können. Gleiches gilt für markenrechtlich geschützte Begriffe und Zeichen. Auch hier laufen Hersteller und Nutzer Gefahr, Rechtsverletzungen zu begehen.

Weitere Risikofelder bei der Nutzung von KI-Anwendungen

• Es ist an Fälle möglicher Diskriminierung durch KI-gestützte Entscheidungen (so genannter AI-Bias) zu denken, die Haftungsrisiken nach dem Allgemeinem Gleichbehandlungsgesetz (AGG) bedeuten können. Es sind zum Beispiel schon Fälle bekannt, in denen Unternehmen in der Folge des Einsatzes von KI-gestützten Systemen wegen rassistischer Geschäftspraktiken haftbar gemacht wurden. Grund dafür war, dass die eingesetzten KI-Dienste keine Vorkehrungen zum Schutz vor rassistischen Entscheidungen enthielten.

• Auch beauftragte Drittdienstleister können sich entscheiden, für die Durchführung eines Auftrags ohne Wissen und Wollen des Auftraggebers auf KI-Anwendungen zurückzugreifen, sodass sich der Auftraggeber unbemerkt den oben geschilderten Risiken ausgesetzt sehen kann.

• Nicht zuletzt bestehen auch die allgemeinen vertraglichen Haftungsrisiken gegenüber Vertragspartnern, die beispielsweise mangelhafte Produkte des Unternehmens abnehmen, die unter Zuhilfenahme von KI-Anwendungen erstellt wurden.

Was können Unternehmen tun, um diese Risiken zu verringern?

Zunächst ist festzuhalten, dass die Anbieter von KI-Diensten im Regelfall keine Maßnahmen zur Vermeidung der genannten Risiken treffen und in ihren AGB jegliche Haftung ausschließen. Deshalb müssen Unternehmer in diesem Bereich selbst aktiv werden:

• Im Betrieb sollte der Arbeitgeber klare Regeln für die Nutzung von KI-Anwendungen aufstellen, beispielsweise in welchen Bereichen, für welche Arbeitsprozesse und mit welchen Daten sie eingesetzt werden dürfen.

• Bei Geschäftsgeheimnissen besteht zurzeit nur die Möglichkeit, ihre Eingabe in KI-Anwendungen zu verhindern/zu untersagen. Im Idealfall könnte beim Hersteller der KI-Anwendung eine Vereinbarung erreicht werden, dass die Prompts nicht für das Training des Algorithmus verwendet werden – dies ist nach jetzigem Stand aber bei den verbreiteten Produkten nur in wenigen Einzelfällen der Fall.

• Auch beim Datenschutz sowie beim Urheberrecht und Markenrecht bleibt – vorbehaltlich des (seltenen) Falls, dass hier in der Tat eine gesetzliche oder vertragliche Erlaubnis vorliegt – zurzeit ebenfalls nur die Option, entsprechende Eingaben in KI-Anwendungen zu verhindern/zu untersagen, um jedenfalls von eigener Seite die oben aufgezeigten Risiken zu verringern. Allerdings verbleibt hier das Restrisiko, dass Daten oder geschützte Werke oder Zeichen (bereits) über das Trainingsmaterial in den Algorithmus gelangt sind und entsprechend in Ausgaben auftauchen können.

• Bei der Beauftragung von Drittdienstleistern (gemeint sind nicht die Hersteller der KI-Anwendungen) sollten Unternehmen außerdem vertraglich regeln, ob diese Drittdienstleister KI-Anwendungen überhaupt nutzen dürfen und welche Grenzen dafür bestehen (z.B. Offenlegungspflicht, welche Bestandteile des Produkts KI-generiert sind; Geschäftsgeheimnisschutz). Besonders wichtig ist sodann die Regelung der Haftung, etwa für den Fall, dass in dem Produkt des Dienstleisters KI-generierte Inhalte gegen Rechte Dritter verstößt.

Muss ein Unternehmen Dritte (z.B. Kunden) darüber aufklären, wenn KI-Anwendungen genutzt werden?

Eigentlich bestehen nach geltendem Recht keine Kennzeichnungspflichten für KI-generierte oder mit KI-Anwendungen bearbeitete Inhalte und Produkte.

Allerdings kann es Situationen geben, in denen eine Offenlegungspflicht besteht. Dies sind vor allem Fälle, in denen die berechtigte Erwartung späterer Nutzer besteht, dass ein Inhalt „menschlicher“ Herkunft ist. Dies ist insbesondere denkbar in folgenden Fällen:

• Fotografie im Journalismus (für Zeitungen, Verlage, etc.): Hier besteht die berechtigte Erwartung, dass Fotografien die Realität so abbilden, wie sie ist.

• Eine Offenlegungspflicht kann sich auch aus einer vertraglichen Nebenpflicht ergeben, zum Beispiel in einem Arbeitsverhältnis.

Im Übrigen müssen nach der DSGVO Betroffene – z.B. in der Datenschutzerklärung – über das Bestehen einer „automatisierten Entscheidungsfindung“ informiert werden. Klassisches Beispiel ist das Kredit-Scoring.

Ausblick

Dedizierte regulatorische Leitplanken für den Einsatz von KI-Anwendungen, welche sich unter anderem mit zulässigen oder unzulässigen Einsatzfeldern von KI beschäftigen, sind zurzeit noch nicht vorhanden. Der sich noch im Gesetzgebungsprozess befindende Entwurf einer KI-Verordnung der EU-Kommission dürfte allerdings in Zukunft mehr Aufschluss bringen. Interessant ist hier insbesondere die Einteilung von KI-Anwendungen nach Risikoklassen. Mit einem Inkrafttreten der Verordnung ist aber erst 2024 zu rechnen, Änderungen am Entwurf (auch wesentlicher Art) sind bis dahin noch sehr wahrscheinlich.

Stand jetzt sollten Unternehmen die oben aufgezeigten rechtlichen Risiken berücksichtigen, wenn sie KI-gestützte Anwendungen in ihrem Betrieb verwenden wollen. Dies macht eine konkrete Prüfung erforderlich, welche Risiken besonderer Beachtung bedürfen, und welche Strategien angewendet werden, um diese zu minimieren.

Gern unterstützen und beraten wir Sie, wenn Sie KI-gestützte Anwendungen in Ihrem Betrieb verwenden bzw. verwenden möchten.

Dass die datenschutzrechtlichen Praktiken von Meta das Tech- und Social-Media-Unternehmen bereits mehrfach in der Vergangenheit mit Aufsichtsbehörden und Gerichten in Konflikt brachte, dürfte mittlerweile bekannt sein. Erst im Mai dieses Jahres wurde von der irischen Datenschutzbehörde ein Bußgeld in Höhe von 1,2 Milliarden Euro gegen das Unternehmen wegen der rechtswidrigen Übermittlung von Nutzerdaten in die USA verhängt (wir berichteten).

Nun musste das Unternehmen sich vor dem EuGH erneut aufgrund seiner Verarbeitung von Facebook-Nutzerdaten behaupten (Urteil vom 04.07.2023, Az. C-252/21).

Versteckte „Nutzereinwilligung“ in die Nutzung von „Off-Facebook-Daten“

Der Sachverhalt: Im Rahmen der Anmeldung beim von Meta betriebenen sozialen Netzwerk Facebook müssen Nutzer die AGB und die Datenschutzerklärung akzeptieren. Letztere führt aus, dass Meta Nutzeraktivitätsdaten nicht nur auf Facebook, sondern auch außerhalb des sozialen Netzwerks erfassen und diese dem Facebook-Konto zuordnen kann (sog. Off-Facebook-Daten). Die Daten können von dritten Websites oder Apps stammen, die mit Facebook über eingebundene Programmschnittstellen wie den „Facebook Business Tools“ verbunden sind, aber auch von anderen von Meta angebotenen Diensten (z.B. Instagram und WhatsApp). Diese Daten werden von Meta insbesondere zu Werbezwecken genutzt.

Gegen diese Praxis ging das deutsche Bundeskartellamt vor und untersagte Meta insbesondere, die Nutzung von Facebook in den AGB von der Verarbeitung der Off-Facebook-Daten abhängig zu machen und sie ohne Einwilligung zu verarbeiten. Aufgrund dessen sah das Bundeskartellamt bei Meta eine missbräuchliche Ausnutzung seiner marktbeherrschenden Stellung auf dem deutschen Markt für soziale Netzwerke.

Bundeskartellamt durfte Einhaltung der DSGVO prüfen

In seinem Urteil bejahte der EuGH zunächst, dass das Bundeskartellamt als nationale Wettbewerbsbehörde die Einhaltung der DSGVO bei Meta prüfen durfte, allerdings nur in den Grenzen ihrer Befugnis, den Missbrauch einer marktbeherrschenden Stellung festzustellen. Nationale Wettbewerbsbehörden treten, so der EuGH, nicht an die Stelle der durch die DSGVO eingerichteten Aufsichtsbehörden. Sie sind insoweit zur Abstimmung und loyalen Zusammenarbeit mit den Aufsichtsbehörden verpflichtet.

Meta kann sich nicht auf Vertragserfüllung und berechtigte Interessen berufen

Ausführlich beschäftigte sich der EuGH mit der Frage, ob sich Meta bei der Datenverarbeitung auf eine andere Rechtsgrundlage als die Einwilligung berufen kann. Im Fokus standen hierbei besonders die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) und die berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).

Hinsichtlich der Vertragserfüllung betonte der EuGH, dass eine Datenverarbeitung nur dann als für sie erforderlich anzusehen ist, wenn sie objektiv unerlässlich ist, der Vertrag also ohne sie nicht erfüllt werden kann. Doch sowohl bei den Argumenten der Personalisierung von Inhalten und der durchgängigen und nahtlosen Nutzung von Meta-Diensten, die die Datenverarbeitung rechtfertigen sollten, meldete der EuGH Zweifel an. So sei eine Personalisierung von Inhalten für Facebook-Nutzer zwar nützlich, jedoch nicht erforderlich, um ihnen die Dienste anbieten zu können, bestehe doch ggf. die gleichwertige Alternative, die Dienste auch ohne Personalisierung zu erbringen. Auch die nahtlose Nutzung von anderer Meta-Diensten sei laut EuGH nicht erforderlich, da ihre Nutzung nicht zwingend notwendig sei, um ein Facebook-Konto einzurichten.

Auch hinsichtlich der berechtigten Interessen zweifelte der EuGH, ob insbesondere das Interesse an der Personalisierung von Werbung gegenüber den Interessen und Grundrechten von Nutzern überwiegt. Zwar führte der EuGH aus, dass nach Erwägungsgrund 47 der DSGVO der Zweck der Direktwerbung als ein berechtigtes Interesse angesehen werden kann. Allerdings könne ein Nutzer, auch wenn ein soziales Netzwerk wie Facebook kostenlos ist, vernünftigerweise nicht damit rechnen, dass dessen Betreiber seine personenbezogenen Daten für personalisierte Werbung ohne seine Einwilligung verarbeitet. Es sei daher davon auszugehen, dass die Interessen des Nutzers gegenüber dem Interesse des Betreibers an der Personalisierung von Werbung zur Finanzierung seines Angebots überwiegen.

Der EuGH bewertete zudem negativ, dass die beschriebene Praxis von Meta eine sehr umfassende Datenverarbeitung mit potentiell unbegrenzten Daten bedeute. Nutzer könnten sich so kontinuierlich überwacht fühlen.

Facebook-Nutzerdaten können sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten

Der EuGH führte zudem aus, dass Facebook-Nutzerdaten unter Umständen sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten können, beispielsweise wenn ein Nutzer Websites aufruft oder dort Daten eingibt (z.B. bei einer Registrierung), die einen Bezug zu den Datenkategorien in Art. 9 DSGVO haben (z.B. politische Meinungen, sexuelle Orientierung), und auf dieser Website Facebook-Schnittstellen implementiert sind, die dann Daten mit dem entsprechenden Konto verknüpfen und verwenden. Der EuGH lehnt in diesem Zuge ab, dass diese Verarbeitung ausnahmsweise zulässig ist, weil der betroffene Nutzer die Daten hiermit offensichtlich öffentlich gemacht hat (Art. 9 Abs. 2 lit. e DSGVO). Sowohl beim Aufrufen der Website als auch grundsätzlich bei der Eingabe von Daten oder dem Bedienen von Schaltflächen (z.B. einem „Like“-Button) sei hiervon nicht auszugehen.

Was bedeutet die Entscheidung für Unternehmen?

Das Urteil ist wenig überraschend, bestätigt es doch die seit längerem herrschende und spätestens mit der Entscheidung der belgischen Aufsichtsbehörde APD zum TCF 2.0. gefestigte Ansicht, dass Daten zu Werbezwecken grundsätzlich nur mit Einwilligung des Nutzers verarbeitet werden können.

Dies bedeutet für Unternehmer, dass sie in ihren Web-Anwendungen (Website & Apps) Programmierschnittstellen bereithalten müssen, um die Einwilligung von Nutzern rechtssicher einholen und speichern zu können, wie etwa über die bekannten Consent-Management-Plattformen („CMP“).

Gern unterstützen wir Sie bei der Einrichtung eines rechtssicheren Einwilligungsmanagements.

Die französische Datenschutzbehörde CNIL hat ihr bereits seit Ende 2018 laufendes Prüfverfahren gegen das französische Adtech-Unternehmen Criteo abgeschlossen und aufgrund mehrerer festgestellter Datenschutzverstöße ein Bußgeld in Höhe von 40 Millionen Euro verhängt. Hintergrund des Verfahrens waren von Privacy International und NOYB eingereichte Beschwerden, welche sich auf die offenbar mangelhafte Möglichkeit zum Widerruf einmal erteilter Einwilligungen für Onlinewerbung gegenüber Criteo bezogen. Die CNIL nahm die Beschwerden zum Anlass, eine umfangreiche Prüfung des Unternehmens durchzuführen und bezog insofern auch andere Aspekte der DSGVO-Compliance des Unternehmens mit ein.

Criteo ist ein bekanntes Unternehmen aus der Onlinemarketing-Branche, welches sich auf Retargeting-Dienste spezialisiert hat. Besuchen Nutzer Websites von Criteo-Partnern, erfasst ein Tracker (Cookie) die Browser-Daten der Nutzer. Hierdurch kann das Unternehmen das Surfverhalten der Nutzer analysieren und ihnen im Auftrag seiner Kunden so auf sie abgestimmte, personalisierte Werbung anzeigen.

Welche Verstöße wurden von der CNIL festgestellt?

Folgende Verstöße, für welche Criteo bereits Abhilfemaßnahmen getroffen haben soll, wurden von der CNIL festgestellt:

Verstoß gegen die Nachweispflicht der Einwilligung

Die CNIL betonte, dass nach den einschlägigen Gesetzen der Criteo-Tracker nur nach Einholung der Einwilligung der Nutzer auf deren Geräten platziert werden darf und die Einholung der Einwilligung der Nutzer zwar in den Verantwortungsbereich der Datenpartner von Criteo fällt, das Unternehmen aber dennoch überprüfen und nachweisen muss, dass die jeweiligen Nutzer tatsächlich ihre Einwilligung gegeben haben.

Die Behörde stellte jedoch fest, dass einige Partner den Tracker von Criteo komplett ohne Einwilligungsmechanismus verwendeten. Darüber hinaus hatte Criteo keine Maßnahmen ergriffen, um sicherzustellen, dass seine Partner die Einwilligung von Nutzern einholten, deren Daten es verarbeitete. In dieser Hinsicht stellte die CNIL insbesondere fest, dass die Verträge zwischen Criteo und seinen Datenpartnern keine Verpflichtung für die Datenpartner enthielten, Criteo die Einwilligung der Nutzer nachzuweisen, und dass das Unternehmen keine diesbezüglichen Prüfungen durchgeführt hatte.

Laut CNIL hat Criteo nun seine Verträge mit seinen Datenpartnern geändert und eine Klausel hinzugefügt, die die Datenpartner verpflichtet, Criteo auf Anfrage und zu jeder Zeit einen Nachweis über die Einwilligung der Nutzer zu liefern.

Verstoß gegen die Informations- und Transparenzpflicht

Die Datenschutzerklärung von Criteo führte einige Verarbeitungszwecke gar nicht auf. Auch waren einige Verarbeitungsvorgänge nur vage beschrieben, sodass Nutzer nicht verstehen konnten, welche Daten für welche Zwecke verarbeitet werden.

Insbesondere in Bezug auf den letztgenannten Punkt wies die CNIL auf die unverständliche und widersprüchliche Art und Weise hin, mit der Criteo die Nutzer in seiner Datenschutzerklärung informierte, da bestimmte Verarbeitungszwecke, die Criteo auf berechtigten Interessen stützte, in Wirklichkeit eng mit der Verarbeitung personenbezogener Daten für personalisierte Werbung verbunden waren, die, wie Criteo auswies, auf einer Einwilligung beruhte.

Weitere Verstöße

Die CNIL stellte im Übrigen die folgenden weiteren Verstöße fest:

Missachtung von Auskunftsanfragen

Auskunftsanfragen von Nutzern wurden von Criteo nur unvollständig und für Nutzer nicht verständlich beantwortet. 

Nichtbeachtung des Widerrufsrechts und des Rechts auf Löschung

Widerriefen Betroffene ihre Einwilligung oder baten um Löschung ihrer personenbezogenen Daten, wurde von Criteo die Ausspielung personalisierter Werbung für diese Betroffenen zwar eingestellt, allerdings wurden weder die der Person zugewiesene Tracking-ID noch die mit ihr verbundenen personenbezogenen Daten wirksam gelöscht.

Verstoß gegen die Pflicht des Abschlusses einer Vereinbarung zwischen gemeinsam Verantwortlichen (Joint Controller Agreement)

Die zwischen Criteo und seinen Partnern geschlossene Vereinbarung wies Mängel in Bezug auf die Spezifizierung der datenschutzrechtlichen Pflichten der für die Verarbeitung Verantwortlichen auf, etwa im Hinblick auf die Ausübung von Betroffenenrechten.

Welche Bedeutung hat der Fall für Unternehmen aus der Onlinemarketing-Branche?

Der Fall zeigt, wie aus einer vergleichsweise kleinen Prüfung eine weitreichende Überprüfung der datenschutzrechtlichen Dokumentation und Umsetzung im Unternehmen werden konnte.

Bemühungen um die Einhaltung des Datenschutzrechts sollten daher innerhalb eines Unternehmens priorisiert werden, um das Risiko erheblicher Geldbußen für Verstöße gegen die DSGVO zu verringern.

Unternehmen aus der Onlinemarketing-Branche sollten sich die einzelnen von der CNIL angesprochenen Punkte genauer ansehen und ihre Umsetzung bei sich überprüfen, insbesondere mit Blick auf (a.) den Nachweis der Nutzer-Einwilligung und (b.) die Informations- und Transparenzpflichten nach der DSGVO.

Wir beraten und unterstützen Sie hierbei gern.