EuGH: Meta (Facebook) muss für die Nutzung von Daten zu Werbezwecken eine separate Einwilligung einholen

Dass die datenschutzrechtlichen Praktiken von Meta das Tech- und Social-Media-Unternehmen bereits mehrfach in der Vergangenheit mit Aufsichtsbehörden und Gerichten in Konflikt brachte, dürfte mittlerweile bekannt sein. Erst im Mai dieses Jahres wurde von der irischen Datenschutzbehörde ein Bußgeld in Höhe von 1,2 Milliarden Euro gegen das Unternehmen wegen der rechtswidrigen Übermittlung von Nutzerdaten in die USA verhängt (wir berichteten).

Nun musste das Unternehmen sich vor dem EuGH erneut aufgrund seiner Verarbeitung von Facebook-Nutzerdaten behaupten (Urteil vom 04.07.2023, Az. C-252/21).

Versteckte „Nutzereinwilligung“ in die Nutzung von „Off-Facebook-Daten“

Der Sachverhalt: Im Rahmen der Anmeldung beim von Meta betriebenen sozialen Netzwerk Facebook müssen Nutzer die AGB und die Datenschutzerklärung akzeptieren. Letztere führt aus, dass Meta Nutzeraktivitätsdaten nicht nur auf Facebook, sondern auch außerhalb des sozialen Netzwerks erfassen und diese dem Facebook-Konto zuordnen kann (sog. Off-Facebook-Daten). Die Daten können von dritten Websites oder Apps stammen, die mit Facebook über eingebundene Programmschnittstellen wie den „Facebook Business Tools“ verbunden sind, aber auch von anderen von Meta angebotenen Diensten (z.B. Instagram und WhatsApp). Diese Daten werden von Meta insbesondere zu Werbezwecken genutzt.

Gegen diese Praxis ging das deutsche Bundeskartellamt vor und untersagte Meta insbesondere, die Nutzung von Facebook in den AGB von der Verarbeitung der Off-Facebook-Daten abhängig zu machen und sie ohne Einwilligung zu verarbeiten. Aufgrund dessen sah das Bundeskartellamt bei Meta eine missbräuchliche Ausnutzung seiner marktbeherrschenden Stellung auf dem deutschen Markt für soziale Netzwerke.

Bundeskartellamt durfte Einhaltung der DSGVO prüfen

In seinem Urteil bejahte der EuGH zunächst, dass das Bundeskartellamt als nationale Wettbewerbsbehörde die Einhaltung der DSGVO bei Meta prüfen durfte, allerdings nur in den Grenzen ihrer Befugnis, den Missbrauch einer marktbeherrschenden Stellung festzustellen. Nationale Wettbewerbsbehörden treten, so der EuGH, nicht an die Stelle der durch die DSGVO eingerichteten Aufsichtsbehörden. Sie sind insoweit zur Abstimmung und loyalen Zusammenarbeit mit den Aufsichtsbehörden verpflichtet.

Meta kann sich nicht auf Vertragserfüllung und berechtigte Interessen berufen

Ausführlich beschäftigte sich der EuGH mit der Frage, ob sich Meta bei der Datenverarbeitung auf eine andere Rechtsgrundlage als die Einwilligung berufen kann. Im Fokus standen hierbei besonders die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) und die berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).

Hinsichtlich der Vertragserfüllung betonte der EuGH, dass eine Datenverarbeitung nur dann als für sie erforderlich anzusehen ist, wenn sie objektiv unerlässlich ist, der Vertrag also ohne sie nicht erfüllt werden kann. Doch sowohl bei den Argumenten der Personalisierung von Inhalten und der durchgängigen und nahtlosen Nutzung von Meta-Diensten, die die Datenverarbeitung rechtfertigen sollten, meldete der EuGH Zweifel an. So sei eine Personalisierung von Inhalten für Facebook-Nutzer zwar nützlich, jedoch nicht erforderlich, um ihnen die Dienste anbieten zu können, bestehe doch ggf. die gleichwertige Alternative, die Dienste auch ohne Personalisierung zu erbringen. Auch die nahtlose Nutzung von anderer Meta-Diensten sei laut EuGH nicht erforderlich, da ihre Nutzung nicht zwingend notwendig sei, um ein Facebook-Konto einzurichten.

Auch hinsichtlich der berechtigten Interessen zweifelte der EuGH, ob insbesondere das Interesse an der Personalisierung von Werbung gegenüber den Interessen und Grundrechten von Nutzern überwiegt. Zwar führte der EuGH aus, dass nach Erwägungsgrund 47 der DSGVO der Zweck der Direktwerbung als ein berechtigtes Interesse angesehen werden kann. Allerdings könne ein Nutzer, auch wenn ein soziales Netzwerk wie Facebook kostenlos ist, vernünftigerweise nicht damit rechnen, dass dessen Betreiber seine personenbezogenen Daten für personalisierte Werbung ohne seine Einwilligung verarbeitet. Es sei daher davon auszugehen, dass die Interessen des Nutzers gegenüber dem Interesse des Betreibers an der Personalisierung von Werbung zur Finanzierung seines Angebots überwiegen.

Der EuGH bewertete zudem negativ, dass die beschriebene Praxis von Meta eine sehr umfassende Datenverarbeitung mit potentiell unbegrenzten Daten bedeute. Nutzer könnten sich so kontinuierlich überwacht fühlen.

Facebook-Nutzerdaten können sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten

Der EuGH führte zudem aus, dass Facebook-Nutzerdaten unter Umständen sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten können, beispielsweise wenn ein Nutzer Websites aufruft oder dort Daten eingibt (z.B. bei einer Registrierung), die einen Bezug zu den Datenkategorien in Art. 9 DSGVO haben (z.B. politische Meinungen, sexuelle Orientierung), und auf dieser Website Facebook-Schnittstellen implementiert sind, die dann Daten mit dem entsprechenden Konto verknüpfen und verwenden. Der EuGH lehnt in diesem Zuge ab, dass diese Verarbeitung ausnahmsweise zulässig ist, weil der betroffene Nutzer die Daten hiermit offensichtlich öffentlich gemacht hat (Art. 9 Abs. 2 lit. e DSGVO). Sowohl beim Aufrufen der Website als auch grundsätzlich bei der Eingabe von Daten oder dem Bedienen von Schaltflächen (z.B. einem „Like“-Button) sei hiervon nicht auszugehen.

Was bedeutet die Entscheidung für Unternehmen?

Das Urteil ist wenig überraschend, bestätigt es doch die seit längerem herrschende und spätestens mit der Entscheidung der belgischen Aufsichtsbehörde APD zum TCF 2.0. gefestigte Ansicht, dass Daten zu Werbezwecken grundsätzlich nur mit Einwilligung des Nutzers verarbeitet werden können.

Dies bedeutet für Unternehmer, dass sie in ihren Web-Anwendungen (Website & Apps) Programmierschnittstellen bereithalten müssen, um die Einwilligung von Nutzern rechtssicher einholen und speichern zu können, wie etwa über die bekannten Consent-Management-Plattformen („CMP“).

Gern unterstützen wir Sie bei der Einrichtung eines rechtssicheren Einwilligungsmanagements.

Frankreich verhängt 40-Millionen-Bußgeld gegen Adtech-Unternehmen Criteo

Geschrieben am

Die französische Datenschutzbehörde CNIL hat ihr bereits seit Ende 2018 laufendes Prüfverfahren gegen das französische Adtech-Unternehmen Criteo abgeschlossen und aufgrund mehrerer festgestellter Datenschutzverstöße ein Bußgeld in Höhe von 40 Millionen Euro verhängt. Hintergrund des Verfahrens waren von Privacy International und NOYB eingereichte Beschwerden, welche sich auf die offenbar mangelhafte Möglichkeit zum Widerruf einmal erteilter Einwilligungen für Onlinewerbung gegenüber Criteo bezogen. Die CNIL nahm die Beschwerden zum Anlass, eine umfangreiche Prüfung des Unternehmens durchzuführen und bezog insofern auch andere Aspekte der DSGVO-Compliance des Unternehmens mit ein.

Criteo ist ein bekanntes Unternehmen aus der Onlinemarketing-Branche, welches sich auf Retargeting-Dienste spezialisiert hat. Besuchen Nutzer Websites von Criteo-Partnern, erfasst ein Tracker (Cookie) die Browser-Daten der Nutzer. Hierdurch kann das Unternehmen das Surfverhalten der Nutzer analysieren und ihnen im Auftrag seiner Kunden so auf sie abgestimmte, personalisierte Werbung anzeigen.

Welche Verstöße wurden von der CNIL festgestellt?

Folgende Verstöße, für welche Criteo bereits Abhilfemaßnahmen getroffen haben soll, wurden von der CNIL festgestellt:

Verstoß gegen die Nachweispflicht der Einwilligung

Die CNIL betonte, dass nach den einschlägigen Gesetzen der Criteo-Tracker nur nach Einholung der Einwilligung der Nutzer auf deren Geräten platziert werden darf und die Einholung der Einwilligung der Nutzer zwar in den Verantwortungsbereich der Datenpartner von Criteo fällt, das Unternehmen aber dennoch überprüfen und nachweisen muss, dass die jeweiligen Nutzer tatsächlich ihre Einwilligung gegeben haben.

Die Behörde stellte jedoch fest, dass einige Partner den Tracker von Criteo komplett ohne Einwilligungsmechanismus verwendeten. Darüber hinaus hatte Criteo keine Maßnahmen ergriffen, um sicherzustellen, dass seine Partner die Einwilligung von Nutzern einholten, deren Daten es verarbeitete. In dieser Hinsicht stellte die CNIL insbesondere fest, dass die Verträge zwischen Criteo und seinen Datenpartnern keine Verpflichtung für die Datenpartner enthielten, Criteo die Einwilligung der Nutzer nachzuweisen, und dass das Unternehmen keine diesbezüglichen Prüfungen durchgeführt hatte.

Laut CNIL hat Criteo nun seine Verträge mit seinen Datenpartnern geändert und eine Klausel hinzugefügt, die die Datenpartner verpflichtet, Criteo auf Anfrage und zu jeder Zeit einen Nachweis über die Einwilligung der Nutzer zu liefern.

Verstoß gegen die Informations- und Transparenzpflicht

Die Datenschutzerklärung von Criteo führte einige Verarbeitungszwecke gar nicht auf. Auch waren einige Verarbeitungsvorgänge nur vage beschrieben, sodass Nutzer nicht verstehen konnten, welche Daten für welche Zwecke verarbeitet werden.

Insbesondere in Bezug auf den letztgenannten Punkt wies die CNIL auf die unverständliche und widersprüchliche Art und Weise hin, mit der Criteo die Nutzer in seiner Datenschutzerklärung informierte, da bestimmte Verarbeitungszwecke, die Criteo auf berechtigten Interessen stützte, in Wirklichkeit eng mit der Verarbeitung personenbezogener Daten für personalisierte Werbung verbunden waren, die, wie Criteo auswies, auf einer Einwilligung beruhte.

Weitere Verstöße

Die CNIL stellte im Übrigen die folgenden weiteren Verstöße fest:

Missachtung von Auskunftsanfragen

Auskunftsanfragen von Nutzern wurden von Criteo nur unvollständig und für Nutzer nicht verständlich beantwortet. 

Nichtbeachtung des Widerrufsrechts und des Rechts auf Löschung

Widerriefen Betroffene ihre Einwilligung oder baten um Löschung ihrer personenbezogenen Daten, wurde von Criteo die Ausspielung personalisierter Werbung für diese Betroffenen zwar eingestellt, allerdings wurden weder die der Person zugewiesene Tracking-ID noch die mit ihr verbundenen personenbezogenen Daten wirksam gelöscht.

Verstoß gegen die Pflicht des Abschlusses einer Vereinbarung zwischen gemeinsam Verantwortlichen (Joint Controller Agreement)

Die zwischen Criteo und seinen Partnern geschlossene Vereinbarung wies Mängel in Bezug auf die Spezifizierung der datenschutzrechtlichen Pflichten der für die Verarbeitung Verantwortlichen auf, etwa im Hinblick auf die Ausübung von Betroffenenrechten.

Welche Bedeutung hat der Fall für Unternehmen aus der Onlinemarketing-Branche?

Der Fall zeigt, wie aus einer vergleichsweise kleinen Prüfung eine weitreichende Überprüfung der datenschutzrechtlichen Dokumentation und Umsetzung im Unternehmen werden konnte.

Bemühungen um die Einhaltung des Datenschutzrechts sollten daher innerhalb eines Unternehmens priorisiert werden, um das Risiko erheblicher Geldbußen für Verstöße gegen die DSGVO zu verringern.

Unternehmen aus der Onlinemarketing-Branche sollten sich die einzelnen von der CNIL angesprochenen Punkte genauer ansehen und ihre Umsetzung bei sich überprüfen, insbesondere mit Blick auf (a.) den Nachweis der Nutzer-Einwilligung und (b.) die Informations- und Transparenzpflichten nach der DSGVO.

Wir beraten und unterstützen Sie hierbei gern.

EU-US Data Privacy Framework: EU-Kommission veröffentlicht Angemessenheitsbeschluss für Datentransfers in die USA

Die Europäische Kommission hat heute den lange erwarteten Angemessenheitsbeschluss für die neue EU-US-Datenschutzvereinbarung („EU-US Data Privacy Framework“) veröffentlicht. Der Beschluss stellt fest, dass die Vereinigten Staaten nunmehr ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten also „gefahrlos“ aus der EU an US-Unternehmen, die an dem neuen Programm teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.

Welche Maßnahmen sieht die neue Vereinbarung vor?

Die jetzt geltende Vereinbarung zwischen der EU und den USA führt neue verbindliche Vorgaben ein, um die vom Europäischen Gerichtshof im berühmten „Schrems II“-Urteil geäußerten Bedenken auszuräumen, einschließlich einer Beschränkung der Zugriffrechte von US-Geheimdiensten auf EU-Daten auf das „notwendige und verhältnismäßige“ Maß und sogar der Einrichtung eines unabhängigen Datenschutzüberprüfungs-„Gerichts“ (DPRC), zu dem EU-Bürger Zugang haben. Das neue Programm sieht erhebliche Verbesserungen gegenüber dem alten Mechanismus vor, der unter dem so genannten „Privacy Shield“-Programm galt. Stellt das DPRC beispielsweise fest, dass Daten unter Verstoß gegen die neuen Vorgaben erhoben wurden, kann es die Löschung der Daten anordnen.

Der neue EU-US-Datenschutzrahmen soll so einen sicheren Austausch für Daten von EU-Bürgern gewährleisten und Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Hintergrund der Entscheidung der EU-Kommission war eine Vereinbarung mit der US-Regierung, die darauf aufbauend wesentliche neue Verwaltungsvorschriften zum Schutz personenbezogener Daten von EU-Bürgern erlassen.

EU-Bürger können bestimmte Rechtsbehelfe in Anspruch nehmen, wenn ihre Daten von US-Unternehmen rechtswidrig verarbeitet werden. Darüber hinaus sehen die neuen Regelungen auf US-Seite eine Reihe von Garantien gegen den ungehemmten Zugriff von US-Behörden auf Daten vor, die auf der Grundlage des Programms übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten soll auf das Maß beschränkt werden, das zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.

Wie geht es jetzt weiter?

US-Unternehmen können dem Programm nun beitreten, indem sie sich gegenüber der US-Regierung verpflichten, eine Reihe bestimmter Datenschutzregeln einzuhalten, darunter zum Beispiel die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und eine Kontinuität des entsprechenden Schutzes zu gewährleisten, wenn personenbezogene Daten wiederum an Dritte weitergegeben werden. Es ist davon auszugehen, dass die großen Anbieter wie Google und Facebook zu den ersten Unternehmen gehören, die in das Register der US-Regierung aufgenommen werden und dass über die nächsten Monate nach und nach alle relevanten Dienstleister folgen werden.

Europäische Unternehmen müssen dann nur prüfen, ob ihre Anbieter bereits dem neuen Programm unterfallen und einen entsprechenden Hinweis in ihre Datenschutzerklärung aufnehmen. Mehr ist dann tatsächlich nicht zu tun.

Wird die neue Regelung Bestand haben?

Das Funktionieren der neuen Vereinbarung soll in regelmäßigen Abständen von der Europäischen Kommission zusammen mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um zu überprüfen, ob alle relevanten Elemente vollständig in den US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Es ist jedoch davon auszugehen, dass europäische Datenschutz-Aktivisten gegen die Entscheidung der EU-Kommission gerichtlich vorgehen werden – allen voran der Österreicher Max Schrems, der bereits zweimal einen Angemessenheitsbeschluss für die USA zu Fall gebracht hat. Das neue Data Privacy Framework ist aus Sicht seiner Organisation im Wesentlichen nur eine Kopie des gescheiterten Privacy-Shields, das wichtige der zuvor kritisierten Punkte vermissen lässt. Das letzte Wort hat dann wiederum der Europäische Gerichtshof. Echte Sicherheit besteht also erst nach einem entsprechenden Urteil, also in etwa zwei bis drei Jahren.

Internationale Datentransfers: Facebook-Konzern Meta muss DSGVO-Bußgeld von 1,2 Milliarden Euro zahlen

Die irische Datenschutzbehörde DPC (Data Protection Commission) in Dublin, wo auch Facebooks Mutterkonzern Meta seinen europäischen Sitz hat, hat den Internetriesen zu einem Rekord-Bußgeld von 1,2 Milliarden Euro verurteilt. Vorangegangen ist ein seit Jahren anhaltender Streit über den Umgang mit Nutzerdaten und deren mangelnder Schutz durch Meta. Die Daten werden nämlich bislang aus Europa in die USA geleitet. Dort ist es US-Geheimdiensten ohne besondere rechtliche Hürden möglich, die Daten einzufordern und für ihre Zwecke zu nutzen. Dieses Vorgehen und der unzureichende Schutz sensibler Nutzerdaten verstößt bekanntermaßen gegen die europäische Datenschutzgrundverordnung (DSGVO).

Der Entscheidung liegt damit dieselbe Problematik zu Grunde wie das kürzlich ergangene Urteil des Landgerichts Köln bezüglich der Nutzung von Google Ads, das aber ebenfalls noch nicht rechtskräftig ist.

Die Rekordstrafe reiht sich ein in eine Reihe hoher Bußgelder wegen DSGVO-Verstößen in der jüngeren Vergangenheit und hätte für Meta sogar noch höher ausfallen können. So wurde zuletzt Amazon 2021 wegen eines ähnlichen Verstoßes zu einem Bußgeld in Höhe von 746 Millionen € verurteilt. Die Facebook-Mutter Meta ist – gemessen an der Höhe der zu zahlenden Bußgelder –  sechsmal in den Top 10 der DSGVO-Verstöße vertreten. Datenschutz-Aktivist Maximilian Schrems wurde mit den folgenden Worten zitiert: „Die Höchststrafe liegt bei über vier Milliarden. Und Meta hat zehn Jahre lang wissentlich gegen die DSGVO verstoßen, um Profit zu machen.“ Der Bußgeldentscheidung war ein langes Ringen unter den europäischen Datenschutzbehörden vorangegangen, dem Umgang großer Internetkonzerne nicht länger tatenlos zusehen zu  wollen.

Allerdings steckt hinter dem neuen Rekord-Bußgeld auch ein rechtliches Dilemma: Letztlich sind es die US-amerikanischen Sicherheitsgesetze, die es den dortigen Geheimdiensten ermöglichen, Nutzerdaten ohne ausreichende rechtliche Schranken von Unternehmen einzufordern und nachrichtendienstlich zu verwerten. Wenn Meta nun verhindern möchte, dass Daten in die USA übermittelt und dort geheimdienstlich genutzt werden, muss es seine Systeme wohl grundlegend umstrukturieren. Zunächst einmal hat Meta aber angekündigt, rechtliche Schritte gegen die Entscheidung einzulegen.

Über die weiteren Entwicklungen zu diesem Thema halten wir Sie selbstverständlich auf dem Laufenden.

Das TCF 2.2 geht an den Start – das sollten Sie jetzt wissen:

Um den Akteuren im Online-Ökosystem dabei zu helfen, die Anforderungen der EU-Datenschutzrichtlinie sowie der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, hat der europäische Verband der Onlinebranche IAB eine überarbeitete Fassung des als „Transparency & Consent Framework“ bezeichneten Branchenstandards verabschiedet, das so genannte TCF 2.2. Eine Arbeitsgruppe aus Vetretern der beteiligten Unternehmen hat intensiv an einer überarbeiten Standardisierung der Pflicht-Informationen und Auswahlmöglichkeiten gearbeitet, die den Nutzern vor der Verarbeitung ihrer Daten zur Verfügung gestellt werden sollten, sowie an der Art und Weise, wie darauf aufbauenden Entscheidungen der Nutzer umgesetzt werden.

Ziel der Änderung ist die Anpassung des Branchenstandards an die Anforderungen der Rechtsprechung und der europäischen Datenschutzbehörden. Das IAB möchte es deshalb den betroffenen Marktteilnehmern ermöglichen, über das Transparency & Consent Framework 2.2 diesen Vorgaben gerecht zu werden. Das TCF 2.2 tritt bereits am 16. Mai 2023 in Kraft – und die Umsetzungsfristen für betroffene Unternehmen sind extrem kurz.

Die wichtigste Neuerungen des TCF 2.2 sind:

  • Abschaffung der Rechtsgrundlage des berechtigten Interesses für die Personalisierung von Online-Werbung und -Inhalten: Unternehmen können nun nur noch auf der Grundlage einer wirksamen Einwilligung der Nutzer pseudonyme Daten verarbeiten, um individuelle Werbung und Inhalte auszuspielen.
  • erweiterte Informationen für Nutzer in Bezug auf die Verarbeitungszwecke: Die in der Einwilligungsabfrage enthaltenen Angaben zu den Zwecken, für die die erhobenen Daten genutzt werden können, wurden überarbeitet. Die Informationen sollen jetzt verständlicher sein und wurden dazu auch um konkrete Beispiele ergänzt.
  • erweiterte Informationen für Nutzer in Bezug auf die Datenempfänger: Zu den Empfängern der Daten der Nutzer werden zusätzliche Informationen bereitgestellt, nämlich:
    • konkret vom jeweiligen Datenempfänger erhobene Datenkategorien
    • Speicherfristen für die erhobenen Daten beim jeweiligen Datenempfänger
    • falls einschlägig (und noch zulässig): die berechtigten Interessen des Datenempfängers für die Datenverarbeitung
  • Transparenz über die Anzahl der Datenempfänger: In der Einwilligungsabfrage muss zukünftig die Gesamtzahl der Datenempfänger bereits auf der ersten Ebene offen gelegt werden.
  • neue Anforderungen für den Widerruf der Einwilligung durch die Nutzer: Über eine spezielle Schaltfläche muss es möglich sein, die Einwilligungsabfrage erneut aufzurufen und die Einwilligung zu widerrufen.

Die meisten Anbieter von Websites und Apps werden sich zur Umstellung auf das TCF 2.2 an den Anbieter ihrer Einwilligungsabfrage (auch als „Cookie-Banner“ oder Consent Management Platform (CMP) bezeichnet) wenden. Auf Datenempfänger kommen dagegen größere technische Umstellungen zu.

Falls Sie Fragen zur Umsetzung des TCF 2.2 haben, melden Sie sich gern direkt bei uns.