Im vergangenen Juni verhängte die französische Datenschutzbehörde (CNIL) gegen den französischen Ad-Tech-Riesen Criteo eine Geldstrafe in Höhe von 40 Millionen Euro, weil er die Zustimmung der Nutzer zum Tracking nicht beachtet hatte. Im Dezember erließ das Bezirksgericht Amsterdam ebenfalls ein Urteil gegen Criteo, das später in der Berufung bestätigt wurde.
Diese Fälle sind eine große Sache. Criteo ist ein großer multinationaler Werbetechnologiekonzern, der die personenbezogenen Daten von Millionen von Internetnutzern kontrolliert. Am wichtigsten ist jedoch, dass die Argumentation hinter der Entscheidung eine Abkehr von der Vergangenheit darstellt und sehr wohl Wellen in mehreren Branchen schlagen könnte, einschließlich der Werbetechnik und der Webanalyse,
Im Folgenden wird erläutert, worum es in den Fällen geht und warum sie neue Möglichkeiten für Maßnahmen gegen illegales Tracking eröffnen könnten.
- Worum geht es in den Fällen?
- Wer muss sich um die Einwilligung kümmern?
- Die "Criteo-Doktrin": ein genauerer Blick
- Gemeinsam für die Verarbeitung Verantwortliche
- Die Aufteilung der Verantwortlichkeiten
- Der wirksame Schutz von Rechten
- Was bedeutet das für die Webanalyse?
- Abschließende Worte
Worum geht es in den Fällen?
Bislang gibt es drei Entscheidungen gegen Criteo:
- Zwei Nichtregierungsorganisationen (Privacy International und noyb) reichten bei der französischen Datenschutzbehörde (CNIL) eine Beschwerde ein, in der sie behaupteten, dass Websites unrechtmäßig Cookies von Criteo platzieren. Diese Beschwerde wurde im Juni 2023 entschieden und führte zu einer Geldstrafe von 40 Millionen Euro für das Unternehmen.
- ein niederländischer Bürger hat denselben Fall vor das Bezirksgericht Amsterdam gebracht, was zu einer Anordnung führte, keine Cookies mehr zu setzen und die bereits gesammelten Daten zu löschen
- Die Entscheidung des Bezirksgerichts wurde später in der Berufung bestätigt.
In allen Fällen geht es um die unzulässige Verwendung von Tracking-Cookies. Mehrere beliebte Websites verwendeten Cookies von Criteo für Werbezwecke. Dies geschah ohne Zustimmung und unter Verstoß gegen die Datenschutzgrundverordnung und die Datenschutzrichtlinie für elektronische Kommunikation.
Diese Fälle sehen aus wie Standard-Cookie-Fälle: Jemand hat festgestellt, dass er ohne seine Zustimmung verfolgt wurde, hat rechtliche Schritte eingeleitet und gewonnen. Das Besondere an diesen Fällen ist jedoch, dass die Websites - und nicht Criteo - die Cookies gesetzt haben. Criteo wurde für Cookies verantwortlich gemacht, die von seinen Kunden geschrieben wurden, und das ist eine große, große Sache.
Wer muss sich um die Einwilligung kümmern?
Es ist sehr üblich, dass Anbieter von Werbetechnologien und Webanalysediensten die Arbeit zur Einhaltung der Vorschriften auf ihre Kunden verlagern, d. h. auf die Websites, die den Dienst nutzen.
Nehmen wir zum Beispiel an, Ihre Website nutzt Google Analytics. Google Analytics verwendet Tracking-Cookies, die nach EU-Recht eine Zustimmung erfordern. Das ist nicht das Problem von Google: Gemäß den Nutzungsbedingungen von Google Analytics liegt es an Ihnen, Google Analytics in einer gesetzeskonformen Weise zu implementieren (dazu gehört auch, dafür zu sorgen, dass Cookies nur geschrieben werden, nachdem die Besucher sie akzeptiert haben). Wenn Sie dies verpfuschen, verstoßen Sie gegen das Gesetz, nicht Google.
Diese Aufteilung der Verantwortlichkeiten ist einer der Gründe, warum das Internet zu einem Sündenpfuhl für illegales Tracking geworden ist. Werbetechnologieriesen wie Google und Meta stellen dem Internet leistungsstarke und invasive Tracking-Tools zur Verfügung, können aber für deren Missbrauch nicht zur Verantwortung gezogen werden. Daher können sich Nutzer und Datenschützer nur gegen das Tracking wehren, indem sie gegen einzelne Websites vorgehen, in einem endlosen und größtenteils sinnlosen Spiel von "Whack-a-mole".
Die Entscheidungen gegen Criteo eröffnen neue Wege für rechtliche Schritte. Die CNIL und die Gerichte haben laut und deutlich gesagt, dass Criteo - ein Werberiese mit zahllosen Partnern - sich nicht von den rechtlichen Verpflichtungen, die mit der Verwendung von Cookies einhergehen, freisprechen kann. Criteo wurde für das verantwortlich gemacht, was seine Kunden mit seinen Cookies gemacht haben, obwohl Criteo selbst nichts getan hat - oder besser gesagt, weil es nichts gegen den vorhersehbaren Missbrauch von Criteo-Cookies unternommen hat.
Es istnoch zu früh, um zu sagen, ob sich diese Argumentation auf europäischer Ebene durchsetzenwird. Aber es gibt Gründe, optimistisch zu sein: Die CNIL ist eine angesehene Behörde, die oft einflussreiche Beispiele für andere Regulierungsbehörden liefert. Außerdem sind sich die Verfechter des Datenschutzes (wie die am CNIL-Fall Beteiligten) des Potenzials der Entscheidungen gegen Criteo bewusst und werden sicherlich versuchen, dieses Potenzial in künftigen Rechtsstreitigkeiten zu nutzen.
Fazit: Die Fälle werden nicht unbedingt zu einem einflussreichen Präzedenzfall auf EU-Ebene werden, aber es besteht eine sehr reale Chance, dass sie es werden - und den Verfechtern des Datenschutzes ein mächtiges rechtliches Instrument gegen das Tracking an die Hand geben.
Die "Criteo-Doktrin": ein genauerer Blick
Kurz gesagt, das ist der Grund, warum die Criteo-Fälle so wichtig sind. Aber was genau ist das für eine Begründung, und wie passt sie zur DSGVO?
Kurz gesagt, die "Criteo-Doktrin" besagt, dass gemeinsam für die Verarbeitung Verantwortliche die Verpflichtungen zur Einhaltung der Vorschriften so verteilen müssen, dass die Datenschutzrechte wirksam geschützt werden. Das ist eine Menge zu verdauen, also lassen Sie es uns aufschlüsseln.
Gemeinsam für die Verarbeitung Verantwortliche
Um den Begriff der gemeinsamen für die Verarbeitung Verantwortlichen genau zu erläutern, wäre ein eigener Blog nötig. Kurz gesagt ist die gemeinsame Kontrolle der für die Verarbeitung Verantwortlichen eine Situation, in der zwei oder mehr Unternehmen gemeinsam Daten verarbeiten und alle ein Mitspracherecht haben, was mit den Daten geschieht. Wenn also zwei Unternehmen gemeinsam für die Verarbeitung Verantwortliche sind, entscheiden beide, welche Daten gesammelt werden, warum sie gesammelt werden, wie sie verarbeitet werden usw.
Dies war die Art von Beziehung, die Criteo mit seinen Kunden hatte. In der Tat hat das Unternehmen nie etwas anderes behauptet.
Die Aufteilung der Verantwortlichkeiten
Die gemeinsame Verantwortung für die Verarbeitung wirft ein Problem auf: Alle gemeinsam für die Verarbeitung Verantwortlichen haben Verpflichtungen gemäß der Datenschutz-Grundverordnung, aber wer genau muss welche erfüllen? Mit anderen Worten: Wie werden die Verpflichtungen zur Einhaltung der Vorschriften zwischen den gemeinsam für die Verarbeitung Verantwortlichen aufgeteilt?
Die Lösung der Datenschutz-Grundverordnung besteht darin, den gemeinsam für die Verarbeitung Verantwortlichen die Möglichkeit zu geben, diese Pflichten nach eigenem Gutdünken aufzuteilen, solange sie diese Aufteilung in einem rechtlichen Vertrag, der so genannten Vereinbarung über die gemeinsame Kontrolle, klarstellen.
In der Praxis bedeutet dies, dass Anwälte und Aufsichtsbehörden bei jedem Rechtsproblem mit gemeinsam für die Verarbeitung Verantwortlichen die Vereinbarung über die gemeinsame Kontrolle heranziehen, um zu erfahren, wer was zu tun hat - beispielsweise ist Unternehmen A allein für die Verwaltung der Einwilligung zuständig, während Unternehmen B allein für die Verwaltung der Datenbank und die Meldung von Datenschutzverletzungen verantwortlich ist.
Die Vorteile dieses Systems liegen auf der Hand. Die für die Datenverarbeitung Verantwortlichen können die Pflichten zur Einhaltung der Vorschriften effizient zuweisen, da sie genau wissen, welchen Beitrag jede Partei zur Verarbeitung der Daten leistet. Ein Beispiel: Wenn Unternehmen B die Datenbank kontrolliert, ist es sinnvoll, dass es für die Meldung von Datenschutzverletzungen zuständig ist. Ebenso ist es sinnvoll, dass Unternehmen A die Einwilligung einholt und verwaltet, wenn Unternehmen A in direktem Kontakt mit der betroffenen Person steht (d. h. mit den Personen, deren Daten verarbeitet werden), während Unternehmen B dies nicht tut.
Der Nachteil dieses Zuweisungssystems ist, dass es scheitern kann. Und im Falle der Online-Verfolgung versagt es systematisch
Der wirksame Schutz von Rechten
Unzählige Websites missbrauchen Cookies oder Pixel, um Sie ohne Ihre Zustimmung zu verfolgen. Das ist illegal, aber man kann nicht gegen Anbieter wie Google oder Meta vorgehen, weil sie es dem Kunden überlassen, die Datenschutzgesetze einzuhalten. Sie können auch nicht gegen jede einzelne Website vorgehen, die Sie verfolgt - es sind einfach zu viele!
Die "Criteo-Doktrin" bietet eine Absicherung gegen dieses Versagen. Sie erkennt an, dass die Datenschutz-Grundverordnung den Unternehmen die Möglichkeit gibt, die Verantwortlichkeiten nach Belieben zuzuweisen, aber sie besagt auch, dass die Zuweisung von Verantwortlichkeiten die Datenrechte wirksam schützen muss.
Die gemeinsam für die Verarbeitung Verantwortlichen können also die Zuständigkeiten nach eigenem Ermessen verteilen, aber die Folge dieses Ermessensspielraums ist, dass sie eine Verteilung finden müssen, die die Datenschutzrechte schützt - oder zumindest nicht spektakulär und systematisch versagt. Hier ziehen die Aufsichtsbehörden eine Grenze und ziehen beide für die Verarbeitung Verantwortlichen für Verstöße zur Rechenschaft, unabhängig davon, was in ihren rechtlichen Unterlagen steht.
Was bedeutet das für die Webanalyse?
Die "Criteo-Doktrin" hat viele wichtige Konsequenzen, von denen einige schwer abzusehen sind. Speziell für die Werbung und die Webanalyse bedeutet die Doktrin, dass die Anbieter sich viel mehr Gedanken darüber machen sollten, wie ihre Instrumente in der Praxis genutzt werden, und Maßnahmen zur Bekämpfung des Missbrauchs ergreifen sollten.
Das ist es, was die Aufsichtsbehörden von Criteo verlangten: Das Unternehmen wurde angewiesen, Maßnahmen zu ergreifen, um sicherzustellen, dass eine gültige Einwilligung eingeholt wurde, anstatt das kleine Versprechen des Kunden für bare Münze zu nehmen. Mit anderen Worten: Criteo wurde aufgefordert, seine Partner noch besser zu prüfen, als sie es ohnehin schon taten (was keine allzu hohe Messlatte ist).
Die Überprüfung der Einhaltung von Vorschriften klingt kompliziert und ist es in der Regel auch. Aber wenn es um die Verwendung von Cookies geht, könnten automatisierte Kontrollen durch die Anbieter viele Verstöße gegen Cookies ausmerzen. Sicherlich würden automatische Kontrollen nicht alle Verstöße aufdecken, aber sie wären dennoch ein guter Anfang und würden zeigen, dass die Anbieter ihre Verantwortung ernst nehmen.
Zusätzlich zu einer besseren Kontrolle müssten die Anbieter die Zustimmung der Nutzer dokumentieren. Das ist schwieriger, als es klingt: Die Dokumentation der Einwilligung kann recht kompliziert sein, vor allem, wenn die Datenströme bereits in Gang gekommen sind und enorme Mengen personenbezogener Daten verarbeitet werden.
Aber die allgemeine Bedeutung von Criteo ist wichtiger als die auferlegten spezifischen Verpflichtungen. Weniger datenschutzfreundliche Anbieter wie Google Analytics und Meta müssten Maßnahmen ergreifen, um sicherzustellen, dass ihre Dienste nicht systematisch missbraucht werden (wie es heute der Fall ist). Sollten sie dies nicht tun, könnten Verbraucherschützer sie zur Rechenschaft ziehen, indem sie direkt gegen sie vorgehen, anstatt gezwungen zu sein, gegen das gesamte Internet "whack-a-mole" zu spielen.
Abschließende Worte
Es sei noch einmal darauf hingewiesen, dass die "Criteo-Doktrin" bisher von zwei Regulierungsbehörden bestätigt wurde: der CNIL und den niederländischen Gerichten. Es bleibt abzuwarten, ob sie sich durchsetzen wird.
Es muss auch darauf hingewiesen werden, dass die Doktrin nicht frei von Nachteilen ist. Das Nachverfolgen und Dokumentieren von Einwilligungen ist für einen für die Datenverarbeitung Verantwortlichen keine leichte Aufgabe, insbesondere wenn die Systeme, die die Daten verarbeiten, bereits in Betrieb sind. Die Doktrin würde den Aufwand für die Einhaltung der Vorschriften für viele Unternehmen erhöhen - auch für Unternehmen, die Daten auf angemessene und nicht invasive Weise verarbeiten.
Wir glauben, dass die Vorteile die Nachteile überwiegen. Die Auslagerung der Einhaltung der Vorschriften an einzelne Kunden ermöglicht es vielen in die Privatsphäre eingreifenden Diensten, sich hinter ihren ToS oder Vereinbarungen über die gemeinsame Kontrolle zu verstecken. Die "Criteo-Doktrin" könnte genau das Werkzeug sein, das wir brauchen, um sie im Kampf für ein besseres Internet zur Verantwortung zu ziehen.
Wir von Simple Analytics mögen kein Tracking. Wir glauben, dass es unethisch und invasiv ist und das Internet zu einem schlechteren Ort macht. Deshalb haben wir Simple Analytics ins Leben gerufen: einen 100% trackingfreien Webanalysedienst, der kein einziges Bit an persönlichen Daten sammelt! Wenn Sie sich davon angesprochen fühlen, probieren Sie uns doch einfach aus!