Criteon Judgement – Amsterdam District Court

Das Amsterdamer Bezirksgericht hat im Oktober 2023 in einer einstweiligen Entscheidung1 gegen den Werbedienstleister Criteon entschieden und ihn dazu verurteilt, umgehend der vom Kläger beantragten Löschung von Trackingdaten nachzukommen.

Erkenntnisse 

Bedeutung 5/5
Mächtigkeit 2/5
Treffsicherheit 4/5
Rechtsnormen Art 26 DSGVO
Data Privacy Pattern: Joint Controllership, Dataprivacy by Design
Rechtsnormen: Art 25 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellung, Art 26 DSGVO Gemeinsame Verantwortlichkeit
  1. Gemeinsame Verantwortlichkeit nach der DSGVO bedeutet keine eingeschränkte Verantwortlichkeit.
  2. Bereitschaft für die Erfüllung der Datensubjektrechte heilt nicht einen von Anfang an fehlenden Rechtsgrund.
  3. Rechtliche Absicherung ersetzt nicht fehlendes «Privacy by Default» und «Privacy by Design»2

Sachverhalt

Criteon ist ein international tätiger Werbedienstleister. Er stellt seinen Kunden Software zur Integration auf deren Website zum gezielten Ausspielen von Werbeanzeigen bereit. Die Software basiert auf Javascript und setzt Tracking-Cookies, um Website-Besucher eindeutig zu identifizieren und deren Verhalten auszuwerten. Die Tracking-Cookies vergeben eine UID, mit der User weltweit eindeutig identifiziert und websiteübergreifend wieder erkannt werden können.

Criteon erhält über die Software die Trackingdaten aller seiner Kunden, die die Software aufgeschaltet haben, verarbeitet diese und gleicht sie mit anderen Anbietern von Werbeangeboten ab.

Criteon verpflichtet seine Kunden vertraglich dazu, dafür die Zustimmung seiner Webseitenbesuche (als Endkunden) für dieses Vorgehen einzuholen, prüft dies aber weder technisch noch organisatorisch nach, ob sie dieser Verpflichtung tatsächlich nachkommen.

Criteon hat sein Verhalten im Verfahren mit diesen Argumenten als vollkommen datenschutz- und rechtskonform dargestellt:

  1. Da Criteon die Websitebetreiber vertraglich verpflichte, sei es deren Aufgabe, die Zustimmung bei (deren) Endkunden einzuholen.
  2. Falls sich jemand daran stosse oder, eine Zustimmung eines Endkunden fehle, so würde Criteon jederzeit den Datenschutzauskunfts- und Rechtspflichten nachkommen.
  3. Schliesslich könnten User jederzeit über die Browsereinstellungen und über ein explizites Opt-out das Tracking unterbinden.

Das Gericht ist dieser Argumentation nicht gefolgt und hat dem Kläger recht gegeben.

Datenflussanalyse – Visual Data Privacy Pattern

Wir sehen im Datenflussdiagramm3 drei relevante Datenflüsse:

  • (1) das Tracken der Daten auf der Website mit Hilfe der von Criteon bereitgestellten Software.
  • (2) die Weitergabe der Daten an Criteon durch die gleiche Software sowie deren Verarbeitung, Speicherung und Aggregierung mit vorhandenen Beständen durch Criteon.
  • (3) die Weitergabe bzw. Bekanntgabe der Daten und der Abgleich mit anderen Anbietern

Wir sehen dort auch, dass die fehlende Zustimmung des Endusers (Besuchers der Website des Criteon Kunden) nicht nur den ersten sondern auch die beiden weiteren Datenflüsse, die unter alleiniger Verantwortung von Criteon laufen, rechtswidrig macht.

Rechtliche Beurteilung

Gemeinsame Verantwortung: Bedeutung und Auswirkungen

Verantwortlich für eine Datenbearbeitung ist, wer über Zweck und Mittel entscheidet4.

Da die Software von Criteon stammt (Mittel) und ihr Geschäftsmodell umsetzt (Zweck), ist Criteon sicher der bzw. ein Verantwortliche(r).

Der Website-Betreiber ist Kunde von Criteon, installiert deren Software auf seiner Website und erhält dafür eine Vergütung. Er hat auch ein Interesse daran (Zweck) und hat Criteon als Anbieter (Mittel) gewählt und deren Software auf seiner Website integriert.

Zweck und Mittel sind dabei keinewegs symmetrisch verteilt: Auf der einen Seite Criteon als international tätiges Unternehmen, das seinen Geschäftszweck durch eigene Software und Infrastruktur vorantreibt, auf der anderen Seite eine Vielzahl an Kunden, die lediglich eine Website betreiben und den Service von Criteon nutzen.

Diese ungleiche Verteilung steht einer klaren Einstufung als gemeinsame Verantwortliche nach Art 26 DSGVO aber nicht entgegen: Demnach soll jeder der gemeinsamen Verantwortlichen als möglicher Ansprechpartner für betroffene Datensubjekte und die datenschützenden Behörden ansprechbar und das Verhalten diesen zurechenbar sein.

Dem entspricht es auch, dass beide Parteien jeweils für sich alle Massnahmen treffen müssen, die eine rechtskonforme Datenbe- bzw- Datenverarbeitung erfordert: Criteon kann sehr wohl die Pflicht, für eine Einwilligung der User zu sorgen an den Website-Betreiber delegieren, wird die Pflicht dafür aber nicht los, sondern muss in diesem Fall von diesem regelmässig Nachweis einfordern und erhalten, dass dies auch tatsächlich erfolgt.

Nemo plus iuris transfere potest quam ipse habet

Zudem bewirkt die mangelnde Einwilligung für das initiale Setzen des Tracking-Cookies im Datenfluss 1 auch die Rechtswidrigkeit der weiteren Datenflüsse 2 und 3, die unter alleiniger und direkter Verantwortung von Criteon ablaufen.

Die Einwilligung wird für die weiteren Datenflüsse nicht dadurch geheilt, nur weil Criteon die Pflicht zum Einholen der initialen Einwilligung vertraglich ausgelagert hatte.

«Unlawfulness by Default» ist kein gutes Argument

Ebenso ist Criteon zu Recht mit dem Argument gescheitert, dass die User ja, falls ihnen der Dienst nicht gefällt, ein Opt-Out von ihrem Dienst durchführen oder über die Browsereinstellungen überhaupt Cookies ablehnen könnten.

Das würde die offenkundige Tatsache nicht heilen, dass Criteon ihr Geschäftsmodell bisher bezogen auf die DSGVO rechtswidrig umgesetzt hatten, da sie offenkundig gegen eine ganze Reihe von grundlegenden Prinzipien des Datenschutzes verstossen: Neben dem Transparenzgebot, das eine Offenlegung der Be- bzw. Verarbeitung im Vorhinein erfordert, die Zweckbindung, das Prinzip der Datenminierung sowie das des unerlaubten Profilings.

Privacy by Design und Default

Da Criteon den ganzen Service mit allen Datenflüssen weltweit aufgebaut und vermarktet hat, ist auch nicht einzusehen, warum ausgerechnet das Einholen einer Einwilligung als Kernfunktion in diesem Softwarepaket fehlt, das widerspricht wiederum den Prinzipien von Privacy by Design und Privacy by Default.

Die einstweilige Verfügung ist somit gleich aus mehreren Rechtsgründen richtig und es ist zu hoffen, dass sie im weiteren Instanzenzug Bestätigung erfährt.

Risikoanalyse

Führen wir abschliessend eine Risikoanalyse nach Art einer Datenschutzfolgenabschätzung durch.

Wir werden dabei die Taxonomie von Solove5 an, der die Risiko im Hinblick auf die Sammlung, das Verarbeiten, die Manipulation sowie die Verteilung von Daten unterscheidet.

Aspekt Bewertung Risiko (1-5)
Collection Criteon sammelt, ohne für eine Rechtsgrundlage zu sorgen, weltweit eindeutig zuordenbare Userdaten von unzähligen Websites 5
Processing Criteon verarbeitet und speichert diese Daten persistent ohne gesicherte Rechtsgrundlage in grossen Datenbanken 5
Invasion Criteon werte diese Daten aus und verknüpft sie, um Prognosen über passende Werbeanzeigen zu erstellen (Profiling) 5
Dissemination Criteon verteilt die Daten und gleicht sie mit anderen Anbietern ab. 5

Die ungesicherte Rechtsgrundlage der initialen Datenerfassung bewirkt, dass auch alle weiteren Datenflüsse potenziell rechtswidrig sind. Dies erzeugt in jedem Aspekt des Schutzes der Datenprivatheit ein enorm hohes Risiko, dessen mögliche Auswirkungen (ImpacT) durch die internationale Ausrichtung von Criteon noch verstärkt werden.

Resümee

Der Einwand von Criteon, dass sie nicht die Einwilligung jedes Endnutzers einholen könnten ist ohne Grundlage und vorgeschoben. Richtig ist ihr Gegenargument, dass bei einer einschränkenderen Handhabung ihre Geschäftsgrundlage gefährdet sei, richtig deshalb, weil ihre Geschäftsgrundlage bei dieser Handhabung offenbar und auf den ersten Blick rechtswidrig ist und es die Idee jeder Rechtsordnung ist, verbotenes und sanktioniertes Verhalten zu unterbinden.

Erstaunlich ist an diesem Urteil, dass Criteon sich mit diesem Konzept überhaupt so stark ausbreiten konnte und dass erst viele Jahre nach dem Erlassen der DSGVO ausgerechnet ein niederländisches Bezirksgericht es in einer einstweiligen Verfügung vorläufig untersagt.

Dass die DSGVO an einer mangelnden und europaweit zu wenig akkordierten Umsetzung leidet, wird hier erneut offenkundig.

Wir werden sehen, inwieweit die seitens der EU avisierten Massnahmen zu einer effektiveren und europaweit einheitlicheren Umsetzung gerade gegenüber grossen und international tätigen Unternehmen greifen werden6.

Anhang: Datenflussdiagramm

  1. Bezirksgericht Amsterdam, Urteil im Eilverfahren vom 18.10.2023 - C/13/739403 / KG ZA 23-829 EAM/MAH Volltext (NL): https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBAMS:2023:6530 ↩︎

  2. Leitlinie des Europäischen Datenschutzausschusses 4/2019 zu Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Version 2.0, Angenommen am 20. Oktober 2020 EDSA, https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_de.pdf ↩︎

  3. Datenflussdiagramm Datenflussdiagramm Criteon ↩︎

  4. Rosenthal, David: Controller oder Processor: Die datenschutzrechtliche Gretchenfrage, in: Jusletter 17. Juni 2019 ↩︎

  5. Solove, Daniel J.: Understanding Privacy, Harvard University Press, 2009 ↩︎

  6. Krempl, Stefan: DSGVO-Änderungen sollen Kernproblem der Datenschutz-Durchsetzung beheben, abgerufen am 21.02.2023 ↩︎