Peter Hense ist Rechtsanwalt und Partner bei Spirit Legal Rechtsanwaltsgesellschaft mbH in Leipzig.
ZD 2024, 61 Rückblick: Als British Telecom im Jahr 2006 ein System des Anbieters „Phorm“ mit dem Namen „Webwise“ testete, bei dem der Internetverkehr aller Nutzer mittels Deep Packet Inspection aufgebrochen und analysiert wurde und basierend auf der Nutzung Verhaltensprofile erstellt werden sollten, alles ohne Einwilligung, war sich keiner der Beteiligten bewusst, welche langfristigen Auswirkungen diese kurzfristige Suche nach Gewinn auf dem Rücken des europäischen Datenschutzrechts haben würde.
Martin Selmayr, der zu dieser Zeit Sprecher von Viviane Reding als Kommissarin für Justiz, Grundrechte und Bürgerschaft war und auch heute im Datenschutzrecht kein Unbekannter ist, warnte die britische Regierung angesichts des von ihr protektionierten Vorgehens von Phorm vor einem Vertragsverletzungsverfahren, weil die nationalen Regelungen im Regulation of Investigatory Powers Act (RIPA) sowie im Data Protection Act nicht den europäischen Vorgaben entsprachen.
Die von dem Datenschutzaktivisten Alexander Hanff geleitete Graswurzel-Initiative gegen die geplante Massenüberwachung durch Phorm sammelte zehntausende Unterschriften und seine Berichte als Experte im EU-Parlament trugen dazu bei, dass die in die Jahre gekommene Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG) im November 2009 mit der RL 2009/136/EG grundlegend reformiert wurde.
Der Gesetzgeber stärkte die Rechte von Nutzern in Bezug auf Datenschutz deutlich, indem er technologieneutral und nicht nur auf Cookies bezogen alle nicht unbedingt erforderlichen Endgerätezugriffe mit einer klaren Einwilligungspflicht verband (Art. 5 Abs. 3 RL 2009/136/EG).
Diese Änderungen stießen in den Mitgliedstaaten und der Wirtschaft allerdings auf wenig Gegenliebe. Deutschland betrieb ein doppeltes Spiel, indem es gegenüber der Kommission eine Umsetzung der Richtlinie behauptete, aber den entgegenstehenden Gesetzestext (Opt-out statt Opt-in) von § 15 Abs. 3 TMG unverändert ließ. Bewegung brachte erst die Entscheidung des BGH (ZD 2020, 467 - Cookie Einwilligung II), die mit dem Wortlaut der Norm brach und damit die seit 2009 bestehende Einwilligungspflicht für werbliche Endgerätezugriffe 2020 im Recht sichtbar machte. Dem Gesetzgeber gelang es mit einem guten Jahrzehnt Verspätung erst Ende 2021, geltendes Europarecht in Reinform in § 25 TTDSG umzusetzen.
Für nicht wenige Geschäftsmodelle im Online-Marketing, die sich auf kreative Rechtsauslegung stützten, war und ist diese gefühlte Rechtsverschärfung ein Schock und Angriff auf ihre Gewinne, die mehr als ein Jahrzehnt lang in der Nische des datenschutzrechtlichen Vollzugsdefizits florieren konnten.
Versuche, sinnvolle und weniger sinnvolle Privilegierungen der Werbewirtschaft in den Verhandlungen über eine neue ePrivacy-VO unterzubringen, haben nicht zuletzt auf Grund amateurhaften Lobbyings dazu geführt, dass die ePrivacy-VO mittlerweile beerdigt wurde und die ePrivacy-RL auf absehbare Zeit das alte und neue Recht des Landes ist.
Seit 2020 jedoch weht in Sachen Webtracking und Hidden Iden-tifier ein schärferer Wind durch Europa und ähnlich der Situation während des „Phorm-Skandals“ in Großbritannien formiert sich eine Graswurzel-Bewegung von Bürgern, Verbraucherschützern, Wettbewerbsbehörden und NGOs, die illegalem Tracking endgültig den Garaus bereiten wollen.
In diese Situation gelangte Mitte letzten Jahres Criteo, einst gefeiertes französisches Einhorn am Tracking-Himmel, groß geworden mit Remarketing und Cross-Device-Tracking (XDT), dem Verfolgen von Nutzern über mehrere Geräte hinweg mit Display-Werbung, die auffordert, doch jetzt bitte ein bestimmtes Paar Schuhe zu kaufen, das man sich vor Wochenfrist in einem Online-Shop angesehen hat. Darüber hinaus partizipierte Criteo auch am Real-Time-Bidding, einem System organisierter Verantwortungslosigkeit, bei dem teils sensible personenbezogene Daten von Nutzern an höchstbietende Werbekunden versteigert werden. Es wundert wenig, dass auch dieses von der Werbeindustrie entwickelte System Gegenstand datenschutzrechtlicher Auseinandersetzungen bis hin zum EuGH ist (vgl. anhängige Rs. C-604/22 - IAB Europe).
Dass werbliches Tracking besonders dann gut funktioniert und sich verkauft, wenn man die kostenintensiven gesetzlichen Vorgaben negiert, ist eine Binsenweisheit und niemand musste Criteo dies zweimal erzählen.
Am 15.6.2023 hatte allerdings die zuständige französische Datenschutzbehörde CNIL genug Betroffenenbeschwerden gesammelt und verhängte nach jahrelanger Untersuchung ein Bußgeld von 40 Mio. EUR gegen Criteo wegen dessen rechtswidriger Verwendung des „Criteo-Tracers“ (s. ZD-Aktuell 2023, 01317). Neben Verstößen gegen nahezu alle Betroffenenrechte der DS-GVO war auch ein Verstoß gegen Art. 5 Abs. 3 ePrivacy-RL in der Form der nationalen Umsetzung in Art. 82 Loi relative à l'informatique, aux fichiers et aux libertés festgestellt worden.
Vor dem Hintergrund dieses Behördenverfahrens ist berichtenswert, dass die Criteo S.A. Anfang Dezember 2023 ein Berufungsverfahren (ECLI:NL:GHAMS:2023:2971) am Gerechtshof Amsterdam (Berufungsgericht) in einer David-gegen-Goliath-Situation im einstweiligen Rechtsschutz gegen eine natürliche Person verloren haben.
Der Kläger hatte bereits im Oktober 2023 mit seinem Antrag auf Unterlassung, Auskunft und Löschung Erfolg bei der erstinstanzlich zuständigen Rechtsbank Amsterdam gehabt, wobei das Berufungsgericht nur den Antrag auf Unterlassung aufrechterhielt und für die Anträge auf Löschung und Auskunft auf ein Hauptsacheverfahren verwies.
Was war der Grund für das aufwändige Verfahren, weshalb nahm eine Privatperson entgegen dem naheliegenden „rationalen Desinteresse“, auf das sich Anbieter von Tracking-Technologien so viele Jahre verlassen durften, ihr Recht in die Hand und investierte Geld, Zeit und Nerven in ein Verfahren, bei dem bis zum heutigen Tag im Vollstreckungsverfahren mit harten Bandagen gekämpft wird?
Der Kläger stellte im Sommer 2023 fest, dass auf seinem Endgerät ohne sein Wissen oder gar seine informierte Einwilligung Tracking-Cookies von Criteo abgelegt worden waren, die regelmäßig Serveranfragen initiierten und über seine Internetnutzung an Criteo Berichte sendeten. Das Cookie gelangte auf das Endgerät des Klägers, weil dieser die Webseite eines Werbepartners aus dem Criteo-Netzwerk besucht hatte, der auf seiner Webseite den Programmcode von Criteo implementiert hatte. Bei Aufruf der Webseite wurde sodann eine Server-Verbindung zu Criteo erstellt, die ungeprüft einen Identifier generierte und in einem Cookie auf dem Endgerät des Klägers ablegte, alles ohne informierte Einwilligung.
Das Verhalten von Tracking-Cookies und Spyware, das in Erwägungsgrund 24 ePrivacy-RL zu Recht als „ernsthafte Verletzung der Privatsphäre“ bezeichnet wird, unterscheidet sich dabei nicht. Beiden ist der heimliche Zugriff auf das Endgerät mit dem Ziel gemein, Informationen aus der Privatsphäre des Nutzers zu gewinnen. Ein rechtliches Vorgehen aus Eigentums- oder Besitzschutzrecht in Form von negatorischen und possessorischen Ansprüchen liegt daher nahe, wie es bereits vor Jahrzehnten von Hoeren vorgeschlagen (DuD 1998, 277 ff.; BeckOK BGB/Fritzsche, 68. Ed. 1.8.2023, BGB § 858 Rn. 10) und vom OLG Dresden (MMR 2021, 813) angenommen wurde.
Der Kläger in Amsterdam wählte jedoch zunächst einen freundlichen Weg, der sich leider als fruchtlos herausstellte: Auf seine Bitte, Auskunft zu erteilen, seine Daten zu löschen und ihn künftig nicht mehr ohne Einwilligung zu „tracken“, erhielt er zunächst keine Antwort. Criteo selbst genehmigte sich nach einer Woche eine Verlängerung der Frist zur Beantwortung um glatte zwei Monate und teilte dem Betroffenen mit, dass seinem Wunsch nach rechtskonformem Handeln seitens Criteo S.A. nicht nachgekommen werden könne, da man keine Kontrolle habe, welche der Partner-Webseiten und Apps rechtskonforme Einwilligungserklärungen einholen würden.
Das Verhalten von Criteo nicht goutierend, beantragte der Kläger sodann einstweiligen Rechtsschutz, gerichtet auf Unterlassung, Auskunft und Löschung seiner Daten. Criteo lieferte zwischenzeitlich eine rudimentäre Auskunft in einer Excel-Tabelle, in der die Cookie-Identifier sowie Listen von Empfängerkategorien, nicht jedoch konkrete Empfänger aufgelistet wurden. Dies wirft neun Monate nach der klaren Entscheidung des EuGH in der Rs. Österreichische Post (ZD 2023, 271) die Frage nach dem Reifegrad des Datenschutzmanagements bei Criteo insgesamt auf.
Das Gericht entschied in erster Instanz zunächst wenig überraschend, dass es sich bei Criteo und seinen Werbepartnernetzwerken um gemeinsame Verantwortliche nach Art. 26 DS-GVO handelt, was angesichts der EuGH-Entscheidung in der Rs. Fashion ID (ZD 2019, 455 mAnm Hanloser) auf der Hand liegt. Auch müsse nicht etwa der Kläger Maßnahmen ergreifen, um Tracking zu verhindern, wie Criteo behauptete, sondern Criteo müsse selbstständig und präventiv kontrollieren, dass seine Partner sich rechtskonform verhalten, insbesondere eine informierte Einwilligung der Nutzer abfragen.
Das Berufungsgericht bestätigte den aus der Rechtsverletzung fließenden Unterlassungsanspruch und insbesondere auch ein „dringendes Interesse“, das im einstweiligen Rechtsschutz erforderlich ist. Das Platzieren von Tracking-Cookies ohne Einwilligung sei ein Eingriff in europäische Grundrechte des Klägers aus Art. 7, 8 und 16 GRCh. Das Verhalten von Criteo lasse auch zu Recht Wiederholung und Fortsetzung des rechtswidrigen Verhaltens befürchten. Dies ergebe sich bereits aus dem Geschäftsmodell von Criteo, das eine enorme Gefahr von Rechtsverletzungen in sich berge.
Marktteilnehmer, so das Gericht explizit, sollen nicht aus kommerziellen Gründen europäische Grundrechte verletzen dürfen. Insgesamt müssten wirtschaftliche Einwände von Criteo, insbesondere die hohen Kosten für Compliance, zurückstehen, denn es ist Pflicht des Unternehmens, sein Geschäftsmodell unter Einhaltung geltenden Rechts zu organisieren.
In Amsterdam war die Geduld des Klägers offenbar derart erschöpft, dass sich dieser nicht mehr an der Nase herumführen lassen wollte, Rechtsschutz bei Gericht suchte und auch fand. In Deutschland ist § 25 TTDSG durchaus Gegenstand gerichtlicher Auseinandersetzungen (grundlegend: LG München I ZD 2023, 223; zuletzt: OLG Köln Urt. v. 3.11.2023 - 6 U 58/23), allerdings noch selten im einstweiligen Rechtsschutz.
Doch die beiden Urteile aus Amsterdam legen nahe, dass auch vor deutschen Gerichten der Begriff „effektiver Rechtsschutz“ aus Art. 47 GRCh sowie Art. 79 DS-GVO ernst genommen werden sollte. Angesichts der zu erwartenden Prozesswelle in den Niederlanden, die beim Thema Kollektivklagen auch ohne europäische Vorgaben weit vorangeschritten sind, sowie der in allen europäischen Mitgliedstaaten anstehenden Umsetzung der RL (EU) 2020/1828 (Verbandsklage-RL) in nationales Recht und der damit einhergehenden Stärkung kollektiver Rechtsdurchsetzung mag der eine oder andere unfaire Spieler im Bereich Werbetracking weiche Knie bekommen.
„Wer Butter auf dem Kopf hat, sollte die Sonne meiden“, lautet ein guter Rat in der niederländischen Sprache an die Industrie, die es sich bislang im Schatten der ePrivacy-RL bequem gemacht hat. In der Lingua Franca unserer modernen Welt könnte der Rat an diese Industrie lauten: Shape up or ship out.