Die franzoesische Datenschutzbehoerde (CNIL) hat das Ad-Tech-Unternehmen Criteo mit einem Bussgeld von 40 Millionen Euro belegt, weil es versaeumt hat, eine gueltige Nutzereinwilligung fuer Tracking-Cookies sicherzustellen. Niederlaendische Gerichte haben separate Urteile gegen das Unternehmen erlassen. Diese Entscheidungen begruenden eine potenziell transformative Rechtsdoktrin: Ad-Tech-Anbieter koennen dafuer haftbar gemacht werden, wie ihre Partner Tracking-Tools einsetzen, selbst wenn diese Partner fuer die Einholung der Einwilligung verantwortlich sind.

Das Problem der derzeitigen Verantwortlichkeit

Es ist gaengige Praxis, dass Ad-Tech- und Analytics-Anbieter die Einwilligungspflichten auf ihre Kunden abwaelzen -- die Websites, die die Tracking-Tools einsetzen. Wenn die Einwilligung fehlt oder ungueltig ist, traegt die einzelne Website die rechtliche Verantwortung, nicht der Technologieanbieter. Dies schafft ein System, in dem Anbieter invasive Tracking-Infrastruktur ueber Millionen von Websites bereitstellen, aber keine Konsequenzen tragen, wenn diese Infrastruktur systematisch missbraucht wird.

Das Ergebnis ist ein Internet, in dem illegales Tracking allgegenwaertig ist, eine wirksame Durchsetzung jedoch unpraktisch bleibt, weil Aufsichtsbehoerden und Einzelpersonen nur einzelne Websites in einem endlosen Durchsetzungsspiel verfolgen koennen.

Die "Criteo-Doktrin"

Die CNIL und niederlaendische Gerichte haben festgestellt, dass gemeinsam Verantwortliche die Compliance-Pflichten nicht so aufteilen duerfen, dass der Schutz der Privatsphaere systematisch versagt. Waehrend die DSGVO gemeinsam Verantwortlichen erlaubt, Pflichten durch Vereinbarungen aufzuteilen, erfordert dieser Ermessensspielraum eine Aufteilung, die in der Praxis tatsaechlich funktioniert.

Criteo wurde fuer Cookies haftbar gemacht, die von seinen Partner-Websites gesetzt wurden, weil das Unternehmen es versaeumt hat, angemessene Schritte zu unternehmen, um zu ueberpruefen, ob die Einwilligung ordnungsgemaess eingeholt wurde. Statt Partner-Zusicherungen einfach zu akzeptieren, verlangen die Urteile von Anbietern, ihre Partner zu pruefen und Mechanismen zur Sicherstellung der Compliance zu implementieren.

Auswirkungen auf die Ad-Tech- und Analytics-Branche

Wenn diese Argumentation auf europaeischer Ebene Fuss fasst, muessten grosse Analytics- und Werbeanbieter aktiv sicherstellen, dass ihre Tools nicht systematisch ohne gueltige Einwilligung eingesetzt werden. Dies koennte automatisierte Compliance-Pruefungen, Anforderungen an die Einwilligungsdokumentation und Partner-Auditierungsprozesse umfassen.

Vor allem koennten Verbraucher und Datenschutzbeauftragte Technologieanbieter direkt zur Verantwortung ziehen, anstatt gezwungen zu sein, einzelne Websites zu verfolgen. Die CNIL ist eine angesehene Behoerde, deren Entscheidungen haeufig andere Regulierungsbehoerden beeinflussen, was es plausibel macht, dass diese Doktrin ueber Frankreich und die Niederlande hinaus Verbreitung finden wird.