Online-Werber muss 40 Millionen Euro Bußgeld zahlen
Wie die französische Datenschutzbehörde CNIL informiert, ist CRITEO auf „Behavioral Retargeting“ spezialisiert, das darin besteht, die Navigation von Internetnutzern zu verfolgen, um personalisierte Werbung anzuzeigen. Zu diesem Zweck erfasst das Unternehmen die Surfdaten der Internetnutzer mithilfe eines Trackers (Cookies), der auf ihren Endgeräten platziert wird, wenn sie bestimmte Websites von CRITEO-Partnern besuchen. Mithilfe dieses Trackers analysiert das Unternehmen die Surfgewohnheiten, um festzustellen, für welchen Werbetreibenden und für welches Produkt es am relevantesten wäre, einem bestimmten Benutzer eine Werbung anzuzeigen. Anschließend nimmt es an Echtzeitausschreibungen teil und zeigt personalisierte Werbung an, wenn es den Zuschlag erhalten hat.
Aufgrund von Beschwerden führte die CNIL mehrere Untersuchungen gegen CRITEO durch und stellte mehrere Verstöße fest, die insbesondere das Fehlen von Beweisen für die Einwilligung von Einzelpersonen in die Verarbeitung ihrer Daten, Informationen und Transparenz sowie die Achtung der Rechte von Einzelpersonen betrafen.
Daraufhin verhängte der engere Ausschuss – das für die Verhängung von Sanktionen zuständige Gremium der CNIL – eine Geldstrafe von 40 Millionen Euro gegen CRITEO. Um die Höhe der Strafe festzulegen, berücksichtigte die CNIL insbesondere die Tatsache, dass die fragliche Verarbeitung eine sehr große Anzahl von Personen betraf (das Unternehmen verfügt über Daten zu etwa 370 Millionen Identifikatoren in der gesamten Europäischen Union).
Gemäß der durch die Datenschutz-Grundverordnung (DSGVO) geschaffenen zentralen Anlaufstelle wurde diese Entscheidung allen anderen 29 europäischen Aufsichtsbehörden vorgelegt, da diese alle von diesem grenzüberschreitenden Fall betroffen waren und diese alle genehmigten.
Die CNIL stellte unter anderem diese Verstöße gegen die DSGVO fest:
Der CRITEO-Tracker (Cookie) wurde von mehreren Partnern des Unternehmens ohne deren Zustimmung auf den Endgeräten von Internetnutzern abgelegt.
Die Datenschutzerklärung des Unternehmens war unvollständig, darüber hinaus waren einige der Zwecke vage und weit gefasst, sodass der Nutzer nicht genau nachvollziehen konnte, welche personenbezogenen Daten zu welchen Zwecken verwendet wurden.
Wenn Einzelpersonen von ihrem Auskunftsrecht Gebrauch machten, übermittelte ihnen das Unternehmen unvollständige Daten in Tabellenform und stellte keine ausreichenden Informationen zur Verfügung, um deren Inhalt nachvollziehen zu können.
Wenn eine Person von ihrem Recht Gebrauch macht, ihre Einwilligung zu widerrufen oder ihre Daten zu löschen, wurde lediglich die Anzeige personalisierter Werbung für den Benutzer gestoppt. Weder die der Person zugewiesene Kennung noch die mit dieser Kennung verbundene Surfhistorie wurden gelöscht.
Criteo hält Sanktion für „unverhältnismäßig“
Criteo hat den finalen Sanktionsbescheid zur Kenntnis genommen und beabsichtigt, vor den zuständigen Gerichten Berufung einzulegen. In einer Stellungnahme gegenüber der zm vom 27. Juni 2023 heißt es, „die CNIL hat die Höhe der Sanktion von den ursprünglich angelegten 60 Millionen Euro auf 40 Millionen Euro herabgesetzt. Die finale Sanktion bleibt jedoch mit Blick auf die vermeintlichen Verstöße völlig unverhältnismäßig und entspricht nicht der gängigen Marktpraxis in solchen Sachverhalten.“ Zudem ist das Unternehmen der Auffassung, dass eine Reihe von Auslegungen und Anwendungen der DSGVO durch die CNIL weder der Rechtsprechung des Europäischen Gerichtshofs noch den eigenen Leitlinien der CNIL entsprechen.
„Wir bleiben der Ansicht vorher getroffener Statements, dass die von der CNIL erhobenen Vorwürfe weder ein Risiko für Einzelpersonen noch einen Schaden für sie beinhalten. Criteo sieht sich dem Schutz der Privatsphäre und der Daten der Nutzer absolut verpflichtet und verwendet folglich in seinen Geschäftsaktivitäten einzig vollständig pseudonymisierte, nicht direkt identifizierbare und nicht-sensible Daten.“ Der Entscheid beziehe sich zudem auf vergangene Sachverhalte „und enthält keinerlei Verpflichtung für Criteo die aktuellen Geschäftspraktiken anzupassen.“ Man werde auch weiterhin die höchsten Standards in diesem Bereich wahren und „weltweit gänzlich transparent sowie regelkonform operieren“.