Vor kurzem wurde Criteo, ein auf Retargeting und personalisierte Werbung spezialisiertes Unternehmen, von der französischen Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) eine Geldstrafe von 40 Millionen Euro auferlegt. Die Strafe wurde aufgrund mehrerer Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) verhängt. Dieser Blogbeitrag gibt einen Überblick über die von der CNIL festgestellten Verstöße.
Hintergrund
Criteo verwendet einen verhaltensorientierten Retargeting-Ansatz, bei dem die Online-Aktivitäten der Nutzer verfolgt werden, um personalisierte Werbung anzuzeigen. Durch das Sammeln von Browsing-Daten mit Hilfe seines Tracking-Tools, dem Criteo-Tracker (Cookie), analysiert das Unternehmen die Browsing-Gewohnheiten der Nutzer, um die relevantesten Anzeigen für einzelne Nutzer zu ermitteln. Die Online-Werbefirma nimmt dann an Echtzeitgeboten teil und zeigt personalisierte Werbung an, wenn sie den Zuschlag erhält.
DSGVO-Verstöße
Versäumnis, die Zustimmung nachzuweisen: Criteo hat es versäumt, sicherzustellen, dass die Nutzer ihre Zustimmung zur Platzierung des Trackers auf ihren Geräten gegeben haben. Die CNIL entdeckte Fälle, in denen der Criteo-Tracker von mehreren Partnern des Unternehmens ohne Zustimmung der Nutzer eingesetzt wurde.
Mangel an Information und Transparenz: Die Datenschutzpolitik von Criteo wurde als unvollständig und unklar in Bezug auf die beabsichtigten Zwecke der Datenverarbeitung befunden. Einige Zwecke wurden nur vage formuliert, so dass die Nutzer nicht vollständig verstehen konnten, welche personenbezogenen Daten zu welchen Zwecken verwendet wurden.
Nichteinhaltung des Rechts auf Auskunft: Criteo erfüllte das Auskunftsrecht der Nutzer nicht in angemessener Weise. Wenn Einzelpersonen Zugang zu ihren personenbezogenen Daten beantragten, stellte das Unternehmen nur Daten aus einer Teilmenge seiner Datenbanktabellen zur Verfügung und gab die Informationen aus anderen relevanten Tabellen nicht preis.
Nichteinhaltung des Rechts auf Widerruf der Einwilligung und Löschung von Daten: Als die Nutzer von ihrem Recht Gebrauch machten, ihre Einwilligung zu widerrufen oder die Löschung ihrer Daten zu verlangen, stellte Criteo die Anzeige personalisierter Werbung ein, versäumte es jedoch, die dem Nutzer zugewiesene Kennung zu entfernen oder die damit zusammenhängenden Browsing-Ereignisse zu löschen.
Fehlende Vereinbarung zwischen den gemeinsam für die Verarbeitung Verantwortlichen: Die Vereinbarungen zwischen Criteo und seinen Partnern enthielten keine spezifischen Verpflichtungen in Bezug auf die Anforderungen der DSGVO, wie z. B. die Rechte der betroffenen Personen, die Benachrichtigung über Datenschutzverletzungen oder Folgenabschätzungen.
Verhängte Sanktionen
In Anbetracht des Ausmaßes der Verstöße verhängte die CNIL gegen Criteo eine Geldstrafe in Höhe von 40 Millionen Euro. Die Entscheidung wurde allen 29 europäischen Aufsichtsbehörden zur Genehmigung vorgelegt und folgt damit dem One-Stop-Shop-Mechanismus der Datenschutz-Grundverordnung.
Abhilfemaßnahmen von Criteo
Als Reaktion auf die Verstöße hat Criteo Schritte unternommen, um die von der CNIL aufgeworfenen Probleme zu lösen. Das Unternehmen hat Maßnahmen ergriffen, um eine gültige Einholung von Einwilligungen durch seine Partner zu gewährleisten, und eine Klausel zum Nachweis der Einwilligung in seine Partnerverträge aufgenommen. Außerdem hat der Marketing-Anbieter seine Datenschutzrichtlinien überarbeitet, um umfassende Informationen, eine vereinfachte Sprache und klare Erläuterungen zu den Zwecken der Datenverarbeitung aufzunehmen. Criteo verpflichtet sich nun, bei der Beantwortung von Auskunftsersuchen alle verfügbaren Daten zur Verfügung zu stellen, und hat Verfahren eingeführt, mit denen die Nutzer ihr Recht auf Widerruf der Einwilligung und auf Löschung der Daten ausüben können.
Fazit
Die Durchsetzungsmaßnahmen der CNIL gegen Criteo zeigen, wie wichtig es ist, die Vorschriften der Datenschutz-Grundverordnung einzuhalten, insbesondere in Bezug auf Einwilligung, Transparenz und Rechte der Betroffenen. Die gegen Criteo verhängte beträchtliche Geldstrafe soll Unternehmen daran erinnern, dass die Nichteinhaltung dieser Verpflichtungen zu erheblichen finanziellen Sanktionen führen kann. Da Datenschutzbelange in der digitalen Landschaft weiterhin im Mittelpunkt stehen, müssen Unternehmen dem Datenschutz Priorität einräumen und solide Maßnahmen ergreifen, um die Einhaltung der geltenden Datenschutzgesetze zu gewährleisten.
26. Juni 2023 @ 17:11
Was heißt das denn für mich als Webseitenbetreiber? Ich nutze Criteo, hole mir zuvor auch eine Einwilligung des Nutzers ein. In der Datenschutzerklärung informiere ich transparent hierüber.
Gibt es noch etwas zu beachten?
29. Juni 2023 @ 9:35
Für die genannten Datenschutzverletzungen ist überwiegend Criteo allein verantwortlich. Criteo hat zudem angekündigt Rechtsmittel gegen den Beschluss einzulegen. Ein unmittelbares Sanktionsrisiko, dass sich direkt aus der Rechtsansicht der CNIL ableiten lässt, besteht daher für Webseitenbetreiber derzeit wohl nur, wenn wegen des Fehlens einer Vereinbarung nach Art. 26 DSGVO zur Gemeinsamen Verantwortung gegen den Webseitenbetreiber vorgegangen wird. Sie könnten daher prüfen welche vertragliche Vereinbarung mit Criteo besteht.