Eine der wichtigsten Neuerungen in der Datenschutz – Grundverordnung (DSGVO), die seit dem 25.05.2018 in der gesamten Europäischen Union gilt, sind die Möglichkeiten der Aufsichtsbehörden, empfindliche Bußgelder gegen Unternehmen zu verhängen, die gegen die DSGVO verstoßen. Dies gilt insbesondere für Unternehmen, die über umfangreiche Datenbestände verfügen. Allein im Jahr 2023 wurden bislang Geldbußen von rund 1,6 Milliarden Euro verhängt.
Am 22. Juni 2023 gab auch die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL) bekannt, dass sie ein Bußgeld in Höhe von 40 Millionen Euro gegen das Unternehmen Criteo verhängt hat, welches auf Online-Werbung und Tracking spezialisiert ist. Grund für die Beschwerden gegen das französische Unternehmen waren datenschutzrechtliche Verstöße gegen die Rechte von Betroffenen, deren Einwilligung in die Verarbeitung ihrer personenbezogenen Daten nicht nachgewiesen werden konnte.
Das Wichtigste in Kürze
- Criteo sammelte große Mengen an Daten über die Konsumgewohnheiten von Internetnutzern und ermöglichte somit das Schalten von personalisierten Werbeanzeigen.
- Das Unternehmen hat nicht überprüft, ob Personen, deren personenbezogene Daten verarbeitet wurden, auch eine Einwilligung erteilt haben.
- Anlass für die Untersuchungen der Behörde bei Criteo waren Beschwerden der Organisationen Privacy International und „None of your business“ (NOYB).
Hintergrund
Criteo hat sich auf den verhaltensorientierten Ansatz des Retargetings spezialisiert, bei dem die Online-Aktivitäten der Nutzer verfolgt werden, um personalisierte Werbung zu präsentieren. Mithilfe ihres Tracking-Tools, dem Criteo-Tracker (Cookie), welches auf Webseiten von Partnern des Unternehmens eingesetzt wird, sammelt das Unternehmen Browsing-Daten und analysiert die Gewohnheiten der Nutzer, um die relevantesten Anzeigen für jeden einzelnen Nutzer zu ermitteln. Die gesammelten Daten konnten dann genutzt werden, um personalisierte Werbung zu schalten. Insbesondere konnte dem Nutzer Werbung für Produkte angezeigt werden, die ihn interessieren könnten oder die sich der Nutzer zuvor bereits angesehen hatte.
Sanktionen der französischen Datenschutzbehörde
Nachdem die Organisationen Privacy International und None of your Business (NOYB) Beschwerden eingereicht hatten, führte die französische Datenschutzbehörde umfangreiche Untersuchungen bei Criteo durch. Im Zuge dieser Untersuchungen stellte das für Sanktionen zuständige Gremium mehrere Verstöße gegen die Bestimmungen der DSGVO fest und verhängte eine Geldstrafe in Höhe von 40 Millionen Euro gegen das Unternehmen.
Die Höhe der Strafe wurde damit begründet, dass die fragliche Verarbeitung Daten von rund 370 Millionen Identifikationen aus der gesamten Europäischen Union betraf. Obwohl Criteo nicht über die Namen der Benutzer verfügte, war die CNIL der Ansicht, dass die Daten in einigen Fällen ausreichend genau waren, um Personen zu identifizieren.
Das Gremium berücksichtigte auch das Geschäftsmodell von Criteo, das darauf basiert, den Internetnutzern die relevantesten Anzeigen zur Bewerbung der Produkte ihrer Werbekunden zu präsentieren. Dies erfordert die Fähigkeit des Unternehmens, große Mengen an Daten zu sammeln und zu verarbeiten.
Schließlich gelangte die CNIL zu dem Schluss, dass die Verarbeitung personenbezogener Daten ohne nachweislich gültige Einwilligung es Criteo ermöglichte, die Anzahl der betroffenen Personen und somit auch seine finanziellen Einnahmen als Werbevermittler übermäßig zu steigern.
Im Folgenden werden einige der Verstöße genauer dargestellt.
Kein Nachweis über die Zustimmung betroffener Personen
Die französische Datenschutzbehörde kam zunächst zu dem Ergebnis, dass eine Einwilligung der betroffenen Personen für die Verwendung von Cookies zu Werbezwecken erforderlich ist. Gemäß Artikel 7 Absatz 1 der Datenschutzgrundverordnung (DSGVO) darf der Tracker-Cookie von Criteo, der für das Ausrichten von Werbung verwendet wird, nicht ohne die Einwilligung des Benutzers auf seinem Endgerät platziert werden.
Die Verantwortung für die Einholung dieser Einwilligung liegt bei den Vertragspartnern des Unternehmens, die direkt mit den Internetnutzern in Kontakt stehen. Allerdings entbindet dies Criteo nicht von seiner Verpflichtung, zu überprüfen und nachweisen zu können, dass die Internetnutzer in die Datenverarbeitung eingewilligt haben, indem sie in die Speicherung des Cookies eingewilligt haben.
Der CNIL-Ausschuss stellte zudem fest, dass Criteo zum Zeitpunkt der Untersuchungen keine Maßnahmen ergriffen hatte, um sicherzustellen, dass seine Vertragspartner die Einwilligung der Internetnutzer, deren Daten dann verarbeitet wurden, rechtmäßig eingeholt haben.
Nichteinhaltung der Informationspflicht und Transparenz
Die Untersuchungen der französischen Datenschutzbehörde ergaben weiterhin, dass die Datenschutzrichtlinie von Criteo unvollständig war, da sie im Sinne der Artikel 12 und 13 der DSGVO nicht alle beabsichtigten Verarbeitungszwecke enthielt. Dies führte dazu, dass den Benutzern nicht klar war, welche ihrer personenbezogenen Daten zu welchen Zwecken verarbeitet wurden.
Die mangelnde Transparenz in Bezug auf die Verarbeitungszwecke erschwerte es den Benutzern genau zu verstehen, wofür ihre personenbezogenen Daten genutzt wurden. Dies steht im Widerspruch zum Transparenzgebot in der DSGVO, das darauf abzielt, den Benutzern Kontrolle und Klarheit über die Verarbeitung ihrer Daten zu geben.
Nichteinhaltung des Rechts auf Widerruf der Einwilligung und Löschung von Daten
Des Weiteren wurde festgestellt, dass betroffene Personen nicht von ihrem Recht auf Widerruf der Einwilligung und Löschung personenbezogener Daten gemäß Artikel 7 Absatz 3 und Artikel 17 Absatz 1 DSGVO Gebrauch machen konnten. Obwohl den betroffenen Personen keine Werbeanzeigen mehr angezeigt wurden, behielt das Unternehmen weiterhin Identifikationsdaten der Nutzer.
Diese Praxis stellt eine eindeutige Verletzung der Rechte der betroffenen Personen dar. Gemäß der DSGVO haben Nutzer das Recht, ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten jederzeit zu widerrufen. Ihre Daten dürfen ab dem Zeitpunkt des Widerrufs nicht mehr aufgrund der Einwilligung verarbeitet werden. Darüber hinaus haben sie das Recht, die Löschung ihrer Daten zu verlangen, wenn keine rechtliche Grundlage oder berechtigte Interessen mehr für deren Verarbeitung bestehen.
Fazit
Die Durchsetzungsmaßnahmen der CNIL gegen Criteo zeigen, wie wichtig es ist, die Bestimmungen der Datenschutz-Grundverordnung einzuhalten. Insbesondere die Vorgaben der DSGVO zur Einwilligung, zur Transparenz und den Rechten der betroffenen Personen müssen strikt eingehalten werden. Die hohe Geldbuße gegen Criteo soll Unternehmen daran erinnern, dass die Nichteinhaltung dieser Verpflichtungen zu erheblichen finanziellen Sanktionen führen kann. Da Datenschutzfragen in der digitalen Welt weiterhin im Mittelpunkt stehen, müssen Unternehmen dem Datenschutz Priorität einräumen und solide Maßnahmen ergreifen, um die Einhaltung der geltenden Datenschutzgesetze zu gewährleisten.
„>