Die französische Datenschutzbehörde (CNIL) hat Criteo, ein großes Unternehmen für Online-Werbung und Tracking in Europa, wegen Verstößen gegen die DSGVO mit einer Geldstrafe von 40 Millionen Euro belegt. Diese Entscheidung basiert auf Beschwerden, die von der vom Österreicher Max Schrems gegründeten Datenschutz-Organisation Noby und Privacy International im Dezember 2018 eingereicht wurden.
Die CNIL stellte fest, dass das Unternehmen die Rechte der betroffenen Personen gemäß der DSGVO nicht einhielt und nicht nachweisen konnte, dass es eine gültige Einwilligung erhalten hatte.
Daten von 370 Millionen Europäern
Der französische Datenkonzern bietet auf Tausenden von Websites "Behavioral Retargeting"-Dienste an. Zu diesem Zweck platziert das Unternehmen Tracking-Cookies auf Websites, um die Surfgewohnheiten der User zu analysieren. Dabei stellt es fest, welche Produkte und Dienstleistungen diese Person interessieren könnte. Das Unternehmen verfügt über die Daten von rund 370 Millionen Menschen in Europa.
Die Organisationen reichten die Beschwerde ein, weil das Unternehmen den Nutzer:innen keine angemessene Möglichkeit zum Widerruf der Einwilligung gegeben hatte. Die CNIL weitete die Untersuchung auch auf andere Bereiche aus und stellte weitere Verstöße gegen die DSGVO fest: unter anderem mangelnde Transparenz, Nichteinhaltung des Rechts auf Löschung und Verstöße gegen das Rechts auf Auskunft.
Romain Robert, Datenschutzanwalt bei Noyb, ist vom Ergebnis angetan: "Die Entscheidung ist ein starkes Signal an die Ad-Tech-Branche, dass sie bei Verstößen gegen das Gesetz mit ernsten Konsequenzen rechnen muss."
Criteos Reaktion: "Völlig unverhältnismäßig"
Ryan Damon, Chief Legal Officer bei Criteo, reagiert auf LEADERSNET-Anfrage mit folgendem Statement: “Criteo hat den finalen Sanktionsbescheid der CNIL (…) zur Kenntnis genommen und beabsichtigt vor den zuständigen Gerichten Berufung einzulegen. Die CNIL hat die Höhe der Sanktion von den ursprünglich angelegten vorgesehenen 60 Millionen Euro auf 40 Millionen Euro herabgesetzt. Die finale Sanktion bleibt jedoch mit Blick auf die vermeintlichen Verstöße völlig unverhältnismäßig und entspricht nicht der gängigen Marktpraxis in solchen Sachverhalten. Zudem sind wir der Auffassung, dass eine Reihe von Auslegungen und Anwendungen der DSGVO durch die CNIL weder der Rechtsprechung des Europäischen Gerichtshofs noch den eigenen Leitlinien der CNIL entsprechen. Wir bleiben der Ansicht vorher getroffener Statements, dass die von der CNIL erhobenen Vorwürfe weder ein Risiko für Einzelpersonen noch einen Schaden für sie beinhalten. Criteo sieht sich dem Schutz der Privatsphäre und der Daten der Nutzer absolut verpflichtet und verwendet folglich in seinen Geschäftsaktivitäten einzig vollständig pseudonymisierte, nicht direkt identifizierbare und nicht-sensible Daten."
Keine Anpassungen, kein weiteres Statement
Weiters hält das Unternehmen fest, dass der Entscheid sich auf vergangene Sachverhalte beziehe und keinerlei Verpflichtung enthalte, die aktuellen Geschäftspraktiken anzupassen. "Auf das Dienstleistungsniveau und die Performance, die wir unseren Kunden bieten, hat er keine Auswirkungen. Wir werden auch weiterhin die höchsten Standards in diesem Bereich wahren und weltweit gänzlich transparent sowie regelkonform operieren. Zum jetzigen Zeitpunkt geben wir keine weiteren Erklärungen ab", so Damon.
Update zum 27. Juni:
"Criteo hat den finalen Sanktionsbescheid der CNIL vom 21. Juni 2023 zur Kenntnis genommen und beabsichtigt, vor den zuständigen Gerichten Berufung einzulegen. Die CNIL hat die Höhe der Sanktion von den ursprünglich angelegten 60 Millionen Euro auf 40 Millionen Euro herabgesetzt. Die finale Sanktion bleibt jedoch mit Blick auf die vermeintlichen Verstöße völlig unverhältnismäßig und entspricht nicht der gängigen Marktpraxis in solchen Sachverhalten. Zudem sind wir der Auffassung, dass eine Reihe von Auslegungen und Anwendungen der DSGVO durch die CNIL weder der Rechtsprechung des Europäischen Gerichtshofs noch den eigenen Leitlinien der CNIL entsprechen. Wir bleiben der Ansicht vorher getroffener Statements, dass die von der CNIL erhobenen Vorwürfe weder ein Risiko für Einzelpersonen noch einen Schaden für sie beinhalten. Criteo sieht sich dem Schutz der Privatsphäre und der Daten der Nutzer absolut verpflichtet und verwendet folglich in seinen Geschäftsaktivitäten einzig vollständig pseudonymisierte, nicht direkt identifizierbare und nicht-sensible Daten. Der Entscheid bezieht sich auf vergangene Sachverhalte und enthält keinerlei Verpflichtung für Criteo die aktuellen Geschäftspraktiken anzupassen; auf das Dienstleistungsniveau und die Performance, die wir unseren Kunden bieten, hat er keine Auswirkungen. Wir werden auch weiterhin die höchsten Standards in diesem Bereich wahren und weltweit gänzlich transparent sowie regelkonform operieren. Zum jetzigen Zeitpunkt geben wir keine weiteren Erklärungen ab", erläutert Ryan Damon, Chief Legal Officer bei Criteo.
www.criteo.com
www.cnil.fr
Kommentar schreiben