Criteo-Bußgeld bestätigt: 40 Millionen Euro wegen DSGVO-Verstößen

Der französische Werbetechnologie-Konzern Criteo muss 40 Millionen Euro Bußgeld zahlen. Der Conseil d’État hat die Berufung des Unternehmens gegen die Entscheidung der französischen Datenschutzbehörde CNIL abgewiesen und das Urteil damit rechtskräftig bestätigt. Auslöser waren Beschwerden der Datenschutzorganisationen noyb und Privacy International aus dem Jahr 2018.

Hintergrund: Wer ist Criteo?

Criteo ist ein in Frankreich ansässiges Unternehmen, das auf Tausenden von Websites sogenannte Behavioral-Retargeting-Dienste betreibt. Das Funktionsprinzip: Über Tracking-Cookies werden Surfgewohnheiten von Nutzern analysiert, um darauf basierend zielgerichtete Werbung auszusteuern. Nach eigenen Angaben verfügt Criteo über Daten von rund 370 Millionen Menschen in Europa.

Von der Beschwerde zur Untersuchung

Im Dezember 2018 reichten noyb und Privacy International Beschwerde gegen Criteo ein – der zentrale Vorwurf: Das Unternehmen ermöglichte es Nutzern nicht in ausreichendem Maße, eine einmal erteilte Einwilligung zu widerrufen.

Die CNIL nahm die Beschwerde zum Anlass für eine umfassende Prüfung des Geschäftsmodells. Dabei wurden weitere Verstöße gegen die DSGVO festgestellt:

• Mangelnde Transparenz gegenüber Betroffenen
• Nichteinhaltung des Rechts auf Löschung
• Verstöße gegen das Auskunftsrecht
• Fehlender Nachweis einer wirksamen Einwilligung

Pseudonyme Kennungen als personenbezogene Daten

Vor dem Conseil d’État stritt Criteo unter anderem darum, ob pseudonyme Identifikatoren überhaupt als personenbezogene Daten einzustufen sind. Das Unternehmen argumentierte, es verfüge nicht über alle Informationen, die für eine Reidentifizierung der betroffenen Personen erforderlich wären.

Das Gericht folgte dieser Argumentation nicht. Seine Position: Daten gelten nur dann als anonymisiert, wenn das Risiko einer Wiedererkennung in der Praxis nicht realisierbar ist. Im Fall von Criteo könne angesichts des Verarbeitungszwecks – das Ausspielen personalisierter Werbung – eine große Datenmenge mit einzelnen Kennungen abgeglichen werden. Zudem hatte Criteo selbst eingeräumt, dass eine Identifizierung bestimmter Personen technisch nicht ausgeschlossen sei. Der Conseil d’État wertete die verwendeten Kennungen daher als personenbezogene Daten im Sinne der DSGVO.

Bedeutung über den Einzelfall hinaus

Das Urteil fällt in eine Phase, in der auf EU-Ebene über eine Reform des Datenschutzrahmens diskutiert wird. Im Rahmen des sogenannten „Digital Omnibus„-Pakets der Europäischen Kommission ist eine Neudefinition des Begriffs personenbezogener Daten im Gespräch. Kritiker aus Fachkreisen sehen darin eine Einschränkung des DSGVO-Anwendungsbereichs, die insbesondere Anbietern von verhaltensbasiertem Online-Tracking zugutekommen könnte.

Das Bußgeld gegen Criteo wurde von allen europäischen Datenschutzbehörden mitgetragen.

Entdecke mehr

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk