Die französische Datenschutzbehörde CNIL hat ihr bereits seit Ende 2018 laufendes Prüfverfahren gegen französische Adtech-Unternehmen Criteo abgeschlossen und aufgrund mehrerer festgestellter Datenschutzverstöße ein Bußgeld in Höhe von 40 Millionen Euro verhängt. Hintergrund des Verfahrens waren von Privacy International und NOYB eingereichte Beschwerden, welche sich auf die offenbar mangelhafte Möglichkeit zum Widerruf einmal erteilter Onlinewerbe-Einwilligungen bei Criteo bezogen. Die CNIL nahm die Beschwerden zum Anlass, eine umfangreiche Prüfung des Unternehmens durchzuführen und bezog insofern auch andere Aspekte der DSGVO-Compliance des Unternehmens mit ein.
Zum Hintergrund: Criteo ist ein bekanntes Unternehmen aus der Onlinemarketing-Branche, welches sich auf Retargeting-Dienste spezialisiert hat. Besuchen Nutzer Websites von Criteo-Partnern, erfasst ein Tracker die Browser-Daten der Nutzer. Hierdurch kann das Unternehmen das Surfverhalten der Nutzer analysieren und ihnen im Auftrag seiner Kunden so auf sie abgestimmte, personalisierte Werbung anzeigen.
Folgende Verstöße, für welche Criteo bereits Abhilfemaßnahmen getroffen haben soll, wurden von der CNIL festgestellt:
- Verstoß gegen die Nachweispflicht der Einwilligung
Criteo habe in der Vergangenheit weder geprüft noch sichergestellt, dass seine Daten-Partner von den betroffenen Nutzern wirksame Einwilligungen für den Einsatz des Criteo-Trackers einholen. Insbesondere wurde festgestellt, dass einige Partnerunternehmen den Criteo-Tracker komplett ohne Einwilligungs-Mechanismus einsetzten. - Verstoß gegen die Informations- und Transparenzpflicht
Die Datenschutzerklärung von Criteo führte einige Verarbeitungszwecke gar nicht auf. Auch waren einige Verarbeitungsvorgänge nur vage beschrieben, sodass Nutzer nicht verstehen konnten, welche Daten für welche Zwecke verarbeitet werden. - Missachtung von Auskunftsanfragen
Auskunftsanfragen von Nutzern wurden von Criteo nur unvollständig und für Nutzer nicht verständlich beantwortet. - Nichtbeachtung des Widerrufsrechts und des Rechts auf Löschung
Widerriefen Betroffene ihre Einwilligung oder baten um Löschung ihrer personenbezogenen Daten, wurde von Criteo die Ausspielung personalisierter Werbung für diese Betroffenen zwar eingestellt, allerdings wurden weder die der Person zugewiesene Tracking-ID noch die mit ihr verbundenen personenbezogenen Daten wirksam gelöscht. - Verstoß gegen die Pflicht des Abschlusses einer Vereinbarung zwischen gemeinsam Verantwortlichen (Joint Controller Agreement)
Die zwischen Criteo und seinen Partnern geschlossene Vereinbarung wies Mängel in Bezug auf die Spezifizierung der datenschutzrechtlichen Pflichten der für die Verarbeitung Verantwortlichen auf, etwa im Hinblick auf die Ausübung von Betroffenenrechten.
Welche Bedeutung hat der Fall für Unternehmen aus der Online-Branche – und darüber hinaus?
Der Fall zeigt, wie aus einer vergleichsweise kleinen Prüfung eine weitreichende Überprüfung der datenschutzrechtlichen Dokumentation und Umsetzung im Unternehmen werden konnte.
Der datenschutzrechtlichen Compliance muss im Unternehmen deshalb Priorität eingeräumt und sie muss umfassend gedacht werden, um so vor Bußgeldern gewappnet zu sein.
Unternehmen aus der Online-Branche sollten sich die einzelnen Punkte genauer ansehen und ihre Umsetzung bei sich überprüfen. Wir als Ihr ePrivacy-Team beraten und unterstützen Sie hierbei gern.