{"id":1663,"date":"2023-07-03T12:54:44","date_gmt":"2023-07-03T10:54:44","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1663"},"modified":"2023-07-03T12:54:45","modified_gmt":"2023-07-03T10:54:45","slug":"frankreich-verhaengt-40-millionen-bussgeld-gegen-adtech-unternehmen-criteo","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1663&lang=de","title":{"rendered":"Frankreich verh\u00e4ngt 40-Millionen-Bu\u00dfgeld gegen Adtech-Unternehmen Criteo"},"content":{"rendered":"\n

Die franz\u00f6sische Datenschutzbeh\u00f6rde CNIL hat ihr bereits seit Ende 2018 laufendes Pr\u00fcfverfahren gegen franz\u00f6sische Adtech-Unternehmen Criteo abgeschlossen und aufgrund mehrerer festgestellter Datenschutzverst\u00f6\u00dfe\u00a0ein Bu\u00dfgeld in H\u00f6he von 40 Millionen Euro verh\u00e4ngt. Hintergrund des Verfahrens waren von Privacy International und NOYB eingereichte Beschwerden, welche sich auf die offenbar mangelhafte M\u00f6glichkeit zum Widerruf einmal erteilter Onlinewerbe-Einwilligungen bei Criteo bezogen. Die CNIL nahm die Beschwerden zum Anlass, eine umfangreiche Pr\u00fcfung des Unternehmens durchzuf\u00fchren und bezog insofern auch andere Aspekte der DSGVO-Compliance des Unternehmens mit ein.

Zum Hintergrund: <\/strong>Criteo ist ein bekanntes Unternehmen aus der Onlinemarketing-Branche, welches sich auf Retargeting-Dienste spezialisiert hat. Besuchen Nutzer Websites von Criteo-Partnern, erfasst ein Tracker die Browser-Daten der Nutzer. Hierdurch kann das Unternehmen das Surfverhalten der Nutzer analysieren und ihnen im Auftrag seiner Kunden so auf sie abgestimmte, personalisierte Werbung anzeigen.
Folgende Verst\u00f6\u00dfe, f\u00fcr welche Criteo bereits Abhilfema\u00dfnahmen getroffen haben soll, wurden von der CNIL festgestellt:<\/p>\n\n\n\n

  1. Versto\u00df gegen die Nachweispflicht der Einwilligung<\/strong>
    Criteo habe in der Vergangenheit weder gepr\u00fcft noch sichergestellt, dass seine Daten-Partner von den betroffenen Nutzern wirksame Einwilligungen f\u00fcr den Einsatz des Criteo-Trackers einholen. Insbesondere wurde festgestellt, dass einige Partnerunternehmen den Criteo-Tracker komplett ohne Einwilligungs-Mechanismus einsetzten. <\/li>
  2. Versto\u00df gegen die Informations- und Transparenzpflicht<\/strong>
    Die Datenschutzerkl\u00e4rung von Criteo f\u00fchrte einige Verarbeitungszwecke gar nicht auf. Auch waren einige Verarbeitungsvorg\u00e4nge nur vage beschrieben, sodass Nutzer nicht verstehen konnten, welche Daten f\u00fcr welche Zwecke verarbeitet werden.<\/li>
  3. Missachtung von Auskunftsanfragen<\/strong>
    Auskunftsanfragen von Nutzern wurden von Criteo nur unvollst\u00e4ndig und f\u00fcr Nutzer nicht verst\u00e4ndlich beantwortet.  <\/li>
  4. Nichtbeachtung des Widerrufsrechts und des Rechts auf L\u00f6schung<\/strong>
    Widerriefen Betroffene ihre Einwilligung oder baten um L\u00f6schung ihrer personenbezogenen Daten, wurde von Criteo die Ausspielung personalisierter Werbung f\u00fcr diese Betroffenen zwar eingestellt, allerdings wurden weder die der Person zugewiesene Tracking-ID noch die mit ihr verbundenen personenbezogenen Daten wirksam gel\u00f6scht.<\/li>
  5. Versto\u00df gegen die Pflicht des Abschlusses einer Vereinbarung zwischen gemeinsam Verantwortlichen (Joint Controller Agreement)<\/strong>
    Die zwischen Criteo und seinen Partnern geschlossene Vereinbarung wies M\u00e4ngel in Bezug auf die Spezifizierung der datenschutzrechtlichen Pflichten der f\u00fcr die Verarbeitung Verantwortlichen auf, etwa im Hinblick auf die Aus\u00fcbung von Betroffenenrechten.<\/li><\/ol>\n\n\n\n

    Welche Bedeutung hat der Fall f\u00fcr Unternehmen aus der Online-Branche \u2013 und dar\u00fcber hinaus?<\/strong>
     <\/p>\n\n\n\n

    Der Fall zeigt, wie aus einer vergleichsweise kleinen Pr\u00fcfung eine weitreichende \u00dcberpr\u00fcfung der datenschutzrechtlichen Dokumentation und Umsetzung im Unternehmen werden konnte. <\/p>\n\n\n\n


    Der datenschutzrechtlichen Compliance muss im Unternehmen deshalb Priorit\u00e4t einger\u00e4umt und sie muss umfassend gedacht werden, um so vor Bu\u00dfgeldern gewappnet zu sein. 

    Unternehmen aus der Online-Branche sollten sich die einzelnen Punkte genauer ansehen und ihre Umsetzung bei sich \u00fcberpr\u00fcfen. Wir als Ihr ePrivacy-Team beraten und unterst\u00fctzen Sie hierbei gern.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Die franz\u00f6sische Datenschutzbeh\u00f6rde CNIL hat ihr bereits seit Ende 2018 laufendes Pr\u00fcfverfahren gegen franz\u00f6sische Adtech-Unternehmen Criteo abgeschlossen und aufgrund mehrerer festgestellter Datenschutzverst\u00f6\u00dfe\u00a0ein<\/p>\n

    Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1663"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1663"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1663\/revisions"}],"predecessor-version":[{"id":1664,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1663\/revisions\/1664"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1663"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1663"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1663"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}