Am 15.6.2023 hat die französische Datenschutzbehörde (CNIL) eine Strafe von 40 Millionen Euro gegen die Firma Criteo verhängt. Criteo bietet Software an, um personalisierte Werbung im Internet zu zeigen. Sie nutzen ein Tool namens Criteo-Tracer, um zu verfolgen, welche Seiten die Internetnutzer besuchen. Dies hilft ihnen, später gezielte Werbung zu zeigen. Aber dieses Vorgehen verstößt gegen Datenschutzregeln.
Ein Problem war, dass Criteo nicht beweisen konnte, dass die Nutzer ihnen erlaubt haben, ihre Daten zu sammeln. Sie haben auch andere Regeln, wie Transparenz und Informationspflichten, missachtet. Nutzer sollen auch das Recht haben, ihre Daten zu sehen, diese löschen zu lassen oder der Nutzung zu widersprechen. Criteo hat gegen all diese Regeln verstoßen.
Die Entscheidung kam zustande, weil zwei Verbände, Privacy International und None of Your Business (noyb), sich beschwert haben. Sie haben die französische Datenschutzbehörde kontaktiert, weil Criteo in Frankreich sitzt. Aber das Problem betrifft nicht nur Frankreich. Criteo arbeitet auch mit Webseiten aus anderen Ländern zusammen. Deshalb haben Datenschutzbehörden aus verschiedenen Ländern darüber gesprochen und waren mit der Entscheidung der französischen Behörde einverstanden.
Wenn jemand eine Webseite besucht, die mit Criteo zusammenarbeitet, speichert Criteo eine Datei (Cookie) auf dem Computer oder Handy des Besuchers. Mit dieser Datei kann Criteo sehen, welche Webseiten dieser Besucher noch anschaut. So zeigt Criteo dann personalisierte Werbung, basierend auf den Interessen des Besuchers. Das Problem ist, dass Criteo nicht immer fragt, ob der Besucher das überhaupt möchte.
Die Datenschutzbehörde CNIL hat kritisiert, dass nicht alle diese Dateien mit Erlaubnis gespeichert wurden. Criteo hat nicht gut genug kontrolliert, ob die Webseiten die Erlaubnis richtig einholen. Außerdem gab es keinen Vertrag zur gemeinsamen Verantwortlichkeit i.S.d. Art. 26 DSGVO darüber, wie die Daten von Besuchern geschützt werden sollen.
Die CNIL sagte auch, dass die Datenschutzinformationen von Criteo schwer zu verstehen sind. Wenn jemand wissen wollte, welche Daten Criteo über ihn hat, hat Criteo nicht alle Informationen gezeigt. Und wenn jemand nicht mehr verfolgt werden wollte, hat Criteo zwar die Werbung gestoppt, aber die Daten des Besuchers nicht gelöscht.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
