Beim jüngsten Schlag gegen den gruseligen „Tracking-Ads“-Komplex wurde festgestellt, dass der französische Adtech-Riese Criteo gegen die Datenschutzbestimmungen der Europäischen Union verstoßen hat und von der nationalen Datenschutzbehörde des Landes in a mit einer Sanktion in Höhe von 60 Millionen Euro (~ 65 Millionen US-Dollar) belegt wurde Vorentscheidung nach mehrjähriger Untersuchung.
Die Interessenvertretung für digitale Rechte Privacy International, die bereits 2018, als die Datenschutz-Grundverordnung (DSGVO) des Blocks in Kraft trat, eine formelle Beschwerde gegen den Überwachungs-Adtech-Riesen einreichte, getwittert Nachricht von der Sanktion heute.
Es wirft Criteo vor, eine sogenannte „Manipulationsmaschine“ zu betreiben, indem es eine Reihe von Tracking-Techniken und Datenverarbeitungspraktiken anwendet, die darauf ausgelegt sind, Webnutzer zu profilieren, damit sie mit verhaltensorientierten Anzeigen angesprochen werden können und Werbetreibende für „individuelle Ebene“ bezahlen Käufervorhersagen“.
In der Beschwerde von Privacy International wird argumentiert, dass Criteo keine angemessenen Rechtsgrundlagen für all dieses Tracking und Profiling hat, um mit der DSGVO konform zu sein – und es scheint, dass Frankreichs Wachhund dem zustimmen möchte.
Eine Sprecherin von Privacy International sagte, sie hätten keine Kopie der vorläufigen Entscheidung der CNIL erhalten, seien aber von der französischen Aufsichtsbehörde nach dem Standardverfahren zur Bearbeitung von Beschwerden über die Entwicklung informiert worden.
„Die CNIL hat uns am Dienstag, dem 3. August, darüber informiert, dass sie verpflichtet ist, Beschwerdeführer über den Fortschritt ihrer Beschwerden auf dem Laufenden zu halten. Es ist noch keine endgültige Entscheidung, weshalb sie nicht öffentlich ist“, sagte sie gegenüber Tech. „Sie können es nicht einmal mit uns teilen. Criteo hat jetzt die Möglichkeit, Stellungnahmen abzugeben und Korrekturmaßnahmen umzusetzen, wonach es eine Anhörung geben wird, gefolgt von einer endgültigen Entscheidung wahrscheinlich im Jahr 2023.“
Wir haben uns auch an die CNIL gewandt.
Ein Criteo-Antrag vom 3. August bestätigt die vorläufige Feststellung der CNIL zu dem, was im Formular 8-K/A-Antrag als „bestimmte GDPR-Verstöße, insbesondere in Bezug auf die Vertragsbeziehungen des Unternehmens mit seinen Werbetreibenden und Herausgebern in Bezug auf Aufsicht über die Einholung von Einwilligungen“.
„Der Bericht enthält eine vorgeschlagene finanzielle Sanktion gegen das Unternehmen in Höhe von 60,0 Millionen Euro (65,4 Millionen US-Dollar). Im Rahmen der CNIL-Sanktionsverfahren hat Criteo das Recht, schriftlich auf den Bericht zu antworten, sowohl in Bezug auf die Feststellungen der DSGVO als auch auf den Wert der Sanktion, woraufhin eine formelle Anhörung vor dem CNIL-Sanktionsausschuss stattfindet. Der CNIL-Sanktionsausschuss erstellt dann einen Entscheidungsentwurf, der anderen europäischen Datenschutzbehörden im Rahmen des von der DSGVO vorgeschriebenen Kooperationsmechanismus zur Konsultation vorgelegt wird. Eine endgültige Entscheidung über eine Lösung und mögliche Geldstrafen würde wahrscheinlich nicht vor 2023 erfolgen“, heißt es in der Einreichung von Criteo weiter.
Wir kontaktierten Criteo für weitere Kommentare zu der Sanktion und eine Sprecherin verwies uns auf a Aussage auf seiner Website, in der Ryan Damon, sein Chief Legal Officer, auch schreibt:
Wir stimmen den Feststellungen im Bericht des CNIL-Ermittlers entschieden nicht zu, sowohl in Bezug auf die Behauptungen des Ermittlers zur Nichteinhaltung der DSGVO als auch in Bezug auf die Höhe der vorgeschlagenen Sanktion. Wir sind der Ansicht, dass die Verdienste dieses Berichts grundlegend fehlerhaft sind und die vorgeschlagenen Sanktionen den angeblichen nicht konformen Handlungen nicht entsprechen. Wir freuen uns auf den weiteren Dialog mit der CNIL sowie darauf, unseren Fall vor dem endgültigen Schiedsrichter einer endgültigen Entscheidung zu verteidigen. Criteo hält weiterhin die höchsten Datenschutzstandards ein und betreibt ein vollständig transparentes und gesetzeskonformes globales Geschäft. Wir werden keinen weiteren Kommentar abgeben, bis diese laufenden Verfahren abgeschlossen sind.
Die CNIL hat die Entscheidung offenbar nicht auf ihrer eigenen Website mitgeteilt – wahrscheinlich, weil sie vorläufig ist. (Obwohl auch EU-Datenschutzbehörden nicht immer Entscheidungen veröffentlichen.)
Es bleibt abzuwarten, ob der Aufpasser bei seiner Stange bleiben wird, während ein französischer Adtech-Riese aggressiv gegen seine Ergebnisse vorgeht.
Aber die Vorentscheidung ist nur der jüngste Schlag (in Europa) für das sogenannte „Überwachungswerbe“-Ökosystem – das es sich in früheren Jahren des regulatorischen Dornröschenschlafs zur Aufgabe gemacht hat, Webnutzern in einem Angebot ihre Privatsphäre zu entziehen um die Fähigkeit von Werbetreibenden zu optimieren, die Aufmerksamkeit von Einzelpersonen zu manipulieren.
Eine Reihe von Datenschutz- und Datenskandalen haben das Bewusstsein dafür geschärft, was einige Kritiker als die größte Datenschutzverletzung aller Zeiten bezeichnen – was zu einem bösen Erwachen rund um die gruselige, einwilligungslose Mainstream-Adtech führte Modus Operandiwas wiederum zu einer doppelten regulatorischen und legislativen Abrechnung führt (auch wenn noch viel tatsächliche DSGVO-Durchsetzung bevorsteht).
Anfang dieses Jahres bestätigte die belgische Datenschutzbehörde eine frühere vorläufige Feststellung gegen die Organisation der Werbebranche, das IAB Europe, und ihren branchenübergreifenden Flaggschiff-Standard zur Erfassung von Benutzerentscheidungen rund um die Verfolgung von Anzeigen, das so genannte Transparency and Consent Framework/TCF – und identifizierte eine Wäscheliste der DSGVO und dem IAB eine strenge Frist von sechs Monaten zu geben, um das Framework zu reformieren, um es in Übereinstimmung zu bringen (obwohl Datenschutzexperten nichts anderes vorgeschlagen haben als eine Root-and-Branch-Neukonfiguration dieser Systeme).
In den letzten Jahren hat die französische CNIL auch einige schwerwiegende Sanktionen gegen Verstöße gegen Tracking-Cookies verhängt – im Rahmen der ePrivacy-Gesetzgebung des Blocks – und Anfang dieses Jahres veröffentlichte Google (einer der sanktionierten Technologiegiganten) ein überarbeitetes Cookie-Banner in Europa, das den Nutzern endlich eine klare Wahl bietet seine Verfolgung zu verweigern. Ein ziemlicher Gewinn.
In diesem Jahr haben sich die EU-Gesetzgeber auch auf ein Verbot der Verwendung sensibler Daten und Kinderdaten für gezielte Werbung in eingehenden digitalen Vorschriften geeinigt. Während ein Urteil erst diese Woche vom obersten Gericht des Blocks diese bevorstehende Beschränkung verstärken wird, indem eine nicht enge Definition dessen, was sensible Daten ausmacht, zementiert wird.