Französischer Werbetechnologieriese Criteo ist gewesen ausgegeben mit einer revidierten Geldstrafe von 40 Millionen Euro (44 Millionen US-Dollar) wegen Versäumnissen, die Zustimmung der Nutzer zu gezielter Werbung einzuholen.
Der fragliche Fall stammt aus dem Jahr 2018, als Datenschutz International abgelegt eine formelle Beschwerde mit dem Commission nationale de l’informatique et des libertés (CNIL), Frankreichs Datenschutzbeauftragter, nutzt die DSGVO-Vorschriften, die kürzlich in der gesamten Europäischen Union eingeführt wurden. Privacy International sagte, es sei „zutiefst besorgt“ über die Datenverarbeitungsaktivitäten mehrerer Akteure in der Datenvermittlungs- und Adtech-Branche, darunter auch Criteo. Das geht Sie nichts an (NOYB), eine in Österreich ansässige gemeinnützige Organisation, die vom Anwalt und Datenschutzaktivisten Max Schrems mitbegründet wurde, fügte der Beschwerde später ebenfalls ihren Namen hinzu.
Der Kern der Beschwerde konzentrierte sich auf das, was Privacy International als „Manipulationsmaschine“ bezeichnete, und zwar darauf, wie es verschiedene Tracking- und Datenverarbeitungstechniken einsetzte, um Internetnutzer für eine detailliertere Anzeigenausrichtung zu profilieren, beispielsweise durch die Verwendung von Prior Online Aktivität, um vorherzusagen, welche Produkte ein Online-Käufer kaufen möchte – dies wird als „Verhaltens-Retargeting.“ Privacy International und NOYB behaupteten, Criteo verfüge nicht über eine angemessene Rechtsgrundlage für diese Nachverfolgung, woraufhin die CNIL im Jahr 2020 eine förmliche Untersuchung einleitete.
Vorentscheidung
Im August 2022 kam die CNIL zu einer vorläufigen Entscheidung, dass Criteo tatsächlich gegen die DSGVO verstoßen hatte, und verhängte gegen das in Paris ansässige Unternehmen eine Geldstrafe von 60 Millionen Euro. In den Monaten dazwischen versuchte Criteo jedoch, die Zahl zu senken.
Tatsächlich, in ein zusammenfassendes Dokument Wie heute veröffentlicht, argumentierte Criteo offenbar, dass seine Handlungen nicht vorsätzlich erfolgten und keinen Schaden verursacht hätten. Es hieß (Übersetzung via DeepL):
Das Unternehmen ist der Ansicht, dass eine bessere Berücksichtigung der Kriterien in Artikel 83(2).) der DSGVO, insbesondere im Hinblick auf das Fehlen von Beweisen für einen Schaden, den nicht vorsätzlichen Charakter der Verstöße, die ergriffenen Maßnahmen zur Schadensminderung, die von ihr angegebene Zusammenarbeit mit der Aufsichtsbehörde und die Kategorien personenbezogener Daten Betroffene, die nur wenig eindringlich sind, würden es rechtfertigen, dass der vom Berichterstatter vorgeschlagene Betrag von 60 Millionen Euro erheblich gekürzt wird, sollte das engere Gremium beschließen, eine Geldbuße zu verhängen.
Darüber hinaus sagte Criteo, dass die anfängliche Geldbuße die Hälfte seines Gewinns und 3 % seines weltweiten Umsatzes ausmachte, was „„nahe dem gesetzlichen Höchstwert“, der gemäß der DSGVO zulässig ist, und war im Vergleich zu anderen Bußgeldern, die die CNIL gegen Unternehmen wie Google und Facebooks Muttergesellschaft Meta verhängte, die nur 0,07 % bzw. 0,06 % ihres jeweiligen weltweiten Umsatzes ausmachten, übertrieben.
Daher hat die CNIL den Beschwerden von Criteo Rechnung getragen und die Geldbuße um ein Drittel herabgesetzt. Allerdings sind die CNILs Abschlussbericht zeichnet immer noch ein vernichtendes Bild der Missachtung des Datenschutzes durch Criteo.