Die französische Datenschutzbehörde (CNIL) hat Criteo, ein großes Unternehmen für Online-Werbung und Tracking in Europa, wegen Verstößen gegen die DSGVO mit einer Geldstrafe von 40 Millionen Euro belegt. Diese Entscheidung basiert auf Beschwerden, die von noyb und Privacy International im Dezember 2018 eingereicht wurden. Die CNIL stellte fest, dass das Unternehmen die Rechte der betroffenen Personen gemäß der DSGVO nicht einhielt und nicht nachweisen konnte, dass es eine gültige Einwilligung erhalten hatte.
- Original-Pressemitteilung der CNIL(EN)
- Original-Beschwerde von noyb und Privacy International (Dezember 2018)
- Brief der CNIL an noyb (FR)
Criteo - großer Player in der Ad-Tech Branche. Das französische Unternehmen Criteo bietet auf Tausenden von Websites "Behavioral Retargeting"-Dienste an. Zu diesem Zweck platziert das Unternehmen Tracking-Cookies auf Websites, um die Surfgewohnheiten der User zu analysieren und festzustellen, welche Produkte und Dienstleistungen diese Person interessieren könnte um gezielt Werbung auszuspielen. Das Unternehmen verfügt über die Daten von rund 370 Millionen Menschen in Europa.
Die Beschwerde führte zu weiteren Ermittlungen. Im Dezember 2018, also vor mehr als 4,5 Jahren, reichten noyb und Privacy International eine Beschwerde gegen Criteo ein, weil das Unternehmen den Nutzer:innen keine angemessene Möglichkeit zum Widerruf der Einwilligung gegeben hatte. Diese Beschwerde löste eine umfassende Untersuchung durch die CNIL aus, die für Criteo zuständige Datenschutzbehörde. Die CNIL weitete die Untersuchung auch auf andere Bereiche aus und stellte weitere Verstöße gegen die DSGVO fest: unter anderem mangelnde Transparenz, Nichteinhaltung des Rechts auf Löschung und Verstöße gegen des Rechts auf Auskunft.
Romain Robert, Datenschutzanwalt bei noyb: "Wir freuen uns über die Untersuchung und Entscheidung der CNIL. Sie ist ein starkes Signal an die Ad-Tech-Branche, dass sie bei Verstößen gegen das Gesetz mit ernsten Konsequenzen rechnen muss."
Schwerer Schlag für das Geschäftsmodell von Criteo. Die französische Datenschutzbehörde hat eine eingehende Untersuchung des Geschäftsmodells von Criteo durchgeführt. Dabei wurden zahlreiche Verstöße gegen die DSGVO aufgedeckt. Da eine sehr große Anzahl von Menschen von diesen Verstößen betroffen ist und riesige Datenmengen gesammelt und verarbeitet werden, beschloss die CNIL eine beträchtliche Geldstrafe von 40 Mio. Euro. Die Entscheidung wurde auch von allen anderen Datenschutzbehörden in Europa bestätigt.