Das höchste Verwaltungsgericht Frankreichs hat eine Geldstrafe von 40 Millionen Euro gegen Criteo, ein in Paris ansässiges Online-Werbeunternehmen, wegen Verstößen gegen Datenschutzbestimmungen der Europäischen Union bestätigt. Die Entscheidung bestätigt eine Strafe, die von der Commission Nationale de l’Informatique et des Libertés, der französischen Datenschutzbehörde, die für die Durchsetzung der Datenschutzverordnung zuständig ist, verhängt wurde. Die Aufsichtsbehörde stellte fest, dass Criteo mehrere Anforderungen bezüglich der Erfassung und Verarbeitung von Nutzerdaten nicht erfüllt hat.
Criteo bietet Werbedienste an, die darauf basieren, die Surfaktivitäten der Nutzer zu verfolgen, um gezielte Werbung zu liefern. Das Unternehmen verwendet auf Partner-Webseiten platzierte Cookies, um Daten über das Nutzerverhalten zu sammeln und zu bestimmen, welche Produkte oder Dienstleistungen für einzelne Nutzer relevant sein könnten.
Die Untersuchung ergab, dass Tracking-Cookies ohne gültige Zustimmung auf den Geräten der Nutzer platziert wurden. Nach den DSGVO-Regeln müssen Unternehmen eine klare und informierte Genehmigung einholen, bevor personenbezogene Daten verarbeitet werden. Die Aufsichtsbehörde kam außerdem zu dem Schluss, dass Criteo nicht nachweisen konnte, dass Nutzer eine solche Zustimmung gegeben hatten, obwohl ein Teil der Verantwortung für deren Einholung bei Partner-Websites liegt.
Die Behörden identifizierten außerdem weitere Verstöße. Laut den Ergebnissen bot das Unternehmen nicht ausreichend Transparenz hinsichtlich der Verwendung personenbezogener Daten und entsprach nicht den Nutzungsrechten, einschließlich des Zugangs zu Daten und der Möglichkeit, Löschungen zu beantragen.
Der Fall entstand aus Beschwerden, die 2018 von den Datenschutzorganisationen noyb und Privacy International eingereicht wurden. Diese Beschwerden lösten eine Untersuchung durch die französische Aufsichtsbehörde aus, die sich auf mehrere Aspekte der Datenverarbeitungspraktiken des Unternehmens ausweitete.
Criteo legte gegen die Geldstrafe Berufung ein und argumentierte, dass die für die Verfolgung verwendeten Kennungen pseudonym seien und nicht als personenbezogene Daten gelten sollten. Das Unternehmen erklärte, dass diese Kennungen die Identität eines Nutzers nicht direkt offenbarten.
Das Gericht wies dieses Argument zurück. Es entschied, dass Daten nur dann als anonym behandelt werden können, wenn eine Reidentifikation praktisch unmöglich ist. Die Richter stellten fest, dass das System von Criteo große Datenmengen zusammenführen lässt, was bedeutet, dass Nutzer potenziell identifiziert werden könnten, und somit die Daten in den Rahmen des DSGVO-Schutzes fallen.
Nach dem Urteil bleibt die Geldstrafe von 40 Millionen Euro bestehen. Die Behörden haben keine weiteren Strafen oder Durchsetzungsmaßnahmen im Zusammenhang mit dem Fall angekündigt. Die Entscheidung bestätigt die Feststellungen der Aufsichtsbehörde und beendet die rechtliche Anfechtung des Unternehmens gegen die Strafe.