Personalisierte Werbung: Millionen-DSGVO-Strafe trifft AdTech-Dienst Criteo

Die französische Datenschutzbehörde CNIL hat auf Basis der Datenschutz-Grundverordnung (DSGVO) eine Strafe von 40 Millionen Euro gegen die Online-Werbefirma Criteo verhängt, die auf "Werbe-Retargeting" spezialisiert ist und zu den Größen im AdTech-Business zählt. Aufgrund von Beschwerden der Datenschutzorganisationen Noyb und Privacy International führte die Aufsichtsinstanz in den vergangenen gut viereinhalb Jahren mehrere Untersuchungen bei dem französischen Unternehmen durch. Dabei stellten die Prüfer zahlreiche Mängel fest. So habe es an Auskünften und Transparenz gefehlt, ebenso an Achtung der Betroffenenrechte und an Nachweisen der Einwilligung Einzelner in die Verarbeitung ihrer Daten.

Criteo verfolgt die Navigation von Internetnutzern, um ihnen personalisierte Werbung anzuzeigen. Zu diesem Zweck sammelt das Unternehmen Browserdaten mithilfe eines Cookies, das auf Endgeräten der User gespeichert wird, wenn sie bestimmte Webseiten von Partnern besuchen. Über diesen Tracker analysiert die Firma das Surfverhalten, um festzustellen, für welchen Werbetreibenden und für welches Produkt es am relevantesten wäre, einem bestimmten Nutzer eine Werbung vorzusetzen. Anschließend nimmt Criteo an einer Echtzeit-Auktion von Bannerplätzen teil ("Real Time Bidding") und zeigt erst dann, wenn es die Versteigerung gewinnt, die personalisierte Anzeige an.

Im Jahr 2022 hat Criteo bei einem Umsatz von gut zwei Milliarden Euro einen Nettogewinn von 11 Millionen Euro erwirtschaftet. Ein Jahr zuvor waren es 138 Millionen Nettogewinn bei einem Umsatz von knapp 2,3 Milliarden Euro.

Daten von 370 Millionen Bürgern der EU

Im Einzelnen hat das Unternehmen dabei laut dem CNIL-Beschluss jenseits der Opt-in-Bestimmungen etwa auch gegen das Auskunftsrecht nach Artikel 15 und gegen die Pflicht zum Abschluss einer Vereinbarung zwischen gemeinsamen Datenverantwortlichen nach Artikel 26 DSGVO verstoßen. Es habe auch das Recht auf Widerruf der Einwilligung und Löschung der Daten missachtet. Bei der Festlegung der Höhe der Sanktion berücksichtigten die Kontrolleure nach eigenen Angaben insbesondere die Tatsache, dass die fragliche Verarbeitung eine sehr große Anzahl von Personen betraf: Das Unternehmen verfüge über Daten zu etwa 370 Millionen Bürgern in der gesamten EU und sammele sehr viele Details über deren Konsumgewohnheiten.

Criteo verfüge zwar nicht immer über den Namen von Nutzern. Die CNIL ist aber der Ansicht, dass die erhobenen Daten "hinreichend präzise waren", um in bestimmten Fällen eine Identifizierung der Personen zu ermöglichen. Schließlich vertrat sie die Auffassung, dass die Tatsache der Verarbeitung ohne effektives Plazet es dem Unternehmen ermöglicht habe, die Zahl der Betroffenen "und damit die finanziellen Einnahmen, die es aus seiner Rolle als Werbevermittler erzielt, unangemessen zu erhöhen". Die CNIL fungierte in dem grenzüberschreitenden Fall als zentrale Anlaufstelle im Sinne der DSGVO und stimmte ihre Entscheidung mit allen 26 anderen europäischen Aufsichtsbehörden ab, die ein Mitspracherecht hatten.

Criteo bietet laut Noyb "auf Tausenden von Websites 'Behavioral Retargeting'-Dienste an. Romain Robert, Anwalt bei der Organisation, wertete den Beschluss als "starkes Signal an die AdTech-Branche, dass sie bei Verstößen gegen das Gesetz mit ernsten Konsequenzen rechnen muss". Die CNIL habe die Untersuchung auf andere Bereiche ausgeweitet, die nicht Teil der ursprünglichen Beschwerde gewesen seien. Erst jüngst zeigte eine im Internet entdeckte Liste des Microsoft-Werbenetzwerks Xandr, dass der AdTech-Sektor auch sensible Informationen etwa zu Gesundheit sowie sexuellen und politischen Einstellungen für gezielte Ansprachen nutzt. Tausende Zeilen in dem Dokument weisen auf brisante Zielgruppenbeschreibungen bei "spionierender Werbung" hin.

Ryan Damon, Chefjustiziar bei Criteo, erklärte gegenüber heise online, das Unternehmen wolle vor den zuständigen Gerichten Berufung einlegen. Die CNIL habe die Höhe der Sanktion zwar von ursprünglich geplanten 60 Millionen Euro herabgesetzt. Trotzdem bleibe die Strafe "mit Blick auf die "vermeintlichen Verstöße völlig unverhältnismäßig und entspricht nicht der gängigen Marktpraxis in solchen Sachverhalten". Zudem seien eine Reihe von Auslegungen und Anwendungen der DSGVO durch die CNIL weder mit der Rechtsprechung des Europäischen Gerichtshofs noch den eigenen Leitlinien der Aufsichtsbehörde in Einklang zu bringen. Criteo sehe sich "dem Schutz der Privatsphäre und der Daten der Nutzer absolut verpflichtet und verwendet folglich in seinen Geschäftsaktivitäten einzig vollständig pseudonymisierte, nicht direkt identifizierbare und nicht-sensible Daten".

(axk)