CNIL verhängt 40.000.000 Euro Bußgeld gegen CRITEO
Frankreich: Aufgrund von Beschwerden der Verbände Privacy International und None of Your Business führte die CNIL mehrere Inspektionsmissionen bei der Firma CRITEO durch.
Das Unternehmen CRITEO hat sich auf „Behavioral Retargeting“ spezialisiert, das darin besteht, die Navigation von Internetnutzern zu verfolgen, um personalisierte Werbung anzuzeigen. Zu diesem Zweck erfasst CRITEO die Surfdaten der Internetnutzer mithilfe des CRITEO-Trackers (Cookie), der auf ihren Endgeräten platziert wird, wenn sie bestimmte Websites von CRITEO-Partnern besuchen. Mithilfe dieses Trackers analysiert das Unternehmen die Surfgewohnheiten, um festzustellen, für welchen Werbetreibenden und für welches Produkt es am relevantesten wäre, einem bestimmten Benutzer eine Werbung anzuzeigen.
Bei ihren Untersuchungen stellte die CNIL mehrere Mängel fest, insbesondere das Fehlen eines Einwilligungsnachweises des Einzelnen bei der Verarbeitung seiner Daten, Informationen und Transparenz sowie Achtung der Rechte des Einzelnen. Die Menge der betroffenen Personen war außerdem sehr umfangreich – das Unternehmen verfügt über Daten von rund 370 Millionen Identifikatoren in der gesamten Europäischen Union. Insgesamt stellte die französische Behörde fünf Verstöße fest.
So hatte das Unternehmen seinen Tracer-Cookie oft ohne Einwilligung der Nutzer platziert und es versäumt zu prüfen, ob eine Einwilligung vorgelegen haben könnte. Die CNIL stellte außerdem fest, dass das Unternehmen zum Zeitpunkt der Untersuchungen keine Maßnahmen ergriffen hatte, die es ihm ermöglicht hätten sicherzustellen, dass seine Partner die Einwilligung der Internetnutzer deren Daten es dann verarbeitete, wirksam eingeholt haben.
Außerdem enthielt die Datenschutzrichtlinie des Unternehmens nicht alle mit der Verarbeitung verfolgten Zwecke und war in anderen Punkten zu vage und weit formuliert. Auch in Puncto Auskunftspflicht warf die Behörde dem Unternehmen Fehlverhalten vor: So hatte das Unternehmen nie alle erfassten Daten der Kunden übermittelt, sondern diverse, in tabellarischer Form gespeicherte Informationen zurückgehalten.
Auch beim Thema Widerruf einer Einwilligung oder Löschung der erfassten Daten äußerte die CNIL Kritik: Ein Widerruf der Einwilligung hatte lediglich zur Folge, dass das Anzeigen von personalisierter Werbung für den Benutzer gestoppt wurde. Das Unternehmen hatte jedoch weder die der Person zugewiesene Kennung, noch die mit dieser Kennung verbundenen Browsing-Aktivitäten gelöscht.
In der vom Unternehmen mit seinen Partnern geschlossenen Vereinbarung wurden außerdem einige der Pflichten der Datenverantwortlichen im Hinblick auf die in der DSGVO enthaltenen Anforderungen nicht festgelegt. Fehlend war beispielsweise die Ausübung von Rechten durch die betroffenen Personen und die Pflicht zur Meldung einer Datenschutzverletzung an die Aufsichtsbehörde und die betroffenen Personen oder ggf. die Durchführung einer Folgenabschätzung nach Art. 35 DSGVO.
.
Veröffentlicht am: 22-06-2023
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.