Die französische Datenschutzbehörde (Commission Nationale de l’Informatique et des Libertés - CNIL) verhängte gegen das französische Unternehmen Criteo S.A. ein Bußgeld in Höhe von 40 Millionen Euro. Grund dafür sind laut CNIL mehrere Verstöße gegen die DSGVO. Das Unternehmen ist tätig in dem Bereich des Tracking von Online-Aktivitäten von Nutzer*innen, um personalisierte Werbung anzuzeigen. Es findet eine Analyse des Verhaltens durch das Setzen von Cookies statt.
Die Datenschutzbehörde wirft dem Unternehmen verschiedene Verstöße gegen die DSGVO vor:
Zum einen habe das Unternehmen zum Teil versäumt, die Zustimmung zur Setzung des Trackers (Cookie) von den Nutzer*innen einzuholen. Teilweise sei der Tracker auch ohne vorherige Zustimmung platziert worden sein. Weiter wurde dem Unternehmen Mängel in der Wahrung der Betroffenenrechte vorgeworfen. So habe das Unternehmen nicht ausreichend transparent über die beabsichtigten Zwecke für die Verarbeitung personenbezogener Daten informiert. Auch werde das Auskunftsrecht nur unzureichend ausgeübt – das Unternehmen habe nur Teile der Daten dem Betroffenen zugesandt. Zudem sei dem Recht auf Widerruf der Einwilligung und der Löschung der Daten der Nutzer*innen nicht genügend nachgekommen. Zwar wurde bei der Ausübung dieser Rechte das Anzeigen von personalisierter Werbung eingestellt, das Unternehmen habe jedoch versäumt die entsprechenden Cookies bzw. damit zusammenhängenden Browsing-Ereignisse zu löschen.
Zuletzt wurde durch die Datenschutzbehörde ein Verstoß gegen Art. 26 DSGVO festgestellt. Criteo habe es versäumt, mit seinen Partnern Vereinbarungen zu treffen, die den Vorgaben über gemeinsam Verantwortliche nach Art. 26 DSGVO genügen würde.
Bei der Festlegung der Höhe des Bußgeldes wurde berücksichtigt, dass die Verarbeitung der Daten eine sehr hohe Anzahl von Personen (etwa 370 Millionen in der gesamten EU) betroffen sei.