Die französische Datenschutzbehörde (CNIL) hat Criteo, ein großes Unternehmen für Online-Werbung und Tracking in Europa, wegen Verstößen gegen die DSGVO mit einer Geldstrafe von 40 Millionen Euro belegt. Diese Entscheidung basiert auf Beschwerden, die von noyb und Privacy International im Dezember 2018 eingereicht wurden. Die CNIL stellte fest, dass das Unternehmen die Rechte der betroffenen Personen gemäß der DSGVO nicht einhielt und nicht nachweisen konnte, dass es eine gültige Einwilligung erhalten hatte. Der Conseil d'Etat wies die Berufung von CRITEO zurück und bestätigte die Geldstrafe.
- Original-Pressemitteilung der CNIL(EN)
- Original-Beschwerde von noyb und Privacy International (Dezember 2018)
- Brief der CNIL an noyb (FR)
- Entscheidung des Conseil d'Etat
Criteo - großer Player in der Ad-Tech Branche. Das französische Unternehmen Criteo bietet auf Tausenden von Websites "Behavioral Retargeting"-Dienste an. Zu diesem Zweck platziert das Unternehmen Tracking-Cookies auf Websites, um die Surfgewohnheiten der User zu analysieren und festzustellen, welche Produkte und Dienstleistungen diese Person interessieren könnte um gezielt Werbung auszuspielen. Das Unternehmen verfügt über die Daten von rund 370 Millionen Menschen in Europa.
Die Beschwerde führte zu weiteren Ermittlungen. Im Dezember 2018, also vor mehr als 4,5 Jahren, reichten noyb und Privacy International eine Beschwerde gegen Criteo ein, weil das Unternehmen den Nutzer:innen keine angemessene Möglichkeit zum Widerruf der Einwilligung gegeben hatte. Diese Beschwerde löste eine umfassende Untersuchung durch die CNIL aus, die für Criteo zuständige Datenschutzbehörde. Die CNIL weitete die Untersuchung auch auf andere Bereiche aus und stellte weitere Verstöße gegen die DSGVO fest: unter anderem mangelnde Transparenz, Nichteinhaltung des Rechts auf Löschung und Verstöße gegen des Rechts auf Auskunft.
Romain Robert, ehem. Datenschutzanwalt bei noyb: "Wir freuen uns über die Untersuchung und Entscheidung der CNIL. Sie ist ein starkes Signal an die Ad-Tech-Branche, dass sie bei Verstößen gegen das Gesetz mit ernsten Konsequenzen rechnen muss."
Schwerer Schlag für das Geschäftsmodell von Criteo. Die französische Datenschutzbehörde hat eine eingehende Untersuchung des Geschäftsmodells von Criteo durchgeführt. Dabei wurden zahlreiche Verstöße gegen die DSGVO aufgedeckt. Da eine sehr große Anzahl von Menschen von diesen Verstößen betroffen ist und riesige Datenmengen gesammelt und verarbeitet werden, beschloss die CNIL eine beträchtliche Geldstrafe von 40 Mio. Euro. Die Entscheidung wurde auch von allen anderen Datenschutzbehörden in Europa bestätigt.
Update:
Criteo hat gegen die Entscheidung Berufung beim Conseil d'Etat eingelegt.
Im März 2026 wies der Conseil d'Etat die Berufung zurück und bestätigte die Entscheidung der CNIL. Diese Entscheidung kommt zu einem wichtigen Zeitpunkt in der Debatte um den Reformvorschlag der Europäischen Kommission mit dem Namen "Digital Omnibus". Der Vorschlag enthält eine neue Definition personenbezogener Daten, die das Konzept dessen, was "personenbezogene" Daten sind, einschränkt und von den subjektiven Umständen des jeweiligen für die Verarbeitung Verantwortlichen abhängig macht. Diese erhebliche Einschränkung des Anwendungsbereichs der Datenschutz-Grundverordnung, die von Unternehmen ausgenutzt werden könnte, die verhaltensorientiertes Online-Tracking betreiben, wird von Experten und Verfechtern des Datenschutzes stark kritisiert.
In dem vor dem Conseil d'Etat verhandelten Fall focht Criteo die Einstufung von pseudonymen Identifikatoren als personenbezogene Daten an, die in Verbindung mit den IP-Adressen der betroffenen Personen und anderen Browsing-Daten zugeordnet wurden. Das Unternehmen argumentierte, dass es nicht über alle Informationen verfüge, die erforderlich seien, um die betroffene Person anhand der zugewiesenen Kennung wieder zu identifizieren. Der Conseil d'Etat war anderer Meinung und stellte fest, dass Daten nur dann als anonymisiert angesehen werden können, wenn das Risiko der Re-Identifizierung einer betroffenen Person "unbedeutend ist, da eine solche Identifizierung in der Praxis nicht durchführbar ist." Im Fall von Criteo kann, wenn man bedenkt, dass der Zweck der Verarbeitung darin besteht, Werbung anzubieten, eine sehr große Menge an Informationen mit einer bestimmten Kennung abgeglichen werden. Darüber hinaus hat Criteo selbst bestätigt, dass die Identifizierung bestimmter betroffener Personen technisch nicht unmöglich ist. Der Staatsrat war daher der Ansicht, dass diese Kennungen personenbezogene Daten darstellen.
