Was macht Criteo?
Criteo ist eine Advertising-Plattform, über die Unternehmen verschiedene Software-Lösungen buchen können, um Usern personalisierte Werbung anzuzeigen. Schwerpunkt von Criteo ist das Retargeting und ein sogenanntes Commerce-Marketing-Ökosystem. In der Praxis wertet Criteo den Webseiten-Traffic seiner Kunden aus und schaltet darauf basierend individuell gestaltete und platzierte Werbeanzeigen. Auf diese Weise können Unternehmen ihren Umsatz steigern. Criteo hat seinen Sitz in Paris und ist in mehr als 30 Ländern aktiv.
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenWarum ist Criteo datenschutzrechtlich relevant?
Um seine Services anzubieten, erhebt Criteo unter anderem Daten zu
- dem Surfverhalten,
- dem verwendeten Browser und
- dem Betriebssystem
der User. Diese Daten speichert Criteo in Form von Cookies im Browser der Webseitenbesucher. Laut eigenen Angaben verzichtet Criteo darauf, personenbezogene Daten zu speichern oder zu teilen, die eine Identifizierung der User zulassen. Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, müssen Criteo-Kunden jedoch verschiedene datenschutzrechtliche Pflichten erfüllen.
Wie können Seitenbetreiber Criteo datenschutzkonform nutzen?
Um die Dienste von Criteo DSGVO-konform in Anspruch zu nehmen, müssen Webseitenbetreiber diese Pflichten erfüllen:
User-Einwilligung einholen
Criteo erhebt Daten von Nutzern, sobald sie eine Webseite betreten. Seitenbetreiber benötigen dafür die Einwilligung der User. Sie können diese über einen entsprechenden Hinweis im Cookie-Banner einholen. Dabei darf die Einverständniserklärung im Banner nicht vorangekreuzt sein. User müssen aktiv selbst ein Häkchen setzen können, um in die Datenerhebung einzuwilligen. Seitenbetreiber können den Cookie-Banner rechtssicher mit einem Cookie Consent Tool umsetzen. Dies holt die Einwilligung der User in die Datenerhebung ein und passt dann die Datenströme auf der Webseite entsprechend an.
Joint Controllership Agreement schließen
Criteo erhält einen umfassenden Einblick in die Daten der Webseitenbesucher seiner Kunden. Der Anbieter speichert und verarbeitet diese Daten. Dabei entscheidet nicht allein das beauftragende Unternehmen, sondern auch Criteo selbst, wie die Daten verarbeitet werden. Artikel 26 DSGVO schreibt für so einen Fall vor, dass beide Parteien eine Vereinbarung über die gemeinsame Verantwortung (Joint Controllership Agreement) schließen. Dabei sollten sie darauf achten, dass die Vereinbarung erklärt,
- welche Kundendaten Criteo erhebt und speichert,
- wie lange Criteo diese Daten speichert und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Haben Webseitenbetreiber das Joint Controllership Agreement mit Criteo geschlossen, sollten sie das in ihre Datenschutzerklärung aufnehmen. Daneben sollten sie auch aufführen,
- warum sie Daten an Criteo weitergeben,
- wie lange Criteo diese Daten speichert,
- wie Criteo die Daten verarbeitet,
- welche Rechtsgrundlage das ermöglicht und
- dass User der Einwilligung in das Setzen von Cookies und damit der Datenerhebung jederzeit widersprechen können.
Rechtsprechung zur Verwendung von Criteo
Für Criteo ist diese Rechtsprechung relevant:
Europäischer Gerichtshof zur Verwendung von Cookies
Der Europäische Gerichtshof (EuGH) hat am 01.10.2019 festgestellt: Unternehmen, die auf ihrer Webseite unter anderem Tracking-Cookies setzen, müssen vorher per Opt-in eine Einwilligung der Webseitenbesucher einholen (Az. C-673/17). Dabei ist es irrelevant, ob die Cookies personenbezogene Daten sammeln oder nicht. Das bedeutet: Unternehmen, die die Dienste von Criteo nutzen, müssen User um Erlaubnis bitten, die Daten erheben zu dürfen. Kommen sie dieser Pflicht nicht nach, droht ihnen ein Bußgeld. Aktuell sind bereits Bußgeldandrohungen der Bayerischen und Niedersächsischen Datenschutzbehörden im Zusammenhang mit Criteo bekannt.
Bundesgerichtshof zur Verwendung von Cookies
Zu einem ähnlichen Ergebnis kam der Bundesgerichtshof am 28.05.2020. Die Richter entschieden, dass Unternehmen nur dann Tracking Cookies nutzen dürfen, wenn sie über eine Einwilligung der Nutzer verfügen. Dabei darf das Kästchen für das Einverständnis nicht vormarkiert sein (I ZR 7/16).
Datenschutzbehörde Hamburg zum AV-Vertrag
Schließen Webseitenbetreiber kein Joint Controllership Agreement mit Criteo, droht ihnen ein Bußgeld. Die Datenschutzbehörde Hamburg hat am 17.12.2018 ein Bußgeld verhängt, da ein Versandunternehmen keinen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit einem beauftragten Dienstleister geschlossen hatte. Ein AV-Vertrag entspricht einem Joint Controllership Agreement. Das Versandunternehmen musste daher eine Strafe in Höhe von gut 5.000 Euro zahlen. Grundsätzlich möglich sind Bußgelder von bis zu 10 Millionen Euro oder alternativ von bis zu 2 Prozent des weltweiten Jahresumsatzes. Dieses Strafmaß gibt Art. 83 Abs. 4 lit. a DSGVO vor.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Der Fußball-Bundesligaclub VfB Stuttgart musste im März 2021 ein Bußgeld in Höhe von 300.000 Euro zahlen. Der Verein hatte mehrere tausend Mitgliederdaten an Dienstleister weitergegeben, um diese weisungsgebunden verarbeiten zu lassen. Ein AV-Vertrag lag dafür jedoch nicht vor. Die Datenschutzbehörde Baden-Württemberg sprach daher das Bußgeld aus.