Das oberste Verwaltungsgericht und Beratungsorgan der französischen Regierung, der Conseil d’État, hat die Klage des Technologieunternehmens Criteo gegen eine Sanktion der französischen Datenschutzaufsicht CNIL abgewiesen. Damit bleibt ein Bußgeld in Höhe von 40 Millionen Euro wegen mehrerer Verstöße gegen die DSGVO bestehen. Die Entscheidung ist über den Einzelfall hinaus relevant, weil sie zentrale Fragen des digitalen Werbeökosystems betrifft: Wann liegt bei Trackingdaten ein Personenbezug vor? Wer muss eine wirksame Einwilligung nachweisen? Und welche Anforderungen gelten bei arbeitsteiligen Modellen zwischen AdTech-Anbietern und Website-Betreibern?
Ausgangsfall: Tracking für personalisierte Werbung
Criteo ist ein bedeutender Anbieter im Bereich personalisierter Online-Werbung. Das Geschäftsmodell beruhte darauf, über Cookies und vergleichbare Trackingmechanismen Informationen über das Surfverhalten von Nutzern auf Partnerwebsites zu erfassen. Diese Daten wurden genutzt, um Werbeprofile zu bilden und personalisierte Anzeigen auszuspielen.
Die CNIL hatte gegen Criteo im Juni 2023 jedoch eine Geldbuße von 40 Millionen Euro verhängt. Die französische Datenschutzbehörde beanstandete insbesondere Verstöße gegen Anforderungen an Einwilligung, Transparenz, Betroffenenrechte und gemeinsame Verantwortlichkeit. Criteo argumentierte hiergegen unter anderem, dass die verarbeiteten Daten nicht ohne Weiteres personenbezogen seien, da mit pseudonymen Kennungen gearbeitet werde.
Fehlende Einwilligungen und Verletzung der Informations- und Transparenzpflicht
Zentral war hierbei der Nachweis wirksamer Einwilligungen. Criteo berief sich darauf, dass die Einholung der Einwilligung im Verhältnis zu den Nutzern über die jeweiligen Partnerwebsites erfolge. Das genügte nach Auffassung der CNIL (und auch des Conseil d’État) nicht. Wer personenbezogene Daten für eigene Zwecke verarbeitete, müsse nachweisen können, dass eine tragfähige Einwilligung vorliege. Diese Nachweispflicht entfalle nicht dadurch, dass die Einholung der Einwilligung vertraglich auf Dritte ausgelagert würde.
Hinzu kamen Defizite bei der Information der betroffenen Personen. Die Angaben zu den Verarbeitungszwecken waren nach der Entscheidung nicht ausreichend, weil nicht hinreichend transparent erläutert wurde, in welchem Umfang Daten auch zur Konfiguration und Verbesserung algorithmischer Werbe- und Targetingverfahren genutzt wurden. Gerade bei komplexen AdTech-Prozessen reich eine pauschale Beschreibung personalisierter Werbung nicht aus, wenn weitere Verwendungszwecke für die Nutzer nicht klar erkennbar seien.
Zudem konnte Criteo die Einhaltung der Auskunftspflichten nachweisen und auch das Recht auf Widerruf der Einwilligung und Löschung von Daten hat das Unternehmen nicht in hinreichendem Maße beachtet.
Gemeinsame Verantwortlichkeit
Auch die Ausgestaltung der gemeinsamen Verantwortlichkeit wurde beanstandet. Criteo und seine Partner hätten ihre jeweiligen Pflichten (transparent) und risikoorientiert festlegen müssen. Dazu hätten insbesondere Regelungen zur Wahrnehmung von Betroffenenrechten, zur Information der Nutzer, zur Behandlung von Datenschutzverletzungen und gegebenenfalls zur Durchführung von Datenschutz-Folgenabschätzungen gehört. Unvollständige oder zu pauschale Vereinbarungen genügen diesen Anforderungen nicht.
Bestätigung durch den Conseil d’État
Der Conseil d’État wies die Klage von Criteo ab und bestätigte die wesentlichen Bewertungen der CNIL. Das Gericht stellte klar, dass Criteo für bestimmte Verarbeitungsschritte gemeinsam mit den Partnern verantwortlich sein konnte, insbesondere beim Setzen von Cookies auf Partnerwebsites. Für die anschließende Nutzung der erhobenen Daten zu eigenen Werbezwecken konnte Criteo hingegen eigenständig verantwortlich sein.
Besonders praxisrelevant ist die Aussage zur Rechenschaftspflicht: Ein Unternehmen kann sich nicht allein auf vertragliche Zusicherungen seiner Partner verlassen, wenn es selbst personenbezogene Daten verarbeitet und daraus wirtschaftlichen Nutzen zieht. Es muss belastbar dokumentieren können, dass die Voraussetzungen der Verarbeitung tatsächlich vorliegen.
Auch die Höhe des Bußgelds hielt der Conseil d’État für rechtmäßig. Dabei berücksichtigte das Gericht unter anderem die große Reichweite der Verarbeitung, die zentrale Bedeutung des Geschäftsmodells für Criteo, die betroffenen DSGVO-Kernpflichten und den wirtschaftlichen Vorteil aus der beanstandeten Datenverarbeitung. Dass Criteo kooperiert und teilweise nachgebessert hatte, führte nicht zur Aufhebung oder Reduzierung der Sanktion.
Was bedeutet die Entscheidung für die Praxis?
Für deutsche Unternehmen ist die Entscheidung nicht unmittelbar bindend, aber ihr Inhalt richtungsweisend. Das Urteil betrifft keine rein französische Besonderheit, sondern zentrale Vorgaben der DSGVO. Gerade Unternehmen, die Tracking-, Retargeting-, Affiliate-, Data-Broker- oder AdTech-Dienstleister einsetzen, sollten ihre Rollenverteilung und Nachweisdokumentation kritisch prüfen.
Erstens sollten Einwilligungsprozesse nicht nur formal implementiert, sondern auch nachweisbar kontrolliert werden. Wer sich auf Consent-Banner, Consent-Management-Plattformen oder Zusicherungen von Dienstleistern verlässt, benötigt klare technische und organisatorische Nachweise. Dazu gehören Protokollierung, regelmäßige Kontrollen, vertragliche Prüfpflichten und nachvollziehbare Verantwortlichkeiten.
Zweitens müssen Datenschutzhinweise die tatsächlichen Verarbeitungszwecke abbilden. Allgemeine Hinweise auf „personalisierte Werbung“ können unzureichend sein, wenn Daten auch für Profilbildung, Modellverbesserung, algorithmische Optimierung oder andere weitergehende Zwecke genutzt werden. Transparenz bedeutet nicht maximale Detailtiefe, aber eine verständliche Darstellung der wesentlichen Funktionsweise und Folgen der Verarbeitung.
Drittens sollten Vereinbarungen über gemeinsame Verantwortlichkeit nach Art. 26 DSGVO nicht als bloße Formalie behandelt werden. Sie müssen die tatsächlichen Rollen der Beteiligten widerspiegeln und insbesondere Zuständigkeiten für Betroffenenrechte, Informationspflichten, Sicherheitsvorfälle und Datenschutz-Folgenabschätzungen regeln. Fehlt diese operative Konkretisierung, kann dies eigenständig bußgeldrelevant sein.
Viertens zeigt die Entscheidung, dass Pseudonymisierung zwar ein wichtiges Schutzinstrument ist, aber den Personenbezug nicht automatisch beseitigt. Gerade bei umfangreichen Trackingprofilen, Gerätekennungen und Verhaltensdaten bleibt die DSGVO regelmäßig anwendbar, wenn eine Identifizierung mit vertretbarem Aufwand möglich ist oder Nutzer über Kennungen wiedererkannt werden können.
Fazit
Die Klageabweisung gegen Criteo bestätigt eine strenge Linie gegenüber datengetriebener Online-Werbung. Unternehmen können Einwilligungs-, Transparenz- und Rechenschaftspflichten nicht auf Partner oder Dienstleister verlagern, wenn sie die Daten für eigene Zwecke nutzen. Für deutsche Unternehmen liegt die praktische Lehre vor allem in einer sauberen Rollenklärung, belastbaren Consent-Nachweisen und präzisen Informationen über Tracking- und Profilingprozesse. Wer im digitalen Werbeökosystem personenbezogene Daten verarbeitet, muss nicht nur vertraglich, sondern auch tatsächlich nachweisen können, dass die DSGVO-Anforderungen eingehalten werden.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
