Die französische Datenschutzbehörde CNIL setzt sich im langjährigen Rechtsstreit mit dem Werbetechnologie-Konzern Criteo durch. Ein 40 Millionen Euro hohes Bußgeld ist nun rechtskräftig – ein Präzedenzfall für die gesamte digitale Werbebranche in Europa.

Das höchste französische Verwaltungsgericht, der Conseil d'État, wies die letzte Berufung des in Paris ansässigen Unternehmens Anfang März ab. Damit ist der Weg für die Vollstreckung der bereits 2024 verhängten Strafe frei. Die Entscheidung bestätigt nicht nur die Macht der Aufsichtsbehörden, sondern setzt klare Maßstäbe für den Umgang mit pseudonymisierten Daten und die Pflichten sogenannter „gemeinsam Verantwortlicher“ in der digitalen Werbekette.

Anzeige

Der Fall Criteo zeigt drastisch, wie lückenhafte Dokumentationen bei gemeinsam Verantwortlichen zu Millionenstrafen führen können. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr rechtssicheres Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und prüfungssicher. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis herunterladen

Warum Criteos Anonymisierungs-Argument scheiterte

Im Kern ging es um die Frage, ob die von Criteo verwendeten digitalen Identifikatoren – etwa Tracking-Cookies – personenbezogene Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) darstellen. Das Unternehmen argumentierte, seine Daten seien so stark pseudonymisiert, dass eine Rückführung zu einzelnen Personen ohne zusätzliche Informationen, über die es nicht verfüge, unmöglich sei.

Das Gericht ließ diese technische Verteidigung nicht gelten. Es stellte klar: Daten gelten nur dann als wirklich anonymisiert, wenn das Risiko einer Wieder-Identifizierung in der Praxis vernachlässigbar oder undurchführbar ist. Da Criteos Geschäftsmodell darauf basiert, Identifikatoren mit IP-Adressen und umfangreichen Surfverläufen abzugleichen, um gezielte Werbung auszuliefern, blieben diese Daten personenbezogen. Das enorme Verarbeitungsvolumen – es betraf rund 370 Millionen Menschen in Europa – rechtfertigte aus Sicht der Richter die hohe Geldstrafe.

Die Bestätigung der 40-Millionen-Euro-Strafe, etwa die Hälfte des möglichen DSGVO-Maximums, unterstreicht die Unterstützung der Justiz für den strengen Kurs der CNIL. Juristen deuten die Entscheidung als Signal: Regulierer müssen künftig nicht mehr lückenlos beweisen, dass jeder einzelne Datensatz zu einer identifizierten Person führte. Das Verarbeitungsvolumen allein kann für eine empfindliche Strafe ausreichen.

Systematische Verstöße gegen Betroffenenrechte

Die Untersuchung, die auf Beschwerden der Datenschutz organisationen noyb und Privacy International aus dem Jahr 2018 zurückgeht, deckte eine Reihe systemischer Mängel auf. Criteo verletzte zentrale Prinzipien der DSGVO, darunter die Artikel zu Einwilligung, Transparenz, Auskunftsrecht und Recht auf Löschung.

Besonders schwer wog der Umgang mit dem „Recht auf Vergessenwerden“. Statt Identifikatoren auf Anfrage vollständig zu löschen, nutzte Criteo Teile der Daten weiter – angeblich zur Verbesserung seiner Algorithmen. Das Gericht machte klar: Das Löschrecht ist absolut und darf nicht zugunsten von Maschinenlernen oder Modelloptimierung umgangen werden.

Zudem adressierte das Urteil die Pflichten von „gemeinsam Verantwortlichen“. Criteo habe es versäumt, die Verantwortlichkeiten zwischen sich und Tausenden Partner-Websites transparent zu regeln. Wer gemeinsam – etwa durch das Setzen von Cookies – Zweck und Mittel der Datenverarbeitung bestimmt, muss in einer klaren Vereinbarung festlegen, wer für Information und Einwilligung verantwortlich ist.

Strategische Flucht nach Luxemburg unter finanziellem Druck

Die Rechtskraft der Strafe trifft Criteo in einer Phase tiefgreifenden Wandels. Der Börsenkurs des an der NASDAQ gelisteten Unternehmens (CRTO) notiert nahe seinem Jahrestief. Parallel vollzieht der Konzern einen strategischen Umzug: Die Aktionäre stimmten Ende Februar mehrheitlich dafür, den rechtlichen Unternehmenssitz von Frankreich nach Luxemburg zu verlegen.

Offiziell dient der Schritt der „strategischen Flexibilität“ und der Steigerung des Aktionärswerts. Der Zeitpunkt – kurz vor der endgültigen gerichtlichen Bestätigung der Millionenstrafe – wirft jedoch Fragen auf. Beobachter vermuten, dass Criteo damit versucht, sich dem spezifischen regulatorischen Druck und den nun geschaffenen Präzedenzfällen der französischen Justiz zu entziehen.

Trotz des Umzugs unterliegt das Unternehmen weiterhin dem „One-Stop-Shop“-Mechanismus der DSGVO. Durch die Verlagerung des Hauptsitzes könnte Criteo jedoch auf eine kooperativere Aufsicht bei künftigen Innovationen, wie KI-gesteuerten Werbeprojekten, hoffen.

Branche unter Schock: Audits und neue Gesetze drohen

Das Criteo-Urteil hat unmittelbare Folgen für die gesamte AdTech-Branche, gerade jetzt, da auf EU-Ebene die umfassende „Digital Omnibus“-Reform debattiert wird. Datenschützer argumentieren, der Fall beweise, dass der bestehende DSGVO-Rahmen ausreicht, um komplexes Tracking zu regulieren – vorausgesetzt, Behörden und Gerichte bleiben hart.

Die Branche muss nun mit einer Welle von Überprüfungen rechnen. Unternehmen stehen unter Druck, ihre Verträge mit Partnern („Joint-Controller“-Vereinbarungen) zu überarbeiten, robustere Einwilligungsmechanismen einzuführen und sicherzustellen, dass gelöschte Daten auch aus Trainingssets für Algorithmen vollständig entfernt werden.

Anzeige

Angesichts drohender Bußgelder von bis zu 2% des Jahresumsatzes ist eine lückenlose Dokumentation der Verarbeitungstätigkeiten für jedes Unternehmen unerlässlich. Dieser kostenlose Ratgeber enthüllt, wie Sie Ihr Verzeichnis prüfungssicher aufbauen und häufige Fehler bei den Pflichtangaben vermeiden. Gratis-Leitfaden für rechtssichere Verarbeitungsverzeichnisse sichern

Der „Criteo-Präzedenzfall“ wird wohl auch in künftigen Verfahren zu KI und automatisierten Entscheidungen zitiert werden. Je mehr die Werbung auf „agentic commerce“ und KI-gesteuerte Einkaufsassistenten setzt, desto höher wird die Hürde für absolute Transparenz und nachweisbare Einwilligung.

Ausblick: Das Ende der Wild-West-Ära im Tracking

Mit der rechtskräftigen Strafe endet in Europa die „Wild-West“-Ära des Trackings durch Drittanbieter-Cookies. Die CNIL wird den Schwung aus diesem Sieg nutzen, um andere Werbeplattformen schärfer zu überwachen. Berichten zufolge sind Meldungen über Datenschutzverletzungen und Compliance-Anfragen bei der Behörde bereits um 10 Prozent gestiegen.

Für Criteo beginnt ein Balanceakt: Das Unternehmen muss seine neuen, KI-getriebenen Initiativen mit den strikten Compliance-Vorgaben in Einklang bringen. Ob dies unter dem neuen luxemburgischen Dach gelingt, werden Investoren und Datenschützer den Rest des Jahres 2026 genau beobachten. Die Botschaft an die Branche ist jedoch schon jetzt unmissverständlich angekommen.