Retargeting und Datenschutz – was wir aus der neuen Entscheidung der französischen Behörde mitnehmen

In der Welt des digitalen Marketings gibt es eine effektive Strategie, die immer wieder für Gesprächsstoff sorgt: Retargeting. Diese Marketingmethode hat das Potenzial, Umsätze für Unternehmen zu steigern, indem sie die Conversion-Rate erhöht und Kundenbindung fördert. Doch während Retargeting zweifellos seine Vorteile hat, gibt es auch wichtige Datenschutzbedenken, die nicht außer Acht gelassen werden dürfen.

Was ist Retargeting?

Retargeting, auch als Remarketing bekannt, ist eine Online-Marketingtechnik, bei der gezielte Anzeigen an Personen ausgespielt werden, die zuvor eine Website besucht, aber keine gewünschte Aktion durchgeführt haben, wie z.B. einen Kauf oder das Ausfüllen eines Kontaktformulars. Die Idee hinter Retargeting ist es, diese potenziellen Kunden und Kundinnen wieder auf die Website zurückzuholen, um sie zu überzeugen, ihre ursprüngliche Absicht umzusetzen. Dies geschieht oft durch die Darstellung personalisierter Anzeigen auf anderen Websites oder Plattformen, die die Nutzerinnen oder Nutzer nach ihrem ursprünglichen Besuch aufrufen.

Datenschutzbedenken bei der Nutzung von Retargeting

Trotz seiner Vorteile gibt es legitime Datenschutzbedenken im Zusammenhang mit Retargeting. Zum einen erfordert Retargeting das kontinuierliche Verfolgen (Tracking) der Online-Aktivitäten von Personen, was als Eingriff in die Privatsphäre empfunden werden kann. Das Tracking ist mit dem Zugriff auf Informationen des Endgerätes verbunden, was nach den ePrivacy-Anforderungen grundsätzlich die Einwilligung der betreffenden Personen erfordert (vgl. § 25 TTDSG). Zum anderen ist das Retargeting mit einer umfangreichen Verarbeitung personenbezogener Daten verbunden, weshalb die Einhaltung des Datenschutzes besondere Aufmerksamkeit haben sollte. Unter anderem sind Unternehmen verpflichtet, transparent über die Verwendung von Retargeting zu informieren und sicherzustellen, dass die Nutzerinnen und Nutzer die Möglichkeit haben, dieser Art von Verfolgung zu verhindern.

Neue Entscheidung der französischen Behörde zu personalisierter Werbung

Eine neue Entscheidung der französischen Datenschutzbehörde (kurz: CNIL) vom 15. Juni 2023 unterstreicht die Einhaltung datenschutzrechtlicher Anforderungen beim Einsatz von Retargeting. Initiiert wurde die Entscheidung durch Beschwerden der Organisationen Privacy International und None of Your Business.

Die Entscheidung richtete sich gegen CRITEO, einem globalen Technologieunternehmen, das auf verhaltensorientiertes Retargeting spezialisiert ist. Die Kernfunktion von Criteo besteht darin, personalisierte Anzeigen an Internetnutzerinnen und Nutzer auszuspielen, basierend auf deren vorherigem Online-Verhalten. Das Unternehmen sammelt und analysiert Daten über die personenbezogenen Aktivitäten, wie beispielsweise besuchte Websites und angesehene Produkte. Anschließend werden maßgeschneiderte Anzeigen erstellt und auf verschiedenen Websites und Plattformen ausgespielt, um die Wahrscheinlichkeit zu erhöhen, dass die Zielgruppe bestimmte Aktionen durchführt, wie beispielsweise einen Kaufabschluss auf der Website eines Werbekunden.

Was bemängelt wurde

Bei ihren Untersuchungen stellte die CNIL mehrere Verstöße fest, die insbesondere das Fehlen von Nachweisen für die Einwilligung der Personen in die Verarbeitung ihrer Daten, die Information und Transparenz sowie die Achtung der Rechte der Personen betreffen. Insgesamt wurden fünf Verstöße festgestellt:

Mangelnde Einwilligung – Zum Setzen des CRITEO-Trackers (Cookie) müssen Nutzerinnen und Nutzer eine Einwilligung erteilen. Auch wenn CRITEO’s Partner selbst verantwortlich für das Einholen der Einwilligung sind, wurde gegenüber CRITEO bemängelt, dass keine Maßnahmen etabliert wurden, um sicherzustellen, dass die Einwilligungen erteilt wurden. In diesem Kontext wurde bemängelt, dass Verträge der Partner mit CRITEO keine Klausel enthielten, die sie verpflichtete, einen Nachweis der Einwilligungen zu erbringen. Verträge wurden nach Aussage der Behörde entsprechend angepasst.
Mangelnde Informationen und Transparenz – Die Datenschutzerklärung wurde bemängelt, da Zwecke der Verarbeitung nicht vollständig beschrieben wurden. Zudem wurde kritisiert, dass einige der Zwecke vage und weit gefasst wurden, so dass die Nutzerinnen und Nutzer nicht genau verstehen konnten, welche personenbezogenen Daten zu welchen Zwecken verwendet wurden. Nach Aussage der Behörde wurde die Datenschutzerklärung inzwischen vervollständigt, um die fehlenden Angaben zu ergänzen und einfache und verständliche Begriffe zu verwenden.
Mangelnde Auskunft – Betroffenen Personen wurde keine vollständige Auskunft bereitgestellt. Weiterhin wurde bemängelt, dass keine ausreichenden Informationen bereitgestellt wurden, um die beauskunfteten Daten zu verstehen. Nach Aussage der Behörde hat CRITEO bereits zugesprochen, die Auskunft entsprechend der Kritik anzupassen.
Mangelnde Löschung auf Anfrage – Daten betroffener Personen wurden bei Widerruf der Einwilligung nicht gelöscht, sondern lediglich die Anzeige personalisierter Werbung unterbunden. Zudem wurde kritisiert, dass der Betroffenenrechteprozess zwischen der Abmeldung von der Nutzung einerseits, und der Löschung andererseits, unterschied. So erforderte die Löschung eine E-Mail an den Datenschutzbeauftragten, während für die Abmeldung ein eigener Button eingerichtet war.
Mangelnder Vertrag – In der Vereinbarung, die das Unternehmen mit seinen Partnern geschlossen hat, wurden einige der jeweiligen Pflichten der für die Verarbeitung Verantwortlichen in Bezug auf die in der DSGVO enthaltenen Anforderungen nicht spezifiziert, wie z. B. die Ausübung der Rechte der betroffenen Personen, die Verpflichtung, die Aufsichtsbehörde und die betroffenen Personen über eine Datenschutzverletzung zu benachrichtigen oder, falls erforderlich, die Durchführung einer Folgenabschätzung gemäß Artikel 35 der DSGVO. Nach Aussage der Behörde wurde die Vereinbarungen mit den Partnern um die in Artikel 26 geforderten Angaben ergänzt.

Zusammenfassung

Unternehmen, die Retargeting-Technologie einsetzen, sollten sich vergewissern, dass die bemängelten Punkte von ihren Retargeting-Partnern ausreichend berücksichtigt werden. Insbesondere lohnt sich ein Blick in die entsprechenden Vertragswerke, um sicherzustellen, dass die Pflichten zur Einhaltung des Datenschutzes vollständig und konkret aufgenommen und verteilt sind.