Der 25. Mai 2018 markiert ein wichtiges Datum für die Bürger der Europäischen Union: An diesem Tag tritt die EU-Datenschutz-Grundverordnung (General Data Protection Regulation / GDPR) in Kraft. Dieses Regelwerk ersetzt die 1995 erlassene Datenschutzrichtlinie der EU und harmonisiert die existierenden Datenschutzgesetze in allen 28 Mitgliedstaaten – auch in Großbritannien. Beim Thema Datenschutz stellen Konsistenz und Rechtssicherheit für alle Beteiligten einen Gewinn dar – für Unternehmen, aber auch für Konsumenten: Dieser Überzeugung sind wir bei Criteo schon lange.
Seit Gründung des Unternehmens im Jahr 2005 war es stets zentrale Firmenpolitik, unsere Technologie auf die höchsten Anforderungen von Datenschutz und -sicherheit abzustimmen, während wir gleichzeitig unsere Kunden darin unterstützen, ihren Käufern personalisierte und relevante Werbung zu bieten. Als international tätiges Unternehmen mit Niederlassungen in zahlreichen Ländern der EU liegt es in der Natur unseres Geschäfts, die rechtlichen Vorschriften und Auflagen in den jeweiligen Ländern zu erfüllen.
In der Tat befolgen wir bereits zentrale Vorschriften der EU-Datenschutz-Grundverordnung und sind sehr gut vorbereitet, weitere Anforderungen zu implementieren. Darüber hinaus unterstützen wir Kunden und Partner, die von dieser neuen Regelung betroffen sind, beim reibungslosen Übergang und vermitteln ihnen unsere Best Practices. Die Auswirkungen dieser neuen rechtlichen Regelung auf die Zusammenarbeit mit unseren Kunden und Partnern werden sich für uns also in Grenzen halten. Criteo ist damit gut aufgestellt, um die Herausforderung „EU-Datenschutz-Grundverordnung“ zu meistern.
EU-Datenschutz-Grundverordnung: Evolution, nicht Revolution
In der Gesamtschau stellt diese Neuregelung einen evolutionären Schritt dar, der die Datenschutzbestimmungen in den einzelnen EU-Mitgliedstaaten harmonisiert und sie für die zuständigen lokalen Behörden konsistent anwend- und durchsetzbar macht. Die Zielsetzungen der EU-Datenschutz-Grundverordnung sind klar:
- Modernisierung der Rechtssituation zum Schutz personenbezogener Daten im Zeitalter der Globalisierung und technologischen Innovation.
- Stärkung der Bürgerrechte und Bürokratieabbau, um einen freien Fluss von personenbezogenen Daten innerhalb der EU sicherzustellen.
- Klarheit und Kohärenz für den Datenschutz bei der Implementierung und Anwendung in der gesamten EU.
Die EU-Datenschutz-Grundverordnung schützt die Privatsphäre und die persönlichen Daten aller EU-Bürger. Sie gilt für alle Unternehmen, die innerhalb der Europäischen Union personenbezogene Daten erfassen und/oder verarbeiten – unabhängig davon, ob diese Unternehmen in der EU ansässig sind oder nicht. Eine wesentliche Herausforderung für das digitale Marketing stellt dabei dar, dass die EU-Datenschutz-Grundverordnung für alle Informationen mit Bezug auf eine identifizierte oder identifizierbare natürliche Person gilt – das umfasst auch technische IDs wie Cookies oder mobile Advertising IDs. Beide werden in der Definition von personenbezogenen Daten explizit genannt.
Diese technischen IDs wurden allerdings bereits auf Staateneben von vielen Datenschutzbehörden zu den personenbezogenen Daten gezählt – so etwa in Frankreich. Dies ist also keine neue Anforderung für Criteo; wir verfügen über etablierte und erprobte Prozesse, die diese rechtlichen Auflagen erfüllen und gleichzeitig unseren Kunden die nötige Performance bieten. Insgesamt schafft die EU-Datenschutz-Grundverordnung sechs rechtliche Grundlagen für das Sammeln und Verarbeiten von Daten in Europa. Mehr Informationen zu diesem Thema und seinen Konsequenzen für Criteo und unsere Kunden erhalten Sie hier.
Eindeutige Einwilligung und Opt-In sind zwei verschiedene Dinge
Die EU-Datenschutz-Grundverordnung unterscheidet klar zwischen eindeutiger und ausdrücklicher Einwilligung. Ausdrückliche Einwilligung bedeutet, dass der User proaktiv zustimmen muss (Opt-In). Dies gilt ausschließlich für sensible personenbezogene Daten wie Ethnizität, Religion, sexuelle Orientierung, Parteizugehörigkeit/politische Meinung oder Gesundheit.
Wichtig: Online-IDs wie Cookies gelten als nicht sensible personenbezogene Daten; daher ist bei deren Erfassung und Verarbeitung eine ausdrückliche Einwilligung (Opt-In) nicht erforderlich.
Ad Choices: Ein Programm mit Schwerpunkt auf Rechte und Kontrollmöglichkeiten der Konsumenten
Criteo hat schon vor langer Zeit erkannt: Es ist notwendig, eine Balance zwischen relevanter Werbeerfahrung und Wahrung der Privatsphäre zu schaffen und den Konsumenten entsprechende Kontrollmöglichkeiten an die Hand zu geben. Die Konsumenten verstehen diese Art des Austauschs. Laut einer aktuellen Criteo-IPSOS-Studie, sind sich 90 % der Internetnutzer in der EU bewusst, dass es verhaltensbasiertes Targeting gibt; 75 % der Befragten erwarteten sogar explizit, Anzeigen zu sehen, die ihren Interessen entsprechen. [1] User sind vertraut mit Cookies und verstehen die Rolle, die diese bei der Werbefinanzierung der Inhalte spielen, auf die sie zugreifen möchten.
Daher ist Criteo bereits seit 2008 engagiert im Programm „Ad Choices“: Es erlaubt Konsumenten mit einem einzigen Mausklick zu sehen, wo Criteo Daten nutzt und wie wir die Privatsphäre der User schützen. Entscheidet sich ein Konsument für ein Opt-Out, stellen wir das Tracking und Retargeting unmittelbar ein. Anschließend entfernen wir alle IDs aus den Browsern der Betroffenen, sodass wir sie auch in Zukunft nicht mehr tracken können. Entsprechend den Schutzregelungen der EU werden alle personenbezogenen Daten von Konsumenten für maximal 13 Monate gespeichert. Mehr über Ad Choices und unser Engagement erfahren Sie hier.
Privacy by Design: Unsere Selbstverpflichtung zu Best Practices
Unter der Bezeichnung „Privacy by Design“ haben wir die zahlreichen Richtlinien und Maßnahmen von Criteo zusammengefasst, mit denen wir branchenführenden Datenschutz sowie Sicherheit sowohl für Konsumenten als auch für Werbetreibende sicherstellen. Zu den wesentlichen Elementen gehören:
- Wie in der EU-Datenschutz-Grundverordnung vorgeschrieben, haben wir einen hauptamtlichen Datenschutzbeauftragten ernannt. Er arbeitet mit einem Team von Datenschutzexperten.
- Diese Experten sind Mitarbeiter der Produkt-Abteilung sowie von Forschung und Entwicklung. Mit kontinuierlichen Assessments im Bereich Datenschutz beobachten sie potentielle Risiken über den gesamten Produkt-Lebenszyklus hinweg und adressieren diese Risiken proaktiv.
- Das Datenschutzteam bietet unternehmensweite Trainings in diesem Bereich, setzt entsprechende Verhaltensregeln durch und ist so entscheidend an der überragenden Qualität unserer Produkte beteiligt.
- Wir überprüfen und dokumentieren unsere internen Richtlinien regelmäßig und aktualisieren alle Datenschutzrichtlinien, falls nötig. Unsere Partner und Lieferanten sind gleichfalls vertraglich verpflichtet, diese Richtlinien einzuhalten.
Führend in der Sicherheit
In Übereinstimmung mit der EU-Datenschutz-Grundverordnung setzt Criteo beim Sammeln der Konsumentendaten in Zusammenarbeit mit unseren Kunden auf strikte Sicherheitsmaßnahmen. Wir verwenden moderne Pseudonymisierungs-Methoden wie zum Beispiel Hashing-Prozesse, die im Rahmen der EU-Datenschutz-Grundverordnung als Best Practices anerkannt sind. Zudem speichern wir niemals wissentlich personenbezogene Daten, mit denen sich einzelne Konsumenten exakt identifizieren lassen. Aus Gründen der Compliance und Performance speichern wir die Daten von Konsumenten aus der EU im physisch nächstgelegenen Rechenzentrum innerhalb der Grenzen der EU.
Führend in unserer Branche: Investitionen in Standards und Zertifizierungen
Criteo verfügt bereits über eine große Zahl von Zertifizierungen, die jährlich von Behörden und anderen Kontrollinstanzen überprüft werden. Unter anderem:
- Network Advertising Initiative Standards
- IAB Europe
- Digital Advertising Alliance: Selbstregulierungskodex für verhaltensbasierte Online-Werbung
- European Digital Advertising Alliance: Selbstregulierungskodex
- Digital Advertising Alliance of Canada: Selbstregulierungskodex
- TrustArc Trusted Data Collection Zertifizierung
Bei Criteo betrachten wir die EU-Datenschutz-Grundverordnung als positive Entwicklung, die das Vertrauen in unsere digitale Wirtschaft fördern und eine Umgebung der Transparenz, Kontrolle und Sicherheit schaffen wird – sowohl für Unternehmen als auch für Konsumenten. Wir sind mit der Einhaltung strengerer EU-Standards vertraut und entsprechend gut aufgestellt, unsere Kunden und Partner bei der Umsetzung dieser neuen Richtlinien in ihrem Unternehmen partnerschaftlich zu begleiten. Auch weiterhin werden wir Artikel zu den Themen und Best Practices einer effektiven Compliance mit der EU-Datenschutz-Grundverordnung veröffentlichen.
Es lohnt sich also für Sie, diesen Blog regelmäßig zu besuchen.
Mehr Informationen findet ihr in unserem Webinar DSGVO – Criteo ist bereit.
