Dieser Artikel bietet lediglich allgemeine Informationen zum Thema und stellt keinen Ersatz für eine individuelle rechtliche Beratung dar. Für diese wenden Sie sich bitte an einen darauf spezialisierten Anwalt.
Das Criteo-Datenschutzteam
Die DSGVO wurde geschaffen, um die Datenschutz- und Datensicherheitsgesetzgebung in der EU zu harmonisieren. Wir sehen uns in der Pflicht zur Compliance mit der DSGVO. Bei Criteo verstehen wir diese gesetzliche Neuregelung als Win-Win-Situation, von der Unternehmen und Konsumenten gleichermaßen profitieren. Seit unserer Gründung im Jahr 2005 waren Datenschutz und Sicherheit auf höchsten Niveau integrale Bestandteile unserer Technologie. Wir sind stolz darauf, die strengsten Industriestandards, Regularien und Best Practices in diesem Bereich zu erfüllen – einschließlich der Vorschriften der DSGVO.
Da wir die Vorschriften der DSGVO bereits heute vorwegnehmend erfüllen, rechnen wir damit, dass sich die Einführung dieser neuen Rechtsvorschrift nur geringfügig auf die Zusammenarbeit mit unseren Kunden und Partnern auswirken wird. So haben wir bereits seit vielen Jahren anerkannt, dass die Daten, die wir für unsere Services benötigen, personenbezogen sind. Unser Ziel war es daher stets, den Datenbestand auf das wirklich Notwendige zu minimieren, indem wir nur Informationen sammeln, die keine direkte Identifizierung erlauben (pseudonymisierte Daten im Sinne der DSGVO). Diese Form der Daten erlaubt uns auch, den Betroffenen Sicherheit in Sachen Vertraulichkeit zu vermitteln.
Darüber hinaus implementieren wir einen „Privacy by Design“-Ansatz in all unsere Services und Technologien. Im Folgenden erläutern wir, welche Bedeutung die DSGVO für die Lösungen und Produkte von Criteo hat.
6 Rechtsgrundsätze für das Sammeln und Verarbeiten von personenbezogenen Daten
Die EU-Datenschutz-Grundverordnung definiert sechs Rechtsgrundsätze für das Sammeln und Verarbeiten von personenbezogenen Daten in Europa. Diese sechs Grundsätze haben alle den gleichen rechtlichen Wert, d. h. sie sind grundsätzlich unabhängig voneinander gültig. Diese Grundsätze haben wir im folgenden Blogbeitrag näher erläutert: Compliance mit der EU-Datenschutz-Grundverordnung: Rechtsgrundsätze für das Sammeln von personenbezogenen Daten
Der aus unserer Sicht wichtigste Rechtsgrundsatz für unsere Kunden und Partner, die personenbezogene Daten (einschließlich technischer IDs) sammeln, ist die sogenannte „wirksame Einwilligung“. Nach Verständnis der DSGVO teilen sich Criteo sowie seine Klienten und Partner die Verantwortung für die Daten und sind daher gleichermaßen für die Compliance mit den jeweiligen Rechtsvorschriften verantwortlich.
Criteo hat keine direkte Kontrolle über die Websites unserer Klienten und Partner; daher liegt es in deren Verantwortlichkeit, ihren Usern die notwendige Transparenz und die vorgeschriebenen Wahlmöglichkeiten zu bieten. Dies ist auch Bestandteil aller mit uns geschlossenen Standardverträge.
Im Gegenzug haben unsere Partner und Kunden nur minimalen Einfluss darauf, wie unsere Technologie aufgebaut ist, welche Sicherheitsmaßnahmen wir implementieren oder wie unser Algorithmus für Produktempfehlungen arbeitet. Für all diese Aspekte ist Criteo direkt und alleinig verantwortlich; wir stehen daher in der Pflicht, stets alle Rechte der User in Sachen Datenschutz und Privatsphäre zu achten und zu schützen.
Criteo Shopper Graph: Der Käufer steht im Mittelpunkt unserer Lösungen
Ein wesentlicher Kern unserer Technologie ist der Criteo Shopper Graph, der Daten zum Kaufverhalten aus unserem Netzwerk sammelt. Der Shopper Graph ist wesentlicher Bestandteil all unserer Produkte im Criteo Commerce Marketing Ecosystem, von Criteo Dynamic Retargeting bis zu Criteo Customer Acquisition.
Der Criteo Shopper Graph wird untergliedert in drei vertrauenswürdigen Datenkollektiven, in denen drei Arten von Käuferdaten kombiniert werden:
- „Pseudonymisierte“ technische IDs
- Interessen hinsichtlich der Produkte und Services unserer Kunden
- Messwerte und Statistiken zur Performance unserer Services
Wir überprüfen kontinuierlich, dass die so erfassten Daten strikt auf das begrenzt sind, was unsere Services wirklich benötigen, um Käufern relevante Informationen zu den Produkten zu zeigen, die für sie interessant sind – am richtigen Ort und mit der richtigen Botschaft.
Um zu verstehen, wie Criteo die Prinzipien der DSGVO einhält, ist es wichtig, zu wissen, welche Daten wir auf welche Weise für den Criteo Shopper Graph sammeln.
(Weitere Informationen: EU-Datenschutz-Grundverordnung: Sensible und nicht sensible Daten – der entscheidende Unterschied)
Die Daten, die wir für die Services von Criteo erfassen, sind zwar personenbezogen; es handelt sich dabei jedoch um an spezifische Online-Ereignisse geknüpfte, sogenannte pseudonymisierte Daten, die als vertrauliche Informationen zu verstehen sind.
Zum Beispiel:
- Cookie ID
- Mobile Advertising ID
- gehashte CRM ID
- gehashte E-Mail-Adresse
Für das Hashing der Daten setzt Criteo modernste Algorithmen ein. So stellen wir sicher, dass in unseren Systemen keine Informationen gespeichert sind, die eine direkte Identifizierung von Käufern zulassen.
So setzen wir den notwendigen Datenschutz in unseren Produkten und Lösungen um:
Werbetreibende können zum Beispiel mit Criteo Audience Match wertvolle Käufer präzise ansprechen und im Rahmen eines Abverkaufs, einer saisonalen Kampagne oder einer speziellen Promotion zurück in ihren Onlineshop holen.
Retailer definieren Zielgruppen, indem sie ihre CRM-Daten über unsere hochsichere Web-Schnittstelle weitergeben. An dieser Schnittstelle werden die Daten noch vor der Speicherung automatisch pseudonymisiert und sofort mit dem Criteo Shopper Graph abgeglichen.
Wenn ein Werbetreibender ausschließlich Criteo Audience Match einsetzt, wird seine Zielgruppe exklusiv über eine Display-Kampagne dieser Lösung angesprochen, unabhängig von Criteo Dynamic Retargeting. Criteo spricht dabei einzig jene Käufer in der Zielgruppe an, die in unserem Netzwerk aktiv sind.
Die über unser Webinterface audience.criteo.com hochgeladenen E-Mail-Adressen werden ausschließlich im Rahmen von Criteo Audience Match Kampagnen verwendet. Wir speichern niemals die Originaldateien mit den E-Mail-Adressen; und nachdem wir die Daten mit unseren eigenen pseudonymisierten Datenbeständen abgeglichen haben, werden alle nicht gematchten Daten sofort gelöscht. Die so erfassten Informationen werden niemals im Rahmen anderer Criteo-Services verwendet.
Sicherheit für Kunden, Partner und vor allem User
Wir stimmen unsere Produkte kontinuierlich auf die Best Practices unserer Branche für den Bereich Datenschutz und Sicherheit ab:
- Wir sammeln ausschließlich Daten, die wir für unsere personalisierten Werbedienstleistungen benötigen; die Daten werden auch nur für diesen Zweck eingesetzt.
- Wir speichern niemals wissentlich personenbezogene Daten, die eine direkte Identifizierung erlauben, oder andere in der DSGVO als sensibel klassifizierte Informationen.
- Wir setzen ausschließlich modernste Hashing-Mechanismen ein, um eine besonders starke Pseudonymisierung zu gewährleisten. Dabei orientieren wir uns an der technologischen Weiterentwickung und Einschätzung von Risiken.
- Wir speichern Daten grundsätzlich nur für begrenzte Zeit und niemals länger, als unbedingt nötig. Dabei beachten wir die Empfehlungen der EU-Datenschutzbehörden zu Cookies und digitaler Werbung.
- Auch bei Daten beachten wir strikt die Eigentumsrechte: Eure Daten bleiben immer eure Daten.
- Wir stellen nutzerfreundliche Wahlmechanismen zur Verfügung. Für alle Criteo-Produkte besteht der gleiche einfache Opt-Out-Prozess, der über all unsere Ads und über unsere Datenschutzrichtlinien erreichbar ist. Darüber hinaus sind wir registrierte Mitglieder der folgenden Opt-Out-Plattformen, über die User dem gezielten Targeting durch uns widersprechen können:
Über den Ad Choices Link in unseren Ads haben Konsumenten eine ganz einfache Möglichkeit zum Opt-Out aus unseren Services. Sobald ein User sich für diese Möglichkeit entscheidet, werden alle gespeicherten Informationen gelöscht oder unzugänglich gemacht – einschließlich aller Nutzerdaten, die unsere Kunden im Rahmen einer Kampagne mit Criteo-Produkten möglicherweise hochgeladen haben.
Privacy by Design
Wir bei Criteo betrachten Datenschutz und die Wahrung der Privatsphäre als wesentliche Leitprinzipien. Die oben beschriebenen Beispiele sind nur ein kleiner Teil der von uns ergriffenen Maßnahmen in diesem Bereich. Wir betreiben großen Aufwand, um die von uns erfassten Daten zu schützen und ausschließlich in Übereinstimmung mit den jeweils gültigen Datenschutzgesetzen zu verarbeiten. Das schließt auch die Bestimmungen der DSGVO ein.
Datenschutz und Wahrung der Privatsphäre sind zentrale Prinzipien bei der Entwicklung jedes neuen Produkts und jedes Features; das ist ein wesentlicher Grundpfeiler von Privacy by Design, einem hochmodernen Ansatz, der ein marktführendes Sicherheitsniveau garantiert – und zwar für Werbetreibende und Konsumenten gleichermaßen. Mehr Informationen zu Privacy by Design findet ihr hier:
Wir bei Criteo sind davon überzeugt, dass transparente Geschäftspraktiken sowie der Schutz der Privatsphäre der Konsumenten zentrale Bedeutung für alle Seiten haben. Wenn Konsumenten genau verstehen, wie ihre Informationen verwendet werden und zudem Kontrolle darüber haben, welche personenbezogenen Daten gespeichert werden, führt das zu mehr Vertrauen und steigert letztlich ihre Loyalität gegenüber einem Unternehmen.
Wir haben uns intensiv mit den Implikationen der DSGVO auseinandergesetzt und uns auf diese vorbereitet. So können wir unsere Partner und Kunden in Zukunft optimal dabei unterstützen, unsere Produkte und Services im Hinblick auf Datenschutz und Sicherheit zu verstehen. Wenn wir beim Verständnis und beim Umsetzen der neuen Regularien zusammenarbeiten, werden wir nur geringe Auswirkungen auf unser Geschäft sehen.
Mehr Informationen findet ihr in unserem Webinar DSGVO – Criteo ist bereit.
