Die Digitale Gesellschaft beteiligt sich an einer europaweiten Beschwerdewelle, angeführt von der Civil Liberties Union for Europe, gegen verhaltensbasierte Online-Werbung.
Beschwerdetext als pdf: https://digitalegesellschaft.de/wp-content/uploads/2019/06/Beschwerde_verhaltensbasierte_Werbung-1.pdf
Bericht von Dr. Johnny Ryan als pdf: https://digitalegesellschaft.de/wp-content/uploads/2019/06/Report_verhaltensbasierte_Werbung_Dr_Ryan_DE.pdf
Kampagnenwebsite von Civil Liberties Europe: https://www.liberties.eu/de/campaigns/stopspyingonus-fixad-tech-kampagne/307
Digitale Gesellschaft e.V./Netzwerk Datenschutzexpertise/Deutsche Vereinigung für Datenschutz e. V./Digitalcourage e. V.
Beschwerde
bei den deutschen Datenschutz-Aufsichtsbehörden
wegen
VERHALTENSBASIERTER WERBUNG im Internet
und Aufforderung, hierzu Datenschutzleitlinien zu erarbeiten und zu veröffentlichen
_____________________________________________________________
A. Einführung & Zweck
1
Wir erheben in Absprache mit weiteren Organisation in Europa die unten stehende Beschwerde. Wer wir sind:
- Die Digitale Gesellschaft e.V. ist ein gemeinnütziger Verein, der sich seit seiner Gründung im Jahr 2010 für Grundrechte und Verbraucherschutz im digitalen Raum einsetzt.
- Das Netzwerk Datenschutzexpertise ist ein Zusammenschluss von DatenschutzexpertInnen mit dem Ziel, öffentliche Diskussionen über Fragen des Datenschutzes sowie generell des Schutzes von Menschenrechten und Grundrechten in der digitalen Welt zu initiieren und voranzubringen.
- Die Deutsche Vereinigung für Datenschutz e. V. (DVD) nimmt seit ihrer Gründung 1977 als gemeinnütziger Verein die Interessen der verdateten BürgerInnen wahr.
- Digitalcourage e. V. ist ein Zusammenschluss von Menschen, die Technik und Politik mit dem Ziel der Verwirklichung von Grundrechten und Datenschutz kritisch erkunden und menschenwürdig gestalten wollen.
2
Der Zweck der vorliegenden Beschwerde ist es, die deutschen Datenschutzaufsichtsbehörden um Maßnahmen zu bitten, welche den Einzelnen bzw. die Menschen allgemein vor weitreichenden und systematischen Datenschutzverstößen durch Google und andere Internet-Unternehmen der Branche schützen. Die Beschwerde hat als Grundlage die Stellungnahme von Dr. Johnny Ryan (Ryan-Bericht).1
3
Es gibt zwei Hauptsysteme, die der verhaltensbasierten Onlinewerbung zugrunde liegen, die beide nach einer Spezifikation namens „Real Time Bidding“ (RTB) arbeiten:
• OpenRTB wird von praktisch jedem bedeutenden Unternehmen in der Online-Medien- und Werbebranche verwendet.
• Authorized Buyers” ist Googles proprietäres RTB-System, das vor Kurzem von „DoubleClick Ad Exchange“ (kurz „AdX“) in „Authorized Buyers“ umbenannt wurde.
4
Beide Systeme dienen dazu, personalisierte Werbung auf Websites bereitzustellen. Wie im Ryan-Bericht dargestellt, werden „jedes Mal, wenn eine Person auf eine Webseite geht, die automatisierte Werbung nutzt, und diese herunterlädt, persönliche Daten über sie an Dutzende – oder gar Hunderte – von Firmen übertragen“.
5
Es gibt drei zentrale, miteinander zusammenhängende Gründe für erhebliche Datenschutzbedenken beim Einsatz von verhaltensbasierter Internetwerbung.
Erstens Die Branche begann ursprünglich damit, personalisierte Werbung zu unterstützen. Inzwischen führt dies zu einer Übertragung von Massendaten, die
a. ein breites Spektrum an Informationen über Einzelpersonen umfasst, welches weit über den Bereich der Informationen hinausgeht, der für die Bereitstellung der relevanten Anzeigen erforderlich ist, und
b. einer Vielzahl von Dritten für eine Reihe von Anwendungen zur Verfügung gestellt werden, die weit über die Zwecke hinausgehen, welche eine betroffene Person verstehen kann und in die sie einwilligen oder gegen die sie Widerspruch einlegen kann. Es gibt keine rechtliche Grundlage für eine solche allgegenwärtige und invasive Profilerstellung und Verarbeitung personenbezogener Daten aus Profitgründen (Art. 22 Datenschutz-Grundverordnung – DS-GVO).
Zweitens Der praktizierte Mechanismus der Branche ermöglicht es nicht, die Kontrolle über die Verbreitung personenbezogener Daten nach deren Übertragung (bzw. überhaupt) zu behalten. Die schiere Anzahl der Empfänger solcher Daten führt dazu, dass die Sender weder ihre unbefugte Weiterverarbeitung verhindern, noch die betroffenen Personen über die Empfänger der Daten ordnungsgemäß informieren können. Die rechtskonforme Verarbeitung der personenbezogenen Daten kann nicht mehr gewährleistet werden, wenn diese einmal weitergegeben worden sind. Die technischen und organisatorischen Sicherheitsvorkehrungen, die getroffen wurden, bestätigen, dass Datenschutzverletzungen dem Design der Branche inhärent sind. Dieses Problem besteht unabhängig davon, ob die Verarbeitung personenbezogener Daten und der Informationsaustausch im Rahmen der personalisierten Werbung durchgeführt werden. Eine Verarbeitung ohne ausreichende Sicherheitsvorkehrungen ist mit den Datenschutzbestimmungen nicht vereinbar.
Drittens Die Verarbeitung betrifft sehr oft besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DS-GVO). Die besuchten Webseiten können Indikatoren enthalten, die über Sexualität, Ethnizität, politische Meinungen etc. Auskunft geben. Solche Aussagen, die als sensitive Daten anzusehen sind, können explizit erfolgen oder effektiv und leicht mit hoher Genauigkeit unter Verwendung moderner analytischer Techniken abgeleitet werden.2 RTB erfolgt in Echtzeit, was zur Folge hat, dass solche sensitiven Daten ohne jegliches Einverständnis und ohne jegliche Kontrolle verbreitet werden können. Da solche Daten mit sehr hoher Wahrscheinlichkeit an zahlreiche Organisationen weitergegeben werden, die diese Daten wiederum mit anderen Daten verknüpfen, können extrem komplexe Profile von Personen erstellt werden, ohne dass die betroffene Person davon Kenntnis hat, geschweige denn ihr Einverständnis gegeben hätte. Die Industrie fördert diese Praxis und verzichtet auf adäquate Sicherheitsmechanismen, welche die Integrität der persönlichen Daten und auch solcher besonderer Kategorien gewährleisten könnten. Darüber hinaus ist es unwahrscheinlich, dass Einzelpersonen wissen, dass ihre persönlichen Daten auf diese Weise verbreitet und übertragen wurden, es sein denn, sie sind aus einem speziellen Grund in der Lage, bei einer Vielzahl von Unternehmen erfolgreiche Anträge auf Zugang zu persönlichen Daten zu stellen.3 Es ist nicht zu erkennen, dass diese Unternehmen solchen Anfragen nachgekommen sind und dass dies nachweisbar wäre. Ohne Maßnahmen der Regulierungsbehörden ist es nicht möglich, die branchenweite Einhaltung der Datenschutzbestimmungen sicherzustellen.
6
Angesichts dieser anhaltenden Verstöße gegen die einschlägigen Vorschriften und Gesetze werden die Datenschutzaufsichtsbehörden um Folgendes ersucht:
i. Überprüfen Sie die detaillierten Beschwerdegründe, die hier und im Ryan-Bericht aufgeführt werden, und leiten Sie eine Untersuchung der speziellen Probleme in Bezug auf die Branche für verhaltensorientierte Werbung ein. Um gegen sie vorgehen zu können, ist es wichtig, die systematische Natur der in diesen Beschwerden aufgeführten Verstöße anzuerkennen.
ii. Leiten Sie eine breit angelegte Untersuchung zu den Datenschutzpraktiken der Branche ein. Wir fordern die Datenschutzaufsichtsbehörden auf, ihre Befugnisse nach Kapitel VII der Europäischen Datenschutz-Grundverordnung (DS-GVO) auszuüben, um in Zusammenarbeit mit anderen Datenschutzbehörden eine gemeinsame Untersuchung der genannten Geschäftspraktiken durchzuführen. Wie im Folgenden näher ausgeführt, wurden entsprechende Beschwerden bereits bei Datenschutzbehörden anderer EU-Mitgliedstaaten eingereicht.
iii. Darüber hinaus ersuchen wir die Datenschutzaufsichtsbehörden, die in dieser Beschwerde aufgeführten systematischen und weit verbreiteten Probleme und Bedenken gemäß deren gesetzlichen Auftrag nach § 40 Bundesdatenschutzgesetz (BDSG) zu untersuchen und eine Bewertung durchzuführen, ob die Branche die einschlägigen Datenschutzvorschriften einhält. Darüber hinaus fordern wir die Datenschutzaufsichtsbehörden auf, im Rahmen ihres Ermessens eine gemeinsame Prüfung der Branche vorzunehmen und geeignete Verhaltensregeln / Empfehlungen in Anlehnung an Art. 57 Abs. 1 lit. g, h DS-GVO zu erarbeiten und, falls erforderlich, Durchsetzungsmaßnahmen zu ergreifen.
7
Die von den Datenschutzaufsichtsbehörden geforderten Maßnahmen sind in den nachstehenden Ziffern 48 – 53 ausführlich beschrieben.
B. Hintergrund
8
Der Hintergrund der Branche ist in dem beigefügten Bericht von Dr. Ryan (Ryan-Bericht) dargestellt. Wir verweisen die Datenschutzaufsichtsbehörden für eine detaillierte Erklärung zur Branche, zu deren Vorgehensweise und zu den dem System innewohnenden Datenschutzbelangen auf diesen Bericht.
C. Richtlinien und Verfahren
9
Die Unternehmen sind in einem Branchenverband zusammengeschlossen, der Parameter und Anwendungsmuster festlegt: das Interactive Advertising Bureau (IAB). Die europäische Niederlassung des IAB, IAB Europe, hat mit der „Industry Standard Policy“ Verhaltensregeln und standardisierte Vorgehensweisen für Europa festgelegt. Wegen der marktbeherrschenden Stellung von Google handelt dieses Unternehmen mit Authorized Buyers nach eigenen Verfahren und Vorgehensweisen. Wir gehen nacheinander auf beides ein.
i. IAB Europe
10
IAB Europe hat das „Europe Transparency & Consent Framework“ geschaffen (Framework).4 Dieser Rahmen basiert auf der Idee, im Verlauf des RTB-Prozesses die Einwilligung von einer betroffenen Person für alle späteren Datenweitergaben an Dritte einzuholen.
11
Mit dem Design des Systems ist ein grundlegender Fehler verbunden. Das Framework erkennt ausdrücklich an, dass der für die Datenverarbeitung Verantwortliche, der „data controller“ (und damit auch die betroffene Person), unmittelbar jede Kontrolle über die Verwendung dieser Daten verliert, sobald die Daten einer natürlichen Person übertragen wurden. Tatsächlich akzeptiert das Framework, dass selbst für den Fall, dass ein Empfänger von Daten gegen Gesetze verstößt, diesem Empfänger weiterhin Daten zur Verfügung gestellt werden dürfen.5 Durch den Verzicht der „data controller“ auf die Kontrolle verzichtet die Branche insgesamt darauf, den Anschein eines Mechanismus aufrechtzuerhalten, in dem es eine Rolle spielt, wie die Daten verwendet werden. Einmal abgegeben, ist die Kontrolle über diese Daten im Äther des Datenhandels für immer verloren.
12
Diese Daten werden dann an ein umfangreiches Ökosystem von Data Brokern und Werbetreibenden weitergegeben. Diese Dritten können die Daten dann nach eigenem Ermessen verwenden, wobei die Betroffenen als die „Datensubjekte“ keinerlei Mitsprache, Kenntnis oder Kontrolle über diese nachfolgende Nutzung haben. Die Anwendungen für diese Daten sind umfangreich; sie können mit anderen Daten zusammengeführt werden oder die Daten können verwendet werden, um für viele unterschiedliche Zwecke ein Profil der betroffenen Person zu erstellen. Die letztliche Verwendung dieser Daten kann daher Bereiche umfassen, die vom ursprünglich Verantwortlichen in seiner Interaktion mit dem Kunden nicht erwähnt wurden. Solche Endverwendungen können für die betroffenen Personen bedenklich sein, wenn sie überhaupt davon Kenntnis erlangen.6 Tatsächlich gibt es keine Möglichkeit für den Verantwortlichen, alle möglichen Endanwendungen zu erwähnen, da diese nach der Übertragung der Daten nicht mehr in seiner Macht stehen. Dieses Problem ist dem Design der Branche inhärent.
13
Darüber hinaus können die zu verarbeitenden Daten, wie im Bericht von Dr. Ryan beschrieben, besondere Kategorien personenbezogener Daten, sog. sensitive Daten, enthalten. Dass solche Daten ohne jegliche Kontrolle weitergegeben werden, ist äußerst problematisch.
14
Ein weiteres Problem dieses Frameworks liegt darin, dass es darauf abzielt, die Kontrolle über personenbezogene Daten nach deren Übertragung zu beseitigen. Das Framework geht davon aus, dass diejenigen, die solche personenbezogenen Daten verbreiten, sie auch ohne Einwilligung der Betroffenen an Dritte weitergeben.
Das Framework besagt (Betonung nicht im Original): „Ein Anbieter kann sich aus einem beliebigen Grund dafür entscheiden, keine Daten an einen anderen Anbieter zu übermitteln, aber ein Anbieter darf keine Daten an einen anderen Anbieter übermitteln, ohne dass eine gerechtfertigte Grundlage für die Annahme vorliegt, dass der Verkäufer über eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten verfügt. Hat oder erhält ein Anbieter personenbezogene Daten und liegt keine Rechtsgrundlage für den Zugang zu diesen Daten und deren Verarbeitung vor, sollte der Verkäufer die Erhebung und Speicherung der Daten schnellstmöglich einstellen und von einer Datenweitergabe an andere Parteien auch dann absehen, wenn diese Parteien eine Rechtsgrundlage haben.“
15
Denjenigen, die personenbezogene Daten übertragen, wird folglich ein Ermessensspielraum eingeräumt, ob eine „gerechtfertigte Grundlage für die Annahme besteht, dass der Verkäufer über eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügt“. Im Umkehrschluss kann also die Einwilligungseinstellung einer betroffenen Person umgangen werden. Der Anbieter kann auf einer nicht näher spezifizierten „gerechtfertigten Grundlage“ seinen Ermessensspielraum nutzen um festzustellen, dass es einen rechtmäßigen Grund gibt, personenbezogene Daten an Dritte weiterzugeben, auch wenn eine Person die Zustimmung ausdrücklich verweigert hat. Das gesamte System stützt sich also auf das Ermessen und die Beurteilung des Anbieters auf Grundlage vager Begriffe mit unklar definierten Parametern und beruht nicht auf den Wünschen, der Kenntnisnahme oder der Zustimmung des Betroffenen.
16
Zusammenfassend lässt sich sagen, dass das Framework dem Verkäufer einen Ermessensspielraum einräumt, anstatt die Position des Betroffenen zu berücksichtigen. Dies steht im Widerspruch zu den gesetzlichen Anforderungen der DS-GVO. Das Framework versucht eine fiktive Zustimmung zu konstruieren, wobei sich die Verfasser darüber im Klaren sind, dass eine tatsächliche Zustimmung schwer zu erreichen ist. Angesichts der möglichen Verarbeitung von besonderen Kategorien personenbezogener Daten ist es durchaus verständlich, dass versucht wird, den Anbietern eine Form der Ermessensfreiheit einzuräumen. Bedauerlicherweise ist das Ergebnis nicht mehr als ein Feigenblatt hinsichtlich der Rechte der einzelnen Personen an ihren Daten. Es gibt keine plausible Lesart des Frameworks, welche die individuellen Rechte angemessen berücksichtigt und schützt.
17
Wir stellen fest, dass IAB Europe kürzlich eine Presseerklärung veröffentlicht hat, in der eine Überarbeitung des Frameworks angekündigt wird. Diese Vorschläge werden aber nicht konkretisiert und die Ausführungen adressieren nicht die bestehenden Bedenken. Vielmehr weist die Presseerklärung darauf hin, dass es ein geeigneter Zeitpunkt für die Aufsichtsbehörden wäre, die gesamte Branche zu überprüfen, um eine konsistente und datenschutzkonforme Praxis zu erreichen.
ii. Authorized Buyers
18
Für Authorized Buyers gelten eine „Richtlinie“ (guideline)7 und Geschäftsbedingungen (terms of business). Die Richtlinie stößt auf eine Reihe von Bedenken.
19
Die Richtlinie verlagert die Verantwortung für den Datenschutz vom „Data Controller“ auf Dritte, nämlich diejenigen, welche die Daten erhalten. So wird in der Richtlinie Folgendes ausgeführt:
RTB Callout Data Restriction
Zur Auswertung von Seitenaufrufen und von Angeboten auf Basis von Benutzerdaten, die [der Käufer] zuvor erhalten hat, kann [dieser] die verschlüsselte Cookie-ID und die mobile Werbekennung speichern. Alle anderen Callout-Daten mit Ausnahme von Positionsdaten können vom Käufer nach der Beantwortung eines Anzeigenaufrufs und nur zum Zweck der Vorhersage der Verfügbarkeit von Lagerbeständen durch das Authorized Buyers Program gespeichert werden. [Der] Käufer darf die Callout-Daten nur für die Dauer, die zur Erfüllung der oben genannten Zwecke erforderlich ist, und in keinem Fall länger als 18 Monate aufbewahren. Außer wenn [der] Käufer [die Auktion für] einen bestimmten Seitenaufruf gewinnt, ist folgendes nicht erlaubt: (i) Callout-Daten verwenden um mit diesem Seitenaufruf Benutzerlisten oder Benutzerprofile zu erstellen; (ii) Callout-Daten für diesen Seitenaufruf mit Daten Dritter verbinden; oder (iii) Rate Card Daten in irgendeiner Form, einschließlich aber nicht beschränkt auf Zusammenfassungen, mit Dritten teilen.
Datenschutz
Wenn [der] Käufer auf von Google zur Verfügung gestellte personenbezogene Daten, die eine Person direkt oder indirekt identifizieren und die ihren Ursprung im Europäischen Wirtschaftsraum haben („persönliche Daten“), zugreift, sie verwendet oder verarbeitet, gilt folgendes für [den] Käufer:
• alle Datenschutz-, Datensicherheits- und Privatsphäregesetze, Richtlinien, Verordnungen und Regeln unter allen anwendbaren Gerichtsbarkeiten sind einzuhalten;
• Zugriff und Nutzung personenbezogener Daten ist nur für Zwecke gestattet, die mit der gegebenen Einwilligung der Person konform sind, deren personenbezogene Daten übermittelt wurden;
• Geeignete organisatorische und technische Maßnahmen zum Schutz der Mitarbeiter sind zu ergreifen, um die personenbezogenen Daten gegen Verlust, Missbrauch und unbefugten oder rechtswidrigen Zugriff, Offenlegung, Änderung und Vernichtung zu schützen; und
• es muss das gleiche Schutzniveau geboten werden, wie es die EU-US-Datenschutzrichtlinie (EU-US Privacy Shield Principles) vorschreibt.
[Der] Käufer wird [die] Einhaltung dieser Verpflichtung regelmäßig überwachen und hat Google unverzüglich schriftlich zu benachrichtigen, wenn [der] Käufer nicht mehr in der Lage ist, dieser Verpflichtung nachzukommen (oder wenn es ein erhebliches Risiko gibt, dass [der] Käufer dieser Verpflichtung nicht mehr nachkommen kann) und in solchen Fällen wird
Käufer entweder die Verarbeitung personenbezogener Daten einstellen oder unverzüglich andere angemessene und geeignete Maßnahmen zur Behebung der Probleme, die einem angemessenen Schutzniveau im Wege stehen, ergreifen.
20
Der zitierte Abschnitt legt nahe, dass Authorized Buyer, sobald die personenbezogenen Daten an einen Käufer übermittelt werden, keine wirksame Kontrolle mehr darüber hat, wie diese Daten verwendet werden. Vielmehr wird akzeptiert, dass der Dritte (Käufer) befugt und in der Lage ist, diese Daten zu verwenden. Die einzigen Beschränkungen sind vertraglicher Natur und es ist unklar, inwieweit diese tatsächlich durchgesetzt werden oder werden könnten. Das Gleiche gilt für die „Google Ads Controller-Controller Data Protection Terms“ von Google.8
21
Darüber hinaus werden sogar die auferlegten Einschränkungen ausgehöhlt. Zum Beispiel wird aus der Guideline nicht klar, welche Einschränkungen einem erfolgreichen Bieter auferlegt werden, denn die Einschränkungen gelten für erfolglose Bieter:
Außer wenn [der] Käufer [die Auktion für] einen bestimmten Seitenaufruf gewinnt, ist Folgendes nicht erlaubt: („Unless buyer wins a given impression, it must not …“).
Das offensichtliche Fehlen von Kontrolle gibt Anlass zu ernsthaften Bedenken hinsichtlich der technischen und organisatorischen Sicherheit der relevanten Daten.
22
Darüber hinaus hängt die Wirksamkeit der Datenschutzpolitik allein von den Dritten ab, die Authorized Buyer-Verletzungen freiwillig melden sollen. Es gibt keine ausreichenden technischen Maßnahmen zum Schutz personenbezogener Daten.
D. Die Probleme: Rechtliche Bedenken bezüglich Framework und Guidelines
23
Der oben dargestellte Hintergrund verdeutlicht, dass die Verarbeitung durch die Branche ein erhebliches Risiko für anhaltende Verstöße gegen das Datenschutzrecht und insbesondere gegen die DS-GVO birgt. Datenschutzaufsichtsbehörden berücksichtigen normative Rahmen wie Branchen-Frameworks, wenn es darum geht zu entscheiden, ob regulatorische Maßnahmen ergriffen werden müssen.9 Die Datenschutzbehörden werden daher ersucht, das IAB-Framework und Googles Guidelines bei der Prüfung der Notwendigkeit von Regulierungsmaßnahmen zu berücksichtigen.
24
Wir sind der Ansicht, dass eine Reihe der in Art. 5 DS-GVO genannten Datenschutzgrundsätze betroffen ist. In diesem Stadium und in Erwartung der Prüfung dieser Beschwerde werden unsere Bedenken hier nicht ausführlich dargelegt. Wir sind der Meinung, dass der Schwerpunkt in erster Linie auf der Prüfung der Rechtmäßigkeit der oben dargestellten Guidelines und Frameworks liegen sollte und nicht bei einzelnen Fällen und Verstößen. Wir fassen unsere wichtigsten Anliegen im Folgenden zusammen.
i. Integrität und Vertraulichkeit
25
Unsere Hauptsorge liegt darin, dass die derzeitigen Rahmenbedingungen und Regelungen der Branche keinen angemessenen Schutz gegen die unbefugte und potenziell unbegrenzte Weitergabe und Verarbeitung personenbezogener Daten bieten.
26
Gemäß Art. 5 Abs. 1 lit. f DS-GVO müssen die Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)“.
27
Das Framework von IAB EUROPE und die Richtlinie von Google bieten insbesondere aus folgenden Gründen keine ausreichende „Integrität und Vertraulichkeit“ für personenbezogene Daten:
a. Sie verlangen nicht, dass die betroffenen Personen über die Verbreitung ihrer Daten oder über die Absicht oder Entscheidung, ihre Daten an Empfänger weiterzugeben, informiert werden.
b. Sie bieten Einzelpersonen keine Möglichkeit, sich bei Verkäufern / Empfängern von Daten dazu zu äußern, wie ihre personenbezogenen Daten verwendet werden dürfen.
c. Sie verweigern den betroffenen Personen ein formelles Recht auf Widerspruch gegen die Verwendung ihrer Daten durch Dritte.
d. Sie bieten keine oder keine ausreichende Kontrolle, um rechtswidrige und/oder genehmigte weitere Nutzungen zu kontrollieren.
ii. Rechtmäßigkeit und Fairness der Verarbeitung
28
Art. 5 Abs. 1 lit. a DS-GVO verlangt, dass personenbezogene Daten rechtmäßig und fair verarbeitet werden. Art. 6 DS-GVO beschreibt die Voraussetzungen einer rechtmäßigen Verarbeitung personenbezogener Daten. Nach Art. 6 Abs. 1 DS-GVO können nur zwei Rechtfertigungen für die Datenverarbeitung der Branche anwendbar sein:
i. die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (lit. a) oder
ii. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt (lit. f).
29
Die Zustimmung bzw. Einwilligung ist die zentrale Voraussetzung für eine rechtmäßige Datenverarbeitung. Es liegt in der Natur der Branche, dass sie nicht in der Lage ist, eine angemessene Einwilligung einzuholen. Dies wird auch im Framework anerkannt. Dies gilt insbesondere für Vermittler, die möglicherweise keinen direkten Kontakt mit den Betroffenen haben.
30
Jeglicher Verweis auf berechtigte Interessen wäre bei breit gestreuten RTB-Gebotsanfragen fehl am Platz. Ein solches berechtigtes Interesse gilt nicht absolut, sondern muss mit den Interessen sowie Grundrechten und -freiheiten der Betroffenen abgewogen werden. Insbesondere wenn die personenbezogenen Daten an eine große Anzahl von Drittunternehmen weitergegeben werden, mit unbekannten Folgen und ohne angemessene Sicherheitsvorkehrungen, kann die Verarbeitung nicht als notwendig und/oder legitim gerechtfertigt werden, wenn man die möglichen Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen berücksichtigt.
31
Ferner bedarf gemäß Art. 9 Abs. 2 DS-GVO die Verarbeitung „besonderer Kategorien personenbezogener Daten“ der ausdrücklichen Einwilligung (lit. a), wenn diese Daten nicht durch den Betroffenen „offensichtlich öffentlich gemacht“ wurden (lit. e) und keine anderen Ausnahmen gelten. Dem gegenüber ermöglichen es das IAB-Framework und die Authorized Buyer-Richtlinie der Branche, Daten ohne Einwilligung zu verarbeiten, einschließlich direkter oder abgeleiteter Daten über die rassische/ethnische Herkunft, politische Meinungen, religiöse/philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben oder sexuelle Orientierung und zur eindeutigen Identifizierung verarbeitete biometrische sowie genetische Daten. Ohne ausdrückliche Einwilligung zu einer solchen Verarbeitung verstößt dieses Vorgehen gegen Art. 9 DS-GVO.
32
Darüber hinaus ist eine ausdrückliche Einwilligung erforderlich, wenn wesentliche, ausschließlich automatisierte Entscheidungen in Bezug auf eine Person getroffen werden. Die Artikel-29-Arbeitsgruppe legte fest, unter welchen Umständen davon ausgegangen werden muss, dass verhaltensorientierte Werbung, wie sie von der Branche durchgeführt wird, „erhebliche Beeinträchtigungen“ im Sinne von Art. 22 DS-GVO zur Folge hat.10 Dies gilt insbesondere dann, wenn gefährdete Personen mit Dienstleistungen angesprochen werden, aus denen ihnen Nachteile erwachsen können, wie z. B. Glücksspiele oder bestimmte Finanzprodukte. Das Fehlen der Möglichkeit, die ausdrückliche Einwilligung einzuholen, ist eine Missachtung von Art. 22 DS-GVO.
33
Dementsprechend bestehen Bedenken, dass die Branche ohne wirksame Einwilligung persönliche Daten und speziell sensitive Daten verarbeitet. Das Framework sieht ein System vor, in dem Daten ohne Zustimmung der betroffenen Person verarbeitet und verbreitet werden dürfen. Dies ist nicht rechtmäßig. Eine solche Datenverarbeitung kann auf keinen Fall als „fair“ oder „transparent“ bezeichnet werden.
iii. Angemessenheit, Relevanz und Timing
34
Wir haben Bedenken, ob die Verarbeitung der Daten durch die Branche den Anforderungen aus Art. 5 Abs. 1 lit. c DS-GVO entspricht, der verlangt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ verarbeitet werden. Die Anzahl der Empfänger der personenbezogenen Daten und die Möglichkeit, dass diese personenbezogenen Daten von den Empfängern weiterverwendet werden, kann schwerwiegende negative Konsequenzen nach sich ziehen.
35
Art. 5 Abs. 1 lit. e DS-GVO schreibt ferner vor, dass personenbezogene Daten, die für einen bestimmten Zweck oder bestimmte Zwecke verarbeitet werden, nicht länger aufbewahrt werden dürfen, als dies für diesen Zweck oder diese Zwecke erforderlich ist. Die Guidelines von Authorized Buyers sehen vor (auch wenn sie es aufgrund der fehlenden Kontrolle nicht garantieren können), dass personenbezogene Daten über einen längeren Zeitraum ohne identifizierbaren Zweck aufbewahrt werden.
iv. Data protection by design and default
36
Verhaltensbasierte Werbung hängt von der Fähigkeit ab, Menschen durch die Verwendung digitaler Identifikatoren, die an Geräte gebunden sind (die sich heute zumeist auf eine einzelne Person beziehen), auszusondern oder Verbindungen zu Personen über Geräte und Kontexte hinweg herzustellen. Zu diesen Identifikatoren gehören Web-Fingerabdrücke, die sich auf die eindeutige Einrichtung von Einzelgeräten und Cookies auf Geräten beziehen, so wie dies im Bericht von Dr. Ryan erläutert wird. Diese Identifikatoren sind für Einzelpersonen schwer nachvollziehbar oder abrufbar, um ihre Aufzeichnungen bei den Verantwortlichen, die ihre Informationen speichern, zu kontrollieren. Dies führt zu einem erheblichen Ungleichgewicht und stellt eine erhebliche Barriere für die betroffenen Personen dar, die es ihnen unmöglich macht, wichtige Datenschutzrechte durchzusetzen, wie z. B. die Rechte auf Auskunft, Löschung, Widerspruch, Einschränkung der Verarbeitung und Portabilität.
37
Dies wiederum unterstreicht ein breiteres Anliegen im Zusammenhang mit dem übergreifenden Grundsatz von Treu und Glauben in der DS-GVO (Art. 5 Abs. 1 lit. a): Die Verantwortlichen haben einfachen Zugang zu den Identifikatoren für einzelne Personen, während diese Personen selbst nicht wirklich in der Lage sind, die Identifikatoren zu verwenden oder zu kontrollieren. Dies führt insbesondere zu Bedenken im Hinblick auf Art. 25 DS-GVO, der den Verantwortlichen eine aktive Verpflichtung auferlegt, Datenschutzvorkehrungen wie z. B. für den Datenzugang oder für den Widerspruch in ihre Verfahren und Systeme aufzunehmen.
v. Datenschutz-Folgenabschätzung
38
Angesichts der Streuweite der personenbezogenen Daten und der besonders sensitiven Daten sowie der Vielzahl der Empfänger dieser Daten muss davon ausgegangen werden, dass die Verarbeitung zu einem „hohen Risiko für die Rechte und Freiheiten natürlicher Personen“ führt. Dementsprechend verlangt Art. 35 DS-GVO jeweils eine angemessene Datenschutz-Folgenabschätzung. Nach unserem Kenntnisstand wurde bisher keine ordnungsgemäße Folgenabschätzung durchgeführt oder veröffentlicht.
E. GERICHTSBARKEIT
39
Die Datenschutzaufsichtsbehörden sind für die Aktivitäten zuständig, die in dieser Stellungnahme angesprochen und im Ryan-Bericht beschrieben werden.
i. Verarbeitung personenbezogener Daten
40
Artikel 4 Nr. 1 DS-GVO definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person“ beziehen. Dazu gehört auch „eine Online-Kennung“, wenn sie es ermöglicht, eine Person direkt oder indirekt zu identifizieren. Der Europäische Gerichtshof (EuGH) hat bestätigt, dass IP-Adressen personenbezogene Daten darstellen können.11 Darüber hinaus werden „pseudonymisierte“ Daten zu einer Person weiterhin als personenbezogene Daten behandelt.
41
Die Verarbeitung und Verbreitung der personenbezogenen Daten einer betroffenen Person während des RTB-Prozesses umfasst auch die Verarbeitung von IP-Adressen oder detaillierterer personenbezogener Daten wie zum Beispiel Standortdaten.
ii. Gerichtsbarkeit
42
Die sich vorliegend beschwerenden Nichtregierungsorganisationen, die Digitale Gesellschaft, das Netzwerk Datenschutzexpertise, die Deutsche Vereinigung für Datenschutz sowie Digitalcourage haben ihren Sitz in der Bundesrepublik Deutschland und vertreten die Grundrechtsinteressen von Internet-Nutzenden in Deutschland.
43
Gemäß Art. 3 Abs. 2 lit. b DS-GVO gilt die Verordnung für Verantwortliche außerhalb der EU, wenn sich ihre Datenverarbeitung auf die Beobachtung des Verhaltens von Betroffenen in der EU bezieht.
44
Die Branche ist bestrebt, Werbeanzeigen für Kunden im jeweiligen Gebiet anzubieten; daher ist der Ort der Niederlassung der verschiedenen beteiligten Unternehmen für den Geltungsumfang der DS-GVO und die Zuständigkeit der deutschen Aufsichtsbehörden irrelevant.
45
Gemäß Art. 51 DS-GVO und § 40 BDSG sind die Datenschutzaufsichtsbehörden der Bundesländer die zuständige Aufsichtsbehörden in Deutschland. Die Aufgaben der Aufsichtsbehörden sind in Art. 57 DS-GVO beschrieben und umfassen die Überwachung und Durchsetzung der DS-GVO. Um dieser Aufgabe gerecht zu werden, haben sie gemäß Art. 58 Abs. 1 lit. b DS-GVO die Befugnis, „Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen“.
46
Die Datenschutzaufsichtsbehörden sind mit der Bearbeitung von Beschwerden betraut, die von einer betroffenen Person gemäß Art. 77 DS-GVO eingereicht werden. Diese Beschwerde wird von den für die genannten Nichtregierungsorganisationen unterzeichnenden Personen auch im eigenen Namen eingereicht.
47
Eine entsprechende Beschwerde wurde beim irischen Datenschutzbeauftragten erhoben; weitere Beschwerden werden derzeit bei anderen nationalen Aufsichtsbehörden eingereicht. Angesichts der europaweiten Dimension der in dieser Beschwerde aufgeworfenen Fragen und Unternehmen erscheint es sinnvoll, dass die Aufsichtsbehörden dieses Thema gemeinsam prüfen. Wir fordern die deutschen Aufsichtsbehörden deshalb auf, mit anderen nationalen Aufsichtsbehörden zusammenzuarbeiten, um eine gemeinsame Untersuchung gemäß Art. 62 DS-GVO durchzuführen.
F. Anfragen
48
Die Datenschutzaufsichtsbehörden erhalten individuelle Beschwerden von Frau Elisabeth Niekrenz, Herrn Thilo Weichert, Herrn Frank Spaeing und Herrn Friedemann Ebelt. Alle vier genannten Unterzeichnenden nutzen das Internet und sind von der in dieser Beschwerde genannten verhaltensbasierten Werbung betroffen. Zusätzlich zur Prüfung der individuellen Beschwerde und deren Bescheidung bitten wir die Aufsichtsbehörden, im Rahmen ihrer Befugnisse und ihres Mandats weitere Schritte zu unternehmen.
49
Gemäß Art. 58 Abs. 1 lit b DS-GVO sind die Aufsichtsbehörden befugt, Datenschutzüberprüfungen durchzuführen. Die Verantwortlichen sind gemäß § 40 Abs. 4 BDSG verpflichtet, hierfür alle erforderlichen Auskünfte zu erteilen. Die Aufsichtsbehörden sind befugt, Einblick in relevante Dokumente zu nehmen und die stattfindende Datenverarbeitung zu überprüfen. Die Aufsichtsbehörden haben die Beschwerdeführer über die Ergebnisse der Überprüfung gemäß Art. 77 Abs. 2 DS-GVO zu unterrichten. Hierbei sollte auf folgende Umstände eingegangen werden:
a. Es fehlen geeignete Garantien für Sicherheit und Integrität der genannten Daten.
b. Personenbezogene Daten und besondere Kategorien personenbezogener Daten werden verarbeitet.
c. Es ist fragwürdig, ob den Verarbeitungen wirksame Einwilligungen zugrunde liegen.
d. Es fehlt an einer Datenschutz-Folgenabschätzung.
50
Wir fordern die Datenschutzaufsichtsbehörden auf, ihre Befugnisse sowohl gegenüber dem IAB Europe Framework als auch im Hinblick auf Googles Authorized Buyers auszuüben. Da es einzelnen Betroffenen, nicht zuletzt wegen des Umfangs und der Komplexität der genannten Geschäftspraktiken, nicht möglich ist zu bewerten, inwieweit die gesamte Branche die rechtlichen Verpflichtungen allgemein einhält, geschweige denn diese Einhaltung sicherzustellen, ist der Sachverhalt der verhaltensbasierten Werbung eine vorrangige Aufgabe für die Datenschutzaufsicht.
i. Verhaltenscodex (Code of practice)
51
Art. 40 DS-GVO sieht vor, dass Verbände und andere Vereinigungen Verhaltensregeln ausarbeiten können, die präzisierend eine „faire und transparente Verarbeitung“ mit einer Vielzahl von Vorkehrungen regeln. Diese sollen von den Aufsichtsbehörden gefördert werden und sind letztlich von diesen zu genehmigen. Es ist wünschenswert, dass für personalisierte Werbung derartige mit den Anforderungen der DS-GVO konforme Verhaltensregeln ausgearbeitet und dass deren Einhaltung im Rahmen regulierter Selbstregulierung überwacht wird.
52. Es steht außer Frage, dass die öffentlich dokumentierten Aktivitäten der Branche, wie sie im Bericht von Dr. Ryan dargelegt werden, Leitlinien (good practice guidance) für diese Branche notwendig machen, um sicherzustellen, dass das Datenschutzrecht eingehalten wird und dass so die Rechte der Betroffenen gewahrt bleiben. Einzelfallklagen von Betroffenen werden nicht ausreichen, um den weitreichenden Bedenken hinsichtlich der Praktiken der Branche im Sinne des öffentlichen Interesses Rechnung zu tragen. Die Datenschutzaufsichtsbehörden werden dringend aufgefordert, Maßnahmen zu ergreifen und Leitlinien speziell für diesen Teil des Profiling-Sektors zu erstellen.
ii. Einvernehmliche Prüfung (Consensual audit)
53
Den Aufsichtsbehörden ist es erlaubt, einvernehmliche Prüfungen durchzuführen. Angesichts der weitreichenden und systematischen Probleme, die in der vorliegenden Beschwerde sowie in dem Bericht von Dr. Ryan aufgezeigt wurden, ersuchen wir die Aufsichtsbehörden, im Rahmen ihrer Befugnisse einvernehmliche Prüfungen bei den beteiligten Unternehmen anzustreben, um in der gesamten Branche eine gute Praxis durchzusetzen. Werden die Untersuchungs- und Abhilfebefugnisse der Datenschutzaufsicht nicht umfassend wahrgenommen, so erscheint es unwahrscheinlich, dass die tief verwurzelten und sich weiter verschlimmernden Probleme gelöst werden können. Parallel zu den vorliegenden Beschwerden werden IAB Europe und Google Authorized Buyers angeschrieben und dabei aufgefordert, einer solchen Untersuchung freiwillig zuzustimmen und diese aktiv zu unterstützen.
G. Nächste Schritte
54
Aus den oben genannten Gründen werden die Datenschutzaufsichtsbehörden gebeten, eine allgemeine Untersuchung der Tätigkeiten der Branche einzuleiten und die in dieser Vorlage beschriebenen Maßnahmen zu ergreifen.
55
Eines der großen Probleme bei den oben beschriebenen Formen der Datenverarbeitung ist, dass sie so umfangreich und komplex sind, dass sie jede und jeden zu jeder Zeit betreffen können. Es betrifft Individuen, einschließlich schutzbedürftiger Personen, in allen Lebensbereichen und in der gesamten Europäischen Union. Wir fordern die deutschen Datenschutzaufsichtsbehörden daher auf, mit den Kollegen in den anderen Mitgliedstaaten zusammenzuarbeiten, um eine gemeinsame Untersuchung gemäß Art. 62 DS-GVO durchzuführen. Wir behalten uns das Recht vor, diese Beschwerde gegebenenfalls durch weitere Beweise und Argumente zu ergänzen. In der Zwischenzeit zögern Sie bitte nicht, uns zu kontaktieren, wenn wir Ihnen weiterhelfen können. Wir wären Ihnen dankbar, wenn Sie uns gemäß Art. 77 Abs. 2 DS-GVO über die als Reaktion auf diese Beschwerde ergriffenen Maßnahmen auf dem Laufenden halten würden.
Elisabeth Niekrenz, Digitale Gesellschaft,Groninger Straße 7, 13347 Berlin
Thilo Weichert, Netzwerk Datenschutzexpertise, Waisenhofstr. 41, 24103 Kiel
Frank Spaeing, Deutsche Vereinigung für Datenschutz, Reuterstraße 157, 53113 Bonn
Friedemann Ebelt, Digitalcourage, Marktstraße 18, 33602 Bielefeld
Berlin, Kiel, Bonn, Bielefeld 4. Juni 2019
1 https://brave.com/Behavioural-advertising-and-personal-data.pdf.
2 Siehe Leitlinien für automatisierte individuelle Entscheidungsfindung und Profilerstellung im Sinne der Verordnung 2016/679 (wp251rev.01, S. 16): „Durch Profiling können Daten besonderer Kategorien erzeugt werden, indem aus Daten, die an sich keine besondere Datenkategorie bilden, dies aber in Kombination mit anderen Daten tun, Daten abgeleitet werden. So kann beispielsweise aus den Lebensmitteleinkäufen einer Person, die mit Daten zur Qualität und zum Energiegehalt von Lebensmitteln verknüpft werden, der Gesundheitszustand der betroffenen Person hergeleitet werden.“ Es sei auch darauf hingewiesen (wie vom CJEU in Nowak bestätigt wird), dass Daten, wie z. B. Schlussfolgerungen, die sich auf eine Person beziehen, aber unrichtig sind, personenbezogene Daten bleiben. Wäre dies nicht der Fall, könnte das
„Recht auf Richtigstellung“ niemals eingefordert werden.
3 Dieses Problem wird verschärft durch die Tatsache, dass die Unternehmen weitgehend unbekannt und für die betroffene Person unzugänglich sind, da die für die Datenerfassung Verantwortlichen (Controller), welche die Daten zunächst sammeln, selten explizite Informationen über die Empfänger oder auch nur über Kategorien von Empfängern liefern, und die Empfänger die betroffenen Personen nicht gemäß ihren Verpflichtungen nach Art. 14 DS-GVO über den Erhalt dieser Daten informieren.
4 http://www.iabeurope.eu/tcfdocuments/documents/legal/currenttcfpolicyFINAL.pdf.
5 Zitat aus dem Framework (Betonung nicht im Originaldokument): „Wenn ein CMP der festen Überzeugung ist, dass ein Verkäufer nicht mit der Spezifikation, den Richtlinien oder dem Gesetz übereinstimmt, muss er unverzüglich einen Bericht mit dem MO gemäß den MO-Verfahren einreichen und kann, wie in den MO-Verfahren vorgesehen, die Zusammenarbeit mit einem Verkäufer unterbrechen, solange die Angelegenheit untersucht wird“. Dies eröffnet dem für die Verarbeitung Verantwortlichen (Controller) einen vollständigen Ermessensspielraum bei der weiteren Verarbeitung und Verbreitung personenbezogener Daten, auch wenn diesem Controller bekannt ist, dass der Empfänger gegen die Datenschutzbestimmungen verstößt.
6 Im Ryan-Bericht (S. 5) wird dargestellt, dass die heute berüchtigte Firma Cambridge Analytica nur ein Beispiel für die Art der Endempfänger solcher Daten war.
7 https://www.google.com/doubleclick/adxbuyer/guidelines.html.
8 https://privacy.google.com/businesses/controllerterms/.
9 Für Großbritannien https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/security/.
10Working Paper 251rev.01 (Fußnote 1) S. 10: „In vielen typischen Fällen wird die Entscheidung, auf Profiling beruhende gezielte Werbung zu präsentieren, Personen nicht in ähnlicher Weise erheblich beeinträchtigen, zum Beispiel wenn Werbung für einen Online-Shop eines Mainstream-Modehändlers angezeigt wird, die auf folgendem einfachen demografischen Profil beruht: „Frauen im Raum Brüssel im Alter von 25 bis 35 Jahren, die wahrscheinlich Interesse an Mode und bestimmten Bekleidungsartikeln haben“.
Es ist allerdings möglich, dass es in Abhängigkeit von den jeweiligen Umständen doch zu erheblichen Beeinträchtigungen kommt, beispielsweise
• durch den eingreifenden Charakter des Profiling-Prozesses, wenn beispielsweise Personen über mehrere Websites, Geräte oder Dienste verfolgt werden;
• die Erwartungen und Wünsche der betroffenen Personen;
• die Art und Weise der Werbeanzeige oder
• die Ausnutzung von Schwachstellen der betroffenen Personen, an die sich die Anzeige richtet.“
11EuGH 19.10.2016 – C-582/14 (Breyer).
Bericht von Dr. Johnny Ryan – Verhaltensbasierte Werbung und persönliche Daten
Inhalt
- Hintergrund und Expertise
- Wie personenbezogene Daten für verhaltensbasierte Online-Werbung verwendet werden
- Wie personenbezogene Daten verbreitet werden
- Bedenken gegenüber diesen Praktiken (mediale Berichterstattung, Untersuchung von Nichtregierungsorganisationen, aufsichtsbehördliche Betrachtung usw.)
- Kommunikation mit den betroffenen Unternehmen
- Anhang
1. Hintergrund und Expertise
Mein Name ist Johnny Ryan. Ich bin leitender politischer Referent bei Brave, einem auf Datenschutz spezialisierten Internetbrowser.
Ich bin sowohl in der Ad-Tech-Branche als auch im Verlagswesen tätig gewesen. Bevor ich zu Brave kam, war ich bei PageFair, einem Werbetechnologieunternehmen, beschäftigt. In dieser Funktion war ich in Arbeitsgruppen tätig, die Standards für die Werbebranche entwickelte. Davor arbeitete ich als Chief Innovation Officer bei der Zeitung Irish Times.
Zudem war ich in Wissenschaft und Politik tätig und bin Autor zweier Bücher: Bei dem ersten handelt es sich um eine Geschichte der Technologie, die bereits auf Lektürelisten in Harvard und Stanford stand. Das andere diente der Europäischen Kommission als am häufigsten zitierte Quelle in ihrer Folgenabschätzung, die sich gegen eine Web-Zensur in der gesamten Europäischen Union entschied. Ich bin Fellow der Royal Historical Society und Mitglied des Expertennetzwerks des Weltwirtschaftsforums für Medien, Unterhaltung und Information.
Ich habe an der University of Cambridge mit einer Arbeit promoviert, die die Verbreitung von militanten Memes im Netz untersuchte.
Meine Analysen über die Online-Medien- und Werbebranche sind in Medien wie The New York Times, The Economist, The Financial Times, Wired, Le Monde, NPR, Advertising Age, Fortune, Business Week, BBC, Sky News und vielen anderen erschienen.
2. Wie personenbezogene Daten für verhaltensbasierte Online-Werbung verwendet werden
Jedes Mal, wenn eine verhaltensorientierte Werbeanzeige an eine Person gerichtet wird, die eine Website besucht, sendet das System, das die Werbeanzeige auswählt,1 persönliche Daten an Hunderte oder Tausende von Unternehmen.
Zu diesen personenbezogenen Daten gehören die URL jeder Seite, die ein Benutzer besucht, seine IP-Adresse (aus der sich die geografische Position ableiten lässt), Details zu seinem Gerät und verschiedene eindeutige IDs, die zuvor über den Benutzer gespeichert wurden, um ein langfristiges Profil über ihn oder sie aufzubauen.
Bei diesem System handelt es sich um eine relativ junge Entwicklung der Online-Medien. Erst im Dezember 2010 hat sich ein Konsortium2 von Unternehmen der Werbetechnik (im Folgenden AdTech) auf die Methoden von Tracking und Werbung geeinigt. Zuvor wurde Online-Werbung durch weitaus einfachere Netzwerke, die Werbeplätze auf Websites verkauften, oder durch sehr lukrative Direktverkaufsgeschäfte von Verlagen platziert.3
Wie im Folgenden ausgeführt, hat die Ad-Tech-Industrie trotz der Übergangsfrist bis zum Inkrafttreten der Datenschutz-Grundverordnung keine angemessenen Maßnahmen ergriffen, um geltendes Datenschutzrecht bei der Vielzahl von Unternehmen, die Daten erhalten, durchzusetzen.
3. Wie personenbezogene Daten verbreitet werden
Ein großer Teil der Online-Medien- und Werbebranche verwendet ein System namens „RTB“, was für „Real Time Bidding“ steht. Es gibt zwei Versionen:
- „OpenRTB“ wird von den bedeutendsten Unternehmen der Online-Medien- und Werbebranche eingesetzt.
- „Authorized Buyers“, Googles proprietäres RTB-System, das kürzlich von „DoubleClick Ad Exchange“ (bekannt als „AdX“) in „Authorized Buyers“ umbenannt wurde.4
Google verwendet sowohl OpenRTB als auch Authorized Buyers.5
Die Fachspezifikationen von OpenRTB sind über das in New York ansässige IAB TechLab öffentlich zugänglich.6 Die Fachspezifikationen von Authorized Buyers werden von Google öffentlich zur Verfügung gestellt.
Diese Spezifikationen zeigen, dass jedes Mal, wenn eine Person eine Seite auf einer Website lädt, die Real-Time-Bidding verwendet, persönliche Daten über sie an Dutzende – oder Hunderte – von Unternehmen übertragen werden. Beispielsweise können folgende personenbezogene Daten übermittelt werden:
- Welche Website die Nutzerin oder der Nutzer besucht
- Der Standort (OpenRTB enthält auch die vollständige IP-Adresse)
- Eine Beschreibung des verwendete Geräts
- Eindeutige Tracking-IDs oder ein „Cookie-Match“, mit denen Werbetreibende versuchen können den Nutzer oder die Nutzerin bei Ihrem nächsten Besuch zu identifizieren, damit ein langfristiges Profil mit Offline-Daten aufgebaut oder gefestigt werden kann
- IP-Adresse (je nach Version des Systems RTB)
- Segment-ID des Datenvermittlers, falls vorhanden. Dies kann Dinge wie die Einkommensklasse, Alter und Geschlecht, Gewohnheiten, Social-Media-Einfluss, Ethnie, sexuelle Orientierung, Religion und politische Orientierung der Nutzerin oder des Nutzers umfassen (je nach Version des Systems RTB)
Eine vollständige Zusammenfassung der personenbezogenen Daten in Open RTB-Anfragen, die von allen RTB-Werbeunternehmen, einschließlich Google, genutzt werden, findet sich in Anhang 1.
Eine Zusammenfassung der personenbezogenen Daten in den Authorized-Buyers-Anfragen finden Sie unter Anhang 2.
Relevante Auszüge aus den OpenRTB „AdCOM“- Fachspezifikationen sind in Anhang 3 dargestellt, Auszüge aus Googles proprietärer RTB-Spezifikation in Anhang 4.
Zur Arbeitsweise
Die Übermittlung von personenbezogenen Daten findet bei der Gebotsanfrage („RTB bid request“) statt. Diese Gebotsanfrage wird in der Regel weit verbreitet, da das Ziel darin besteht, Angebote von Unternehmen einzuholen, die eine Anzeige an die Person senden möchten, die gerade die Website geladen hat. Eine RTB-Gebotsanfrage wird durch Unternehmen, die als „Supply Side Platforms“ (SSPs) bezeichnet werden, im Auftrag der Website verbreitet.
Das folgende Diagramm zeigt, wie personenbezogene Daten im Rahmen von Ausschreibungen an mehrere Demand Side Partner (DSP) übertragen werden, die dann entscheiden, ob sie Angebote abgeben. Der DSP handelt im Auftrag von Werbetreibenden und entscheidet auf Basis des Personenprofils, auf das der Werbetreibende abzielt, wann ein Angebot abgegeben wird.
Teilweise benutzen Data Management Plattformen, zu denen Cambridge Analytica gehört, die Daten, die sie so erhalten, um ihre bereits existierenden Personenprofile zu erweitern. Diese Synchronisierung wäre ohne die Gebotsanfragen nicht möglich.
Der wirtschaftliche Anreiz für viele Ad-Tech-Unternehmen besteht darin, so viele Daten wie möglich mit so vielen Partnern wie möglich zu teilen und sie an Partnerunternehmen, die Datenvermittlungen betreiben, weiterzugeben. Offenkundig ist die Weitergabe personenbezogener Daten an ein solches Umfeld hoch riskant.
Trotz dieses hohen Risikos hat RTB keine Mechanismen eingerichtet, die kontrollieren, was mit diesen personenbezogenen Daten passiert, sobald ein SSP oder eine Anzeigenbörse eine Gebotsanfrage sendet. Auch wenn der Anfrageverkehr sicher ist, gibt es keine technischen Maßnahmen, die den Empfänger einer Gebotsanfrage daran hindern, die Daten zu verkaufen oder durch Kombination mit anderen Daten ein Profil zu erstellen. Mit anderen Worten: Es gibt keinen Datenschutz.
Das „GDPR Transparency & Consent Framework“ des IAB Europe besagt, dass ein Unternehmen, das personenbezogene Daten erhält, diese nur mit anderen Unternehmen teilen sollte, wenn „eine gerechtfertigte Annahme dafür besteht, dass der Empfänger über eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten verfügt.7 Mit anderen Worten: Die Branche verfolgt einen „trust everyone“-Ansatz zum Schutz der sehr intimen Daten, sobald sie einmal übertragen wurden.
Es gibt keine technischen Maßnahmen, um die Daten angemessen zu schützen. Das IAB Europe hat kürzlich angekündigt hat, dass es in Zusammenarbeit mit einer Organisation namens Media Trust ein Tool entwickelt, mit dem versucht werden soll, festzustellen, ob die „consent management platforms“ (CMPs), die am IAB Europe teilnehmen, den Richtlinien des Frameworks entsprechen. Laut einer Pressemitteilung von IAB validiert das Tool, ob der Code eines CMPs mit den Anforderungen der technischen Spezifikationen und Protokolle, die im IAB Europe Transparency & Consent Framework detailliert beschrieben sind, entspricht.8
Dieses Tool, das sich derzeit in der Beta-Phase befindet, wird nicht ausreichen, um persönliche Daten zu schützen, die in Gebotsanfragen übertragen werden. Denn – auch wenn es möglich wäre, alle webbasierten Datenübertragungen zu kontrollieren9 – gäbe es immer noch keine Möglichkeit herauszufinden, ob ein Unternehmen z.B. einen kontinuierlichen Server-zu-Server-Transfer von personenbezogene Daten an andere Unternehmen eingerichtet hat.
Sobald die personenbezogenen Daten in einer Ausschreibung an eine große Anzahl von Unternehmen weitergegeben werden, ist das Spiel vorbei. Mit anderen Worten, sobald DSPs personenbezogene Daten erhalten, können sie nach Belieben mit diesen personenbezogenen Daten mit Geschäftspartnern handeln.
Dies ist besonders gravierend, da es sich häufig um Daten besonderer Kategorien handelt. Die betreffenden personenbezogenen Daten zeigen, was eine Person online tut, und geben oftmals einen bestimmten Standort preis. Dies allein kann Aufschluss über die sexuelle Orientierung der Person, den Glauben, die politische Orientierung oder die ethnische Zugehörigkeit geben. Zusätzlich gibt eine Segment-ID an, in welche Personenkategorie ein Data Broker oder ein langfristiger Profiler eine Person einordnet.
Darüber hinaus ist sich die Branche der Mängel dieses Ansatzes bewusst, verfolgt ihn aber dennoch weiter.
RTB-Gebotsanfragen müssen nicht unbedingt personenbezogene Daten enthalten. Wenn alle Akteure der Branche sich damit einverstanden erklären und die Normen unter der Leitung des IAB verändert würden, könnten nur Anfragen, die keine personenbezogenen Daten enthalten, zwischen Unternehmen weitergeleitet werden, sodass die Relevanz einer Werbeanzeige an dem Kontext der Website ausgerichtet würde. Dies würde die beteiligten Unternehmen an der Erstellung von Personenprofilen hindern, was sich auf ihre Einnahmen auswirken würde. Die Industrie ist gerade dabei, eine neue RTB-Spezifikation zu entwickeln (OpenRTB 3.0), die weiterhin personenbezogene Daten sendet, ohne dass Schutzvorkehrungen bestünden. In Anhang 4 wird OpenRTB 3.0 genauer dargestellt.
Online-Werbung, die diesen Ansatz nutzt, wird weiterhin Details darüber, was Personen im Internet lesen oder ansehen, an eine große Anzahl von Unternehmen verbreiten. Die personenbezogenen Daten sind nicht geschützt. Die Verbreitung erfolgt dauernd, sie geschieht auf praktisch jeder Website, jedes einzelne Mal, wenn eine Person eine Seite aufruft.
Dies ist eine weit verbreitete beunruhigende Praxis. Aufgrund des Umfangs der Branche sind die Grundrechte praktisch jeder Person, die in Europa das Internet nutzt, beeinträchtigt.
4. Bedenken gegenüber diesen Praktiken (Mediale Berichterstattung, Untersuchung von Nichtregierungsorganisationen, aufsichtsbehördliche Betrachtung usw.)
Mehrjährige Erhebungsdaten zeigen, dass in der Gesellschaft grundlegende und weitverbreitete Bedenken gegenüber diesen Praktiken herrschen. Eine Umfrage des britischen Information Commissioners, veröffentlicht im August 2018, berichtet, dass 53% der britischen Erwachsenen besorgt sind, über „Online-Aktivitäten verfolgt zu werden“. 10
Im Jahr 2017 wurde die GFK vom IAB Europe beauftragt, 11.000 Menschen in der gesamten EU über ihre Einstellung zu Online-Medien und Werbung zu befragen. Die GFK berichtete, dass es nur „20 % gut finden würden, wenn ihre Daten zu Werbezwecken an Dritte weitergegeben werden“.11 Dies steht in engem Zusammenhang mit der Umfrage, die die GFK 2014 in den Vereinigten Staaten durchführte und die ergab, dass „7 von 10 Baby Boomers (geboren nach 1969) und 8 von 10 Pre-Boomers (geboren vor 1969) Misstrauen gegenüber dem Umgang von Werbetreibenden mit ihren Daten haben“.12
Im Jahr 2016 ergab eine Eurobarometer-Umfrage unter 26.526 Personen in der Europäischen Union Folgendes:
„Sechs von zehn (60%) Befragten haben bereits die Datenschutzeinstellungen für ihren Internetbrowser geändert und vier von zehn (40%) vermeiden bestimmte Websites, weil sie besorgt sind, dass ihre Online-Aktivitäten überwacht werden. Über ein Drittel (37%) verwendet Software, die sie davor schützt, Online-Werbung angezeigt zu bekommen und mehr als ein Viertel (27%) nutzt Software, die verhindert, dass ihre Online-Aktivitäten überwacht werden“.13
Dies entspricht einer früheren Eurobarometer-Umfrage ähnlichen Umfangs aus dem Jahr 2011, in der festgestellt wurde, dass „70% der Europäer besorgt sind, dass ihre personenbezogenen Daten bei Unternehmen für einen anderen Zweck als den, für den sie gesammelt wurden, verwendet werden“.14
Die gleichen Bedenken bestehen auch in den Vereinigten Staaten. Im Mai 2015 hat das Forschungszentrum Pew Research Centre berichtet:
„76% der Erwachsenen in den Vereinigten Staaten sagen, dass sie „weniger Vertrauen haben“ oder „überhaupt kein Vertrauen haben „, dass die Aufzeichnungen über ihre Aktivitäten durch Online-Werbetreibende privat und sicher bleiben.“15
Tatsächlich hatten die Befragten am wenigsten Vertrauen, dass die Online-Werbebranche die personenbezogenen Daten über sie vertraulich und sicher verarbeitet verglichen mit jeder anderen Kategorie von Datenverarbeitern, einschließlich Social Media Plattformen, Suchmaschinen und Kreditkartenunternehmen. 50% sagte, dass keine Informationen an „Online-Werber“ weitergegeben werden sollten.16
In einer Reihe von Umfragen äußern große Mehrheiten ihre Besorgnis über Ad-Tech. Die britische Royal Statistical Society veröffentlichte Forschungsergebnisse über das Vertrauen in Daten und die Einstellung zu Datennutzung und Datenaustausch im Jahr 2014 und stellte fest:
„Die Öffentlichkeit zeigte nur sehr wenig Unterstützung für „Online-Händler, die zuletzt angesehene Seiten beobachten und zielgerichtete Anzeigen senden“; 71% der Befragten meinten, dass dies nicht geschehen sollte“.17
Ähnliche Ergebnisse sind in der eigenen Forschung der Marketingbranche zu verzeichnen. RazorFish, eine Werbeagentur, führte eine Studie mit 1.500 Personen in Großbritannien, den USA, China und Brasilien im Jahr 2014 durch, die ergab, dass 77% der Befragten Werbung, mit der sie auf dem Handy angesprochen werden, als einen Angriff auf ihre Privatsphäre ansehen.18
Diese Bedenken manifestieren sich in der Art und Weise, wie sich Menschen heute online verhalten. Das enorme Wachstum von Adblocking-Tools (auf 615 Millionen aktive Geräte bis Anfang 2017)19 über den gesamten Zeitraum hinweg zeigt die globale Sorge von Internetnutzenden, von der Werbebranche verfolgt zu werden. Ein Branchenkommentator nannte dies den „größten Boykott der Geschichte“.20
Die Sorge um den Missbrauch personenbezogener Daten in der verhaltensorientierten Online-Werbung wird der Öffentlichkeit nicht kommuniziert. Selbst renommierte Werbetreibende, die Kampagnen online bezahlen, teilen die Sorge. Im Januar 2018 schrieb der CEO des Weltverbandes der Werbetreibenden, Stephan Loerke, einen Kommentar in AdAge, der die aktuellen Systeme als „Data free-for-all“ („Datenzugriff für alle“), attackierte, wobei „jede gezeigte Anzeige Daten beinhaltet, die von bis zu fünfzig Unternehmen berührt wurde, so die Programmexperten Labmatik“.21
5. Kommunikation mit den betroffenen Unternehmen
Am 16. Januar 2018 habe ich an den Vertreter der Arbeitsgruppe IAB Europe geschrieben (via
IAB UK), um privat Feedback zu einem nicht-öffentlichen Entwurf der vom IAB geführten Industrie zur Reaktion auf die DS-GVO zu geben. Ich habe Folgendes hervorgehoben.
Erstens würden Angebotsanfragen personenbezogener Daten zu vielen Parteien gelangen, ohne dass irgendein Schutz bestünde. Dies würde gegen Artikel 5 DS-GVO verstoßen.
Zweitens mangele es aufgrund der Zusammenführung einer Vielzahl von Zwecken und inadäquater Information an einer informierten Einwilligung, was die Einwilligung unwirksam mache.
Obwohl mir für meinen Beitrag gedankt wurde, erhielt ich keine substanziierte Antwort.
Am 21. Februar 2018 habe ich in einem Videoanruf mit dem Koordinator der IAB TechLab-Arbeitsgruppe, die verantwortlich für die Entwicklung der neuen OpenRTB-Fachspezifikation ist, meine Besorgnis über die Verbreitung von persönlichen Daten zum Ausdruck gebracht.
Aber als das IAB im März sein DS-GVO-Framework veröffentlichte, erfuhr ich, dass keine dieser Bedenken berücksichtigt wurde. Am 20. März 2018 habe ich meine Original-Einschätzung in einem offenen Brief veröffentlicht.
Dieser ist online unter https://pagefair.com/blog/2018/iab-europa-konsens-probleme/ zu finden.
Am 4. September 2018 habe ich im Namen von Brave einen ausführlichen Brief an das IAB und an das IAB TechLab geschrieben, um problematische Datenschutzfehler in OpenRTB 3 aufzuzeigen. Ich habe im Detail die akute Gefahr der Übermittlung der personenbezogenen Daten eines Website-Besuchers in Angebotsanfragen dargelegt. Der Brief ist verfügbar unter
https://brave.com/iab-rtb-problems/feedback-on-the-beta-OpenRTB-3.0-Spezifikation-.pdf.
Am 5. September 2018 antwortete das IAB mit einer vierzeiligen E-Mail, die den Antrag ablehnte.
1Dieses System wird auch als Real Time Bidding bezeichnet.
2Das Konsortium bestand aus DataXu, MediaMath, Turn, Admeld, PubMatic und The Rubicon Project. Siehe einen Hinweis zur Geschichte von OpenRTB in „OpenRTB API Specification Version 2.4, final draft“, IAB Tech Lab, März 2016 (URL: https://www.iab.com/wp-content/uploads/2016/03/OpenRTB-API- Spezification-Version-2-4-FINAL.pdf ), S. 2-3.
3Erst 2006 entstand die erste „Anzeigenbörse“, die es den Werbenetzwerken ermöglicht, auf den Websites ihrer Kunden Flächen an potenzielle Käufer zu versteigern. Ein Pionier war Right Media, das von Yahoo! gekauft wurde…. „RMX Direct: alternative ad networks battle for your blog“, Tech Crunch, 12. August 2006 (URL: https://techcrunch.com/2006/08/12/rmx-direct-alternative-ad-networks-battle-for-your-blog/?_ga=2.239524803.1716001118.15363).
4„Introducing Authorized Buyers“, Authorized Buyers, Google (URL: https://support.google.com/adxbuyer/answer/9070822 , abgerufen am 24. August 2018).
5„OpenRTB Integration“, Authorized Buyers, Google (URL: https://developers.google.com/authorized-buyers/rtb/openrtb-guide , abgerufen am 24. August 2018).
6Das IAB (Interactive Advertising Bureau) ist die Standardisierungsorganisation und Interessenvertretung der globalen Werbetechnikbranche. Alle bedeutenden Ad-Tech-Unternehmen sind Mitglieder. Das IAB verfügt über lokale Franchiseunternehmen auf der ganzen Welt. Die Organisation, die Standards setzt, ist das IAB TechLab.
7„IAB Europe Transparency & Consent Framework – Policies“, IAB Europe, 25. April 2018 (URL: http://www.iabeurope.eu/tcfdocuments/documents/legal/currenttcfpolicyFINAL.pdf ), S. 7.
8„IAB Europe Press Release: IAB Europe CMP Validator Helps CMPs Align with Transparency & Consent Framework“, IAB Europa, 12. September 2018 (URL:https://www.iabeurope.eu/all-news/press-releases/iab-europe-press-release-iab-europe-cmp-validator-helps-cmps-align-with-transparency-consent-framework/)
9Siehe „Data Compliance“, The Media Trust Website (URL: https://mediatrust.com/how-we-help/data-compliance)
10„Information rights strategic plan: trust and confidence”, Harris Interactive for the Information Commissioner’s Office, August 2018, S. 21.
11 „Europe online: an experience driven by advertising. Summary results“, IAB Europe, September 2017 (URL: http://datadrivenadvertising.eu/wp-content/uploads/2017/09/EuropeOnline_FINAL.pdf), S. 7.
12„GFK survey on data privacy and trust: data highlights“, GFK, Juli 2015, S. 29.
13„Eurobarometer: E-Privacy (Eurobarometer 443)“, Europäische Kommission, Dezember 2016 (URL: http://ec.europa.eu/COMMFrontOffice/publicopinion/index.cfm/Survey/getSurveyDetail/instruments/FLASH/surveyKy/2124), S. 5, 36-7.
14„Special Eurobarometer 359: attitudes on data protection and electronic identity in the European Union“, Europäische Kommission, Juni 2011, S. 2.
15Mary Madden und Lee Rainie, „Americans’ view about data collection and security“, Pew Research Center, Mai 2015 (URL: http://assets.pewresearch.org/wp-content/uploads/sites/14/2015/05/Privacy-and-Security-Attitudes-5.19.15_FINAL.pdf), S. 7.
16Mary Madden und Lee Rainie, „Americans’ view about data collection and security”, Pew Research Center, May 2015 (URL: http://assets.pewresearch.org/wp-content/uploads/sites/14/2015/05/Privacy-and-Security-Attitudes-5.19.15_FINAL.pdf), S. 25.
17“The data trust deficit: trust in data and attitudes toward data use and data sharing”, Royal Statistical Society, Juli 2014, S. 5.
18Stephen Lepitak, “Three quarters of mobile users see targeted adverts as invasion of privacy, says Razorfish global research”, The Drum, 30. Juni 2014 (URL: https://www.thedrum.com/news/2014/06/30/three-quarters-mobile-users-see-targeted-adverts-Invasion – Privatsphäre – sagt -razorfish).
19“The state of the blocked web: 2017 global adblock report”, PageFair, Januar 2017 (https://pagefair.com/downloads/2017/01/PageFair-2017-Adblock-Report.pdf).
20Doc Searls, „Beyond ad blocking – the biggest boycott in human history“, Doc Searls Weblog, 28 September 2015 (https://blogs.harvard.edu/doc/2015/09/28/beyond-ad-blocking-the-biggest-boycott-in-human-history/).
21Stephan Loerke, „GDPR data-privacy rules signal a welcome revolution“, AdAge, 25. Januar 2018 (URL: http://adage.com/article/cmo-strategy/gdpr-signals-a-revolution/312074/).