Verhaltensbasierte Werbung – Verfolgung auf Scroll und Klick
Am 04. Juni 2019 haben wir gemeinsam mit Digitalcourage e.V., dem Netzwerk Datenschutzexpertise und dem Datenschutzverband Deutschland e.V. eine Beschwerde bei den Landesdatenschutzbehörden gegen verhaltensbasierte Online-Werbung eingereicht.
Die Aktion ist Teil einer europaweiten Beschwerdewelle, angeführt von Civil Liberties Union for Europe. Es wurden in 11 Ländern Beschwerden eingereicht.
Wie funktioniert verhaltensbasierte Werbung?
Fast alle Websites, die Werbung schalten, nehmen am sogenannten Real-Time-Bidding teil. Das bedeutet Echtzeit-Versteigerung. Die beiden meistverwendeten Systeme sind OpenRTB und „Authorized Buyers“, Googles proprietäres RTB-System, das kürzlich von „DoubleClick AdExchange“ (bekannt als „AdX“) in „Authorized Buyers“ umbenannt wurde.
Diese Systeme arbeiten folgendermaßen:
Wenn jemand eine Website aufruft, wird die Aufforderung, ein Gebot für den Werbeplatz abzugeben, durch Supply Side Platforms (SSP) im Auftrag der Website an eine Art Börse (Ad Exchange) gesendet. Das kann z.B. die folgenden Daten enthalten:
- IP-Adresse
- URL der besuchten Website
- eine Beschreibung des Geräts
- unter Umständen Dinge wie die Einkommensklasse, Alter und Geschlecht, Gewohnheiten, Social-Media-Einfluss, Ethnie, sexuelle Orientierung, Religion und politische Orientierung der Nutzerin oder des Nutzers
Dort werden die Angebote von sogenannten Demand Side Plattforms – Unternehmen, die im Auftrag der Werbebranche tätig sind – verarbeitet und nach deren Belieben an Werbetreibende weitergegeben. Je mehr Werbetreibende diese Daten erhalten, desto höher ist die Wahrscheinlichkeit, dass lukrative Angebote für die Besetzung des Werbeplatzes abgegeben werden. Außerdem wandern die Daten zu Data Management Platforms wie z.B. Cambridge Analytica, die sie nutzen können, um ihre Personenprofile zu ergänzen. Beim nächsten Website-Aufruf wiederum werden Nutzende „wiedererkannt“. So können Menschen auf Scroll und Klick beim Surfen verfolgt werden. Einmal in diesem System gelandet, hat die betroffene Person keinerlei Kontrolle darüber, an wen die Daten noch weitergegeben oder vielleicht verkauft werden.
Das verstößt gegen die Datenschutzgrundverordnung!
- Es gibt keine angemessenen Maßnahmen, die davor schützen, dass die Daten von Unbefugten verarbeitet werden. Das verstößt gegen Art. 5 Abs. 1 lit. f DSGVO.
- Für die Datenverarbeitung durch die Vermittler liegt keine wirksame Einwilligung vor. Berechtigte Interessen an der Datenverarbeitung bestehen auch nicht: Selbst wenn man die Durchführung von Werbung grundsätzlich als berechtigtes Interesse anerkennen würde: Wo Daten an eine kaum überblickbare Anzahl von Unternehmen weitergeleitet werden, ohne dass die Folgen bekannt sind und ohne angemessene Sicherheitsvorkehrung, steht das in keinem Verhältnis zu einem solchen Interesse. Das verstößt gegen Art. 6 Abs. 1 DGVO
- Unter den übertragenen Daten können sich auch Daten sogenannter besonderer Kategorien befinden, z.B. mit Bezug auf die „rassische“ (Die DSGVO verwendet dieses Wort, dem das englische „racial“ zugrunde liegt, dass anders als im Deutschen ein soziales Konstrukt beschreibt) und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben. Diese dürfen nur mit einer ausdrücklichen Einwilligung verarbeitet werden, die in diesem System nicht gegeben wird. Das verstößt gegen Art. 9 DVGVO.
- Wenn wesentliche, ausschließlich automatisierte Entscheidungen getroffen werden sollen, dann ist ebenfalls eine ausdrückliche Einwilligung erforderlich, die hier fehlt. Vor allem, wenn Dienstleistungen angeboten werden, aus denen Personen Nachteile entstehen können, z.B. Glücksspiel. Das verstößt gegen Art. 22 DSGVO.
Das schädigt unsere Demokratie!
Ihr denkt, ihr habt nicht zu verbergen? Beim Datenschutz geht es nicht nur darum, das man Umstände, die vielleicht als peinlich wahrgenommen werden, verheimlichen kann. Es geht um die Interessen der Gesellschaft als solcher. Cambridge Analytica erhält z.B: mit dieser Methode Daten, die das Unternehmen zu persönlichen Profilen zusammenstellen kann. Ein Gutteil der Probleme mit Wahlwerbung und Desinformationskampagnen, über die sich viele Politikerinnen und Politiker derzeit den Kopf zerbrechen, können eingedämmt werden, wenn Onlineprofiling nicht mehr möglich ist – dazu müssen die europäischen Datenschutzbehörden die DSGVO konsequent durchsetzen. Real Time Bidding zu unterbinden ist der erste Schritt in diese Richtung. Auch Berufsgeheimnisträger wie etwa Personen, die journalistisch tätig sind, Ärztinnen und Ärzte, psychologische Betreuung und Anwältinnen und Anwälte können so beim Surfen beobachtet werden. Daraus ergibt sich ein gewaltiges Angriffspotenzial gegen Interessen von Einzelnen, gegen die Freiheit des Journalismus und gegen die Integrität unserer Demokratie.
Wie könnt ihr mitmachen?
- Beschwert euch selbst bei der Landesdatenschutzaufsicht eures Bundeslandes. Ein Muster findet ihr hier: https://www.liberties.eu/de/campaigns/stopspyingonus-fixad-tech-kampagne/307
- Spread the word! Viele Menschen wissen nicht, wie desaströs die Werbebranche mit ihren sensiblen Daten umgeht.
- Unterstützt die Digitale Gesellschaft mit einer Spende oder werdet Fördermitglied, damit wir weiterhin für euren Datenschutz kämpfen können!
Kampagnenwebsite von Liberties
Beschwerde an die Datenschutzaufsichtsbehörden in HTML und PDF. Report von Dr. Johnny Ryan als PDF.
Hier findet ihr die Oktoberausgabe 2019 der Datenschutz Nachrichten (DANA) als pdf, die sich fast vollständig der Kampagne widmet. Unter anderem erklärt die Digiges in einem Gastartikel, warum die Organisationen Verhaltenskodizes für Online-Werbung fordern.