Beschwerde gegen personalisierte Onlinewerbung eingereicht
Das Netzwerk Datenschutzexpertise, der Verein Digitale Gesellschaft e.V., die Deutsche Vereinigung für Datenschutz e. V. und der Verein Digitalcourage e. V. reichten am 04.06.2019 gemeinsam mit weiteren Menschenrechts- und Digitalrechtsorganisationen aus neun EU-Staaten eine Beschwerde gegen Google und andere, die personalisierte Onlinewerbung anbieten, bei ihren jeweiligen nationalen Datenschutzbehörden ein.
Es geht um Verstöße gegen die DSGVO. Unter anderem werden den Anbietern personalisierter Werbung Verstöße gegen die Grundsätze der Zweckbindung, Transparenz, Datensparsamkeit, gegen erforderliche Sicherungsmaßnahmen und den Schutz sensitiver Daten vorgeworfen.
Genannt werden in der Beschwerde unter Bezugnahme auf den so genannten Ryan-Bericht zu verhaltensbasierter Onlinewerbung zwei Hauptsysteme, die der verhaltensbasierten bzw. personalisierten Onlinewerbung zugrunde liegen:
• “OpenRTB” wird von praktisch jedem bedeutenden Unternehmen in der Online-Medien-und Werbebranche verwendet.
• “Authorized Buyers” ist Googles proprietäres RTB-System, das vor Kurzem von „DoubleClick Ad Exchange“ (kurz „AdX“) in „Authorized Buyers“ umbenannt wurde.
Beide Systeme würden dazu dienen, personalisierte Onlinewerbung auf Websites bereitzustellen. Jedes Mal, wenn eine Person auf eine Webseite geht, die automatisierte Werbung nutzt, und diese herunterlädt, würden persönliche Daten über sie an Dutzende – oder gar Hunderte – von Firmen übertragen.
Die Begründung der Beschwerde fußt auf drei zentralen Punkten:
Verletzung des Grundsatzes der Zweckbindung
Die Übertragung massenhafter Daten, die bei Nutzung der genannten Systeme erfolgt, geht weit über die Zwecke hinaus, welche eine betroffene Person verstehen kann und in die sie einwilligen oder gegen die sie Widerspruch einlegen kann.
Keine Kontrolle über weitere Datenweitergabe
Der Mechanismus ermöglicht es nicht, die Kontrolle über die Verbreitung personenbezogener Daten nach deren Übertragung (bzw. überhaupt) zu behalten. Die schiere Anzahl der Empfänger solcher Daten führt dazu, dass die Sender weder ihre unbefugte Weiterverarbeitung verhindern, noch die betroffenen Personen über die Empfänger der Daten ordnungsgemäß informieren können. Die rechtskonforme Verarbeitung der personenbezogenen Daten kann nicht mehr gewährleistet werden, wenn diese einmal weitergegeben worden sind.
Verarbeitung besonderer Kategorien personenbezogener Daten
Die Verarbeitung betrifft sehr oft besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO). Die besuchten Webseiten können Indikatoren enthalten, die über Sexualität, Ethnizität, politische Meinungen etc. Auskunft geben. Solche sensitiven Daten können ohne Einverständnis und ohne jegliche Kontrolle verbreitet werden. Da solche Daten mit sehr hoher Wahrscheinlichkeit an zahlreiche Organisationen weitergegeben werden, die diese Daten wiederum mit anderen Daten verknüpfen, können extrem komplexe Profile von Personen erstellt werden, ohne dass die betroffene Person davon Kenntnis hat, geschweige denn ihr Einverständnis gegeben hätte.
Aufforderung an Aufsichtsbehörden
Die Beschwerdeführer fordern die Datenschutzaufsichtsbehörden ausdrücklich auf, ihre Befugnisse nach Kapitel VII der Europäischen Datenschutzgrundverordnung (DSGVO) auszuüben geeignete Verhaltensregeln/Empfehlungen in Anlehnung an Art. 57 Abs. 1 lit. g, h DSGVO zu erarbeiten und, falls erforderlich, Durchsetzungsmaßnahmen zu ergreifen.
Framework des IAB Europe
Es folgt eine längere Begründung der Beschwerde. In deren verlauf wird unter anderem von einem Framework berichtet, das laut dem Ryan-Bericht unter den beteiligten werbenden Unternehmen ausgehandelt wurde und per se schon gegen die Datenschutzstandards der DSGVO verstoßen.
Das Framework zielt ausdrücklich darauf ab, die Kontrolle über personenbezogene Daten nach deren Übertragung zu beseitigen. Es geht davon aus, dass diejenigen, die solche personenbezogenen Daten verbreiten, sie auch ohne Einwilligung der Betroffenen an Dritte weitergeben.
„Richtlinie“ (guideline) und Geschäftsbedingungen von Authorized Buyers
Nicht besser sind wohl die terms of business, also die AGB, der Google-Tochter Authorized Buyers.
Demnach hat Authorized Buyers, sobald die personenbezogenen Daten an einen Käufer übermittelt werden, keine wirksame Kontrolle mehr darüber, wie diese Daten verwendet werden.
Rechtliche Bedenken bezüglich Framework und Guidelines
Es bestünden daher massive rechtliche Bedenken gegen das Vorgehen sowohl des Frameworks, als auch der Guidelines. Daher werden die Datenschutzaufsichtsbehörden zum Handeln aufgefordert.
Beschwerde abrufbar
Die Beschwerde kann im Wortlaut hier abgerufen werden:
Reaktion nicht bekannt
Eine offizielle Reaktion auf die Beschwerde durch die Datenschutzbehörden ist bislang nicht bekannt geworden.
Die Beschwerde erging so auch an die Aufsichtsbehörden anderer EU-Staaten.
Ich bin mehr als gespannt, ob und wie die einzelnen Behörden jetzt weiter vorgehen und welche Maßnahmen konkret getroffen werden.
Sollten die geäußerten Vorwürfe, auch nur teilweise, zutreffen, dann dürfte den Behörden nichts anderes übrig bleiben, als hier Bußgeldverfahren einzuleiten.
Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht
DSGVO-Man
