Beschwerde bei den Aufsichtsbehörden über massive, webübergreifende Datenschutzverletzung durch Google und "Adtech"-Firmen auf Basis der DSGVO in Europa
Archivmeldung vom 14.09.2018
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 14.09.2018 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch André OttBei europäischen Datenschutzbehörden wurden zeitgleich Beschwerden gegen Google und andere Adtech-Firmen vorgebracht. Die Beschwerde informiert europäische Aufsichtsbehörden von einer massiven und anhaltenden Datenschutzverletzung, die praktisch jeden Benutzer im Web betrifft. Jedes Mal, wenn eine Person eine Website besucht und eine "verhaltensbezogene" Anzeige auf einer Website angezeigt bekommt, werden intime persönliche Daten des betroffenen Besuchers eingeholt sowie Informationen dazu, was diese Person online sieht, und diese Informationen werden an Dutzende oder sogar Hunderte von Unternehmen weitergegeben.
Werbetechnik-Unternehmen verbreiten diese Daten in großem Umfang, um potenzielle Gebote von Werbetreibenden in Bezug auf spezifische Besucher von Websites zu erhalten. Eine Datenschutzverletzung liegt deshalb vor, weil diese Verbreitung von Informationen, die in der Online-Branche auch als "Gebotsanfrage" bekannt ist, keineswegs intime Daten vor unbefugtem Zugriff schützt. Unter der DSGVO ist dies rechtswidrig.
DSGVO, Artikel 5 Absatz 1, Punkt f sieht vor, dass personenbezogene Daten "in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet; dies schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust ein." Wenn Daten nicht auf diese Weise geschützt werden können, dann dürfen sie gemäß DSGVO auch nicht verarbeitet werden.
Gebotsanfragen können die folgenden personenbezogenen Daten umfassen:
- Was Sie lesen oder sich ansehen - Ihren Standort - Ihre Gerätebeschreibung - Eindeutige Tracking-IDs oder ein "Cookie-Match". So können Werbetechnik-Unternehmen versuchen, Sie beim nächsten Mal zu identifizieren, sodass ein langfristiges Profil mit Offline-Daten über Sie erstellt oder konsolidiert werden kann - Ihre IP-Adresse (je nach Version des "Real-Time-Bidding-Systems") - Segment-ID des Datenbrokers, falls verfügbar. Dies könnte unter anderem Bereiche wie Ihre Einkommensgruppe, Ihr Alter und Geschlecht, Ihre Gewohnheiten, Ihren Einfluss in Bezug auf soziale Medien, Ihre ethnische Herkunft, Ihre sexuelle Orientierung, Ihre Religion, Ihre politische Gesinnung etc. identifizieren (je nach Version des Bidding-Systems)
Dr. Ryan sagte: "Im Kern der verhaltensbasierten Online-Werbebranche liegt eine massive und systematische Datenschutzverletzung vor. Trotz der zweijährigen Einführungsphase der DSGVO halten Adtech-Unternehmen die Bestimmungen noch immer nicht ein. Unsere Beschwerde soll eine EU-weite Untersuchung der Praktiken innerhalb der Adtech-Branche gemäß Artikel 62 der DSGVO auslösen. Die Branche kann dies beheben. Werbeanzeigen können nützlich und relevant sein, ohne dass dabei intime personenbezogene Daten weitergegeben werden."
Die Beschwerde bezieht sich auf bestimmte Tabellen in den technischen Systemspezifikationen für von Werbetechnik-Unternehmen genutzte RTB-Gebotsanfragen sowie auf das Google-eigene RTB-System und zeigt genau, um welche Daten es sich handelt (siehe Details in den Beschwerdedokumenten am Ende der vorliegenden Pressemitteilung).
Artikel 5 (1) f der DSGVO sieht vor, dass personenbezogene Daten "in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet; dies schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust ein." Es gibt jedoch keine Kontrolle in Bezug auf intime persönliche Daten in RTB-Gebotsanfragen, sobald diese verbreitet wurden.
Ravi Naik, Partner bei ITN Solicitors, der mit David Carroll an der beim Datenschutzbeauftragten des Vereinigten Königreichs eingereichten Beschwerde gegen Cambridge Analytica zusammengearbeitet hat, ist auch an diesem Fall beteiligt.
Hr. Naik sagte: "Wir wurden von Kunden in zahlreichen Gerichtsbezirken darum gebeten, Beschwerden über die Vorgehensweisen im Bereich der verhaltensbezogenen Werbung einzureichen. Die Beschwerden wurden bei einer Reihe von Datenschutzbehörden vorgebracht, mit der Bitte um eine europaweite Untersuchung, basierend auf den neuen Befugnissen im Rahmen der DSGVO. Dies sind signifikante Beschwerden, die weitreichende Folgen mit sich führen könnten. Wir sind davon überzeugt, dass jede ordnungsgemäß durchgeführte Bewertung durch die Behörden zu einer grundlegenden Veränderung in unserer Beziehung mit dem Internet führen wird, einer Veränderung zum Besseren."
Die Beschwerde - die zeitgleich beim irischen Datenschutzbeauftragten und dem Datenschutzbeauftragten des Vereinigten Königreichs eingereicht wurde - verlangt eine gemeinsam durchzuführende Untersuchung durch die europäischen Aufsichtsbehörden nach Artikel 62 der DSGVO. Dies ist, soweit wir wissen, die erste Maßnahme dieser Art seit der Einführung der DSGVO.
Hr. Killock sagte: "Die Online-Werbebranche ist nicht transparent und muss untersucht werden. Nutzer verstehen nicht zur Gänze, wie und wo ihre Daten verwendet werden - und es ist ihnen auch nicht möglich, dies zu verstehen. Dieser Sachverhalt erscheint uns höchst unethisch und steht nicht im Einklang mit den Datenschutzgesetzen in Europa."
Eingereichte Dateien im Zusammenhang mit dieser Beschwerde:
- Einreichung beim Datenschutzbeauftragten des Vereinigten Königreichs (PDF): https://brave.com/adtech-data-breach-complaint/B ehavioural-advertising-and-personal-data.pdf - Einreichung beim irischen Datenschutzbeauftragten (PDF): https://br ave.com/DPC-Complaint-Grounds-12-Sept-2018-RAN2018091217315865.pdf - Bericht zu verhaltensbezogener Werbung und personenbezogenen Daten (PDF): https://brave.com/adtech-data-breach-complaint/Behavioural-a dvertising-and-personal-data.pdf
Quelle: Brave Software (ots)