Bis jetzt haben wir noch auf einen gröberen DSGVO-Angriff auf die Big Player gewartet. Damit ist es nun vorbei: Denn der Browserhersteller Brave hat bei mehreren britischen und irischen Datenschutzbehörden Beschwerde gegen Google und dessen Werbeangebot „Programmative Advertising“ bzw. dem damit einhergehenden „Datenleck“ eingelegt. Ebenfalls von der Beschwerde betroffen sind andere Werbefirmen bzw. eigentlich die ganze Onlinewerbewelt: Denn die personalisierte Werbelieferung, die im Fokus der Beschwerde von Brave steht, ist quasi das Herz der Industrie.
Inhaltsverzeichnis
Auktionen von Werbeplätzen: umfassende Weitergabe von sensiblen Daten
Das ist kaum verwunderlich, bietet das „Programmative Advertising“ doch viel effizientere Möglichkeiten für Werbekunden. Die Werbeplätze werden nämlich in Echtzeit versteigert, anstatt langfristig vorauszubuchen: „Jedes Mal, wenn eine personalisierte Anzeige angezeigt wird, werden intime Daten über den Nutzer an Dutzende oder Hunderte von Firmen gesendet“, schreibt Brave-Manager Johnny Ryan im Blog-Eintrag, in dem die Beschwerde publik gemacht wurde. Der Eintrag hat es überhaupt in sich – 32 Seiten umfasst das Papier über die laut Brave „datenschutzfreie Zone“ des Werbemodells. Besonders drastisch seien die Auktionen, da hier eine große Zahl an sensiblen Daten der User an sehr viele Werbemacher weitergegeben werden. Was dann mit den Daten, die z. B. Cookie-IDs oder IP-Adressen inkludieren, passiert – who knows …
Der Handel mit den Daten basiert auf dem Protokoll Open Real-Time Bidding. Die Marktplätze erfreuen sich immer größerer Beliebtheit, auch in Deutschland. In Großbritannien passiert bereits mehr als die Hälfte des Onlinewerbegeschäfts dort.
Verstoß gegen Artikel 5 & 22 der DSGVO
Wenn man sich die Funktionsweise des „Programmative Advertising“ so anhört, liegt die DSGVO als Gegenargument nahe. So sagt auch Brave, dass Google & Co damit gegen die Datenschutzgrundverordnung der EU verstößt. Konkret werden Artikel 5 (besondere Sorgfalt bei der Verarbeitung persönlicher Daten) sowie Artikel 22 genannt, der Richtlinien zur automatisierten Daten-Verarbeitung umfasst.
Die Beschwerde von Brave sehen Google & Co natürlich als aus der Luft gegriffen an. Zumal Brave schon auch seine Gründe hat, gerade Google zu attackieren. Der Browser möchte nämlich sein eigenes Werbesystem mit einer Kryptowährung entwickeln und an den Mann bringen. Bis dato allerdings ohne großen Erfolg. Was die Reaktion von Google auf die Beschwerde betrifft, so sagt der Konzern gegenüber heise.de, dass die User natürlich die Möglichkeit hätten, über die Sammlung ihrer Daten zu bestimmen. Sicherheit und Datenschutz seien selbstverständlich im entsprechenden Google-Datenschutzprodukt „Authorized Buyers“ inkludiert, die DSGVO würde vollinhaltlich eingehalten.
Beschwerde lt. IAB Europe „fehlerhaft“
Ein weiteres vehementes Veto gegen die Gültigkeit der Beschwerde legte gegenüber heise.de die Branchenorganisation IAB Europe: „Wir haben die Beschwerde von Herr Ryan gelesen und glauben, dass sie fehlerhaft ist und ein fundamental falsches Verständnis des europäischen Datenschutzrechts, der OpenRTB-Spezifikation, proprietärer Werbetechniken und dem Transparenz- und Konsens-Framework der IAB Europe offenbart.“ Alles sei korrekt, sofern sich auch alle Teilnehmer an die Datenschutzrichtlinien hielten.
heise.de fragte auch Lukasz Olejnik, seines Zeichens Datenschutz-Forscher, nach seiner Meinung zu dieser Form der Werbung mit Auktionen. Er sieht die Transparenz der Daten-Weitergabe für den Nutzer nicht gegeben und auch das Thema Zustimmung sei bis dato nicht wirklich von Bedeutung für die Beteiligten gewesen. Das ist jetzt durch die DSGVO natürlich ein wenig anders. Allerdings kann der Forscher nicht beurteilen, ob Brave mit seiner Beschwerde tatsächlich Erfolg haben könnte, die Datenweitergabe sie zwischenzeitlich eingeschränkt worden. Die Beurteilung des Falles sei jedoch sicher eine Herausforderung für die Datenschutzbehörden.
Quelle: heise.de, Standard Online
Erstellt am: 15. September 2018