Real Time Bidding - Deutschen Vereinigung für Datenschutz
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
3/2019 42. Jahrgang ISSN 0137-7767 12,00 Euro Deutsche Vereinigung für Datenschutz e.V. Real Time Bidding www.datenschutzverein.de ■ Real Time Bidding – die Versteigerung der Internet-User ■ #FixAdTech – Verhaltenskodizes nach Artikel 40 DSGVO für Online-Werbung ■ Beschwerde wegen VERHALTENSBASIERTER WERBUNG im Internet ■ Online-Werbung repa- rieren – für Journalismus und Grundrechte ■ Ahnenforschung mit Gendaten ■ Offener Brief an die EU-Kommission ■ Nachrichten ■ Rechtsprechung ■
Inhalt Thilo Weichert Reaktionen 138 Real Time Bidding – Ahnenforschung mit Gendaten die Versteigerung der Internet-User 120 Der BigBrotherAward 2019 in der Kategorie Biotechnik geht an die Firma Ancestry.com 141 Elisabeth Niekrenz #FixAdTech – Verhaltenskodizes nach Artikel 40 DSGVO für Online-Werbung 123 Zivilgesellschaftliche Organisationen fordern die korrekte Bewertung der Vorratsdatenspeicherung Digitale Gesellschaft e. V./ Übersetzung: Markus Eßfeld und Frank Spaeing 145 Netzwerk Datenschutzexpertise/ Deutsche Vereinigung für Datenschutz e. V./ Digitalcourage e. V. Datenschutznachrichten Beschwerde bei den deutschen Datenschutz- Aufsichtsbehörden wegen VERHALTENSBASIERTER WERBUNG im Internet 125 Deutschland 150 Bericht von Dr. Johnny Ryan Ausland 156 Verhaltensbasierte Werbung und persönliche Daten 133 Technik-Nachrichten 166 Friedemann Ebelt Rechtsprechung 167 Online-Werbung reparieren – für Journalismus und Grundrechte 137 Termine Samstag, 26. Oktober 2019 DVD-Vorstandssitzung Bonn Sonntag, 27. Oktober 2019 DVD-Mitgliederversammlung Bonn Freitag, 01. November 2019 Redaktionsschluss DANA 4/2019 Minderjährigen(Daten)schutz (Arbeitstitel) Freitag, 27. bis Montag, 30. Dezember 2019 36C3 - 36. Chaos Communication Congress Leipzig Foto: Pixabay..com DANA • Datenschutz Nachrichten 3/2019 118
DANA Editorial Datenschutz Nachrichten ISSN 0137-7767 42. Jahrgang, Heft 3 Herausgeber Deutsche Vereinigung für Datenschutz e.V. (DVD) DVD-Geschäftstelle: Reuterstraße 157, 53113 Bonn Tel. 0228-222498 IBAN: DE94 3705 0198 0019 0021 87 Ursprünglich plante der DVD-Vorstand, für das vorliegende Heft den „Datenschutz für Sparkasse KölnBonn Kinder und Jugendliche“ zum Schwerpunkt zu nehmen. Das Thema ist schon lange E-Mail: dvd@datenschutzverein.de relevant und steht weiterhin auf der Liste unserer Planungen. Doch legten aktuelle www.datenschutzverein.de Entwicklungen es nahe, mit dem „Real Time Bidding“ ein anderes Thema in den Fokus Redaktion (ViSdP) zu stellen. Die von Liberties gestartete europaweite Kampagne zum Versteigern von Dr. Thilo Weichert personalisierter Internet-Werbung wird in Deutschland neben der DVD von Digitalcou- c/o Deutsche Vereinigung für Datenschutz e.V. (DVD) rage, der Digitalen Gesellschaft und dem Netzwerk Datenschutzexpertise mitgetragen. Reuterstraße 157, 53113 Bonn Die vorliegende DANA versteht sich als ein Teil dieser Kampagne, mit der Licht in das dvd@datenschutzverein.de dunkle Feld der Internet-Finanzierung sowie der im Hintergrund stattfindenden Da- Den Inhalt namentlich gekenn- tenflüsse geschaffen werden soll. zeichneter Artikel verantworten die jeweiligen Autorinnen und Autoren. Ein weiterer Schwerpunkt dieser DANA-Ausgabe ist die genetische Ahnenforschung. Layout und Satz Hierzu hat Ende 2018 das Netzwerk Datenschutzexpertise ein umfangreiches Gut- Frans Jozef Valenta, 53119 Bonn achten veröffentlicht, das aber von den Medien, den Betroffenen und den beteiligten valenta@datenschutzverein.de Stellen weitgehend ignoriert wurde. Dies änderte sich schlagartig, als AncestryDNA Druck im Juni 2019 den BigBrotherAward in der Kategorie Biotechnologie verliehen bekam. Onlineprinters GmbH Das Thema wird kontrovers diskutiert. Doch anders als beim Real Time Bidding sehen Rudolf-Diesel-Straße 10 die Betreiber der Angebote sowie deren Protagonisten (noch) keine Veranlassung, sich 91413 Neustadt a. d. Aisch www.diedruckerei.de mit den Aufsichtsbehörden oder mit einer kritischen Öffentlichkeit in einen direkten Tel. +49 (0) 91 61 / 6 20 98 00 Diskurs zu begeben. Während die kritische Öffentlichkeit das Geschäftsmodell der Fax +49 (0) 91 61 / 66 29 20 Werbeverwendung von Internetdaten in Frage stellt, scheint dies bei der Vermarktung Bezugspreis von Gendaten noch nicht der Fall zu sein. Umso wichtiger ist es, hierüber aufzuklären. Einzelheft 12 Euro. Jahresabonnement 42 Euro (incl. Porto) für vier Wie gewohnt enthält diese Ausgabe wieder viele Nachrichten aus der Welt des Daten- Hefte im Kalenderjahr. Für DVD-Mit- schutzes von nah und fern sowie aktuelle einschlägige Gerichtsentscheidungen. glieder ist der Bezug kostenlos. Das Jah- resabonnement kann zum 31. Dezember eines Jahres mit einer Kündigungsfrist Viel Erkenntnis und Spaß beim Lesen! Rückmeldungen an die DANA-Redaktion bzw. von sechs Wochen gekündigt werden. Die den DVD-Vorstand sind immer willkommen. Kündigung ist schriftlich an die DVD- Geschäftsstelle in Bonn zu richten. Thilo Weichert Copyright Die Urheber- und Vervielfältigungsrechte liegen bei den Autoren. Der Nachdruck ist nach Genehmigung Autorinnen und Autoren dieser Ausgabe: durch die Redaktion bei Zusendung von Friedemann Ebelt zwei Belegexemplaren nicht nur gestat- tet, sondern durchaus erwünscht, wenn DigitalCourage e. V., friedemann.ebelt@digitalcourage.de auf die DANA als Quelle hingewiesen Markus Eßfeld wird. Vorstandsmitglied in der DVD, essfeld@datenschutzverein.de Leserbriefe Elisabeth Niekrenz Leserbriefe sind erwünscht. Deren Digitale Gesellschaft e. V., elisabeth.niekrenz@digitalegesellschaft.de Publikation sowie eventuelle Kürzungen bleiben vorbehalten. Frank Spaeing Abbildungen, Fotos Vorstandsmitglied in der DVD, spaeing@datenschutzverein.de Frans Jozef Valenta, Pixabay Dr. Thilo Weichert Vorstandsmitglied in der DVD, Netzwerk Datenschutzexpertise, weichert@datenschutzverein.de, Kiel DANA • Datenschutz Nachrichten 3/2019 119
Real Time Bidding Thilo Weichert Real Time Bidding - die Versteigerung der Internet-User Das Realitätsbewusstsein und die Rahmen eines Gebots fest. In der folgen- Angebote über personalisierte Wer- Realität selbst liegen in kaum einem den Auktion haben sie die Möglichkeit, bung. Letztlich basiert das Geschäfts- Bereich so weit auseinander wie bei diese Werbeeinblendung zu ersteigern, modell vieler Internet-Angebote darauf, der Internet-Datenverarbeitung. Hin- stehen dabei allerdings im Wettbewerb dass diese sich von den Usern nicht ter einer mit farbigen bewegten Bildern mit anderen Werbetreibenden. Die Be- mit Geld, sondern mit den kommerziell illustrierten Oberfläche findet eine Ver- wertung der Werbeeinblendung durch verwertbaren Nutzerdaten „bezahlen“ arbeitung unserer Daten statt, von der den Werbetreibenden und die Abgabe lassen. So sind die Daten der Nutzenden selbst ExpertInnen oft keine genaue des Gebots erfolgt in Echtzeit. Arten des die Grundlage für das Anzeigen und die Vorstellung haben. Und es gibt kaum Realtime Biddings sind First Price Auc- Bepreisung personalisierter Werbung. einen Bereich, in dem das reale „Ist“ so tion oder Second Price Auction.” Bei First Jedes Anzeigen einer Werbung kostet weit vom rechtlichen „Soll“ abweicht Price Auctions zahlt der Höchstbietende das werbende Unternehmen einen klei- wie hier. Ein Beispiel hierfür ist das Real den von ihm gebotenen Preis. Bei der nen Geldbetrag. Um hier eine möglichst Time Bidding (RTB), das durch die Ver- Second Price Action zahlt der Höchst- wirksame Investition zu tätigen, wollen öffentlichung des Berichts von Johnny bietende den Preis des zweithöchsten die Werbenden möglichst zielgerichtete Ryan vom 05.09.2018 erstmals öffent- Gebots.2 Werbung. Diese setzt voraus, dass die lich thematisiert wurde.1 Dieser Bericht Praktiziert wird diese Versteigerung Werbewirtschaft die Internetnutzenden wurde im Herbst 2018 die Grundlage insbesondere von Google sowie von kennt. Dem dient das „Profiling“, also erster Beschwerden bei der irischen und weiteren Online-Anbietern, die sich im das Erstellen von Nutzerprofilen. Mit der britischen Datenschutzbehörde. IAB Europe zusammengeschlossen und detaillierten Profilen soll eine möglichst Diese Beschwerden sind die Blaupause hierüber gemeinsame Standards fest- große Response erreicht werden, ins- für mehrere am 04.06.2019 europaweit gelegt haben. IAB steht für „Interactice besondere durch den Kauf von bewor- eingereichte Beschwerden im Rahmen Advertising Bureau“. Zu den 18 Mit- benen Produkten. Ob die Werbung da- einer von „Civil Liberties for Europe“ in- gliedsländern des IAB Europe gehören durch wirkt, dass sie einem bestimmten itiierten europaweiten Kampagne. Mit neben Deutschland Belgien, Dänemark, Nutzerprofil entspricht, wird zumeist der seit Mai 2018 direkt anwendbaren Finnland, Frankreich, Griechenland, automatisiert festgestellt. Auch der Datenschutz-Grundverordnung (DS- Großbritannien, Italien, Kroatien, Nie- Abgleich des Werbeintention mit dem GVO) besteht ein europaweit einheitli- derlande, Norwegen, Österreich, Po- Nutzerinteresse erfolgt durch einen Al- ches Instrument zur Hinterfragung der len, Rumänien, Schweden, Slowenien, gorithmus. Das werbende Unternehmen mit dem Begriff „Real Time Bidding“ be- Spanien und die Türkei. Der Verband kann hierfür die erwünschten Merk- schriebenen Praktiken. wird zudem durch 20 Unternehmens- malseigenschaften der zu Bewerbenden mitglieder getragen. IAB Europe hat festlegen. Auch dieser Prozess ist zu- - Das Phänomen seinen Sitz in Brüssel. Seine deutschen meist automatisiert. Mitglieder sind organisiert im Online- Beim Profiling beschränkt sich die Was bedeutet Real Time Bidding (RTB), Vermarkterkreis (OVK). Unter dem Dach Werbeindustrie nicht auf die Adressie- auf deutsch „Echtzeitversteigerung“? des Bundesverbands Digitale Wirtschaft rung des Endgeräts. Das Profiling zielt Dahinter verbirgt sich eine spezifische (BVDW) haben sich darin 18 der größten vielmehr auf die sich hinter dem Endge- Art der Vermittlung von personalisierter Online-Vermarkter zusammengeschlos- rät vermuteten Nutzenden. Diese wer- Online-Werbung, bei der Internet-Wer- sen, um ihre gemeinsamen Interessen den mit Cookies, device-, browser- oder beplätze jeweils demjenigen Werbetrei- zu vertreten. Dabei handelt es sich um canvas-fingerprinting erkannt und dies benden zugeschlagen werden, der das Scout24 Media, Bauer Media Group, auch geräteübergreifend (cross-device höchste Zahlungsgebot macht. Oder in Burda Forward, ebay advertising, G+J e/ tracking). Die Festlegung der Werbead- den Worten des in diesem Bereich tätigen MS, himedia digital advertising experts, ressaten wird zumeist vollständig Algo- Bundesverbands Digitale Wirtschaft e. V. IP Deutschland, iq digital, MairDumont rithmen überlassen. Menschen mit ver- (BVDW): „Realtime Bidding benennt den Netletix, media impact, netpointmedia, schiedenen digitalen Profilen bekom- Prozess eines automatisierten Preisfin- OATH, Otto group media, SevenOneMe- men beim Besuch der gleichen Webseite dungsverfahrens in Form einer Auktion. dia, Spiegel Media AdAlliance, Ströer, und zur gleichen Zeit regelmäßig un- Werbetreibende legen ihre Zahlungsbe- united internet media. terschiedliche, nämlich personalisierte reitschaft für eine zur Verfügung stehen- Informations-, Kommunikations- und Werbung angezeigt. Beim RTB erfolgt de Werbeeinblendung – in Kombination Service-Angebote im Internet erfolgen nicht nur die Vermittlung von Werbung mit weiteren Informationen wie z. B. in einem großen Maße unentgeltlich. an einen Werbeanbieter, sondern auch Nutzerdaten oder auch den Kontext – im Oft erfolgt die Refinanzierung solcher die Preisfestlegung über Algorithmen. DANA • Datenschutz Nachrichten 3/2019 120
Real Time Bidding Die folgende Darstellung der kon- andere organisieren die Angebote der 1. das „OpenRTB Protokoll“ des IAB evtl. kreten Abläufe von RTB basiert weitge- Dienstebetreiber (Supply Side Platforms in Verbindung mit dem „Transparency hend auf dem Bericht des Information – SSPs). Schließlich ist es denkbar, dass and Consent Framework“ (TCF) des IAB Commissioner´s Office (ICO) „Update bei einwilligungsbasierter Werbung Europe, 2. Googles „Authorized Buyers report into adtech und real time bid- Dienstleister zwischengeschaltet wer- Framework“. Diese technischen Spezi- ding“ vom 20.06.2019. Das ICO ist die den, die die Werbeanfragen mit dem fikationen beschreiben präzise, welche britische Datenschutzaufsichtsbehörde. Einwilligungsumfang der Nutzenden Daten bei den Übermittlungen ausge- Der Webseiten- oder Applikationsbe- vergleichen und freigeben (Consent Ma- tauscht werden und wie der Austausch treiber versucht demnach beim RTB aus nagement Platforms – CMPs). stattfindet. Die Protokolle zielen auf jeder Werbeanzeige den größtmöglichen Die Qualität und der Umfang der Ge- eine Standardisierung unabhängig von Preis herauszuhandeln. RTB kann zum botsanfragen kann unterschiedlich sein; den Marktteilnehmern ab. Es gibt wei- Einsatz kommen auf Informationspor- in der Regel enthalten sie folgende Merk- tere, teilweise mit OpenRTB kompatible talen, einfachen Webseiten, aber auch male: Identifikator der Gebotsanfrage, Protokolle. beim Audio- oder Videostreaming, im (evtl. verkürzte) IP-Adresse, Cookie-IDs, Die Gebotsanfrage wird an eine Vielzahl Rahmen von Online-Spielen oder jedem Nutzer-IDs, Browser, Gerätetyp und -art, von Empfängern weitergeleitet. Dabei sonstigen Internet-Angebot – für stati- Nutzerlokalisierung, Zeitzone, Sprache, kann es sich um Hunderte, ja Tausende onäre wie für mobile Endgeräte. Hierzu sowie weitere variable individuelle oder von Empfängern handeln. Die Empfän- startet der Webseiten- oder Dienstean- aggregierte Nutzerinformationen. Es ger erhalten diese Daten, ohne dass es bieter eine Gebotsanfrage (Bid request), handelt sich dabei um personenbezoge- wirksame Vorkehrungen gibt, um deren die an das RTB-Ökosystem übermittelt ne Informationen, die teilweise eine di- weitere Verarbeitung zu verhindern oder wird, wobei diese Anfrage in der Regel rekte, teils nur eine indirekte Zuordnung zumindest zu beschränken. personenbezogene Daten des Nutzen- zu einer konkreten Person ermöglichen. den enthält. Die aktuelle Profilbildung, Die Zuordnung kann durch den Empfän- - Rechtliche Bewertung die Generierung der Gebotsanfrage, die ger der Gebotsanfrage dadurch erfolgen, Versteigerung, der Zuschlag und letzt- dass bei ihm schon Merkmalsdaten des Die datenschutzrechtliche Bewer- lich die Anzeige der Werbung erfolgen Nutzenden zumindest über ein Pseudo- tung des RTB erfolgt auf der Grundlage innerhalb weniger Millisekunden, so nym zuordenbar vorliegen. Bei den zu- des Telekommunikationsrechts und der dass dem Nutzenden seinem Profil an- sätzlichen Nutzerinformationen kann es DSGVO. Gemäß Art. 95 ist die DSGVO im gepasste Anzeigen präsentiert werden. sich um Angaben über das Surfverhalten Anwendungsbereich der europäischen Die Standards für die Abwicklung dieser (vorherige, nächste Seite), den Click- Telekommunikations-Datenschutzricht- Prozesse werden von Google in dessen stream oder sonstige Vorgehensweisen linie (TK-DSRl) nicht anwendbar. Die „Authorized Buyers Real Time Bidding“ auf einer Seite handeln, um Angaben TK-DSRl soll frühestmöglicht durch die oder von IAB im OpenRTB in Protokollen über Suchanfragen, Nutzungszeiten, In- im Gesetzgebungsprozess befindliche festgelegt. Die in das RTB-Ökosystem haltsangaben oder demografische Infor- europäische ePrivacy-Verordnung er- eingebundenen Stellen können die mationen. setzt werden. Die TK-DSRl wird im nati- über die Gebotsanfrage erlangten Daten So enthält das IAB „content taxono- onalen Recht im vorliegenden Bereich mit Angaben aus eigenen oder anderen my“ Hunderte verschiedener Felder, durch das Telemediengesetz (TMG) um- Quellen anreichern (data matching, en- beispielsweise zu „Herz- und Kreislauf- gesetzt. Zwar bestehen Unsicherhei- richment), wobei diese Angaben sowohl krankheiten“, „psychische Gesundheit“, ten, inwieweit das TMG im Bereich des personenbezogen wie auch aggregiert „sexuelle Gesundheit“, „ansteckende Datenschutzes nach Wirksamwerden sein können. Krankheiten“. In Googles „publisher der DSGVO anwendbar ist. Unstreitig ist Am RTB sind nicht nur die Werbe- verticals“ finden sich die Merkmale aber, dass die Regelungen des TMG nicht firmen (advertisers) und die Anbieter wie „Fortpflanzungsfähigkeit“, „Dro- zu unterschreitende Mindeststandards (publishers) beteiligt. Vielmehr sind genmissbrauch“, „Gesundheitsbedin- festlegen. Soweit eine Umsetzung der weitere Beteiligte zwischengeschaltet. gungen“, „Politik“ und „ethnische und TK-DSRl durch das TMG nicht erfolgt ist, Das sind zunächst die Vermittler (adver- andere Gruppenidentitäten“. Bei vielen kommt deren direkte Anwendbarkeit tising exchanges), auf deren Plattform der übermittelten Merkmale handelt in Betracht. Dies gilt insbesondere für die Werbeangebote und Werbeanfragen es sich um sog. sensitive Daten, deren Art. 5 Abs. 3 TK-DSRl, der für den Einsatz zusammengeführt und die Höchstbieter Verarbeitung grundsätzlich verboten ist von Cookies für Werbezwecke eine Ein- ausgewählt werden. Dann gibt es Data und nur unter engen Voraussetzungen, willigung verlangt. Das TMG beschreibt Management Platforms (DMPs), die aus im Bereich der Werbung nur durch „aus- klare Anforderungen an die Information verschiedenen Quellen einlaufende Da- drückliche Einwilligung“, erlaubt wird bzw. Anzeigen gegenüber den Betroffe- tensätze sowohl aus den Gebotsanfragen (Art. 9 Abs. 2 lit. a DSGVO). Die Merkma- nen (§§ 13 Abs. 1, 4, 15 Abs. 2 S. 2 TMG), wie aus den Werbeanfragen analysieren, le können so dafür genutzt werden eine die sich u. a. auf den Einsatz von Iden- kategorisieren und zusammenführen. Werbeanzeige vorzunehmen oder diese tifikatoren, Datenweiterleitungen, die Andere Plattformen organisieren die zu verhindern. Einschaltung von Stellen außerhalb der Werbung verschiedener Unternehmen Es kommen beim RTB insbesonde- EU und die verfolgten Zwecke beziehen (Demand Side Platforms – DSPs), wieder re zwei Protokolle zur Anwendung: müssen. Hinsichtlich elektronisch erteil- DANA • Datenschutz Nachrichten 3/2019 121
Real Time Bidding ter Einwilligungen bestehen ebenso klare aus. Diesen Anforderungen wird beim ren Verlauf – soweit ersichtlich – bisher Anforderungen (§ 13 Abs. 22, 3 TMG). RTB nicht genügt. keine Sicherungsmaßnahmen etabliert Art. 9 Abs. 1 DSGVO verbietet die Die Art. 13, 14 DSGVO machen es er- sind. Verarbeitung personenbezogener Da- forderlich, dass die Betroffenen über Bei RTB handelt es sich um Verarbei- ten, aus denen die ethnische Herkunft, Empfänger oder zumindest Kategorien tung mit einem hohen Risiko für die politische Meinungen, religiöse oder von Empfängern, über die verfolgten Rechte und Freiheiten der Betroffe- weltanschauliche Überzeugungen her- Zwecke, über Drittlandsübermittlungen nen. Es erfolgt eine systematische und vorgehen, ebenso von Gesundheitsda- sowie über weitere Aspekte informiert umfassende Bewertung persönlicher ten, Daten zum Sexualleben oder zur werden. Drittlandsübermittlungen sind Aspekte einschließlich der umfangrei- sexuellen Orientierung. Eine Nutzung im Rahmen des RTB üblich, insbesonde- chen Verarbeitung sensitiver Daten. Bei solcher Daten für Werbezwecke ist nur re bei Angeboten von Google sowie an- derartigen Verfahren ist eine umfas- ausnahmsweise erlaubt, wenn der Be- deren US-Unternehmen. Entsprechende sende Datenschutz-Folgenabschätzung troffene unter Benennung der Verant- Informationspflichten bestehen auch (Art. 35 DSGVO) gefordert. Es ist nicht wortlichen und des konkreten Zwecks nach dem TMG (s. o.). Die gesetzlich erkennbar, dass die am RTB beteiligten „ausdrücklich einwilligt“ (Art. 9 Abs. 2 geforderte Transparenz wird beim RTB Stellen diesen Anforderungen genügen, lit. a DSGVO). Diese Voraussetzungen nicht hergestellt. ja dass sie diese Anforderungen über- sind beim RTB durchgängig nicht ge- Art. 5 Abs. 2 DSGVO verlangt von den haupt erkannt haben. geben. So stellte das britische ICO fest, Verantwortlichen, dass diese die Ein- dass die Verarbeitung derartiger Daten haltung ihrer Pflichten nach der DSGVO, - Konsequenzen über das RTB unzulässig ist.3 insbesondere der in Art. 5 Abs. 1 DSGVO Hinsichtlich der Verarbeitung von normierten Grundsätze, nachweisen Aus der obigen Darstellung ergibt sich nichtsensitiven Daten gilt Art. 6 Abs. 1 können. Tatsächlich sind weder die zwingend, dass die aktuelle RTB-Pra- DSGVO. Zwar ist generell anerkannt, Protokolle von Google noch die von IAB xis unzulässig ist. Zu diesem Ergebnis dass Werbung ein berechtigtes Interes- Europe in der Lage, den im dem RTB- kommt auch die britische Datenschutz- se begründen kann (Art. 6 Abs. 1 lit. f Ökosystem beteiligten Stellen Klarheit aufsichtsbehörde, das ICO. Sie stellt DSGVO). Doch muss die konkrete Verar- über ihre Verantwortlichkeit zu geben. fest, dass Tausende von Organisationen beitung für den Zweck erforderlich sein. Beim RTB erfolgt in den meisten Fäl- jede Woche im Vereinigten Königsreich Eine Erforderlichkeit der Übermittlung len ein umfassendes Profiling der Be- Milliarden von personenbezogenen der Daten an Hunderte und mehr Emp- troffenen. Dieses verstößt gegen Art. 22 Gebotsanfragen verbreiten ohne ange- fänger im Rahmen einer Gebotsanfrage DSGVO, der umfassende Sicherungs- messene technische und organisatori- ist für den Zweck der Werbeeinblendung maßnahmen zugunsten der Betroffenen sche Sicherungsmaßnahmen und ohne nicht gegeben, so dass auch bzgl. nicht- fordert.5 Diese sind nicht ersichtlich. Rücksicht auf die Beschränkungen z. B. sensitiver Merkmale der Vorgang unzu- Selbst wenn man die Ansicht vertreten bei Drittlandsübermittlungen.7 Die- lässig ist, soweit nicht eine Einwilligung würde, dass das einfache Anzeigen von se Feststellung hat Gültigkeit für die erteilt wird (Art. 6 Abs. 1 lit. a DSGVO). Online-Werbung keine von Art. 22 DS- gesamte Europäische Union (EU). Als Hinzu kommt, dass eine Abwägung mit GVO erfasste Entscheidung ist, handelt Maßnahme hat das ICO bisher insbeson- den Interessen der Betroffenen erfolgen es sich bei den Profilingmaßnahmen, dere vorgesehen, weitere Fakten über muss. Eine solche Abwägung ist bisher auf deren Grundlage RTB durchgeführt das RTB zu sammeln. Die wesentlichen – soweit erkennbar – in den Protokollen wird, um unverhältnismäßige, unfaire Beteiligten sollen gezielt angesprochen bei Google und des IAB Europe nicht Eingriffe in das Persönlichkeitsrecht der und zum Dialog veranlasst werden. Da- vorgesehen. Schließlich müsste den Betroffenen.6 bei ist eine enge Zusammenarbeit mit Betroffenen eine wirksame Möglichkeit Gemäß Art. 25 DSGVO müssen bei der den anderen Datenschutzbehörden in eines Widerspruchs und des Ausschlus- Technikgestaltung die Grundsätze des der EU angestrebt. Diese ist ohnehin ses vom RTB gegeben werden (Art. 21 Privacy by Default und Privacy by Design nach der kollektiven, von Civil Liberties DSGVO, § 15 Abs. 3 TMG). Es erfolgt hie- realisiert werden. § 13 Abs. 4 TMG ver- koordinierten Beschwerde-Initiative rüber, obwohl verpflichtend vorgesehen langt zugunsten der Nutzenden darüber vom Juni 2019 notwendig. Das ICO kün- (Art. 21 Abs. 2-4 DSGVO, § 15 Abs. 3 hinausgehende und konkretisierende digte eine weitere Bestandsaufnahme S. 2 TMG), auch keine Information. Die Vorkehrungen. Weder bei Google noch innerhalb von sechs Monaten an. Bis da- technischen Voraussetzungen für eine in den Vorgaben von IAB Europe sind hin soll die Werbeindustrie ihr RTB-Öko- Umsetzung von Widersprüchen sind re- Verfahren festgelegt, mit denen diese system selbst umfassend neu bewerten. gelmäßig nicht vorhanden.4 Prinzipien auch nur im Ansatz umge- Das ICO versäumt es dabei nicht darauf Eine Einwilligungsnotwendigkeit ist setzt würden. Art. 32 DSGVO verpflichtet hinzuweisen, dass RTB nur ein Teil eines gemäß Art. 5 Abs. 3 TK-DSRl auch in zudem zum Ergreifen einer Vielzahl von umfassenderen Datenschutzproblems Bezug auf die Verarbeitung von Cookie- Sicherheitsmaßnahmen. Diese betref- personalisierter Online-Werbung dar- Daten gegeben, die beim RTB weit ver- fen nicht nur die eigene Datenverarbei- stellt. breitet ist. Eine Einwilligung setzt eine tung, sondern auch den Empfang und Angesichts der Fakten und der ver- gewisse Bestimmtheit bzgl. der verar- die Übermittlung von Daten. Beim RTB nichtenden rechtlichen Bewertung ist beiteten Daten wie der Empfänger vor- erfolgen Übermittlungsketten, in de- es auf den ersten Blick geradezu er- DANA • Datenschutz Nachrichten 3/2019 122
Real Time Bidding schreckend, wie defensiv das ICO mit teiligten, insbesondere für die Betrof- bewirken. Daher ist es nötig, auch die seinen „Maßnahmen“ agiert. Die Mög- fenen, Einräumung des Widerspruchs- weiteren großen außereuropäischen lichkeiten des Art. 58 Abs. 2 DSGVO ge- rechts, Information der Betroffenen und die europäischen Unternehmen in hen bis zum Totalverbot, die des Art. 83 hierüber und über dessen technische den Fokus zu nehmen. Hierfür ist zwei- Abs. 6 DSGVO bis zu Bußgeldern in Höhe Umsetzung, technisch-organisatorische fellos noch einiges an Sachverhaltsauf- von maximal 4% des „gesamten welt- Vorkehrungen, die eine zweckwidrige klärung nötig. Doch sind die Fakten weiten erzielten Jahresumsatzes des Datennutzung in der Verarbeitungsket- zu eindeutig, als dass nicht sofortiges vorangegangenen Geschäftsjahres“. Es te wirksam verhindern. Die Erfahrungen planvolles Vorgehen unumgänglich ist, war bisher nicht erkennbar, dass von mit dem Wirtschaftszweig begründen das letztlich auf ein vollständiges Ver- Seiten der Verantwortlichen bei Google, die berechtigte Befürchtung, dass diese bot dieser Vorgehensweise hinausläuft. des IAB Europe sowie der RTB-Unter- Zielvorgaben nicht akzeptiert werden. nehmen konkrete Maßnahmen ergriffen Nur wenn mit diesen Zielvorgaben und 1 Report from Dr. Johnny Ryan – Beha- wurden oder werden, die auch nur im einem klaren engen Zeitplan vorgegan- vioural advertising and personal data, https://brave.com/Behavioural- Ansatz geeignet sind, rechtskonforme gen würde, wäre es vertretbar, kurzfris- advertising-and-personal-data.pdf; Zustände herzustellen. tig die milliardenfachen Verletzungen Übersetzung hiervon in diesem Heft Tatsächlich kann das Ergebnis mittel- des Datenschutzrechtes zu tolerieren. S. 133. fristig nur ein völliges Verbot des RTB Die Aufsichtsbehörden müssen sich 2 https://www.bvdw.org/glossar/. sein. Dem könnte sich die Industrie nur zweifellos innerhalb der EU und insbe- 3 Informations Commissioner´s Office dadurch entziehen, dass sie umgehend sondere im Europäischen Datenschutz- (ICO), Update report into adtech and real Systeme aufsetzt, bei denen das Erstei- ausschuss zu dem Thema verständigen time bidding, 20 June 2019, S. 16. gern von Werbeplätzen von folgenden (Art. 63 ff. DSGVO). Sie sollten sich aber 4 benso ICO S. 18. engen Stellschrauben abhängig ge- schon jetzt auf ein Szenario einstellen, macht wird: Verzicht auf sensitive Merk- das auf Verbote und höchstmögliche 5 Weichert in Däubler/Wedde/Weichert/ male oder Kategorien, Aggregierung Geldbußen hinausläuft. Dabei ist es Sommer, EU-Datenschutz-Grundver- ordnung und BDSG-neu, 2018, Art. 22 zu Merkmalsgruppen, die das Profiling wichtig, dass bei der Auswahl der Ad- DSGVO Rn. 31f. beschränken, Zulassung von maximal ressaten die bestimmenden Unterneh- einem Identifikator, umgehende Lösch- men als erste in den Fokus genommen 6 ICO S. 20. pflicht nach Abschluss des jeweiligen werden. Dazu gehört zweifellos Google. 7 ICO S. 23. Auktionsvorgangs, Verbot der Daten- Datenschutz sollte und darf keine ver- anreicherung, Transparenz für alle Be- deckte Diskriminierung im Wettbewerb Elisabeth Niekrenz #FixAdTech – Verhaltenskodizes nach Artikel 40 DSGVO für Online-Werbung Mit der EU-weiten Beschwerdekam- Personalisierte Werbung wurde etwa tive Advertisement Bureau (IAB) ver- pagne #StopSpyingOnUs fordern die in den letzten zehn Jahren zu einer antwortlich, das auch das zugehörige beteiligten Datenschutz- und Men- bestimmenden Einnahmequelle für Transparency and Consent Framework schenrechtsorganisationen von den Webseitenbetreibende, insbesondere aufstellt. Die beteiligten Unternehmen Datenschutzaufsichtsbehörden die für Presse- und sonstige Medienunter- verstoßen in diesem Rahmen umfang- umfassende Überprüfung eines ver- nehmen, die Medienprodukte online reich und systematisch gegen gelten- breiteten Vertriebsmodells für perso- zur Verfügung stellen und regelmäßig des Datenschutzrecht. Für Webseiten- nalisierte Werbung – Real Time Bid- eine Vielzahl von Webseitenbesuchern betreibende stehen wenige Angebote ding. Daneben schlagen sie die Ausar- verzeichnen. Den Vertrieb ihrer Werbe- zum datenschutzkonformen Vertrieb beitung von Verhaltensregeln gemäß plätze nehmen sie nicht durch einzelne von Werbeplätzen zur Verfügung. Die- Art. 40 DSGVO für personalisierte Wer- Verträge mit Werbekunden vor, sondern se strukturellen Datenschutzverstöße bung vor. Was macht die von der DSGVO sie gliedern sich oftmals an eines der sollten durch strukturelle Maßnahmen vorgesehenen Verhaltenskodizes aus beiden europaweit meistverbreiteten angegangen werden. Gerade weil sich und weshalb ist ein solcher Kodex für Real Time Bidding-Systeme an – Google die DSGVO auf einem hohen Abstrak- das gesamte Feld von Online-Werbung Authorized Buyers bzw. Open RTB. Für tionsniveau bewegt und einiger Kon- notwendig? letzteres ist maßgeblich das Interac- kretisierung durch die Rechtsprechung DANA • Datenschutz Nachrichten 3/2019 123
Real Time Bidding bedarf, sollte die europäische Werbe- altem Recht in § 38 BDSG a.F. vorgese- dienen, die Einhaltung von Pflichten branche europaweit gültige Verhaltens- hen, davon wurde in der Vergangenheit gemäß Art. 24 Abs. 3 (Erfüllung der regeln für die Datenverarbeitung bei aber nur sehr eingeschränkt Gebrauch Verantwortung), Art. 28 Abs. 5 (Ga- Online-Werbung formulieren und diese gemacht.3 Gemäß Art. 40 Abs. 1 DSGVO rantien des Auftragsverarbeiters) oder den Datenschutzaufsichtsbehörden zur fördern die Datenschutzaufsichtsbehör- Art. 32 Abs. 3 DSGVO (Sicherheit der Genehmigung vorlegen. Solche Verhal- den die Ausarbeitung von Verhaltensre- Verarbeitung) zu belegen bzw. Nach- tensregeln müssen freilich grundlegen- geln, die die Verordnung für bestimmte weiserleichterungen herbeizuführen.9 de Veränderungen der derzeit verbreite- Wirtschaftsbereiche konkretisieren. Ih- Sie erlangen zudem Bedeutung für eine ten Vertriebsmodelle vornehmen. rem Förderauftrag können die Behörden Datenschutz-Folgenabschätzung, für etwa dadurch nachkommen, dass sie die Übermittlung von Daten ins Aus- Real Time Bidding: eine problemati- Verbände zum Verfassen solcher Rege- land und schließlich für den relevan- sche Struktur lungen ermutigen und dabei beratend ten Bereich der Bußgeldverhängung zur Seite stehen.4 So soll den Spezifika (Art. 83 Abs. 2 lit. j DSGVO), sind also Das IAB stellt auf seiner Website tech- verschiedener Branchen durch Selbstre- durchaus geeignet, ein gewisses Mehr nische Spezifikationen des Open RTB- gulierung Rechnung getragen werden.5 an Rechtssicherheit im Umgang mit Systems zur Verfügung. Der europäische Während etwa die Zertifizierung (Art. 42 den abstrakten Bestimmungen der DS- Ableger, das IAB Europe hat zudem am DSGVO) konkrete Datenverarbeitungs- GVO zu schaffen. 25.04.2018 das Transparency and Con- vorgänge konkreter Verantwortlicher Besonders relevant ist, dass Art. 40 sent Framework veröffentlicht.1 Es han- betrifft, sollen mit Verhaltenskodizes Abs. 9 DSGVO der Kommission die Mög- delt sich um ein Regelwerk, das gewähr- allgemeine Regeln für ganze Geschäfts- lichkeit eröffnet, eine Allgemeingültig- leisten soll, dass die Einwilligung zur felder geschaffen werden.6 keitserklärung zu erlassen. Die Folge Datenverarbeitung, die eine Person dem Gemäß Art. 40 Abs. 2 DSGVO können dieser Erklärung ist in der Literatur um- Webseitenbetreiber gewährt, für sämt- Branchenverbände solche Regelungen stritten. Überwiegend wird vertreten, liche Datenweitergaben an Dritte gilt, ausarbeiten und der zuständigen Da- dass sie unmittelbare Wirkung für und obgleich der ursprüngliche Verantwort- tenschutzbehörde zur Genehmigung gegen Jedermann entfaltet.10 Das wür- liche die Kontrolle über die Daten voll- vorlegen. Es handelt sich mithin um de bedeuten, dass sämtliche Unterneh- ständig verliert, sodass eine Informa- eine „regulierte Selbstregulierung“: Die men, die im geregelten Bereich arbeiten, tion der Nutzerinnen und Nutzer über Normen dürfen das Schutzniveau der an diese Regelungen gebunden wären. die weitere Verwendung und damit eine DSGVO nicht unterschreiten.7 In einem Demnach könnte der Branchenkodex, informierte Einwilligung systematisch solchen Fall müsste die zuständige Be- wenn er von der Kommission für allge- verunmöglicht wird.2 Wie die weiteren hörde die Genehmigung verweigern. So- meingültig erklärt wird, auch unmittel- Glieder dieser Ketten Daten verarbeiten, fern die betroffenen Datenverarbeitun- bare Auswirkungen auf die Beteiligten etwa an wen sie sie weitergeben oder ob gen mehrere Mitgliedsstaaten betreffen, an Googles proprietärem System haben. sie Profile über Menschen erstellen, ist gibt gemäß Art. 40 Abs. 7 DSGVO auch So ließen sich Wettbewerbsnachteile für unkontrollierbar. Den betroffenen Nut- der Europäische Datenschutzausschuss datenschutzkonform agierende Unter- zerinnen und Nutzern ist es faktisch (EDSA) eine Stellungnahme im Kohärenz- nehmen vermeiden. nicht möglich, diese Verarbeitungen verfahren gemäß Art. 63 DSGVO ab. nachzuvollziehen oder ihre Rechte nach Was den Inhalt betrifft, so können alle Fazit der DSGVO, etwa auf Auskunft oder Lö- Bereiche der DSGVO durch Verhaltens- schung, gegenüber den einzelnen Ins- kodizes konkretisiert werden. Art. 40 Von der Verletzung der Privatsphä- tanzen geltend zu machen. Abs. 2 lit. h i.V.m. Art. 24 Abs. 1 DSGVO re aller Nutzenden des Internets ganz Der Kontrollverlust über die Daten- sieht dies insbesondere für technische abgesehen, haben Fachleute aus der verarbeitung ist durch die Protokolle und organisatorische Maßnahmen vor, Werbebranche die Nachteile der AdTech- und Regelwerke der Branche nicht nur die die Einhaltung des Datenschutz- Industrie, die auf Tracking basiert, längst normativ, sondern auch technisch de- rechts sicherstellen sollen. Zwingend dargestellt: Nicht nur büßen Werbetrei- terminiert. Deshalb ist es nur folgerich- müssen Regeln zur Überwachung der bende Seriosität ein, weil viele Nutzerin- tig, eine Überprüfung dieser Strukturen Einhaltung des Kodex durch eine dafür nen und Nutzer das Gefühl haben, von zu verlangen. Es liegt an der Branche vorgesehene Stelle vorhanden sein. ihnen ausspioniert zu werden. Die Bran- selbst, insbesondere am IAB Europe als Die Mitglieder des Verbandes sind che hat auch maßgeblich zu negativen deren Verband, datenschutzkonforme nicht automatisch in der Pflicht, sich Effekten für Gesellschaft und Demokratie Spielregeln zu schaffen und sie den Auf- an einen Verhaltenskodex zu halten. beigetragen: Das Geschäftsmodell schafft sichtsbehörden zur Genehmigung vor- Die im Einzelnen verantwortlichen vor allem Anreize, Inhaltsangebote zu zulegen. Unternehmen können sich vielmehr kreieren, die durch aufsehenerregende freiwillig zur Einhaltung verpflichten. Überschriften häufig aufgerufen werden Verhaltenskodizes nach Art 40 DSGVO Dies bewirkt zwar nicht per se, dass und schafft damit eine materielle Vor- sämtliche darauf basierenden Daten- aussetzung von Klickbaiting und Fake Die Genehmigung von Selbstregulie- verarbeitungen rechtmäßig sind.8 Die News.11 Inwiefern datenschutzkonforme rungsinstrumenten war bereits nach Selbstverpflichtung kann aber dazu Formen personalisierter Werbung mög- DANA • Datenschutz Nachrichten 3/2019 124
Real Time Bidding lich sind könnte die Branche – durch die der Kodex von der Kommission für allge- 8 Jungkind, BeckOK Datenschutz- Aufsichtsbehörden beraten – erarbeiten. mein gültig erklärt werden würde. recht, Wolff/Brink 28. Edition Stand: Solange personalisierte Werbung darauf 01.02.2019 Art. 40. basiert, das Surfverhalten von Personen 1 Abrufbar unter https://iabeurope.eu/ 9 Lepperhoff, Gola, Datenschutz-Grundver- an eine Vielzahl von Unternehmen zu tcfdocuments/documents/legal/ ordnung 2. Auflage 2018, Art. 40 Rn 5. currenttcftncFINAL.pdf. übermitteln, ist dies jedenfalls nicht ge- 10 Vgl. Wolff, Verhaltensregeln nach währleistet. 2 Rn. 11, 12 des Beschwerdetextes. Art. 40 DSGVO auf dem Prüfstand, ZD Neben der Verhängung von Bußgel- 3 Wolff, Verhaltensregeln nach Art. 40 2017, 151, 153.Vgl. zum Streitstand dern gegenüber einzelnen Verantwort- DSGVO auf dem Prüfstand, ZD 2017, 151. Jungkind, BeckOK Datenschutz- recht, Wolff/Brink 28. Edition Stand: lichen, die durch Abschreckung Wir- 4 Ebd. 01.02.2019 Art. 40 Rn. 32. kung auf die gesamte Branche entfalten 5 Lepperhoff, Gola, Datenschutz-Grundver- 11 Vgl. etwa: Doc Searl‘s Webblog: GDPR können, aber nicht müssen, würde die ordnung 2. Auflage 2018, Art. 40 Rn 1. will pop the adtech bubble, 12.05.2018, Erarbeitung eines Verhaltenskodexes 6 Jungkind, BeckOK Datenschutz- abrufbar unter: https://blogs.harvard. mit einer Veränderung der entsprechen- recht, Wolff/Brink 28. Edition Stand: edu/doc/2018/05/12/gdpr/. den Protokolle für einen grundlegenden 01.02.2019 Art. 40 Rn 6. Wandel der Branchenpraktiken auf ei- 7 Lepperhoff, Gola, Datenschutz-Grundver- nen Schlag sorgen, insbesondere, wenn ordnung 2. Auflage 2018, Art. 40 Rn 1. Digitale Gesellschaft e. V./Netzwerk Datenschutzexpertise/Deutsche Vereinigung für Datenschutz e. V./Digitalcourage e. V. Beschwerde bei den deutschen Datenschutz- Aufsichtsbehörden wegen VERHALTENSBASIERTER WERBUNG im Internet und Aufforderung, hierzu Datenschutzleitlinien zu erarbeiten und zu veröffentlichen A. Einführung & Zweck Gründung 1977 als gemeinnütziger 3 Es gibt zwei Hauptsysteme, die der Verein die Interessen der verdateten verhaltensbasierten Online-Werbung 1 Wir erheben in Absprache mit weite- BürgerInnen wahr. zugrunde liegen, die beide nach einer ren Organisationen in Europa die unten Spezifikation namens „Real Time Bid- stehende Beschwerde. Wer wir sind: • Digitalcourage e. V. ist ein Zusam- ding“ (RTB) arbeiten: menschluss von Menschen, die Tech- • Die Digitale Gesellschaft e.V. ist ein nik und Politik mit dem Ziel der Ver- • OpenRTB wird von praktisch jedem gemeinnütziger Verein, der sich seit wirklichung von Grundrechten und bedeutenden Unternehmen in der seiner Gründung im Jahr 2010 für Datenschutz kritisch erkunden und Online-Medien- und Werbebranche Grundrechte und Verbraucherschutz menschenwürdig gestalten wollen. verwendet. im digitalen Raum einsetzt. 2 Der Zweck der vorliegenden Beschwer- • „Authorized Buyers” ist Googles pro- • Das Netzwerk Datenschutzexpertise de ist es, die deutschen Datenschutz- prietäres RTB-System, das vor Kurzem ist ein Zusammenschluss von Daten- aufsichtsbehörden um Maßnahmen zu von „DoubleClick Ad Exchange“ (kurz schutzexpertInnen mit dem Ziel, öf- bitten, welche den Einzelnen bzw. die „AdX“) in „Authorized Buyers“ umbe- fentliche Diskussionen über Fragen Menschen allgemein vor weitreichenden nannt wurde. des Datenschutzes sowie generell des und systematischen Datenschutzverstö- Schutzes von Menschenrechten und ßen durch Google und andere Internet- 4 Beide Systeme dienen dazu, perso- Grundrechten in der digitalen Welt zu Unternehmen der Branche schützen. nalisierte Werbung auf Websites bereit- initiieren und voranzubringen. Die Beschwerde hat als Grundlage die zustellen. Wie im Ryan-Bericht darge- Stellungnahme von Dr. Johnny Ryan stellt, werden „jedes Mal, wenn eine • Die Deutsche Vereinigung für Daten- (Ryan-Bericht).1 Person auf eine Webseite geht, die au- schutz e. V. (DVD) nimmt seit ihrer tomatisierte Werbung nutzt, und diese DANA • Datenschutz Nachrichten 3/2019 125
Real Time Bidding herunterlädt, persönliche Daten über tung personenbezogener Daten und i Überprüfen Sie die detaillierten Be- sie an Dutzende – oder gar Hunderte – der Informationsaustausch im Rahmen schwerdegründe, die hier und im von Firmen übertragen“. der personalisierten Werbung durchge- Ryan-Bericht aufgeführt werden, führt werden. Eine Verarbeitung ohne und leiten Sie eine Untersuchung 5 Es gibt drei zentrale, miteinander zu- ausreichende Sicherheitsvorkehrungen der speziellen Probleme in Bezug sammenhängende Gründe für erhebli- ist mit den Datenschutzbestimmungen auf die Branche für verhaltensori- che Datenschutzbedenken beim Einsatz nicht vereinbar. entierte Werbung ein. Um gegen sie von verhaltensbasierter Internetwer- vorgehen zu können, ist es wichtig, bung. Drittens Die Verarbeitung betrifft sehr die systematische Natur der in diesen oft besondere Kategorien personenbe- Beschwerden aufgeführten Verstöße Erstens Die Branche begann ursprüng- zogener Daten (Art. 9 Abs. 1 DS-GVO). anzuerkennen. lich damit, personalisierte Werbung zu Die besuchten Webseiten können Indi- unterstützen. Inzwischen führt dies zu katoren enthalten, die über Sexualität, ii Leiten Sie eine breit angelegte Unter- einer Übertragung von Massendaten, Ethnizität, politische Meinungen etc. suchung zu den Datenschutzprakti- die Auskunft geben. Solche Aussagen, die ken der Branche ein. Wir fordern die als sensitive Daten anzusehen sind, Datenschutzaufsichtsbehörden auf, a ein breites Spektrum an Informati- können explizit erfolgen oder effektiv ihre Befugnisse nach Kapitel VII der onen über Einzelpersonen umfasst, und leicht mit hoher Genauigkeit un- Europäischen Datenschutz-Grund- welches weit über den Bereich der In- ter Verwendung moderner analytischer verordnung (DS-GVO) auszuüben, formationen hinausgeht, der für die Techniken abgeleitet werden.2 RTB er- um in Zusammenarbeit mit anderen Bereitstellung der relevanten Anzei- folgt in Echtzeit, was zur Folge hat, dass Datenschutzbehörden eine gemein- gen erforderlich ist, und solche sensitiven Daten ohne jegliches same Untersuchung der genannten Einverständnis und ohne jegliche Kon- Geschäftspraktiken durchzuführen. b einer Vielzahl von Dritten für eine trolle verbreitet werden können. Da sol- Wie im Folgenden näher ausgeführt, Reihe von Anwendungen zur Verfü- che Daten mit sehr hoher Wahrschein- wurden entsprechende Beschwerden gung gestellt werden, die weit über lichkeit an zahlreiche Organisationen bereits bei Datenschutzbehörden die Zwecke hinausgehen, welche eine weitergegeben werden, die diese Daten anderer EU-Mitgliedstaaten einge- betroffene Person verstehen kann wiederum mit anderen Daten verknüp- reicht. und in die sie einwilligen oder gegen fen, können extrem komplexe Profile die sie Widerspruch einlegen kann. von Personen erstellt werden, ohne dass iii Darüber hinaus ersuchen wir die Da- Es gibt keine rechtliche Grundlage für die betroffene Person davon Kenntnis tenschutzaufsichtsbehörden, die in eine solche allgegenwärtige und inva- hat, geschweige denn ihr Einverständ- dieser Beschwerde aufgeführten sys- sive Profilerstellung und Verarbeitung nis gegeben hätte. Die Industrie fördert tematischen und weit verbreiteten personenbezogener Daten aus Profit- diese Praxis und verzichtet auf adäqua- Probleme und Bedenken gemäß de- gründen (Art. 22 Datenschutz-Grund- te Sicherheitsmechanismen, welche die ren gesetzlichen Auftrag nach § 40 verordnung – DS-GVO). Integrität der persönlichen Daten und Bundesdatenschutzgesetz (BDSG) auch solcher besonderer Kategorien ge- zu untersuchen und eine Bewertung Zweitens Der praktizierte Mechanismus währleisten könnten. Darüber hinaus ist durchzuführen, ob die Branche die ein- der Branche ermöglicht es nicht, die es unwahrscheinlich, dass Einzelperso- schlägigen Datenschutzvorschriften Kontrolle über die Verbreitung perso- nen wissen, dass ihre persönlichen Da- einhält. Darüber hinaus fordern wir die nenbezogener Daten nach deren Über- ten auf diese Weise verbreitet und über- Datenschutzaufsichtsbehörden auf, im tragung (bzw. überhaupt) zu behalten. tragen wurden, es sein denn, sie sind Rahmen ihres Ermessens eine gemein- Die schiere Anzahl der Empfänger sol- aus einem speziellen Grund in der Lage, same Prüfung der Branche vorzuneh- cher Daten führt dazu, dass die Sender bei einer Vielzahl von Unternehmen er- men und geeignete Verhaltensregeln weder ihre unbefugte Weiterverarbei- folgreiche Anträge auf Zugang zu per- / Empfehlungen in Anlehnung an Art. tung verhindern, noch die betroffenen sönlichen Daten zu stellen.3 Es ist nicht 57 Abs. 1 lit. g, h DS-GVO zu erarbeiten Personen über die Empfänger der Daten zu erkennen, dass diese Unternehmen und, falls erforderlich, Durchsetzungs- ordnungsgemäß informieren können. solchen Anfragen nachgekommen sind maßnahmen zu ergreifen. Die rechtskonforme Verarbeitung der und dass dies nachweisbar wäre. Ohne personenbezogenen Daten kann nicht Maßnahmen der Regulierungsbehörden 7 Die von den Datenschutzaufsichtsbe- mehr gewährleistet werden, wenn die- ist es nicht möglich, die branchenweite hörden geforderten Maßnahmen sind in se einmal weitergegeben worden sind. Einhaltung der Datenschutzbestimmun- den nachstehenden Ziffern 48 - 53 aus- Die technischen und organisatorischen gen sicherzustellen. führlich beschrieben. Sicherheitsvorkehrungen, die getroffen wurden, bestätigen, dass Datenschutz- 6 Angesichts dieser anhaltenden Verstö- B. Hintergrund verletzungen dem Design der Branche ße gegen die einschlägigen Vorschriften inhärent sind. Dieses Problem besteht und Gesetze werden die Datenschutzauf- 8 Der Hintergrund der Branche ist in unabhängig davon, ob die Verarbei- sichtsbehörden um Folgendes ersucht: dem beigefügten Bericht von Dr. Ryan DANA • Datenschutz Nachrichten 3/2019 126
Real Time Bidding (Ryan-Bericht) dargestellt. Wir ver- 12 Diese Daten werden dann an ein über eine Rechtsgrundlage für die Ver- weisen die Datenschutzaufsichtsbe- umfangreiches Ökosystem von Data arbeitung der personenbezogenen Da- hörden für eine detaillierte Erklärung Brokern und Werbetreibenden wei- ten verfügt. Hat oder erhält ein Anbieter zur Branche, zu deren Vorgehensweise tergegeben. Diese Dritten können die personenbezogene Daten und liegt keine und zu den dem System innewohnen- Daten dann nach eigenem Ermessen Rechtsgrundlage für den Zugang zu die- den Datenschutzbelangen auf diesen verwenden, wobei die Betroffenen als sen Daten und deren Verarbeitung vor, Bericht. die „Datensubjekte“ keinerlei Mitspra- sollte der Verkäufer die Erhebung und che, Kenntnis oder Kontrolle über diese Speicherung der Daten schnellstmöglich C. Richtlinien und Verfahren nachfolgende Nutzung haben. Die An- einstellen und von einer Datenweitergabe wendungen für diese Daten sind um- an andere Parteien auch dann absehen, 9 Die Unternehmen sind in einem Bran- fangreich; sie können mit anderen Da- wenn diese Parteien eine Rechtsgrundla- chenverband zusammengeschlossen, ten zusammengeführt werden oder die ge haben.“ der Parameter und Anwendungsmuster Daten können verwendet werden, um festlegt: das Interactive Advertising Bu- für viele unterschiedliche Zwecke ein 15 Denjenigen, die personenbezogene reau (IAB). Die europäische Niederlas- Profil der betroffenen Person zu erstel- Daten übertragen, wird folglich ein Er- sung des IAB, IAB Europe, hat mit der len. Die letztliche Verwendung dieser messensspielraum eingeräumt, ob eine „Industry Standard Policy“ Verhaltens- Daten kann daher Bereiche umfassen, „gerechtfertigte Grundlage für die An- regeln und standardisierte Vorgehens- die vom ursprünglich Verantwortlichen nahme besteht, dass der Verkäufer über weisen für Europa festgelegt. Wegen in seiner Interaktion mit dem Kunden eine Rechtsgrundlage für die Verarbei- der marktbeherrschenden Stellung von nicht erwähnt wurden. Solche Endver- tung personenbezogener Daten ver- Google handelt dieses Unternehmen mit wendungen können für die betroffenen fügt“. Im Umkehrschluss kann also die Authorized Buyers nach eigenen Verfah- Personen bedenklich sein, wenn sie Einwilligungseinstellung einer betroffe- ren und Vorgehensweisen. Wir gehen überhaupt davon Kenntnis erlangen.6 nen Person umgangen werden. Der An- nacheinander auf beides ein. Tatsächlich gibt es keine Möglichkeit bieter kann auf einer nicht näher spezi- für den Verantwortlichen, alle mögli- fizierten „gerechtfertigten Grundlage“ i. IAB Europe chen Endanwendungen zu erwähnen, seinen Ermessensspielraum nutzen, um da diese nach der Übertragung der Da- festzustellen, dass es einen rechtmä- 10 IAB Europe hat das „Europe Transpa- ten nicht mehr in seiner Macht stehen. ßigen Grund gibt, personenbezogene rency & Consent Framework“ geschaffen Dieses Problem ist dem Design der Bran- Daten an Dritte weiterzugeben, auch (Framework).4 Dieser Rahmen basiert che inhärent. wenn eine Person die Zustimmung aus- auf der Idee, im Verlauf des RTB-Prozes- drücklich verweigert hat. Das gesamte ses die Einwilligung von einer betroffe- 13 Darüber hinaus können die zu verar- System stützt sich also auf das Ermessen nen Person für alle späteren Datenwei- beitenden Daten, wie im Bericht von Dr. und die Beurteilung des Anbieters auf tergaben an Dritte einzuholen. Ryan beschrieben, besondere Kategori- Grundlage vager Begriffe mit unklar de- en personenbezogener Daten, sog. sen- finierten Parametern und beruht nicht 11 Mit dem Design des Systems ist ein sitive Daten, enthalten. Dass solche Da- auf den Wünschen, der Kenntnisnahme grundlegender Fehler verbunden. Das ten ohne jegliche Kontrolle weitergege- oder der Zustimmung des Betroffenen. Framework erkennt ausdrücklich an, ben werden, ist äußerst problematisch. dass der für die Datenverarbeitung 16 Zusammenfassend lässt sich sagen, Verantwortliche, der „data controller“ 14 Ein weiteres Problem dieses Frame- dass das Framework dem Verkäufer ei- (und damit auch die betroffene Per- works liegt darin, dass es darauf abzielt, nen Ermessensspielraum einräumt, son), unmittelbar jede Kontrolle über die Kontrolle über personenbezogene anstatt die Position des Betroffenen die Verwendung dieser Daten verliert, Daten nach deren Übertragung zu be- zu berücksichtigen. Dies steht im Wi- sobald die Daten einer natürlichen Per- seitigen. Das Framework geht davon derspruch zu den gesetzlichen Anfor- son übertragen wurden. Tatsächlich ak- aus, dass diejenigen, die solche per- derungen der DS-GVO. Das Framework zeptiert das Framework, dass selbst für sonenbezogenen Daten verbreiten, sie versucht eine fiktive Zustimmung zu den Fall, dass ein Empfänger von Daten auch ohne Einwilligung der Betroffenen konstruieren, wobei sich die Verfasser gegen Gesetze verstößt, diesem Emp- an Dritte weitergeben. darüber im Klaren sind, dass eine tat- fänger weiterhin Daten zur Verfügung sächliche Zustimmung schwer zu er- gestellt werden dürfen.5 Durch den Ver- Das Framework besagt (Betonung nicht reichen ist. Angesichts der möglichen zicht der „data controller“ auf die Kon- im Original): „Ein Anbieter kann sich Verarbeitung von besonderen Katego- trolle verzichtet die Branche insgesamt aus einem beliebigen Grund dafür ent- rien personenbezogener Daten ist es darauf, den Anschein eines Mechanis- scheiden, keine Daten an einen anderen durchaus verständlich, dass versucht mus aufrechtzuerhalten, in dem es eine Anbieter zu übermitteln, aber ein Anbie- wird, den Anbietern eine Form der Er- Rolle spielt, wie die Daten verwendet ter darf keine Daten an einen anderen messensfreiheit einzuräumen. Bedauer- werden. Einmal abgegeben, ist die Kon- Anbieter übermitteln, ohne dass eine licherweise ist das Ergebnis nicht mehr trolle über diese Daten im Äther des Da- gerechtfertigte Grundlage für die als ein Feigenblatt hinsichtlich der tenhandels für immer verloren. Annahme vorliegt, dass der Verkäufer Rechte der einzelnen Personen an ihren DANA • Datenschutz Nachrichten 3/2019 127
Real Time Bidding Daten. Es gibt keine plausible Lesart des verbinden; oder (iii) Rate Card Daten in 20 Der zitierte Abschnitt legt nahe, Frameworks, welche die individuellen irgendeiner Form, einschließlich aber dass Authorized Buyer, sobald die per- Rechte angemessen berücksichtigt und nicht beschränkt auf Zusammenfassun- sonenbezogenen Daten an einen Käufer schützt. gen, mit Dritten teilen. übermittelt werden, keine wirksame Kontrolle mehr darüber hat, wie die- 17 Wir stellen fest, dass IAB Europe Datenschutz se Daten verwendet werden. Vielmehr kürzlich eine Presseerklärung veröffent- wird akzeptiert, dass der Dritte (Käufer) licht hat, in der eine Überarbeitung des Wenn [der] Käufer auf von Google zur befugt und in der Lage ist, diese Daten Frameworks angekündigt wird. Diese Verfügung gestellte personenbezogene zu verwenden. Die einzigen Beschrän- Vorschläge werden aber nicht konkreti- Daten, die eine Person direkt oder indi- kungen sind vertraglicher Natur und es siert und die Ausführungen adressieren rekt identifizieren und die ihren Ursprung ist unklar, inwieweit diese tatsächlich nicht die bestehenden Bedenken. Viel- im Europäischen Wirtschaftsraum haben durchgesetzt werden oder werden könn- mehr weist die Presseerklärung darauf („persönliche Daten“), zugreift, sie ver- ten. Das Gleiche gilt für die „Google Ads hin, dass es ein geeigneter Zeitpunkt wendet oder verarbeitet, gilt folgendes Controller-Controller Data Protection für die Aufsichtsbehörden wäre, die ge- für [den] Käufer: Terms“ von Google.8 samte Branche zu überprüfen, um eine konsistente und datenschutzkonforme • alle Datenschutz-, Datensicherheits- 21 Darüber hinaus werden sogar die Praxis zu erreichen. und Privatsphäregesetze, Richtlinien, auferlegten Einschränkungen ausge- Verordnungen und Regeln unter allen höhlt. Zum Beispiel wird aus der Guide- ii. Authorized Buyers anwendbaren Gerichtsbarkeiten sind line nicht klar, welche Einschränkungen einzuhalten; einem erfolgreichen Bieter auferlegt 18 Für Authorized Buyers gelten eine werden, denn die Einschränkungen gel- „Richtlinie“ (guideline)7 und Geschäfts- • Zugriff und Nutzung personenbezoge- ten für erfolglose Bieter: bedingungen (terms of business). Die ner Daten ist nur für Zwecke gestattet, Richtlinie stößt auf eine Reihe von Be- die mit der gegebenen Einwilligung der Außer wenn [der] Käufer [die Auktion denken. Person konform sind, deren personen- für] einen bestimmten Seitenaufruf ge- bezogene Daten übermittelt wurden; winnt, ist Folgendes nicht erlaubt: („Un- 19 Die Richtlinie verlagert die Verant- less buyer wins a given impression, it wortung für den Datenschutz vom „Data • Geeignete organisatorische und tech- must not …“). Controller“ auf Dritte, nämlich diejeni- nische Maßnahmen zum Schutz der gen, welche die Daten erhalten. So wird Mitarbeiter sind zu ergreifen, um die Das offensichtliche Fehlen von Kontrol- in der Richtlinie Folgendes ausgeführt: personenbezogenen Daten gegen Ver- le gibt Anlass zu ernsthaften Bedenken lust, Missbrauch und unbefugten oder hinsichtlich der technischen und orga- RTB Callout Data Restriction rechtswidrigen Zugriff, Offenlegung, nisatorischen Sicherheit der relevanten Änderung und Vernichtung zu schüt- Daten. Zur Auswertung von Seitenaufrufen und zen; und von Angeboten auf Basis von Benutzerda- 22 Darüber hinaus hängt die Wirksam- ten, die [der Käufer] zuvor erhalten hat, • es muss das gleiche Schutzniveau ge- keit der Datenschutzpolitik allein von kann [dieser] die verschlüsselte Cookie- boten werden, wie es die EU-US-Daten- den Dritten ab, die Authorized Buyer- ID und die mobile Werbekennung spei- schutzrichtlinie (EU-US Privacy Shield Verletzungen freiwillig melden sollen. chern. Alle anderen Callout-Daten mit Principles) vorschreibt. Es gibt keine ausreichenden techni- Ausnahme von Positionsdaten können schen Maßnahmen zum Schutz perso- vom Käufer nach der Beantwortung eines [Der] Käufer wird [die] Einhaltung dieser nenbezogener Daten. Anzeigenaufrufs und nur zum Zweck der Verpflichtung regelmäßig überwachen Vorhersage der Verfügbarkeit von Lager- und hat Google unverzüglich schriftlich D. Die Probleme: Rechtliche Beden- beständen durch das Authorized Buyers zu benachrichtigen, wenn [der] Käufer ken bezüglich Framework und Gui- Program gespeichert werden. [Der] Käu- nicht mehr in der Lage ist, dieser Ver- delines fer darf die Callout-Daten nur für die Dau- pflichtung nachzukommen (oder wenn er, die zur Erfüllung der oben genannten es ein erhebliches Risiko gibt, dass [der] 23 Der oben dargestellte Hintergrund Zwecke erforderlich ist, und in keinem Käufer dieser Verpflichtung nicht mehr verdeutlicht, dass die Verarbeitung durch Fall länger als 18 Monate aufbewahren. nachkommen kann) und in solchen die Branche ein erhebliches Risiko für Außer wenn [der] Käufer [die Auktion Fällen wird [der] Käufer entweder die anhaltende Verstöße gegen das Daten- für] einen bestimmten Seitenaufruf ge- Verarbeitung personenbezogener Daten schutzrecht und insbesondere gegen die winnt, ist folgendes nicht erlaubt: (i) einstellen oder unverzüglich andere an- DS-GVO birgt. Datenschutzaufsichtsbe- Callout-Daten verwenden um mit diesem gemessene und geeignete Maßnahmen hörden berücksichtigen normative Rah- Seitenaufruf Benutzerlisten oder Benut- zur Behebung der Probleme, die einem men wie Branchen-Frameworks, wenn zerprofile zu erstellen; (ii) Callout-Daten angemessenen Schutzniveau im Wege es darum geht zu entscheiden, ob regu- für diesen Seitenaufruf mit Daten Dritter stehen, ergreifen. latorische Maßnahmen ergriffen werden DANA • Datenschutz Nachrichten 3/2019 128
Sie können auch lesen