Real Time Bidding - Deutschen Vereinigung für Datenschutz
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
3/2019
42. Jahrgang
ISSN 0137-7767
12,00 Euro
Deutsche Vereinigung für Datenschutz e.V.
Real Time Bidding
www.datenschutzverein.de
■ Real Time Bidding – die Versteigerung der Internet-User ■ #FixAdTech –
Verhaltenskodizes nach Artikel 40 DSGVO für Online-Werbung ■ Beschwerde
wegen VERHALTENSBASIERTER WERBUNG im Internet ■ Online-Werbung repa-
rieren – für Journalismus und Grundrechte ■ Ahnenforschung mit Gendaten
■ Offener Brief an die EU-Kommission ■ Nachrichten ■ Rechtsprechung ■
Inhalt
Thilo Weichert Reaktionen 138
Real Time Bidding – Ahnenforschung mit Gendaten
die Versteigerung der Internet-User 120 Der BigBrotherAward 2019 in der
Kategorie Biotechnik geht an die
Firma Ancestry.com 141
Elisabeth Niekrenz
#FixAdTech – Verhaltenskodizes nach
Artikel 40 DSGVO für Online-Werbung 123 Zivilgesellschaftliche Organisationen
fordern die korrekte Bewertung der
Vorratsdatenspeicherung
Digitale Gesellschaft e. V./ Übersetzung: Markus Eßfeld und Frank Spaeing 145
Netzwerk Datenschutzexpertise/
Deutsche Vereinigung für Datenschutz e. V./
Digitalcourage e. V. Datenschutznachrichten
Beschwerde bei den deutschen Datenschutz-
Aufsichtsbehörden wegen
VERHALTENSBASIERTER WERBUNG im Internet 125 Deutschland 150
Bericht von Dr. Johnny Ryan Ausland 156
Verhaltensbasierte Werbung
und persönliche Daten 133 Technik-Nachrichten 166
Friedemann Ebelt Rechtsprechung 167
Online-Werbung reparieren –
für Journalismus und Grundrechte 137
Termine
Samstag, 26. Oktober 2019
DVD-Vorstandssitzung
Bonn
Sonntag, 27. Oktober 2019
DVD-Mitgliederversammlung
Bonn
Freitag, 01. November 2019
Redaktionsschluss DANA 4/2019
Minderjährigen(Daten)schutz
(Arbeitstitel)
Freitag, 27. bis Montag, 30. Dezember 2019
36C3 - 36. Chaos Communication Congress
Leipzig
Foto: Pixabay..com
DANA • Datenschutz Nachrichten 3/2019
118
DANA
Editorial
Datenschutz Nachrichten
ISSN 0137-7767
42. Jahrgang, Heft 3
Herausgeber
Deutsche Vereinigung für
Datenschutz e.V. (DVD)
DVD-Geschäftstelle:
Reuterstraße 157, 53113 Bonn
Tel. 0228-222498
IBAN: DE94 3705 0198 0019 0021 87 Ursprünglich plante der DVD-Vorstand, für das vorliegende Heft den „Datenschutz für
Sparkasse KölnBonn Kinder und Jugendliche“ zum Schwerpunkt zu nehmen. Das Thema ist schon lange
E-Mail: dvd@datenschutzverein.de relevant und steht weiterhin auf der Liste unserer Planungen. Doch legten aktuelle
www.datenschutzverein.de
Entwicklungen es nahe, mit dem „Real Time Bidding“ ein anderes Thema in den Fokus
Redaktion (ViSdP) zu stellen. Die von Liberties gestartete europaweite Kampagne zum Versteigern von
Dr. Thilo Weichert personalisierter Internet-Werbung wird in Deutschland neben der DVD von Digitalcou-
c/o Deutsche Vereinigung für
Datenschutz e.V. (DVD)
rage, der Digitalen Gesellschaft und dem Netzwerk Datenschutzexpertise mitgetragen.
Reuterstraße 157, 53113 Bonn Die vorliegende DANA versteht sich als ein Teil dieser Kampagne, mit der Licht in das
dvd@datenschutzverein.de dunkle Feld der Internet-Finanzierung sowie der im Hintergrund stattfindenden Da-
Den Inhalt namentlich gekenn- tenflüsse geschaffen werden soll.
zeichneter Artikel verantworten die
jeweiligen Autorinnen und Autoren. Ein weiterer Schwerpunkt dieser DANA-Ausgabe ist die genetische Ahnenforschung.
Layout und Satz Hierzu hat Ende 2018 das Netzwerk Datenschutzexpertise ein umfangreiches Gut-
Frans Jozef Valenta, 53119 Bonn achten veröffentlicht, das aber von den Medien, den Betroffenen und den beteiligten
valenta@datenschutzverein.de
Stellen weitgehend ignoriert wurde. Dies änderte sich schlagartig, als AncestryDNA
Druck im Juni 2019 den BigBrotherAward in der Kategorie Biotechnologie verliehen bekam.
Onlineprinters GmbH Das Thema wird kontrovers diskutiert. Doch anders als beim Real Time Bidding sehen
Rudolf-Diesel-Straße 10
die Betreiber der Angebote sowie deren Protagonisten (noch) keine Veranlassung, sich
91413 Neustadt a. d. Aisch
www.diedruckerei.de mit den Aufsichtsbehörden oder mit einer kritischen Öffentlichkeit in einen direkten
Tel. +49 (0) 91 61 / 6 20 98 00 Diskurs zu begeben. Während die kritische Öffentlichkeit das Geschäftsmodell der
Fax +49 (0) 91 61 / 66 29 20 Werbeverwendung von Internetdaten in Frage stellt, scheint dies bei der Vermarktung
Bezugspreis von Gendaten noch nicht der Fall zu sein. Umso wichtiger ist es, hierüber aufzuklären.
Einzelheft 12 Euro. Jahresabonnement
42 Euro (incl. Porto) für vier Wie gewohnt enthält diese Ausgabe wieder viele Nachrichten aus der Welt des Daten-
Hefte im Kalenderjahr. Für DVD-Mit- schutzes von nah und fern sowie aktuelle einschlägige Gerichtsentscheidungen.
glieder ist der Bezug kostenlos. Das Jah-
resabonnement kann zum 31. Dezember
eines Jahres mit einer Kündigungsfrist Viel Erkenntnis und Spaß beim Lesen! Rückmeldungen an die DANA-Redaktion bzw.
von sechs Wochen gekündigt werden. Die den DVD-Vorstand sind immer willkommen.
Kündigung ist schriftlich an die DVD-
Geschäftsstelle in Bonn zu richten. Thilo Weichert
Copyright
Die Urheber- und Vervielfältigungsrechte
liegen bei den Autoren.
Der Nachdruck ist nach Genehmigung
Autorinnen und Autoren dieser Ausgabe:
durch die Redaktion bei Zusendung von
Friedemann Ebelt
zwei Belegexemplaren nicht nur gestat-
tet, sondern durchaus erwünscht, wenn
DigitalCourage e. V., friedemann.ebelt@digitalcourage.de
auf die DANA als Quelle hingewiesen Markus Eßfeld
wird. Vorstandsmitglied in der DVD, essfeld@datenschutzverein.de
Leserbriefe Elisabeth Niekrenz
Leserbriefe sind erwünscht. Deren
Digitale Gesellschaft e. V., elisabeth.niekrenz@digitalegesellschaft.de
Publikation sowie eventuelle Kürzungen
bleiben vorbehalten. Frank Spaeing
Abbildungen, Fotos Vorstandsmitglied in der DVD, spaeing@datenschutzverein.de
Frans Jozef Valenta, Pixabay Dr. Thilo Weichert
Vorstandsmitglied in der DVD, Netzwerk Datenschutzexpertise,
weichert@datenschutzverein.de, Kiel
DANA • Datenschutz Nachrichten 3/2019
119
Real Time Bidding
Thilo Weichert
Real Time Bidding - die Versteigerung der Internet-User
Das Realitätsbewusstsein und die Rahmen eines Gebots fest. In der folgen- Angebote über personalisierte Wer-
Realität selbst liegen in kaum einem den Auktion haben sie die Möglichkeit, bung. Letztlich basiert das Geschäfts-
Bereich so weit auseinander wie bei diese Werbeeinblendung zu ersteigern, modell vieler Internet-Angebote darauf,
der Internet-Datenverarbeitung. Hin- stehen dabei allerdings im Wettbewerb dass diese sich von den Usern nicht
ter einer mit farbigen bewegten Bildern mit anderen Werbetreibenden. Die Be- mit Geld, sondern mit den kommerziell
illustrierten Oberfläche findet eine Ver- wertung der Werbeeinblendung durch verwertbaren Nutzerdaten „bezahlen“
arbeitung unserer Daten statt, von der den Werbetreibenden und die Abgabe lassen. So sind die Daten der Nutzenden
selbst ExpertInnen oft keine genaue des Gebots erfolgt in Echtzeit. Arten des die Grundlage für das Anzeigen und die
Vorstellung haben. Und es gibt kaum Realtime Biddings sind First Price Auc- Bepreisung personalisierter Werbung.
einen Bereich, in dem das reale „Ist“ so tion oder Second Price Auction.” Bei First Jedes Anzeigen einer Werbung kostet
weit vom rechtlichen „Soll“ abweicht Price Auctions zahlt der Höchstbietende das werbende Unternehmen einen klei-
wie hier. Ein Beispiel hierfür ist das Real den von ihm gebotenen Preis. Bei der nen Geldbetrag. Um hier eine möglichst
Time Bidding (RTB), das durch die Ver- Second Price Action zahlt der Höchst- wirksame Investition zu tätigen, wollen
öffentlichung des Berichts von Johnny bietende den Preis des zweithöchsten die Werbenden möglichst zielgerichtete
Ryan vom 05.09.2018 erstmals öffent- Gebots.2 Werbung. Diese setzt voraus, dass die
lich thematisiert wurde.1 Dieser Bericht Praktiziert wird diese Versteigerung Werbewirtschaft die Internetnutzenden
wurde im Herbst 2018 die Grundlage insbesondere von Google sowie von kennt. Dem dient das „Profiling“, also
erster Beschwerden bei der irischen und weiteren Online-Anbietern, die sich im das Erstellen von Nutzerprofilen. Mit
der britischen Datenschutzbehörde. IAB Europe zusammengeschlossen und detaillierten Profilen soll eine möglichst
Diese Beschwerden sind die Blaupause hierüber gemeinsame Standards fest- große Response erreicht werden, ins-
für mehrere am 04.06.2019 europaweit gelegt haben. IAB steht für „Interactice besondere durch den Kauf von bewor-
eingereichte Beschwerden im Rahmen Advertising Bureau“. Zu den 18 Mit- benen Produkten. Ob die Werbung da-
einer von „Civil Liberties for Europe“ in- gliedsländern des IAB Europe gehören durch wirkt, dass sie einem bestimmten
itiierten europaweiten Kampagne. Mit neben Deutschland Belgien, Dänemark, Nutzerprofil entspricht, wird zumeist
der seit Mai 2018 direkt anwendbaren Finnland, Frankreich, Griechenland, automatisiert festgestellt. Auch der
Datenschutz-Grundverordnung (DS- Großbritannien, Italien, Kroatien, Nie- Abgleich des Werbeintention mit dem
GVO) besteht ein europaweit einheitli- derlande, Norwegen, Österreich, Po- Nutzerinteresse erfolgt durch einen Al-
ches Instrument zur Hinterfragung der len, Rumänien, Schweden, Slowenien, gorithmus. Das werbende Unternehmen
mit dem Begriff „Real Time Bidding“ be- Spanien und die Türkei. Der Verband kann hierfür die erwünschten Merk-
schriebenen Praktiken. wird zudem durch 20 Unternehmens- malseigenschaften der zu Bewerbenden
mitglieder getragen. IAB Europe hat festlegen. Auch dieser Prozess ist zu-
- Das Phänomen seinen Sitz in Brüssel. Seine deutschen meist automatisiert.
Mitglieder sind organisiert im Online- Beim Profiling beschränkt sich die
Was bedeutet Real Time Bidding (RTB), Vermarkterkreis (OVK). Unter dem Dach Werbeindustrie nicht auf die Adressie-
auf deutsch „Echtzeitversteigerung“? des Bundesverbands Digitale Wirtschaft rung des Endgeräts. Das Profiling zielt
Dahinter verbirgt sich eine spezifische (BVDW) haben sich darin 18 der größten vielmehr auf die sich hinter dem Endge-
Art der Vermittlung von personalisierter Online-Vermarkter zusammengeschlos- rät vermuteten Nutzenden. Diese wer-
Online-Werbung, bei der Internet-Wer- sen, um ihre gemeinsamen Interessen den mit Cookies, device-, browser- oder
beplätze jeweils demjenigen Werbetrei- zu vertreten. Dabei handelt es sich um canvas-fingerprinting erkannt und dies
benden zugeschlagen werden, der das Scout24 Media, Bauer Media Group, auch geräteübergreifend (cross-device
höchste Zahlungsgebot macht. Oder in Burda Forward, ebay advertising, G+J e/ tracking). Die Festlegung der Werbead-
den Worten des in diesem Bereich tätigen MS, himedia digital advertising experts, ressaten wird zumeist vollständig Algo-
Bundesverbands Digitale Wirtschaft e. V. IP Deutschland, iq digital, MairDumont rithmen überlassen. Menschen mit ver-
(BVDW): „Realtime Bidding benennt den Netletix, media impact, netpointmedia, schiedenen digitalen Profilen bekom-
Prozess eines automatisierten Preisfin- OATH, Otto group media, SevenOneMe- men beim Besuch der gleichen Webseite
dungsverfahrens in Form einer Auktion. dia, Spiegel Media AdAlliance, Ströer, und zur gleichen Zeit regelmäßig un-
Werbetreibende legen ihre Zahlungsbe- united internet media. terschiedliche, nämlich personalisierte
reitschaft für eine zur Verfügung stehen- Informations-, Kommunikations- und Werbung angezeigt. Beim RTB erfolgt
de Werbeeinblendung – in Kombination Service-Angebote im Internet erfolgen nicht nur die Vermittlung von Werbung
mit weiteren Informationen wie z. B. in einem großen Maße unentgeltlich. an einen Werbeanbieter, sondern auch
Nutzerdaten oder auch den Kontext – im Oft erfolgt die Refinanzierung solcher die Preisfestlegung über Algorithmen.
DANA • Datenschutz Nachrichten 3/2019
120
Real Time Bidding
Die folgende Darstellung der kon- andere organisieren die Angebote der 1. das „OpenRTB Protokoll“ des IAB evtl.
kreten Abläufe von RTB basiert weitge- Dienstebetreiber (Supply Side Platforms in Verbindung mit dem „Transparency
hend auf dem Bericht des Information – SSPs). Schließlich ist es denkbar, dass and Consent Framework“ (TCF) des IAB
Commissioner´s Office (ICO) „Update bei einwilligungsbasierter Werbung Europe, 2. Googles „Authorized Buyers
report into adtech und real time bid- Dienstleister zwischengeschaltet wer- Framework“. Diese technischen Spezi-
ding“ vom 20.06.2019. Das ICO ist die den, die die Werbeanfragen mit dem fikationen beschreiben präzise, welche
britische Datenschutzaufsichtsbehörde. Einwilligungsumfang der Nutzenden Daten bei den Übermittlungen ausge-
Der Webseiten- oder Applikationsbe- vergleichen und freigeben (Consent Ma- tauscht werden und wie der Austausch
treiber versucht demnach beim RTB aus nagement Platforms – CMPs). stattfindet. Die Protokolle zielen auf
jeder Werbeanzeige den größtmöglichen Die Qualität und der Umfang der Ge- eine Standardisierung unabhängig von
Preis herauszuhandeln. RTB kann zum botsanfragen kann unterschiedlich sein; den Marktteilnehmern ab. Es gibt wei-
Einsatz kommen auf Informationspor- in der Regel enthalten sie folgende Merk- tere, teilweise mit OpenRTB kompatible
talen, einfachen Webseiten, aber auch male: Identifikator der Gebotsanfrage, Protokolle.
beim Audio- oder Videostreaming, im (evtl. verkürzte) IP-Adresse, Cookie-IDs, Die Gebotsanfrage wird an eine Vielzahl
Rahmen von Online-Spielen oder jedem Nutzer-IDs, Browser, Gerätetyp und -art, von Empfängern weitergeleitet. Dabei
sonstigen Internet-Angebot – für stati- Nutzerlokalisierung, Zeitzone, Sprache, kann es sich um Hunderte, ja Tausende
onäre wie für mobile Endgeräte. Hierzu sowie weitere variable individuelle oder von Empfängern handeln. Die Empfän-
startet der Webseiten- oder Dienstean- aggregierte Nutzerinformationen. Es ger erhalten diese Daten, ohne dass es
bieter eine Gebotsanfrage (Bid request), handelt sich dabei um personenbezoge- wirksame Vorkehrungen gibt, um deren
die an das RTB-Ökosystem übermittelt ne Informationen, die teilweise eine di- weitere Verarbeitung zu verhindern oder
wird, wobei diese Anfrage in der Regel rekte, teils nur eine indirekte Zuordnung zumindest zu beschränken.
personenbezogene Daten des Nutzen- zu einer konkreten Person ermöglichen.
den enthält. Die aktuelle Profilbildung, Die Zuordnung kann durch den Empfän- - Rechtliche Bewertung
die Generierung der Gebotsanfrage, die ger der Gebotsanfrage dadurch erfolgen,
Versteigerung, der Zuschlag und letzt- dass bei ihm schon Merkmalsdaten des Die datenschutzrechtliche Bewer-
lich die Anzeige der Werbung erfolgen Nutzenden zumindest über ein Pseudo- tung des RTB erfolgt auf der Grundlage
innerhalb weniger Millisekunden, so nym zuordenbar vorliegen. Bei den zu- des Telekommunikationsrechts und der
dass dem Nutzenden seinem Profil an- sätzlichen Nutzerinformationen kann es DSGVO. Gemäß Art. 95 ist die DSGVO im
gepasste Anzeigen präsentiert werden. sich um Angaben über das Surfverhalten Anwendungsbereich der europäischen
Die Standards für die Abwicklung dieser (vorherige, nächste Seite), den Click- Telekommunikations-Datenschutzricht-
Prozesse werden von Google in dessen stream oder sonstige Vorgehensweisen linie (TK-DSRl) nicht anwendbar. Die
„Authorized Buyers Real Time Bidding“ auf einer Seite handeln, um Angaben TK-DSRl soll frühestmöglicht durch die
oder von IAB im OpenRTB in Protokollen über Suchanfragen, Nutzungszeiten, In- im Gesetzgebungsprozess befindliche
festgelegt. Die in das RTB-Ökosystem haltsangaben oder demografische Infor- europäische ePrivacy-Verordnung er-
eingebundenen Stellen können die mationen. setzt werden. Die TK-DSRl wird im nati-
über die Gebotsanfrage erlangten Daten So enthält das IAB „content taxono- onalen Recht im vorliegenden Bereich
mit Angaben aus eigenen oder anderen my“ Hunderte verschiedener Felder, durch das Telemediengesetz (TMG) um-
Quellen anreichern (data matching, en- beispielsweise zu „Herz- und Kreislauf- gesetzt. Zwar bestehen Unsicherhei-
richment), wobei diese Angaben sowohl krankheiten“, „psychische Gesundheit“, ten, inwieweit das TMG im Bereich des
personenbezogen wie auch aggregiert „sexuelle Gesundheit“, „ansteckende Datenschutzes nach Wirksamwerden
sein können. Krankheiten“. In Googles „publisher der DSGVO anwendbar ist. Unstreitig ist
Am RTB sind nicht nur die Werbe- verticals“ finden sich die Merkmale aber, dass die Regelungen des TMG nicht
firmen (advertisers) und die Anbieter wie „Fortpflanzungsfähigkeit“, „Dro- zu unterschreitende Mindeststandards
(publishers) beteiligt. Vielmehr sind genmissbrauch“, „Gesundheitsbedin- festlegen. Soweit eine Umsetzung der
weitere Beteiligte zwischengeschaltet. gungen“, „Politik“ und „ethnische und TK-DSRl durch das TMG nicht erfolgt ist,
Das sind zunächst die Vermittler (adver- andere Gruppenidentitäten“. Bei vielen kommt deren direkte Anwendbarkeit
tising exchanges), auf deren Plattform der übermittelten Merkmale handelt in Betracht. Dies gilt insbesondere für
die Werbeangebote und Werbeanfragen es sich um sog. sensitive Daten, deren Art. 5 Abs. 3 TK-DSRl, der für den Einsatz
zusammengeführt und die Höchstbieter Verarbeitung grundsätzlich verboten ist von Cookies für Werbezwecke eine Ein-
ausgewählt werden. Dann gibt es Data und nur unter engen Voraussetzungen, willigung verlangt. Das TMG beschreibt
Management Platforms (DMPs), die aus im Bereich der Werbung nur durch „aus- klare Anforderungen an die Information
verschiedenen Quellen einlaufende Da- drückliche Einwilligung“, erlaubt wird bzw. Anzeigen gegenüber den Betroffe-
tensätze sowohl aus den Gebotsanfragen (Art. 9 Abs. 2 lit. a DSGVO). Die Merkma- nen (§§ 13 Abs. 1, 4, 15 Abs. 2 S. 2 TMG),
wie aus den Werbeanfragen analysieren, le können so dafür genutzt werden eine die sich u. a. auf den Einsatz von Iden-
kategorisieren und zusammenführen. Werbeanzeige vorzunehmen oder diese tifikatoren, Datenweiterleitungen, die
Andere Plattformen organisieren die zu verhindern. Einschaltung von Stellen außerhalb der
Werbung verschiedener Unternehmen Es kommen beim RTB insbesonde- EU und die verfolgten Zwecke beziehen
(Demand Side Platforms – DSPs), wieder re zwei Protokolle zur Anwendung: müssen. Hinsichtlich elektronisch erteil-
DANA • Datenschutz Nachrichten 3/2019
121Real Time Bidding
ter Einwilligungen bestehen ebenso klare aus. Diesen Anforderungen wird beim ren Verlauf – soweit ersichtlich – bisher
Anforderungen (§ 13 Abs. 22, 3 TMG). RTB nicht genügt. keine Sicherungsmaßnahmen etabliert
Art. 9 Abs. 1 DSGVO verbietet die Die Art. 13, 14 DSGVO machen es er- sind.
Verarbeitung personenbezogener Da- forderlich, dass die Betroffenen über Bei RTB handelt es sich um Verarbei-
ten, aus denen die ethnische Herkunft, Empfänger oder zumindest Kategorien tung mit einem hohen Risiko für die
politische Meinungen, religiöse oder von Empfängern, über die verfolgten Rechte und Freiheiten der Betroffe-
weltanschauliche Überzeugungen her- Zwecke, über Drittlandsübermittlungen nen. Es erfolgt eine systematische und
vorgehen, ebenso von Gesundheitsda- sowie über weitere Aspekte informiert umfassende Bewertung persönlicher
ten, Daten zum Sexualleben oder zur werden. Drittlandsübermittlungen sind Aspekte einschließlich der umfangrei-
sexuellen Orientierung. Eine Nutzung im Rahmen des RTB üblich, insbesonde- chen Verarbeitung sensitiver Daten. Bei
solcher Daten für Werbezwecke ist nur re bei Angeboten von Google sowie an- derartigen Verfahren ist eine umfas-
ausnahmsweise erlaubt, wenn der Be- deren US-Unternehmen. Entsprechende sende Datenschutz-Folgenabschätzung
troffene unter Benennung der Verant- Informationspflichten bestehen auch (Art. 35 DSGVO) gefordert. Es ist nicht
wortlichen und des konkreten Zwecks nach dem TMG (s. o.). Die gesetzlich erkennbar, dass die am RTB beteiligten
„ausdrücklich einwilligt“ (Art. 9 Abs. 2 geforderte Transparenz wird beim RTB Stellen diesen Anforderungen genügen,
lit. a DSGVO). Diese Voraussetzungen nicht hergestellt. ja dass sie diese Anforderungen über-
sind beim RTB durchgängig nicht ge- Art. 5 Abs. 2 DSGVO verlangt von den haupt erkannt haben.
geben. So stellte das britische ICO fest, Verantwortlichen, dass diese die Ein-
dass die Verarbeitung derartiger Daten haltung ihrer Pflichten nach der DSGVO, - Konsequenzen
über das RTB unzulässig ist.3 insbesondere der in Art. 5 Abs. 1 DSGVO
Hinsichtlich der Verarbeitung von normierten Grundsätze, nachweisen Aus der obigen Darstellung ergibt sich
nichtsensitiven Daten gilt Art. 6 Abs. 1 können. Tatsächlich sind weder die zwingend, dass die aktuelle RTB-Pra-
DSGVO. Zwar ist generell anerkannt, Protokolle von Google noch die von IAB xis unzulässig ist. Zu diesem Ergebnis
dass Werbung ein berechtigtes Interes- Europe in der Lage, den im dem RTB- kommt auch die britische Datenschutz-
se begründen kann (Art. 6 Abs. 1 lit. f Ökosystem beteiligten Stellen Klarheit aufsichtsbehörde, das ICO. Sie stellt
DSGVO). Doch muss die konkrete Verar- über ihre Verantwortlichkeit zu geben. fest, dass Tausende von Organisationen
beitung für den Zweck erforderlich sein. Beim RTB erfolgt in den meisten Fäl- jede Woche im Vereinigten Königsreich
Eine Erforderlichkeit der Übermittlung len ein umfassendes Profiling der Be- Milliarden von personenbezogenen
der Daten an Hunderte und mehr Emp- troffenen. Dieses verstößt gegen Art. 22 Gebotsanfragen verbreiten ohne ange-
fänger im Rahmen einer Gebotsanfrage DSGVO, der umfassende Sicherungs- messene technische und organisatori-
ist für den Zweck der Werbeeinblendung maßnahmen zugunsten der Betroffenen sche Sicherungsmaßnahmen und ohne
nicht gegeben, so dass auch bzgl. nicht- fordert.5 Diese sind nicht ersichtlich. Rücksicht auf die Beschränkungen z. B.
sensitiver Merkmale der Vorgang unzu- Selbst wenn man die Ansicht vertreten bei Drittlandsübermittlungen.7 Die-
lässig ist, soweit nicht eine Einwilligung würde, dass das einfache Anzeigen von se Feststellung hat Gültigkeit für die
erteilt wird (Art. 6 Abs. 1 lit. a DSGVO). Online-Werbung keine von Art. 22 DS- gesamte Europäische Union (EU). Als
Hinzu kommt, dass eine Abwägung mit GVO erfasste Entscheidung ist, handelt Maßnahme hat das ICO bisher insbeson-
den Interessen der Betroffenen erfolgen es sich bei den Profilingmaßnahmen, dere vorgesehen, weitere Fakten über
muss. Eine solche Abwägung ist bisher auf deren Grundlage RTB durchgeführt das RTB zu sammeln. Die wesentlichen
– soweit erkennbar – in den Protokollen wird, um unverhältnismäßige, unfaire Beteiligten sollen gezielt angesprochen
bei Google und des IAB Europe nicht Eingriffe in das Persönlichkeitsrecht der und zum Dialog veranlasst werden. Da-
vorgesehen. Schließlich müsste den Betroffenen.6 bei ist eine enge Zusammenarbeit mit
Betroffenen eine wirksame Möglichkeit Gemäß Art. 25 DSGVO müssen bei der den anderen Datenschutzbehörden in
eines Widerspruchs und des Ausschlus- Technikgestaltung die Grundsätze des der EU angestrebt. Diese ist ohnehin
ses vom RTB gegeben werden (Art. 21 Privacy by Default und Privacy by Design nach der kollektiven, von Civil Liberties
DSGVO, § 15 Abs. 3 TMG). Es erfolgt hie- realisiert werden. § 13 Abs. 4 TMG ver- koordinierten Beschwerde-Initiative
rüber, obwohl verpflichtend vorgesehen langt zugunsten der Nutzenden darüber vom Juni 2019 notwendig. Das ICO kün-
(Art. 21 Abs. 2-4 DSGVO, § 15 Abs. 3 hinausgehende und konkretisierende digte eine weitere Bestandsaufnahme
S. 2 TMG), auch keine Information. Die Vorkehrungen. Weder bei Google noch innerhalb von sechs Monaten an. Bis da-
technischen Voraussetzungen für eine in den Vorgaben von IAB Europe sind hin soll die Werbeindustrie ihr RTB-Öko-
Umsetzung von Widersprüchen sind re- Verfahren festgelegt, mit denen diese system selbst umfassend neu bewerten.
gelmäßig nicht vorhanden.4 Prinzipien auch nur im Ansatz umge- Das ICO versäumt es dabei nicht darauf
Eine Einwilligungsnotwendigkeit ist setzt würden. Art. 32 DSGVO verpflichtet hinzuweisen, dass RTB nur ein Teil eines
gemäß Art. 5 Abs. 3 TK-DSRl auch in zudem zum Ergreifen einer Vielzahl von umfassenderen Datenschutzproblems
Bezug auf die Verarbeitung von Cookie- Sicherheitsmaßnahmen. Diese betref- personalisierter Online-Werbung dar-
Daten gegeben, die beim RTB weit ver- fen nicht nur die eigene Datenverarbei- stellt.
breitet ist. Eine Einwilligung setzt eine tung, sondern auch den Empfang und Angesichts der Fakten und der ver-
gewisse Bestimmtheit bzgl. der verar- die Übermittlung von Daten. Beim RTB nichtenden rechtlichen Bewertung ist
beiteten Daten wie der Empfänger vor- erfolgen Übermittlungsketten, in de- es auf den ersten Blick geradezu er-
DANA • Datenschutz Nachrichten 3/2019
122Real Time Bidding
schreckend, wie defensiv das ICO mit teiligten, insbesondere für die Betrof- bewirken. Daher ist es nötig, auch die
seinen „Maßnahmen“ agiert. Die Mög- fenen, Einräumung des Widerspruchs- weiteren großen außereuropäischen
lichkeiten des Art. 58 Abs. 2 DSGVO ge- rechts, Information der Betroffenen und die europäischen Unternehmen in
hen bis zum Totalverbot, die des Art. 83 hierüber und über dessen technische den Fokus zu nehmen. Hierfür ist zwei-
Abs. 6 DSGVO bis zu Bußgeldern in Höhe Umsetzung, technisch-organisatorische fellos noch einiges an Sachverhaltsauf-
von maximal 4% des „gesamten welt- Vorkehrungen, die eine zweckwidrige klärung nötig. Doch sind die Fakten
weiten erzielten Jahresumsatzes des Datennutzung in der Verarbeitungsket- zu eindeutig, als dass nicht sofortiges
vorangegangenen Geschäftsjahres“. Es te wirksam verhindern. Die Erfahrungen planvolles Vorgehen unumgänglich ist,
war bisher nicht erkennbar, dass von mit dem Wirtschaftszweig begründen das letztlich auf ein vollständiges Ver-
Seiten der Verantwortlichen bei Google, die berechtigte Befürchtung, dass diese bot dieser Vorgehensweise hinausläuft.
des IAB Europe sowie der RTB-Unter- Zielvorgaben nicht akzeptiert werden.
nehmen konkrete Maßnahmen ergriffen Nur wenn mit diesen Zielvorgaben und 1 Report from Dr. Johnny Ryan – Beha-
wurden oder werden, die auch nur im einem klaren engen Zeitplan vorgegan- vioural advertising and personal data,
https://brave.com/Behavioural-
Ansatz geeignet sind, rechtskonforme gen würde, wäre es vertretbar, kurzfris- advertising-and-personal-data.pdf;
Zustände herzustellen. tig die milliardenfachen Verletzungen Übersetzung hiervon in diesem Heft
Tatsächlich kann das Ergebnis mittel- des Datenschutzrechtes zu tolerieren. S. 133.
fristig nur ein völliges Verbot des RTB Die Aufsichtsbehörden müssen sich 2 https://www.bvdw.org/glossar/.
sein. Dem könnte sich die Industrie nur zweifellos innerhalb der EU und insbe-
3 Informations Commissioner´s Office
dadurch entziehen, dass sie umgehend sondere im Europäischen Datenschutz-
(ICO), Update report into adtech and real
Systeme aufsetzt, bei denen das Erstei- ausschuss zu dem Thema verständigen time bidding, 20 June 2019, S. 16.
gern von Werbeplätzen von folgenden (Art. 63 ff. DSGVO). Sie sollten sich aber
4 benso ICO S. 18.
engen Stellschrauben abhängig ge- schon jetzt auf ein Szenario einstellen,
macht wird: Verzicht auf sensitive Merk- das auf Verbote und höchstmögliche 5 Weichert in Däubler/Wedde/Weichert/
male oder Kategorien, Aggregierung Geldbußen hinausläuft. Dabei ist es Sommer, EU-Datenschutz-Grundver-
ordnung und BDSG-neu, 2018, Art. 22
zu Merkmalsgruppen, die das Profiling wichtig, dass bei der Auswahl der Ad- DSGVO Rn. 31f.
beschränken, Zulassung von maximal ressaten die bestimmenden Unterneh-
einem Identifikator, umgehende Lösch- men als erste in den Fokus genommen 6 ICO S. 20.
pflicht nach Abschluss des jeweiligen werden. Dazu gehört zweifellos Google. 7 ICO S. 23.
Auktionsvorgangs, Verbot der Daten- Datenschutz sollte und darf keine ver-
anreicherung, Transparenz für alle Be- deckte Diskriminierung im Wettbewerb
Elisabeth Niekrenz
#FixAdTech – Verhaltenskodizes nach Artikel 40 DSGVO
für Online-Werbung
Mit der EU-weiten Beschwerdekam- Personalisierte Werbung wurde etwa tive Advertisement Bureau (IAB) ver-
pagne #StopSpyingOnUs fordern die in den letzten zehn Jahren zu einer antwortlich, das auch das zugehörige
beteiligten Datenschutz- und Men- bestimmenden Einnahmequelle für Transparency and Consent Framework
schenrechtsorganisationen von den Webseitenbetreibende, insbesondere aufstellt. Die beteiligten Unternehmen
Datenschutzaufsichtsbehörden die für Presse- und sonstige Medienunter- verstoßen in diesem Rahmen umfang-
umfassende Überprüfung eines ver- nehmen, die Medienprodukte online reich und systematisch gegen gelten-
breiteten Vertriebsmodells für perso- zur Verfügung stellen und regelmäßig des Datenschutzrecht. Für Webseiten-
nalisierte Werbung – Real Time Bid- eine Vielzahl von Webseitenbesuchern betreibende stehen wenige Angebote
ding. Daneben schlagen sie die Ausar- verzeichnen. Den Vertrieb ihrer Werbe- zum datenschutzkonformen Vertrieb
beitung von Verhaltensregeln gemäß plätze nehmen sie nicht durch einzelne von Werbeplätzen zur Verfügung. Die-
Art. 40 DSGVO für personalisierte Wer- Verträge mit Werbekunden vor, sondern se strukturellen Datenschutzverstöße
bung vor. Was macht die von der DSGVO sie gliedern sich oftmals an eines der sollten durch strukturelle Maßnahmen
vorgesehenen Verhaltenskodizes aus beiden europaweit meistverbreiteten angegangen werden. Gerade weil sich
und weshalb ist ein solcher Kodex für Real Time Bidding-Systeme an – Google die DSGVO auf einem hohen Abstrak-
das gesamte Feld von Online-Werbung Authorized Buyers bzw. Open RTB. Für tionsniveau bewegt und einiger Kon-
notwendig? letzteres ist maßgeblich das Interac- kretisierung durch die Rechtsprechung
DANA • Datenschutz Nachrichten 3/2019
123Real Time Bidding
bedarf, sollte die europäische Werbe- altem Recht in § 38 BDSG a.F. vorgese- dienen, die Einhaltung von Pflichten
branche europaweit gültige Verhaltens- hen, davon wurde in der Vergangenheit gemäß Art. 24 Abs. 3 (Erfüllung der
regeln für die Datenverarbeitung bei aber nur sehr eingeschränkt Gebrauch Verantwortung), Art. 28 Abs. 5 (Ga-
Online-Werbung formulieren und diese gemacht.3 Gemäß Art. 40 Abs. 1 DSGVO rantien des Auftragsverarbeiters) oder
den Datenschutzaufsichtsbehörden zur fördern die Datenschutzaufsichtsbehör- Art. 32 Abs. 3 DSGVO (Sicherheit der
Genehmigung vorlegen. Solche Verhal- den die Ausarbeitung von Verhaltensre- Verarbeitung) zu belegen bzw. Nach-
tensregeln müssen freilich grundlegen- geln, die die Verordnung für bestimmte weiserleichterungen herbeizuführen.9
de Veränderungen der derzeit verbreite- Wirtschaftsbereiche konkretisieren. Ih- Sie erlangen zudem Bedeutung für eine
ten Vertriebsmodelle vornehmen. rem Förderauftrag können die Behörden Datenschutz-Folgenabschätzung, für
etwa dadurch nachkommen, dass sie die Übermittlung von Daten ins Aus-
Real Time Bidding: eine problemati- Verbände zum Verfassen solcher Rege- land und schließlich für den relevan-
sche Struktur lungen ermutigen und dabei beratend ten Bereich der Bußgeldverhängung
zur Seite stehen.4 So soll den Spezifika (Art. 83 Abs. 2 lit. j DSGVO), sind also
Das IAB stellt auf seiner Website tech- verschiedener Branchen durch Selbstre- durchaus geeignet, ein gewisses Mehr
nische Spezifikationen des Open RTB- gulierung Rechnung getragen werden.5 an Rechtssicherheit im Umgang mit
Systems zur Verfügung. Der europäische Während etwa die Zertifizierung (Art. 42 den abstrakten Bestimmungen der DS-
Ableger, das IAB Europe hat zudem am DSGVO) konkrete Datenverarbeitungs- GVO zu schaffen.
25.04.2018 das Transparency and Con- vorgänge konkreter Verantwortlicher Besonders relevant ist, dass Art. 40
sent Framework veröffentlicht.1 Es han- betrifft, sollen mit Verhaltenskodizes Abs. 9 DSGVO der Kommission die Mög-
delt sich um ein Regelwerk, das gewähr- allgemeine Regeln für ganze Geschäfts- lichkeit eröffnet, eine Allgemeingültig-
leisten soll, dass die Einwilligung zur felder geschaffen werden.6 keitserklärung zu erlassen. Die Folge
Datenverarbeitung, die eine Person dem Gemäß Art. 40 Abs. 2 DSGVO können dieser Erklärung ist in der Literatur um-
Webseitenbetreiber gewährt, für sämt- Branchenverbände solche Regelungen stritten. Überwiegend wird vertreten,
liche Datenweitergaben an Dritte gilt, ausarbeiten und der zuständigen Da- dass sie unmittelbare Wirkung für und
obgleich der ursprüngliche Verantwort- tenschutzbehörde zur Genehmigung gegen Jedermann entfaltet.10 Das wür-
liche die Kontrolle über die Daten voll- vorlegen. Es handelt sich mithin um de bedeuten, dass sämtliche Unterneh-
ständig verliert, sodass eine Informa- eine „regulierte Selbstregulierung“: Die men, die im geregelten Bereich arbeiten,
tion der Nutzerinnen und Nutzer über Normen dürfen das Schutzniveau der an diese Regelungen gebunden wären.
die weitere Verwendung und damit eine DSGVO nicht unterschreiten.7 In einem Demnach könnte der Branchenkodex,
informierte Einwilligung systematisch solchen Fall müsste die zuständige Be- wenn er von der Kommission für allge-
verunmöglicht wird.2 Wie die weiteren hörde die Genehmigung verweigern. So- meingültig erklärt wird, auch unmittel-
Glieder dieser Ketten Daten verarbeiten, fern die betroffenen Datenverarbeitun- bare Auswirkungen auf die Beteiligten
etwa an wen sie sie weitergeben oder ob gen mehrere Mitgliedsstaaten betreffen, an Googles proprietärem System haben.
sie Profile über Menschen erstellen, ist gibt gemäß Art. 40 Abs. 7 DSGVO auch So ließen sich Wettbewerbsnachteile für
unkontrollierbar. Den betroffenen Nut- der Europäische Datenschutzausschuss datenschutzkonform agierende Unter-
zerinnen und Nutzern ist es faktisch (EDSA) eine Stellungnahme im Kohärenz- nehmen vermeiden.
nicht möglich, diese Verarbeitungen verfahren gemäß Art. 63 DSGVO ab.
nachzuvollziehen oder ihre Rechte nach Was den Inhalt betrifft, so können alle Fazit
der DSGVO, etwa auf Auskunft oder Lö- Bereiche der DSGVO durch Verhaltens-
schung, gegenüber den einzelnen Ins- kodizes konkretisiert werden. Art. 40 Von der Verletzung der Privatsphä-
tanzen geltend zu machen. Abs. 2 lit. h i.V.m. Art. 24 Abs. 1 DSGVO re aller Nutzenden des Internets ganz
Der Kontrollverlust über die Daten- sieht dies insbesondere für technische abgesehen, haben Fachleute aus der
verarbeitung ist durch die Protokolle und organisatorische Maßnahmen vor, Werbebranche die Nachteile der AdTech-
und Regelwerke der Branche nicht nur die die Einhaltung des Datenschutz- Industrie, die auf Tracking basiert, längst
normativ, sondern auch technisch de- rechts sicherstellen sollen. Zwingend dargestellt: Nicht nur büßen Werbetrei-
terminiert. Deshalb ist es nur folgerich- müssen Regeln zur Überwachung der bende Seriosität ein, weil viele Nutzerin-
tig, eine Überprüfung dieser Strukturen Einhaltung des Kodex durch eine dafür nen und Nutzer das Gefühl haben, von
zu verlangen. Es liegt an der Branche vorgesehene Stelle vorhanden sein. ihnen ausspioniert zu werden. Die Bran-
selbst, insbesondere am IAB Europe als Die Mitglieder des Verbandes sind che hat auch maßgeblich zu negativen
deren Verband, datenschutzkonforme nicht automatisch in der Pflicht, sich Effekten für Gesellschaft und Demokratie
Spielregeln zu schaffen und sie den Auf- an einen Verhaltenskodex zu halten. beigetragen: Das Geschäftsmodell schafft
sichtsbehörden zur Genehmigung vor- Die im Einzelnen verantwortlichen vor allem Anreize, Inhaltsangebote zu
zulegen. Unternehmen können sich vielmehr kreieren, die durch aufsehenerregende
freiwillig zur Einhaltung verpflichten. Überschriften häufig aufgerufen werden
Verhaltenskodizes nach Art 40 DSGVO Dies bewirkt zwar nicht per se, dass und schafft damit eine materielle Vor-
sämtliche darauf basierenden Daten- aussetzung von Klickbaiting und Fake
Die Genehmigung von Selbstregulie- verarbeitungen rechtmäßig sind.8 Die News.11 Inwiefern datenschutzkonforme
rungsinstrumenten war bereits nach Selbstverpflichtung kann aber dazu Formen personalisierter Werbung mög-
DANA • Datenschutz Nachrichten 3/2019
124Real Time Bidding
lich sind könnte die Branche – durch die der Kodex von der Kommission für allge- 8 Jungkind, BeckOK Datenschutz-
Aufsichtsbehörden beraten – erarbeiten. mein gültig erklärt werden würde. recht, Wolff/Brink 28. Edition Stand:
Solange personalisierte Werbung darauf 01.02.2019 Art. 40.
basiert, das Surfverhalten von Personen 1 Abrufbar unter https://iabeurope.eu/ 9 Lepperhoff, Gola, Datenschutz-Grundver-
an eine Vielzahl von Unternehmen zu tcfdocuments/documents/legal/ ordnung 2. Auflage 2018, Art. 40 Rn 5.
currenttcftncFINAL.pdf.
übermitteln, ist dies jedenfalls nicht ge- 10 Vgl. Wolff, Verhaltensregeln nach
währleistet. 2 Rn. 11, 12 des Beschwerdetextes. Art. 40 DSGVO auf dem Prüfstand, ZD
Neben der Verhängung von Bußgel- 3 Wolff, Verhaltensregeln nach Art. 40 2017, 151, 153.Vgl. zum Streitstand
dern gegenüber einzelnen Verantwort- DSGVO auf dem Prüfstand, ZD 2017, 151. Jungkind, BeckOK Datenschutz-
recht, Wolff/Brink 28. Edition Stand:
lichen, die durch Abschreckung Wir- 4 Ebd. 01.02.2019 Art. 40 Rn. 32.
kung auf die gesamte Branche entfalten 5 Lepperhoff, Gola, Datenschutz-Grundver- 11 Vgl. etwa: Doc Searl‘s Webblog: GDPR
können, aber nicht müssen, würde die ordnung 2. Auflage 2018, Art. 40 Rn 1. will pop the adtech bubble, 12.05.2018,
Erarbeitung eines Verhaltenskodexes 6 Jungkind, BeckOK Datenschutz- abrufbar unter: https://blogs.harvard.
mit einer Veränderung der entsprechen- recht, Wolff/Brink 28. Edition Stand: edu/doc/2018/05/12/gdpr/.
den Protokolle für einen grundlegenden 01.02.2019 Art. 40 Rn 6.
Wandel der Branchenpraktiken auf ei- 7 Lepperhoff, Gola, Datenschutz-Grundver-
nen Schlag sorgen, insbesondere, wenn ordnung 2. Auflage 2018, Art. 40 Rn 1.
Digitale Gesellschaft e. V./Netzwerk Datenschutzexpertise/Deutsche Vereinigung
für Datenschutz e. V./Digitalcourage e. V.
Beschwerde bei den deutschen Datenschutz-
Aufsichtsbehörden wegen VERHALTENSBASIERTER
WERBUNG im Internet
und Aufforderung, hierzu Datenschutzleitlinien zu erarbeiten und zu veröffentlichen
A. Einführung & Zweck Gründung 1977 als gemeinnütziger 3 Es gibt zwei Hauptsysteme, die der
Verein die Interessen der verdateten verhaltensbasierten Online-Werbung
1 Wir erheben in Absprache mit weite- BürgerInnen wahr. zugrunde liegen, die beide nach einer
ren Organisationen in Europa die unten Spezifikation namens „Real Time Bid-
stehende Beschwerde. Wer wir sind: • Digitalcourage e. V. ist ein Zusam- ding“ (RTB) arbeiten:
menschluss von Menschen, die Tech-
• Die Digitale Gesellschaft e.V. ist ein nik und Politik mit dem Ziel der Ver- • OpenRTB wird von praktisch jedem
gemeinnütziger Verein, der sich seit wirklichung von Grundrechten und bedeutenden Unternehmen in der
seiner Gründung im Jahr 2010 für Datenschutz kritisch erkunden und Online-Medien- und Werbebranche
Grundrechte und Verbraucherschutz menschenwürdig gestalten wollen. verwendet.
im digitalen Raum einsetzt.
2 Der Zweck der vorliegenden Beschwer- • „Authorized Buyers” ist Googles pro-
• Das Netzwerk Datenschutzexpertise de ist es, die deutschen Datenschutz- prietäres RTB-System, das vor Kurzem
ist ein Zusammenschluss von Daten- aufsichtsbehörden um Maßnahmen zu von „DoubleClick Ad Exchange“ (kurz
schutzexpertInnen mit dem Ziel, öf- bitten, welche den Einzelnen bzw. die „AdX“) in „Authorized Buyers“ umbe-
fentliche Diskussionen über Fragen Menschen allgemein vor weitreichenden nannt wurde.
des Datenschutzes sowie generell des und systematischen Datenschutzverstö-
Schutzes von Menschenrechten und ßen durch Google und andere Internet- 4 Beide Systeme dienen dazu, perso-
Grundrechten in der digitalen Welt zu Unternehmen der Branche schützen. nalisierte Werbung auf Websites bereit-
initiieren und voranzubringen. Die Beschwerde hat als Grundlage die zustellen. Wie im Ryan-Bericht darge-
Stellungnahme von Dr. Johnny Ryan stellt, werden „jedes Mal, wenn eine
• Die Deutsche Vereinigung für Daten- (Ryan-Bericht).1 Person auf eine Webseite geht, die au-
schutz e. V. (DVD) nimmt seit ihrer tomatisierte Werbung nutzt, und diese
DANA • Datenschutz Nachrichten 3/2019
125Real Time Bidding
herunterlädt, persönliche Daten über tung personenbezogener Daten und i Überprüfen Sie die detaillierten Be-
sie an Dutzende – oder gar Hunderte – der Informationsaustausch im Rahmen schwerdegründe, die hier und im
von Firmen übertragen“. der personalisierten Werbung durchge- Ryan-Bericht aufgeführt werden,
führt werden. Eine Verarbeitung ohne und leiten Sie eine Untersuchung
5 Es gibt drei zentrale, miteinander zu- ausreichende Sicherheitsvorkehrungen der speziellen Probleme in Bezug
sammenhängende Gründe für erhebli- ist mit den Datenschutzbestimmungen auf die Branche für verhaltensori-
che Datenschutzbedenken beim Einsatz nicht vereinbar. entierte Werbung ein. Um gegen sie
von verhaltensbasierter Internetwer- vorgehen zu können, ist es wichtig,
bung. Drittens Die Verarbeitung betrifft sehr die systematische Natur der in diesen
oft besondere Kategorien personenbe- Beschwerden aufgeführten Verstöße
Erstens Die Branche begann ursprüng- zogener Daten (Art. 9 Abs. 1 DS-GVO). anzuerkennen.
lich damit, personalisierte Werbung zu Die besuchten Webseiten können Indi-
unterstützen. Inzwischen führt dies zu katoren enthalten, die über Sexualität, ii Leiten Sie eine breit angelegte Unter-
einer Übertragung von Massendaten, Ethnizität, politische Meinungen etc. suchung zu den Datenschutzprakti-
die Auskunft geben. Solche Aussagen, die ken der Branche ein. Wir fordern die
als sensitive Daten anzusehen sind, Datenschutzaufsichtsbehörden auf,
a ein breites Spektrum an Informati- können explizit erfolgen oder effektiv ihre Befugnisse nach Kapitel VII der
onen über Einzelpersonen umfasst, und leicht mit hoher Genauigkeit un- Europäischen Datenschutz-Grund-
welches weit über den Bereich der In- ter Verwendung moderner analytischer verordnung (DS-GVO) auszuüben,
formationen hinausgeht, der für die Techniken abgeleitet werden.2 RTB er- um in Zusammenarbeit mit anderen
Bereitstellung der relevanten Anzei- folgt in Echtzeit, was zur Folge hat, dass Datenschutzbehörden eine gemein-
gen erforderlich ist, und solche sensitiven Daten ohne jegliches same Untersuchung der genannten
Einverständnis und ohne jegliche Kon- Geschäftspraktiken durchzuführen.
b einer Vielzahl von Dritten für eine trolle verbreitet werden können. Da sol- Wie im Folgenden näher ausgeführt,
Reihe von Anwendungen zur Verfü- che Daten mit sehr hoher Wahrschein- wurden entsprechende Beschwerden
gung gestellt werden, die weit über lichkeit an zahlreiche Organisationen bereits bei Datenschutzbehörden
die Zwecke hinausgehen, welche eine weitergegeben werden, die diese Daten anderer EU-Mitgliedstaaten einge-
betroffene Person verstehen kann wiederum mit anderen Daten verknüp- reicht.
und in die sie einwilligen oder gegen fen, können extrem komplexe Profile
die sie Widerspruch einlegen kann. von Personen erstellt werden, ohne dass iii Darüber hinaus ersuchen wir die Da-
Es gibt keine rechtliche Grundlage für die betroffene Person davon Kenntnis tenschutzaufsichtsbehörden, die in
eine solche allgegenwärtige und inva- hat, geschweige denn ihr Einverständ- dieser Beschwerde aufgeführten sys-
sive Profilerstellung und Verarbeitung nis gegeben hätte. Die Industrie fördert tematischen und weit verbreiteten
personenbezogener Daten aus Profit- diese Praxis und verzichtet auf adäqua- Probleme und Bedenken gemäß de-
gründen (Art. 22 Datenschutz-Grund- te Sicherheitsmechanismen, welche die ren gesetzlichen Auftrag nach § 40
verordnung – DS-GVO). Integrität der persönlichen Daten und Bundesdatenschutzgesetz (BDSG)
auch solcher besonderer Kategorien ge- zu untersuchen und eine Bewertung
Zweitens Der praktizierte Mechanismus währleisten könnten. Darüber hinaus ist durchzuführen, ob die Branche die ein-
der Branche ermöglicht es nicht, die es unwahrscheinlich, dass Einzelperso- schlägigen Datenschutzvorschriften
Kontrolle über die Verbreitung perso- nen wissen, dass ihre persönlichen Da- einhält. Darüber hinaus fordern wir die
nenbezogener Daten nach deren Über- ten auf diese Weise verbreitet und über- Datenschutzaufsichtsbehörden auf, im
tragung (bzw. überhaupt) zu behalten. tragen wurden, es sein denn, sie sind Rahmen ihres Ermessens eine gemein-
Die schiere Anzahl der Empfänger sol- aus einem speziellen Grund in der Lage, same Prüfung der Branche vorzuneh-
cher Daten führt dazu, dass die Sender bei einer Vielzahl von Unternehmen er- men und geeignete Verhaltensregeln
weder ihre unbefugte Weiterverarbei- folgreiche Anträge auf Zugang zu per- / Empfehlungen in Anlehnung an Art.
tung verhindern, noch die betroffenen sönlichen Daten zu stellen.3 Es ist nicht 57 Abs. 1 lit. g, h DS-GVO zu erarbeiten
Personen über die Empfänger der Daten zu erkennen, dass diese Unternehmen und, falls erforderlich, Durchsetzungs-
ordnungsgemäß informieren können. solchen Anfragen nachgekommen sind maßnahmen zu ergreifen.
Die rechtskonforme Verarbeitung der und dass dies nachweisbar wäre. Ohne
personenbezogenen Daten kann nicht Maßnahmen der Regulierungsbehörden 7 Die von den Datenschutzaufsichtsbe-
mehr gewährleistet werden, wenn die- ist es nicht möglich, die branchenweite hörden geforderten Maßnahmen sind in
se einmal weitergegeben worden sind. Einhaltung der Datenschutzbestimmun- den nachstehenden Ziffern 48 - 53 aus-
Die technischen und organisatorischen gen sicherzustellen. führlich beschrieben.
Sicherheitsvorkehrungen, die getroffen
wurden, bestätigen, dass Datenschutz- 6 Angesichts dieser anhaltenden Verstö- B. Hintergrund
verletzungen dem Design der Branche ße gegen die einschlägigen Vorschriften
inhärent sind. Dieses Problem besteht und Gesetze werden die Datenschutzauf- 8 Der Hintergrund der Branche ist in
unabhängig davon, ob die Verarbei- sichtsbehörden um Folgendes ersucht: dem beigefügten Bericht von Dr. Ryan
DANA • Datenschutz Nachrichten 3/2019
126Real Time Bidding
(Ryan-Bericht) dargestellt. Wir ver- 12 Diese Daten werden dann an ein über eine Rechtsgrundlage für die Ver-
weisen die Datenschutzaufsichtsbe- umfangreiches Ökosystem von Data arbeitung der personenbezogenen Da-
hörden für eine detaillierte Erklärung Brokern und Werbetreibenden wei- ten verfügt. Hat oder erhält ein Anbieter
zur Branche, zu deren Vorgehensweise tergegeben. Diese Dritten können die personenbezogene Daten und liegt keine
und zu den dem System innewohnen- Daten dann nach eigenem Ermessen Rechtsgrundlage für den Zugang zu die-
den Datenschutzbelangen auf diesen verwenden, wobei die Betroffenen als sen Daten und deren Verarbeitung vor,
Bericht. die „Datensubjekte“ keinerlei Mitspra- sollte der Verkäufer die Erhebung und
che, Kenntnis oder Kontrolle über diese Speicherung der Daten schnellstmöglich
C. Richtlinien und Verfahren nachfolgende Nutzung haben. Die An- einstellen und von einer Datenweitergabe
wendungen für diese Daten sind um- an andere Parteien auch dann absehen,
9 Die Unternehmen sind in einem Bran- fangreich; sie können mit anderen Da- wenn diese Parteien eine Rechtsgrundla-
chenverband zusammengeschlossen, ten zusammengeführt werden oder die ge haben.“
der Parameter und Anwendungsmuster Daten können verwendet werden, um
festlegt: das Interactive Advertising Bu- für viele unterschiedliche Zwecke ein 15 Denjenigen, die personenbezogene
reau (IAB). Die europäische Niederlas- Profil der betroffenen Person zu erstel- Daten übertragen, wird folglich ein Er-
sung des IAB, IAB Europe, hat mit der len. Die letztliche Verwendung dieser messensspielraum eingeräumt, ob eine
„Industry Standard Policy“ Verhaltens- Daten kann daher Bereiche umfassen, „gerechtfertigte Grundlage für die An-
regeln und standardisierte Vorgehens- die vom ursprünglich Verantwortlichen nahme besteht, dass der Verkäufer über
weisen für Europa festgelegt. Wegen in seiner Interaktion mit dem Kunden eine Rechtsgrundlage für die Verarbei-
der marktbeherrschenden Stellung von nicht erwähnt wurden. Solche Endver- tung personenbezogener Daten ver-
Google handelt dieses Unternehmen mit wendungen können für die betroffenen fügt“. Im Umkehrschluss kann also die
Authorized Buyers nach eigenen Verfah- Personen bedenklich sein, wenn sie Einwilligungseinstellung einer betroffe-
ren und Vorgehensweisen. Wir gehen überhaupt davon Kenntnis erlangen.6 nen Person umgangen werden. Der An-
nacheinander auf beides ein. Tatsächlich gibt es keine Möglichkeit bieter kann auf einer nicht näher spezi-
für den Verantwortlichen, alle mögli- fizierten „gerechtfertigten Grundlage“
i. IAB Europe chen Endanwendungen zu erwähnen, seinen Ermessensspielraum nutzen, um
da diese nach der Übertragung der Da- festzustellen, dass es einen rechtmä-
10 IAB Europe hat das „Europe Transpa- ten nicht mehr in seiner Macht stehen. ßigen Grund gibt, personenbezogene
rency & Consent Framework“ geschaffen Dieses Problem ist dem Design der Bran- Daten an Dritte weiterzugeben, auch
(Framework).4 Dieser Rahmen basiert che inhärent. wenn eine Person die Zustimmung aus-
auf der Idee, im Verlauf des RTB-Prozes- drücklich verweigert hat. Das gesamte
ses die Einwilligung von einer betroffe- 13 Darüber hinaus können die zu verar- System stützt sich also auf das Ermessen
nen Person für alle späteren Datenwei- beitenden Daten, wie im Bericht von Dr. und die Beurteilung des Anbieters auf
tergaben an Dritte einzuholen. Ryan beschrieben, besondere Kategori- Grundlage vager Begriffe mit unklar de-
en personenbezogener Daten, sog. sen- finierten Parametern und beruht nicht
11 Mit dem Design des Systems ist ein sitive Daten, enthalten. Dass solche Da- auf den Wünschen, der Kenntnisnahme
grundlegender Fehler verbunden. Das ten ohne jegliche Kontrolle weitergege- oder der Zustimmung des Betroffenen.
Framework erkennt ausdrücklich an, ben werden, ist äußerst problematisch.
dass der für die Datenverarbeitung 16 Zusammenfassend lässt sich sagen,
Verantwortliche, der „data controller“ 14 Ein weiteres Problem dieses Frame- dass das Framework dem Verkäufer ei-
(und damit auch die betroffene Per- works liegt darin, dass es darauf abzielt, nen Ermessensspielraum einräumt,
son), unmittelbar jede Kontrolle über die Kontrolle über personenbezogene anstatt die Position des Betroffenen
die Verwendung dieser Daten verliert, Daten nach deren Übertragung zu be- zu berücksichtigen. Dies steht im Wi-
sobald die Daten einer natürlichen Per- seitigen. Das Framework geht davon derspruch zu den gesetzlichen Anfor-
son übertragen wurden. Tatsächlich ak- aus, dass diejenigen, die solche per- derungen der DS-GVO. Das Framework
zeptiert das Framework, dass selbst für sonenbezogenen Daten verbreiten, sie versucht eine fiktive Zustimmung zu
den Fall, dass ein Empfänger von Daten auch ohne Einwilligung der Betroffenen konstruieren, wobei sich die Verfasser
gegen Gesetze verstößt, diesem Emp- an Dritte weitergeben. darüber im Klaren sind, dass eine tat-
fänger weiterhin Daten zur Verfügung sächliche Zustimmung schwer zu er-
gestellt werden dürfen.5 Durch den Ver- Das Framework besagt (Betonung nicht reichen ist. Angesichts der möglichen
zicht der „data controller“ auf die Kon- im Original): „Ein Anbieter kann sich Verarbeitung von besonderen Katego-
trolle verzichtet die Branche insgesamt aus einem beliebigen Grund dafür ent- rien personenbezogener Daten ist es
darauf, den Anschein eines Mechanis- scheiden, keine Daten an einen anderen durchaus verständlich, dass versucht
mus aufrechtzuerhalten, in dem es eine Anbieter zu übermitteln, aber ein Anbie- wird, den Anbietern eine Form der Er-
Rolle spielt, wie die Daten verwendet ter darf keine Daten an einen anderen messensfreiheit einzuräumen. Bedauer-
werden. Einmal abgegeben, ist die Kon- Anbieter übermitteln, ohne dass eine licherweise ist das Ergebnis nicht mehr
trolle über diese Daten im Äther des Da- gerechtfertigte Grundlage für die als ein Feigenblatt hinsichtlich der
tenhandels für immer verloren. Annahme vorliegt, dass der Verkäufer Rechte der einzelnen Personen an ihren
DANA • Datenschutz Nachrichten 3/2019
127Real Time Bidding
Daten. Es gibt keine plausible Lesart des verbinden; oder (iii) Rate Card Daten in 20 Der zitierte Abschnitt legt nahe,
Frameworks, welche die individuellen irgendeiner Form, einschließlich aber dass Authorized Buyer, sobald die per-
Rechte angemessen berücksichtigt und nicht beschränkt auf Zusammenfassun- sonenbezogenen Daten an einen Käufer
schützt. gen, mit Dritten teilen. übermittelt werden, keine wirksame
Kontrolle mehr darüber hat, wie die-
17 Wir stellen fest, dass IAB Europe Datenschutz se Daten verwendet werden. Vielmehr
kürzlich eine Presseerklärung veröffent- wird akzeptiert, dass der Dritte (Käufer)
licht hat, in der eine Überarbeitung des Wenn [der] Käufer auf von Google zur befugt und in der Lage ist, diese Daten
Frameworks angekündigt wird. Diese Verfügung gestellte personenbezogene zu verwenden. Die einzigen Beschrän-
Vorschläge werden aber nicht konkreti- Daten, die eine Person direkt oder indi- kungen sind vertraglicher Natur und es
siert und die Ausführungen adressieren rekt identifizieren und die ihren Ursprung ist unklar, inwieweit diese tatsächlich
nicht die bestehenden Bedenken. Viel- im Europäischen Wirtschaftsraum haben durchgesetzt werden oder werden könn-
mehr weist die Presseerklärung darauf („persönliche Daten“), zugreift, sie ver- ten. Das Gleiche gilt für die „Google Ads
hin, dass es ein geeigneter Zeitpunkt wendet oder verarbeitet, gilt folgendes Controller-Controller Data Protection
für die Aufsichtsbehörden wäre, die ge- für [den] Käufer: Terms“ von Google.8
samte Branche zu überprüfen, um eine
konsistente und datenschutzkonforme • alle Datenschutz-, Datensicherheits- 21 Darüber hinaus werden sogar die
Praxis zu erreichen. und Privatsphäregesetze, Richtlinien, auferlegten Einschränkungen ausge-
Verordnungen und Regeln unter allen höhlt. Zum Beispiel wird aus der Guide-
ii. Authorized Buyers anwendbaren Gerichtsbarkeiten sind line nicht klar, welche Einschränkungen
einzuhalten; einem erfolgreichen Bieter auferlegt
18 Für Authorized Buyers gelten eine werden, denn die Einschränkungen gel-
„Richtlinie“ (guideline)7 und Geschäfts- • Zugriff und Nutzung personenbezoge- ten für erfolglose Bieter:
bedingungen (terms of business). Die ner Daten ist nur für Zwecke gestattet,
Richtlinie stößt auf eine Reihe von Be- die mit der gegebenen Einwilligung der Außer wenn [der] Käufer [die Auktion
denken. Person konform sind, deren personen- für] einen bestimmten Seitenaufruf ge-
bezogene Daten übermittelt wurden; winnt, ist Folgendes nicht erlaubt: („Un-
19 Die Richtlinie verlagert die Verant- less buyer wins a given impression, it
wortung für den Datenschutz vom „Data • Geeignete organisatorische und tech- must not …“).
Controller“ auf Dritte, nämlich diejeni- nische Maßnahmen zum Schutz der
gen, welche die Daten erhalten. So wird Mitarbeiter sind zu ergreifen, um die Das offensichtliche Fehlen von Kontrol-
in der Richtlinie Folgendes ausgeführt: personenbezogenen Daten gegen Ver- le gibt Anlass zu ernsthaften Bedenken
lust, Missbrauch und unbefugten oder hinsichtlich der technischen und orga-
RTB Callout Data Restriction rechtswidrigen Zugriff, Offenlegung, nisatorischen Sicherheit der relevanten
Änderung und Vernichtung zu schüt- Daten.
Zur Auswertung von Seitenaufrufen und zen; und
von Angeboten auf Basis von Benutzerda- 22 Darüber hinaus hängt die Wirksam-
ten, die [der Käufer] zuvor erhalten hat, • es muss das gleiche Schutzniveau ge- keit der Datenschutzpolitik allein von
kann [dieser] die verschlüsselte Cookie- boten werden, wie es die EU-US-Daten- den Dritten ab, die Authorized Buyer-
ID und die mobile Werbekennung spei- schutzrichtlinie (EU-US Privacy Shield Verletzungen freiwillig melden sollen.
chern. Alle anderen Callout-Daten mit Principles) vorschreibt. Es gibt keine ausreichenden techni-
Ausnahme von Positionsdaten können schen Maßnahmen zum Schutz perso-
vom Käufer nach der Beantwortung eines [Der] Käufer wird [die] Einhaltung dieser nenbezogener Daten.
Anzeigenaufrufs und nur zum Zweck der Verpflichtung regelmäßig überwachen
Vorhersage der Verfügbarkeit von Lager- und hat Google unverzüglich schriftlich D. Die Probleme: Rechtliche Beden-
beständen durch das Authorized Buyers zu benachrichtigen, wenn [der] Käufer ken bezüglich Framework und Gui-
Program gespeichert werden. [Der] Käu- nicht mehr in der Lage ist, dieser Ver- delines
fer darf die Callout-Daten nur für die Dau- pflichtung nachzukommen (oder wenn
er, die zur Erfüllung der oben genannten es ein erhebliches Risiko gibt, dass [der] 23 Der oben dargestellte Hintergrund
Zwecke erforderlich ist, und in keinem Käufer dieser Verpflichtung nicht mehr verdeutlicht, dass die Verarbeitung durch
Fall länger als 18 Monate aufbewahren. nachkommen kann) und in solchen die Branche ein erhebliches Risiko für
Außer wenn [der] Käufer [die Auktion Fällen wird [der] Käufer entweder die anhaltende Verstöße gegen das Daten-
für] einen bestimmten Seitenaufruf ge- Verarbeitung personenbezogener Daten schutzrecht und insbesondere gegen die
winnt, ist folgendes nicht erlaubt: (i) einstellen oder unverzüglich andere an- DS-GVO birgt. Datenschutzaufsichtsbe-
Callout-Daten verwenden um mit diesem gemessene und geeignete Maßnahmen hörden berücksichtigen normative Rah-
Seitenaufruf Benutzerlisten oder Benut- zur Behebung der Probleme, die einem men wie Branchen-Frameworks, wenn
zerprofile zu erstellen; (ii) Callout-Daten angemessenen Schutzniveau im Wege es darum geht zu entscheiden, ob regu-
für diesen Seitenaufruf mit Daten Dritter stehen, ergreifen. latorische Maßnahmen ergriffen werden
DANA • Datenschutz Nachrichten 3/2019
128Sie können auch lesen
