Real Time Bidding - Deutschen Vereinigung für Datenschutz

 
WEITER LESEN
Real Time Bidding - Deutschen Vereinigung für Datenschutz
3/2019
42. Jahrgang
                                 ISSN 0137-7767
                                                                               12,00 Euro
        Deutsche Vereinigung für Datenschutz e.V.

                                                                                                                 Real Time Bidding
                                                    www.datenschutzverein.de

                                                                                            ■ Real Time Bidding – die Versteigerung der Internet-User ■ #FixAdTech –
                                                                                            Verhaltenskodizes nach Artikel 40 DSGVO für Online-Werbung ■ Beschwerde
                                                                                            wegen VERHALTENSBASIERTER WERBUNG im Internet ■ Online-Werbung repa-
                                                                                            rieren – für Journalismus und Grundrechte ■ Ahnenforschung mit Gendaten
                                                                                            ■ Offener Brief an die EU-Kommission ■ Nachrichten ■ Rechtsprechung ■
Real Time Bidding - Deutschen Vereinigung für Datenschutz
Inhalt

   Thilo Weichert                                       Reaktionen                                            138
   Real Time Bidding –                                  Ahnenforschung mit Gendaten
   die Versteigerung der Internet-User           120    Der BigBrotherAward 2019 in der
                                                        Kategorie Biotechnik geht an die
                                                        Firma Ancestry.com                                    141
   Elisabeth Niekrenz
   #FixAdTech – Verhaltenskodizes nach
   Artikel 40 DSGVO für Online-Werbung           123    Zivilgesellschaftliche Organisationen
                                                        fordern die korrekte Bewertung der
                                                        Vorratsdatenspeicherung
   Digitale Gesellschaft e. V./                         Übersetzung: Markus Eßfeld und Frank Spaeing          145
   Netzwerk Datenschutzexpertise/
   Deutsche Vereinigung für Datenschutz e. V./
   Digitalcourage e. V.                                 Datenschutznachrichten
   Beschwerde bei den deutschen Datenschutz-
   Aufsichtsbehörden wegen
   VERHALTENSBASIERTER WERBUNG im Internet       125    Deutschland                                           150

   Bericht von Dr. Johnny Ryan                          Ausland                                               156
   Verhaltensbasierte Werbung
   und persönliche Daten                         133    Technik-Nachrichten                                   166

   Friedemann Ebelt                                     Rechtsprechung                                        167
   Online-Werbung reparieren –
   für Journalismus und Grundrechte              137

   Termine

                                                 Samstag, 26. Oktober 2019
                                                 DVD-Vorstandssitzung
                                                 Bonn
                                                 Sonntag, 27. Oktober 2019
                                                 DVD-Mitgliederversammlung
                                                 Bonn
                                                 Freitag, 01. November 2019
                                                 Redaktionsschluss DANA 4/2019
                                                 Minderjährigen(Daten)schutz
                                                 (Arbeitstitel)
                                                 Freitag, 27. bis Montag, 30. Dezember 2019
                                                 36C3 - 36. Chaos Communication Congress
                                                 Leipzig

Foto: Pixabay..com

                                                                                     DANA • Datenschutz Nachrichten 3/2019

118
Real Time Bidding - Deutschen Vereinigung für Datenschutz
DANA
                                              Editorial
   Datenschutz Nachrichten
             ISSN 0137-7767
           42. Jahrgang, Heft 3

               Herausgeber
         Deutsche Vereinigung für
          Datenschutz e.V. (DVD)
            DVD-Geschäftstelle:
      Reuterstraße 157, 53113 Bonn
             Tel. 0228-222498
    IBAN: DE94 3705 0198 0019 0021 87         Ursprünglich plante der DVD-Vorstand, für das vorliegende Heft den „Datenschutz für
            Sparkasse KölnBonn                Kinder und Jugendliche“ zum Schwerpunkt zu nehmen. Das Thema ist schon lange
    E-Mail: dvd@datenschutzverein.de          relevant und steht weiterhin auf der Liste unserer Planungen. Doch legten aktuelle
        www.datenschutzverein.de
                                              Entwicklungen es nahe, mit dem „Real Time Bidding“ ein anderes Thema in den Fokus
           Redaktion (ViSdP)                  zu stellen. Die von Liberties gestartete europaweite Kampagne zum Versteigern von
             Dr. Thilo Weichert               personalisierter Internet-Werbung wird in Deutschland neben der DVD von Digitalcou-
       c/o Deutsche Vereinigung für
           Datenschutz e.V. (DVD)
                                              rage, der Digitalen Gesellschaft und dem Netzwerk Datenschutzexpertise mitgetragen.
      Reuterstraße 157, 53113 Bonn            Die vorliegende DANA versteht sich als ein Teil dieser Kampagne, mit der Licht in das
        dvd@datenschutzverein.de              dunkle Feld der Internet-Finanzierung sowie der im Hintergrund stattfindenden Da-
      Den Inhalt namentlich gekenn-           tenflüsse geschaffen werden soll.
    zeichneter Artikel verantworten die
    jeweiligen Autorinnen und Autoren.        Ein weiterer Schwerpunkt dieser DANA-Ausgabe ist die genetische Ahnenforschung.
             Layout und Satz                  Hierzu hat Ende 2018 das Netzwerk Datenschutzexpertise ein umfangreiches Gut-
      Frans Jozef Valenta, 53119 Bonn         achten veröffentlicht, das aber von den Medien, den Betroffenen und den beteiligten
       valenta@datenschutzverein.de
                                              Stellen weitgehend ignoriert wurde. Dies änderte sich schlagartig, als AncestryDNA
                   Druck                      im Juni 2019 den BigBrotherAward in der Kategorie Biotechnologie verliehen bekam.
            Onlineprinters GmbH               Das Thema wird kontrovers diskutiert. Doch anders als beim Real Time Bidding sehen
          Rudolf-Diesel-Straße 10
                                              die Betreiber der Angebote sowie deren Protagonisten (noch) keine Veranlassung, sich
         91413 Neustadt a. d. Aisch
            www.diedruckerei.de               mit den Aufsichtsbehörden oder mit einer kritischen Öffentlichkeit in einen direkten
       Tel. +49 (0) 91 61 / 6 20 98 00        Diskurs zu begeben. Während die kritische Öffentlichkeit das Geschäftsmodell der
        Fax +49 (0) 91 61 / 66 29 20          Werbeverwendung von Internetdaten in Frage stellt, scheint dies bei der Vermarktung
               Bezugspreis                    von Gendaten noch nicht der Fall zu sein. Umso wichtiger ist es, hierüber aufzuklären.
   Einzelheft 12 Euro. Jahresabonnement
        42 Euro (incl. Porto) für vier        Wie gewohnt enthält diese Ausgabe wieder viele Nachrichten aus der Welt des Daten-
     Hefte im Kalenderjahr. Für DVD-Mit-      schutzes von nah und fern sowie aktuelle einschlägige Gerichtsentscheidungen.
  glieder ist der Bezug kostenlos. Das Jah-
  resabonnement kann zum 31. Dezem­ber
   eines Jahres mit einer Kündigungsfrist     Viel Erkenntnis und Spaß beim Lesen! Rückmeldungen an die DANA-Redaktion bzw.
  von sechs Wochen gekündigt werden. Die      den DVD-Vorstand sind immer willkommen.
    Kündigung ist schriftlich an die DVD-
     Geschäftsstelle in Bonn zu richten.      Thilo Weichert
                 Copyright
 Die Urheber- und Vervielfältigungsrechte
           liegen bei den Autoren.
    Der Nachdruck ist nach Genehmigung
                                              Autorinnen und Autoren dieser Ausgabe:
  durch die Redaktion bei Zusendung von
                                              Friedemann Ebelt
 zwei Belegexemplaren nicht nur gestat-
  tet, sondern durchaus erwünscht, wenn
                                              DigitalCourage e. V., friedemann.ebelt@digitalcourage.de
    auf die DANA als Quelle hinge­wiesen      Markus Eßfeld
                    wird.                     Vorstandsmitglied in der DVD, essfeld@datenschutzverein.de
                Leserbriefe                   Elisabeth Niekrenz
    Leserbriefe sind erwünscht. Deren
                                              Digitale Gesellschaft e. V., elisabeth.niekrenz@digitalegesellschaft.de
  Publikation sowie eventuelle Kürzungen
            bleiben vorbehalten.              Frank Spaeing
           Abbildungen, Fotos                 Vorstandsmitglied in der DVD, spaeing@datenschutzverein.de
        Frans Jozef Valenta, Pixabay          Dr. Thilo Weichert
                                              Vorstandsmitglied in der DVD, Netzwerk Datenschutzexpertise,
                                              weichert@datenschutzverein.de, Kiel

DANA • Datenschutz Nachrichten 3/2019

                                                                                                                              119
Real Time Bidding - Deutschen Vereinigung für Datenschutz
Real Time Bidding

Thilo Weichert

Real Time Bidding - die Versteigerung der Internet-User

   Das Realitätsbewusstsein und die           Rahmen eines Gebots fest. In der folgen-     Angebote über personalisierte Wer-
Realität selbst liegen in kaum einem          den Auktion haben sie die Möglichkeit,       bung. Letztlich basiert das Geschäfts-
Bereich so weit auseinander wie bei           diese Werbeeinblendung zu ersteigern,        modell vieler Internet-Angebote darauf,
der Internet-Datenverarbeitung. Hin-          stehen dabei allerdings im Wettbewerb        dass diese sich von den Usern nicht
ter einer mit farbigen bewegten Bildern       mit anderen Werbetreibenden. Die Be-         mit Geld, sondern mit den kommerziell
illustrierten Oberfläche findet eine Ver-     wertung der Werbeeinblendung durch           verwertbaren Nutzerdaten „bezahlen“
arbeitung unserer Daten statt, von der        den Werbetreibenden und die Abgabe           lassen. So sind die Daten der Nutzenden
selbst ExpertInnen oft keine genaue           des Gebots erfolgt in Echtzeit. Arten des    die Grundlage für das Anzeigen und die
Vorstellung haben. Und es gibt kaum           Realtime Biddings sind First Price Auc-      Bepreisung personalisierter Werbung.
einen Bereich, in dem das reale „Ist“ so      tion oder Second Price Auction.” Bei First   Jedes Anzeigen einer Werbung kostet
weit vom rechtlichen „Soll“ abweicht          Price Auctions zahlt der Höchstbietende      das werbende Unternehmen einen klei-
wie hier. Ein Beispiel hierfür ist das Real   den von ihm gebotenen Preis. Bei der         nen Geldbetrag. Um hier eine möglichst
Time Bidding (RTB), das durch die Ver-        Second Price Action zahlt der Höchst-        wirksame Investition zu tätigen, wollen
öffentlichung des Berichts von Johnny         bietende den Preis des zweithöchsten         die Werbenden möglichst zielgerichtete
Ryan vom 05.09.2018 erstmals öffent-          Gebots.2                                     Werbung. Diese setzt voraus, dass die
lich thematisiert wurde.1 Dieser Bericht         Praktiziert wird diese Versteigerung      Werbewirtschaft die Internetnutzenden
wurde im Herbst 2018 die Grundlage            insbesondere von Google sowie von            kennt. Dem dient das „Profiling“, also
erster Beschwerden bei der irischen und       weiteren Online-Anbietern, die sich im       das Erstellen von Nutzerprofilen. Mit
der britischen Datenschutzbehörde.            IAB Europe zusammengeschlossen und           detaillierten Profilen soll eine möglichst
Diese Beschwerden sind die Blaupause          hierüber gemeinsame Standards fest-          große Response erreicht werden, ins-
für mehrere am 04.06.2019 europaweit          gelegt haben. IAB steht für „Interactice     besondere durch den Kauf von bewor-
eingereichte Beschwerden im Rahmen            Advertising Bureau“. Zu den 18 Mit-          benen Produkten. Ob die Werbung da-
einer von „Civil Liberties for Europe“ in-    gliedsländern des IAB Europe gehören         durch wirkt, dass sie einem bestimmten
itiierten europaweiten Kampagne. Mit          neben Deutschland Belgien, Dänemark,         Nutzerprofil entspricht, wird zumeist
der seit Mai 2018 direkt anwendbaren          Finnland, Frankreich, Griechenland,          automatisiert festgestellt. Auch der
Datenschutz-Grundverordnung            (DS-   Großbritannien, Italien, Kroatien, Nie-      Abgleich des Werbeintention mit dem
GVO) besteht ein europaweit einheitli-        derlande, Norwegen, Österreich, Po-          Nutzerinteresse erfolgt durch einen Al-
ches Instrument zur Hinterfragung der         len, Rumänien, Schweden, Slowenien,          gorithmus. Das werbende Unternehmen
mit dem Begriff „Real Time Bidding“ be-       Spanien und die Türkei. Der Verband          kann hierfür die erwünschten Merk-
schriebenen Praktiken.                        wird zudem durch 20 Unternehmens-            malseigenschaften der zu Bewerbenden
                                              mitglieder getragen. IAB Europe hat          festlegen. Auch dieser Prozess ist zu-
- Das Phänomen                                seinen Sitz in Brüssel. Seine deutschen      meist automatisiert.
                                              Mitglieder sind organisiert im Online-          Beim Profiling beschränkt sich die
  Was bedeutet Real Time Bidding (RTB),       Vermarkterkreis (OVK). Unter dem Dach        Werbeindustrie nicht auf die Adressie-
auf deutsch „Echtzeitversteigerung“?          des Bundesverbands Digitale Wirtschaft       rung des Endgeräts. Das Profiling zielt
Dahinter verbirgt sich eine spezifische       (BVDW) haben sich darin 18 der größten       vielmehr auf die sich hinter dem Endge-
Art der Vermittlung von personalisierter      Online-Vermarkter zusammengeschlos-          rät vermuteten Nutzenden. Diese wer-
Online-Werbung, bei der Internet-Wer-         sen, um ihre gemeinsamen Interessen          den mit Cookies, device-, browser- oder
beplätze jeweils demjenigen Werbetrei-        zu vertreten. Dabei handelt es sich um       canvas-fingerprinting erkannt und dies
benden zugeschlagen werden, der das           Scout24 Media, Bauer Media Group,            auch geräteübergreifend (cross-device
höchste Zahlungsgebot macht. Oder in          Burda Forward, ebay advertising, G+J e/      tracking). Die Festlegung der Werbead-
den Worten des in diesem Bereich tätigen      MS, himedia digital advertising experts,     ressaten wird zumeist vollständig Algo-
Bundesverbands Digitale Wirtschaft e. V.      IP Deutschland, iq digital, MairDumont       rithmen überlassen. Menschen mit ver-
(BVDW): „Realtime Bidding benennt den         Netletix, media impact, netpointmedia,       schiedenen digitalen Profilen bekom-
Prozess eines automatisierten Preisfin-       OATH, Otto group media, SevenOneMe-          men beim Besuch der gleichen Webseite
dungsverfahrens in Form einer Auktion.        dia, Spiegel Media AdAlliance, Ströer,       und zur gleichen Zeit regelmäßig un-
Werbetreibende legen ihre Zahlungsbe-         united internet media.                       terschiedliche, nämlich personalisierte
reitschaft für eine zur Verfügung stehen-        Informations-, Kommunikations- und        Werbung angezeigt. Beim RTB erfolgt
de Werbeeinblendung – in Kombination          Service-Angebote im Internet erfolgen        nicht nur die Vermittlung von Werbung
mit weiteren Informationen wie z. B.          in einem großen Maße unentgeltlich.          an einen Werbeanbieter, sondern auch
Nutzerdaten oder auch den Kontext – im        Oft erfolgt die Refinanzierung solcher       die Preisfestlegung über Algorithmen.

                                                                                                   DANA • Datenschutz Nachrichten 3/2019
120
Real Time Bidding - Deutschen Vereinigung für Datenschutz
Real Time Bidding

   Die folgende Darstellung der kon-       andere organisieren die Angebote der        1. das „OpenRTB Protokoll“ des IAB evtl.
kreten Abläufe von RTB basiert weitge-     Dienstebetreiber (Supply Side Platforms     in Verbindung mit dem „Transparency
hend auf dem Bericht des Information       – SSPs). Schließlich ist es denkbar, dass   and Consent Framework“ (TCF) des IAB
Commissioner´s Office (ICO) „Update        bei einwilligungsbasierter Werbung          Europe, 2. Googles „Authorized Buyers
report into adtech und real time bid-      Dienstleister zwischengeschaltet wer-       Framework“. Diese technischen Spezi-
ding“ vom 20.06.2019. Das ICO ist die      den, die die Werbeanfragen mit dem          fikationen beschreiben präzise, welche
britische Datenschutzaufsichtsbehörde.     Einwilligungsumfang der Nutzenden           Daten bei den Übermittlungen ausge-
Der Webseiten- oder Applikationsbe-        vergleichen und freigeben (Consent Ma-      tauscht werden und wie der Austausch
treiber versucht demnach beim RTB aus      nagement Platforms – CMPs).                 stattfindet. Die Protokolle zielen auf
jeder Werbeanzeige den größtmöglichen         Die Qualität und der Umfang der Ge-      eine Standardisierung unabhängig von
Preis herauszuhandeln. RTB kann zum        botsanfragen kann unterschiedlich sein;     den Marktteilnehmern ab. Es gibt wei-
Einsatz kommen auf Informationspor-        in der Regel enthalten sie folgende Merk-   tere, teilweise mit OpenRTB kompatible
talen, einfachen Webseiten, aber auch      male: Identifikator der Gebotsanfrage,      Protokolle.
beim Audio- oder Videostreaming, im        (evtl. verkürzte) IP-Adresse, Cookie-IDs,      Die Gebotsanfrage wird an eine Vielzahl
Rahmen von Online-Spielen oder jedem       Nutzer-IDs, Browser, Gerätetyp und -art,    von Empfängern weitergeleitet. Dabei
sonstigen Internet-Angebot – für stati-    Nutzerlokalisierung, Zeitzone, Sprache,     kann es sich um Hunderte, ja Tausende
onäre wie für mobile Endgeräte. Hierzu     sowie weitere variable individuelle oder    von Empfängern handeln. Die Empfän-
startet der Webseiten- oder Dienstean-     aggregierte Nutzerinformationen. Es         ger erhalten diese Daten, ohne dass es
bieter eine Gebotsanfrage (Bid request),   handelt sich dabei um personenbezoge-       wirksame Vorkehrungen gibt, um deren
die an das RTB-Ökosystem übermittelt       ne Informationen, die teilweise eine di-    weitere Verarbeitung zu verhindern oder
wird, wobei diese Anfrage in der Regel     rekte, teils nur eine indirekte Zuordnung   zumindest zu beschränken.
personenbezogene Daten des Nutzen-         zu einer konkreten Person ermöglichen.
den enthält. Die aktuelle Profilbildung,   Die Zuordnung kann durch den Empfän-        - Rechtliche Bewertung
die Generierung der Gebotsanfrage, die     ger der Gebotsanfrage dadurch erfolgen,
Versteigerung, der Zuschlag und letzt-     dass bei ihm schon Merkmalsdaten des           Die datenschutzrechtliche Bewer-
lich die Anzeige der Werbung erfolgen      Nutzenden zumindest über ein Pseudo-        tung des RTB erfolgt auf der Grundlage
innerhalb weniger Millisekunden, so        nym zuordenbar vorliegen. Bei den zu-       des Telekommunikationsrechts und der
dass dem Nutzenden seinem Profil an-       sätzlichen Nutzerinformationen kann es      DSGVO. Gemäß Art. 95 ist die DSGVO im
gepasste Anzeigen präsentiert werden.      sich um Angaben über das Surfverhalten      Anwendungsbereich der europäischen
Die Standards für die Abwicklung dieser    (vorherige, nächste Seite), den Click-      Telekommunikations-Datenschutzricht-
Prozesse werden von Google in dessen       stream oder sonstige Vorgehensweisen        linie (TK-DSRl) nicht anwendbar. Die
„Authorized Buyers Real Time Bidding“      auf einer Seite handeln, um Angaben         TK-DSRl soll frühestmöglicht durch die
oder von IAB im OpenRTB in Protokollen     über Suchanfragen, Nutzungszeiten, In-      im Gesetzgebungsprozess befindliche
festgelegt. Die in das RTB-Ökosystem       haltsangaben oder demografische Infor-      europäische ePrivacy-Verordnung er-
eingebundenen Stellen können die           mationen.                                   setzt werden. Die TK-DSRl wird im nati-
über die Gebotsanfrage erlangten Daten        So enthält das IAB „content taxono-      onalen Recht im vorliegenden Bereich
mit Angaben aus eigenen oder anderen       my“ Hunderte verschiedener Felder,          durch das Telemediengesetz (TMG) um-
Quellen anreichern (data matching, en-     beispielsweise zu „Herz- und Kreislauf-     gesetzt. Zwar bestehen Unsicherhei-
richment), wobei diese Angaben sowohl      krankheiten“, „psychische Gesundheit“,      ten, inwieweit das TMG im Bereich des
personenbezogen wie auch aggregiert        „sexuelle Gesundheit“, „ansteckende         Datenschutzes nach Wirksamwerden
sein können.                               Krankheiten“. In Googles „publisher         der DSGVO anwendbar ist. Unstreitig ist
   Am RTB sind nicht nur die Werbe-        verticals“ finden sich die Merkmale         aber, dass die Regelungen des TMG nicht
firmen (advertisers) und die Anbieter      wie „Fortpflanzungsfähigkeit“, „Dro-        zu unterschreitende Mindeststandards
(publishers) beteiligt. Vielmehr sind      genmissbrauch“, „Gesundheitsbedin-          festlegen. Soweit eine Umsetzung der
weitere Beteiligte zwischengeschaltet.     gungen“, „Politik“ und „ethnische und       TK-DSRl durch das TMG nicht erfolgt ist,
Das sind zunächst die Vermittler (adver-   andere Gruppenidentitäten“. Bei vielen      kommt deren direkte Anwendbarkeit
tising exchanges), auf deren Plattform     der übermittelten Merkmale handelt          in Betracht. Dies gilt insbesondere für
die Werbeangebote und Werbeanfragen        es sich um sog. sensitive Daten, deren      Art. 5 Abs. 3 TK-DSRl, der für den Einsatz
zusammengeführt und die Höchstbieter       Verarbeitung grundsätzlich verboten ist     von Cookies für Werbezwecke eine Ein-
ausgewählt werden. Dann gibt es Data       und nur unter engen Voraussetzungen,        willigung verlangt. Das TMG beschreibt
Management Platforms (DMPs), die aus       im Bereich der Werbung nur durch „aus-      klare Anforderungen an die Information
verschiedenen Quellen einlaufende Da-      drückliche Einwilligung“, erlaubt wird      bzw. Anzeigen gegenüber den Betroffe-
tensätze sowohl aus den Gebotsanfragen     (Art. 9 Abs. 2 lit. a DSGVO). Die Merkma-   nen (§§ 13 Abs. 1, 4, 15 Abs. 2 S. 2 TMG),
wie aus den Werbeanfragen analysieren,     le können so dafür genutzt werden eine      die sich u. a. auf den Einsatz von Iden-
kategorisieren und zusammenführen.         Werbeanzeige vorzunehmen oder diese         tifikatoren, Datenweiterleitungen, die
Andere Plattformen organisieren die        zu verhindern.                              Einschaltung von Stellen außerhalb der
Werbung verschiedener Unternehmen             Es kommen beim RTB insbesonde-           EU und die verfolgten Zwecke beziehen
(Demand Side Platforms – DSPs), wieder     re zwei Protokolle zur Anwendung:           müssen. Hinsichtlich elektronisch erteil-

DANA • Datenschutz Nachrichten 3/2019
                                                                                                                           121
Real Time Bidding

ter Einwilligungen bestehen ebenso klare     aus. Diesen Anforderungen wird beim         ren Verlauf – soweit ersichtlich – bisher
Anforderungen (§ 13 Abs. 22, 3 TMG).         RTB nicht genügt.                           keine Sicherungsmaßnahmen etabliert
   Art. 9 Abs. 1 DSGVO verbietet die           Die Art. 13, 14 DSGVO machen es er-       sind.
Verarbeitung personenbezogener Da-           forderlich, dass die Betroffenen über         Bei RTB handelt es sich um Verarbei-
ten, aus denen die ethnische Herkunft,       Empfänger oder zumindest Kategorien         tung mit einem hohen Risiko für die
politische Meinungen, religiöse oder         von Empfängern, über die verfolgten         Rechte und Freiheiten der Betroffe-
weltanschauliche Überzeugungen her-          Zwecke, über Drittlandsübermittlungen       nen. Es erfolgt eine systematische und
vorgehen, ebenso von Gesundheitsda-          sowie über weitere Aspekte informiert       umfassende Bewertung persönlicher
ten, Daten zum Sexualleben oder zur          werden. Drittlandsübermittlungen sind       Aspekte einschließlich der umfangrei-
sexuellen Orientierung. Eine Nutzung         im Rahmen des RTB üblich, insbesonde-       chen Verarbeitung sensitiver Daten. Bei
solcher Daten für Werbezwecke ist nur        re bei Angeboten von Google sowie an-       derartigen Verfahren ist eine umfas-
ausnahmsweise erlaubt, wenn der Be-          deren US-Unternehmen. Entsprechende         sende Datenschutz-Folgenabschätzung
troffene unter Benennung der Verant-         Informationspflichten bestehen auch         (Art. 35 DSGVO) gefordert. Es ist nicht
wortlichen und des konkreten Zwecks          nach dem TMG (s. o.). Die gesetzlich        erkennbar, dass die am RTB beteiligten
„ausdrücklich einwilligt“ (Art. 9 Abs. 2     geforderte Transparenz wird beim RTB        Stellen diesen Anforderungen genügen,
lit. a DSGVO). Diese Voraussetzungen         nicht hergestellt.                          ja dass sie diese Anforderungen über-
sind beim RTB durchgängig nicht ge-            Art. 5 Abs. 2 DSGVO verlangt von den      haupt erkannt haben.
geben. So stellte das britische ICO fest,    Verantwortlichen, dass diese die Ein-
dass die Verarbeitung derartiger Daten       haltung ihrer Pflichten nach der DSGVO,     - Konsequenzen
über das RTB unzulässig ist.3                insbesondere der in Art. 5 Abs. 1 DSGVO
   Hinsichtlich der Verarbeitung von         normierten Grundsätze, nachweisen             Aus der obigen Darstellung ergibt sich
nichtsensitiven Daten gilt Art. 6 Abs. 1     können. Tatsächlich sind weder die          zwingend, dass die aktuelle RTB-Pra-
DSGVO. Zwar ist generell anerkannt,          Protokolle von Google noch die von IAB      xis unzulässig ist. Zu diesem Ergebnis
dass Werbung ein berechtigtes Interes-       Europe in der Lage, den im dem RTB-         kommt auch die britische Datenschutz-
se begründen kann (Art. 6 Abs. 1 lit. f      Ökosystem beteiligten Stellen Klarheit      aufsichtsbehörde, das ICO. Sie stellt
DSGVO). Doch muss die konkrete Verar-        über ihre Verantwortlichkeit zu geben.      fest, dass Tausende von Organisationen
beitung für den Zweck erforderlich sein.       Beim RTB erfolgt in den meisten Fäl-      jede Woche im Vereinigten Königsreich
Eine Erforderlichkeit der Übermittlung       len ein umfassendes Profiling der Be-       Milliarden von personenbezogenen
der Daten an Hunderte und mehr Emp-          troffenen. Dieses verstößt gegen Art. 22    Gebotsanfragen verbreiten ohne ange-
fänger im Rahmen einer Gebotsanfrage         DSGVO, der umfassende Sicherungs-           messene technische und organisatori-
ist für den Zweck der Werbeeinblendung       maßnahmen zugunsten der Betroffenen         sche Sicherungsmaßnahmen und ohne
nicht gegeben, so dass auch bzgl. nicht-     fordert.5 Diese sind nicht ersichtlich.     Rücksicht auf die Beschränkungen z. B.
sensitiver Merkmale der Vorgang unzu-        Selbst wenn man die Ansicht vertreten       bei Drittlandsübermittlungen.7 Die-
lässig ist, soweit nicht eine Einwilligung   würde, dass das einfache Anzeigen von       se Feststellung hat Gültigkeit für die
erteilt wird (Art. 6 Abs. 1 lit. a DSGVO).   Online-Werbung keine von Art. 22 DS-        gesamte Europäische Union (EU). Als
Hinzu kommt, dass eine Abwägung mit          GVO erfasste Entscheidung ist, handelt      Maßnahme hat das ICO bisher insbeson-
den Interessen der Betroffenen erfolgen      es sich bei den Profilingmaßnahmen,         dere vorgesehen, weitere Fakten über
muss. Eine solche Abwägung ist bisher        auf deren Grundlage RTB durchgeführt        das RTB zu sammeln. Die wesentlichen
– soweit erkennbar – in den Protokollen      wird, um unverhältnismäßige, unfaire        Beteiligten sollen gezielt angesprochen
bei Google und des IAB Europe nicht          Eingriffe in das Persönlichkeitsrecht der   und zum Dialog veranlasst werden. Da-
vorgesehen. Schließlich müsste den           Betroffenen.6                               bei ist eine enge Zusammenarbeit mit
Betroffenen eine wirksame Möglichkeit          Gemäß Art. 25 DSGVO müssen bei der        den anderen Datenschutzbehörden in
eines Widerspruchs und des Ausschlus-        Technikgestaltung die Grundsätze des        der EU angestrebt. Diese ist ohnehin
ses vom RTB gegeben werden (Art. 21          Privacy by Default und Privacy by Design    nach der kollektiven, von Civil Liberties
DSGVO, § 15 Abs. 3 TMG). Es erfolgt hie-     realisiert werden. § 13 Abs. 4 TMG ver-     koordinierten      Beschwerde-Initiative
rüber, obwohl verpflichtend vorgesehen       langt zugunsten der Nutzenden darüber       vom Juni 2019 notwendig. Das ICO kün-
(Art. 21 Abs. 2-4 DSGVO, § 15 Abs. 3         hinausgehende und konkretisierende          digte eine weitere Bestandsaufnahme
S. 2 TMG), auch keine Information. Die       Vorkehrungen. Weder bei Google noch         innerhalb von sechs Monaten an. Bis da-
technischen Voraussetzungen für eine         in den Vorgaben von IAB Europe sind         hin soll die Werbeindustrie ihr RTB-Öko-
Umsetzung von Widersprüchen sind re-         Verfahren festgelegt, mit denen diese       system selbst umfassend neu bewerten.
gelmäßig nicht vorhanden.4                   Prinzipien auch nur im Ansatz umge-         Das ICO versäumt es dabei nicht darauf
   Eine Einwilligungsnotwendigkeit ist       setzt würden. Art. 32 DSGVO verpflichtet    hinzuweisen, dass RTB nur ein Teil eines
gemäß Art. 5 Abs. 3 TK-DSRl auch in          zudem zum Ergreifen einer Vielzahl von      umfassenderen Datenschutzproblems
Bezug auf die Verarbeitung von Cookie-       Sicherheitsmaßnahmen. Diese betref-         personalisierter Online-Werbung dar-
Daten gegeben, die beim RTB weit ver-        fen nicht nur die eigene Datenverarbei-     stellt.
breitet ist. Eine Einwilligung setzt eine    tung, sondern auch den Empfang und            Angesichts der Fakten und der ver-
gewisse Bestimmtheit bzgl. der verar-        die Übermittlung von Daten. Beim RTB        nichtenden rechtlichen Bewertung ist
beiteten Daten wie der Empfänger vor-        erfolgen Übermittlungsketten, in de-        es auf den ersten Blick geradezu er-

                                                                                                DANA • Datenschutz Nachrichten 3/2019
122
Real Time Bidding

schreckend, wie defensiv das ICO mit       teiligten, insbesondere für die Betrof-      bewirken. Daher ist es nötig, auch die
seinen „Maßnahmen“ agiert. Die Mög-        fenen, Einräumung des Widerspruchs-          weiteren großen außereuropäischen
lichkeiten des Art. 58 Abs. 2 DSGVO ge-    rechts, Information der Betroffenen          und die europäischen Unternehmen in
hen bis zum Totalverbot, die des Art. 83   hierüber und über dessen technische          den Fokus zu nehmen. Hierfür ist zwei-
Abs. 6 DSGVO bis zu Bußgeldern in Höhe     Umsetzung, technisch-organisatorische        fellos noch einiges an Sachverhaltsauf-
von maximal 4% des „gesamten welt-         Vorkehrungen, die eine zweckwidrige          klärung nötig. Doch sind die Fakten
weiten erzielten Jahresumsatzes des        Datennutzung in der Verarbeitungsket-        zu eindeutig, als dass nicht sofortiges
vorangegangenen Geschäftsjahres“. Es       te wirksam verhindern. Die Erfahrungen       planvolles Vorgehen unumgänglich ist,
war bisher nicht erkennbar, dass von       mit dem Wirtschaftszweig begründen           das letztlich auf ein vollständiges Ver-
Seiten der Verantwortlichen bei Google,    die berechtigte Befürchtung, dass diese      bot dieser Vorgehensweise hinausläuft.
des IAB Europe sowie der RTB-Unter-        Zielvorgaben nicht akzeptiert werden.
nehmen konkrete Maßnahmen ergriffen        Nur wenn mit diesen Zielvorgaben und         1 Report from Dr. Johnny Ryan – Beha-
wurden oder werden, die auch nur im        einem klaren engen Zeitplan vorgegan-          vioural advertising and personal data,
                                                                                          https://brave.com/Behavioural-
Ansatz geeignet sind, rechtskonforme       gen würde, wäre es vertretbar, kurzfris-       advertising-and-personal-data.pdf;
Zustände herzustellen.                     tig die milliardenfachen Verletzungen          Übersetzung hiervon in diesem Heft
   Tatsächlich kann das Ergebnis mittel-   des Datenschutzrechtes zu tolerieren.          S. 133.
fristig nur ein völliges Verbot des RTB      Die Aufsichtsbehörden müssen sich          2 https://www.bvdw.org/glossar/.
sein. Dem könnte sich die Industrie nur    zweifellos innerhalb der EU und insbe-
                                                                                        3 Informations Commissioner´s Office
dadurch entziehen, dass sie umgehend       sondere im Europäischen Datenschutz-
                                                                                          (ICO), Update report into adtech and real
Systeme aufsetzt, bei denen das Erstei-    ausschuss zu dem Thema verständigen            time bidding, 20 June 2019, S. 16.
gern von Werbeplätzen von folgenden        (Art. 63 ff. DSGVO). Sie sollten sich aber
                                                                                        4 benso ICO S. 18.
engen Stellschrauben abhängig ge-          schon jetzt auf ein Szenario einstellen,
macht wird: Verzicht auf sensitive Merk-   das auf Verbote und höchstmögliche           5 Weichert in Däubler/Wedde/Weichert/
male oder Kategorien, Aggregierung         Geldbußen hinausläuft. Dabei ist es            Sommer, EU-Datenschutz-Grundver-
                                                                                          ordnung und BDSG-neu, 2018, Art. 22
zu Merkmalsgruppen, die das Profiling      wichtig, dass bei der Auswahl der Ad-          DSGVO Rn. 31f.
beschränken, Zulassung von maximal         ressaten die bestimmenden Unterneh-
einem Identifikator, umgehende Lösch-      men als erste in den Fokus genommen          6 ICO S. 20.
pflicht nach Abschluss des jeweiligen      werden. Dazu gehört zweifellos Google.       7 ICO S. 23.
Auktionsvorgangs, Verbot der Daten-        Datenschutz sollte und darf keine ver-
anreicherung, Transparenz für alle Be-     deckte Diskriminierung im Wettbewerb

Elisabeth Niekrenz

#FixAdTech – Verhaltenskodizes nach Artikel 40 DSGVO
für Online-Werbung

  Mit der EU-weiten Beschwerdekam-           Personalisierte Werbung wurde etwa         tive Advertisement Bureau (IAB) ver-
pagne #StopSpyingOnUs fordern die          in den letzten zehn Jahren zu einer          antwortlich, das auch das zugehörige
beteiligten Datenschutz- und Men-          bestimmenden Einnahmequelle für              Transparency and Consent Framework
schenrechtsorganisationen von den          Webseitenbetreibende, insbesondere           aufstellt. Die beteiligten Unternehmen
Datenschutzaufsichtsbehörden       die     für Presse- und sonstige Medienunter-        verstoßen in diesem Rahmen umfang-
umfassende Überprüfung eines ver-          nehmen, die Medienprodukte online            reich und systematisch gegen gelten-
breiteten Vertriebsmodells für perso-      zur Verfügung stellen und regelmäßig         des Datenschutzrecht. Für Webseiten-
nalisierte Werbung – Real Time Bid-        eine Vielzahl von Webseitenbesuchern         betreibende stehen wenige Angebote
ding. Daneben schlagen sie die Ausar-      verzeichnen. Den Vertrieb ihrer Werbe-       zum datenschutzkonformen Vertrieb
beitung von Verhaltensregeln gemäß         plätze nehmen sie nicht durch einzelne       von Werbeplätzen zur Verfügung. Die-
Art. 40 DSGVO für personalisierte Wer-     Verträge mit Werbekunden vor, sondern        se strukturellen Datenschutzverstöße
bung vor. Was macht die von der DSGVO      sie gliedern sich oftmals an eines der       sollten durch strukturelle Maßnahmen
vorgesehenen Verhaltenskodizes aus         beiden europaweit meistverbreiteten          angegangen werden. Gerade weil sich
und weshalb ist ein solcher Kodex für      Real Time Bidding-Systeme an – Google        die DSGVO auf einem hohen Abstrak-
das gesamte Feld von Online-Werbung        Authorized Buyers bzw. Open RTB. Für         tionsniveau bewegt und einiger Kon-
notwendig?                                 letzteres ist maßgeblich das Interac-        kretisierung durch die Rechtsprechung

DANA • Datenschutz Nachrichten 3/2019
                                                                                                                             123
Real Time Bidding

bedarf, sollte die europäische Werbe-        altem Recht in § 38 BDSG a.F. vorgese-      dienen, die Einhaltung von Pflichten
branche europaweit gültige Verhaltens-       hen, davon wurde in der Vergangenheit       gemäß Art. 24 Abs. 3 (Erfüllung der
regeln für die Datenverarbeitung bei         aber nur sehr eingeschränkt Gebrauch        Verantwortung), Art. 28 Abs. 5 (Ga-
Online-Werbung formulieren und diese         gemacht.3 Gemäß Art. 40 Abs. 1 DSGVO        rantien des Auftragsverarbeiters) oder
den Datenschutzaufsichtsbehörden zur         fördern die Datenschutzaufsichtsbehör-      Art. 32 Abs. 3 DSGVO (Sicherheit der
Genehmigung vorlegen. Solche Verhal-         den die Ausarbeitung von Verhaltensre-      Verarbeitung) zu belegen bzw. Nach-
tensregeln müssen freilich grundlegen-       geln, die die Verordnung für bestimmte      weiserleichterungen herbeizuführen.9
de Veränderungen der derzeit verbreite-      Wirtschaftsbereiche konkretisieren. Ih-     Sie erlangen zudem Bedeutung für eine
ten Vertriebsmodelle vornehmen.              rem Förderauftrag können die Behörden       Datenschutz-Folgenabschätzung, für
                                             etwa dadurch nachkommen, dass sie           die Übermittlung von Daten ins Aus-
Real Time Bidding: eine problemati-          Verbände zum Verfassen solcher Rege-        land und schließlich für den relevan-
sche Struktur                                lungen ermutigen und dabei beratend         ten Bereich der Bußgeldverhängung
                                             zur Seite stehen.4 So soll den Spezifika    (Art. 83 Abs. 2 lit. j DSGVO), sind also
   Das IAB stellt auf seiner Website tech-   verschiedener Branchen durch Selbstre-      durchaus geeignet, ein gewisses Mehr
nische Spezifikationen des Open RTB-         gulierung Rechnung getragen werden.5        an Rechtssicherheit im Umgang mit
Systems zur Verfügung. Der europäische       Während etwa die Zertifizierung (Art. 42    den abstrakten Bestimmungen der DS-
Ableger, das IAB Europe hat zudem am         DSGVO) konkrete Datenverarbeitungs-         GVO zu schaffen.
25.04.2018 das Transparency and Con-         vorgänge konkreter Verantwortlicher            Besonders relevant ist, dass Art. 40
sent Framework veröffentlicht.1 Es han-      betrifft, sollen mit Verhaltenskodizes      Abs. 9 DSGVO der Kommission die Mög-
delt sich um ein Regelwerk, das gewähr-      allgemeine Regeln für ganze Geschäfts-      lichkeit eröffnet, eine Allgemeingültig-
leisten soll, dass die Einwilligung zur      felder geschaffen werden.6                  keitserklärung zu erlassen. Die Folge
Datenverarbeitung, die eine Person dem         Gemäß Art. 40 Abs. 2 DSGVO können         dieser Erklärung ist in der Literatur um-
Webseitenbetreiber gewährt, für sämt-        Branchenverbände solche Regelungen          stritten. Überwiegend wird vertreten,
liche Datenweitergaben an Dritte gilt,       ausarbeiten und der zuständigen Da-         dass sie unmittelbare Wirkung für und
obgleich der ursprüngliche Verantwort-       tenschutzbehörde zur Genehmigung            gegen Jedermann entfaltet.10 Das wür-
liche die Kontrolle über die Daten voll-     vorlegen. Es handelt sich mithin um         de bedeuten, dass sämtliche Unterneh-
ständig verliert, sodass eine Informa-       eine „regulierte Selbstregulierung“: Die    men, die im geregelten Bereich arbeiten,
tion der Nutzerinnen und Nutzer über         Normen dürfen das Schutzniveau der          an diese Regelungen gebunden wären.
die weitere Verwendung und damit eine        DSGVO nicht unterschreiten.7 In einem       Demnach könnte der Branchenkodex,
informierte Einwilligung systematisch        solchen Fall müsste die zuständige Be-      wenn er von der Kommission für allge-
verunmöglicht wird.2 Wie die weiteren        hörde die Genehmigung verweigern. So-       meingültig erklärt wird, auch unmittel-
Glieder dieser Ketten Daten verarbeiten,     fern die betroffenen Datenverarbeitun-      bare Auswirkungen auf die Beteiligten
etwa an wen sie sie weitergeben oder ob      gen mehrere Mitgliedsstaaten betreffen,     an Googles proprietärem System haben.
sie Profile über Menschen erstellen, ist     gibt gemäß Art. 40 Abs. 7 DSGVO auch        So ließen sich Wettbewerbsnachteile für
unkontrollierbar. Den betroffenen Nut-       der Europäische Datenschutzausschuss        datenschutzkonform agierende Unter-
zerinnen und Nutzern ist es faktisch         (EDSA) eine Stellungnahme im Kohärenz-      nehmen vermeiden.
nicht möglich, diese Verarbeitungen          verfahren gemäß Art. 63 DSGVO ab.
nachzuvollziehen oder ihre Rechte nach         Was den Inhalt betrifft, so können alle   Fazit
der DSGVO, etwa auf Auskunft oder Lö-        Bereiche der DSGVO durch Verhaltens-
schung, gegenüber den einzelnen Ins-         kodizes konkretisiert werden. Art. 40         Von der Verletzung der Privatsphä-
tanzen geltend zu machen.                    Abs. 2 lit. h i.V.m. Art. 24 Abs. 1 DSGVO   re aller Nutzenden des Internets ganz
   Der Kontrollverlust über die Daten-       sieht dies insbesondere für technische      abgesehen, haben Fachleute aus der
verarbeitung ist durch die Protokolle        und organisatorische Maßnahmen vor,         Werbebranche die Nachteile der Ad­Tech-­
und Regelwerke der Branche nicht nur         die die Einhaltung des Datenschutz-         Industrie, die auf Tracking basiert, längst
normativ, sondern auch technisch de-         rechts sicherstellen sollen. Zwingend       dargestellt: Nicht nur büßen Werbetrei-
terminiert. Deshalb ist es nur folgerich-    müssen Regeln zur Überwachung der           bende Seriosität ein, weil viele Nutzerin-
tig, eine Überprüfung dieser Strukturen      Einhaltung des Kodex durch eine dafür       nen und Nutzer das Gefühl haben, von
zu verlangen. Es liegt an der Branche        vorgesehene Stelle vorhanden sein.          ihnen ausspioniert zu werden. Die Bran-
selbst, insbesondere am IAB Europe als         Die Mitglieder des Verbandes sind         che hat auch maßgeblich zu negativen
deren Verband, datenschutzkonforme           nicht automatisch in der Pflicht, sich      Effekten für Gesellschaft und Demokratie
Spielregeln zu schaffen und sie den Auf-     an einen Verhaltenskodex zu halten.         beigetragen: Das Geschäftsmodell schafft
sichtsbehörden zur Genehmigung vor-          Die im Einzelnen verantwortlichen           vor allem Anreize, Inhaltsangebote zu
zulegen.                                     Unternehmen können sich vielmehr            kreieren, die durch aufsehenerregende
                                             freiwillig zur Einhaltung verpflichten.     Überschriften häufig aufgerufen werden
Verhaltenskodizes nach Art 40 DSGVO          Dies bewirkt zwar nicht per se, dass        und schafft damit eine materielle Vor-
                                             sämtliche darauf basierenden Daten-         aussetzung von Klickbaiting und Fake
  Die Genehmigung von Selbstregulie-         verarbeitungen rechtmäßig sind.8 Die        News.11 Inwiefern datenschutzkonforme
rungsinstrumenten war bereits nach           Selbstverpflichtung kann aber dazu          Formen personalisierter Werbung mög-

                                                                                                 DANA • Datenschutz Nachrichten 3/2019
124
Real Time Bidding

lich sind könnte die Branche – durch die     der Kodex von der Kommission für allge-     8 Jungkind, BeckOK Datenschutz-
Aufsichtsbehörden beraten – erarbeiten.      mein gültig erklärt werden würde.             recht, Wolff/Brink 28. Edition Stand:
Solange personalisierte Werbung darauf                                                     01.02.2019 Art. 40.
basiert, das Surfverhalten von Personen      1 Abrufbar unter https://iabeurope.eu/      9 Lepperhoff, Gola, Datenschutz-Grundver-
an eine Vielzahl von Unternehmen zu            tcfdocuments/documents/legal/               ordnung 2. Auflage 2018, Art. 40 Rn 5.
                                               currenttcftncFINAL.pdf.
übermitteln, ist dies jedenfalls nicht ge-                                               10 Vgl. Wolff, Verhaltensregeln nach
währleistet.                                 2 Rn. 11, 12 des Beschwerdetextes.             Art. 40 DSGVO auf dem Prüfstand, ZD
   Neben der Verhängung von Bußgel-          3 Wolff, Verhaltensregeln nach Art. 40         2017, 151, 153.Vgl. zum Streitstand
dern gegenüber einzelnen Verantwort-           DSGVO auf dem Prüfstand, ZD 2017, 151.       Jungkind, BeckOK Datenschutz-
                                                                                            recht, Wolff/Brink 28. Edition Stand:
lichen, die durch Abschreckung Wir-          4 Ebd.                                         01.02.2019 Art. 40 Rn. 32.
kung auf die gesamte Branche entfalten       5 Lepperhoff, Gola, Datenschutz-Grundver-   11 Vgl. etwa: Doc Searl‘s Webblog: GDPR
können, aber nicht müssen, würde die           ordnung 2. Auflage 2018, Art. 40 Rn 1.       will pop the adtech bubble, 12.05.2018,
Erarbeitung eines Verhaltenskodexes          6 Jungkind, BeckOK Datenschutz-                abrufbar unter: https://blogs.harvard.
mit einer Veränderung der entsprechen-         recht, Wolff/Brink 28. Edition Stand:        edu/doc/2018/05/12/gdpr/.
den Protokolle für einen grundlegenden         01.02.2019 Art. 40 Rn 6.
Wandel der Branchenpraktiken auf ei-         7 Lepperhoff, Gola, Datenschutz-Grundver-
nen Schlag sorgen, insbesondere, wenn          ordnung 2. Auflage 2018, Art. 40 Rn 1.

Digitale Gesellschaft e. V./Netzwerk Datenschutzexpertise/Deutsche Vereinigung
für Datenschutz e. V./Digitalcourage e. V.

Beschwerde bei den deutschen Datenschutz-
Aufsichtsbehörden wegen VERHALTENSBASIERTER
WERBUNG im Internet
und Aufforderung, hierzu Datenschutzleitlinien zu erarbeiten und zu veröffentlichen

A. Einführung & Zweck                          Gründung 1977 als gemeinnütziger          3 Es gibt zwei Hauptsysteme, die der
                                               Verein die Interessen der verdateten      verhaltensbasierten   Online-Werbung
1 Wir erheben in Absprache mit weite-          BürgerInnen wahr.                         zugrunde liegen, die beide nach einer
ren Organisationen in Europa die unten                                                   Spezifikation namens „Real Time Bid-
stehende Beschwerde. Wer wir sind:           • Digitalcourage e. V. ist ein Zusam-       ding“ (RTB) arbeiten:
                                               menschluss von Menschen, die Tech-
• Die Digitale Gesellschaft e.V. ist ein       nik und Politik mit dem Ziel der Ver-     • OpenRTB wird von praktisch jedem
  gemeinnütziger Verein, der sich seit         wirklichung von Grundrechten und            bedeutenden Unternehmen in der
  seiner Gründung im Jahr 2010 für             Datenschutz kritisch erkunden und           Online-Medien- und Werbebranche
  Grundrechte und Verbraucherschutz            menschenwürdig gestalten wollen.            verwendet.
  im digitalen Raum einsetzt.
                                             2 Der Zweck der vorliegenden Beschwer-      • „Authorized Buyers” ist Googles pro-
• Das Netzwerk Datenschutzexpertise          de ist es, die deutschen Datenschutz-         prietäres RTB-System, das vor Kurzem
  ist ein Zusammenschluss von Daten-         aufsichtsbehörden um Maßnahmen zu             von „DoubleClick Ad Exchange“ (kurz
  schutzexpertInnen mit dem Ziel, öf-        bitten, welche den Einzelnen bzw. die         „AdX“) in „Authorized Buyers“ umbe-
  fentliche Diskussionen über Fragen         Menschen allgemein vor weitreichenden         nannt wurde.
  des Datenschutzes sowie generell des       und systematischen Datenschutzverstö-
  Schutzes von Menschenrechten und           ßen durch Google und andere Internet-       4 Beide Systeme dienen dazu, perso-
  Grundrechten in der digitalen Welt zu      Unternehmen der Branche schützen.           nalisierte Werbung auf Websites bereit-
  initiieren und voranzubringen.             Die Beschwerde hat als Grundlage die        zustellen. Wie im Ryan-Bericht darge-
                                             Stellungnahme von Dr. Johnny Ryan           stellt, werden „jedes Mal, wenn eine
• Die Deutsche Vereinigung für Daten-        (Ryan-Bericht).1                            Person auf eine Webseite geht, die au-
  schutz e. V. (DVD) nimmt seit ihrer                                                    tomatisierte Werbung nutzt, und diese

DANA • Datenschutz Nachrichten 3/2019
                                                                                                                               125
Real Time Bidding

herunterlädt, persönliche Daten über       tung personenbezogener Daten und             i Überprüfen Sie die detaillierten Be-
sie an Dutzende – oder gar Hunderte –      der Informationsaustausch im Rahmen            schwerdegründe, die hier und im
von Firmen übertragen“.                    der personalisierten Werbung durchge-          Ryan-Bericht aufgeführt werden,
                                           führt werden. Eine Verarbeitung ohne           und leiten Sie eine Untersuchung
5 Es gibt drei zentrale, miteinander zu-   ausreichende Sicherheitsvorkehrungen           der speziellen Probleme in Bezug
sammenhängende Gründe für erhebli-         ist mit den Datenschutzbestimmungen            auf die Branche für verhaltensori-
che Datenschutzbedenken beim Einsatz       nicht vereinbar.                               entierte Werbung ein. Um gegen sie
von verhaltensbasierter Internetwer-                                                      vorgehen zu können, ist es wichtig,
bung.                                      Drittens Die Verarbeitung betrifft sehr        die systematische Natur der in diesen
                                           oft besondere Kategorien personenbe-           Beschwerden aufgeführten Verstöße
Erstens Die Branche begann ursprüng-       zogener Daten (Art. 9 Abs. 1 DS-GVO).          anzuerkennen.
lich damit, personalisierte Werbung zu     Die besuchten Webseiten können Indi-
unterstützen. Inzwischen führt dies zu     katoren enthalten, die über Sexualität,      ii Leiten Sie eine breit angelegte Unter-
einer Übertragung von Massendaten,         Ethnizität, politische Meinungen etc.           suchung zu den Datenschutzprakti-
die                                        Auskunft geben. Solche Aussagen, die            ken der Branche ein. Wir fordern die
                                           als sensitive Daten anzusehen sind,             Datenschutzaufsichtsbehörden auf,
a ein breites Spektrum an Informati-       können explizit erfolgen oder effektiv          ihre Befugnisse nach Kapitel VII der
  onen über Einzelpersonen umfasst,        und leicht mit hoher Genauigkeit un-            Europäischen Datenschutz-Grund-
  welches weit über den Bereich der In-    ter Verwendung moderner analytischer            verordnung (DS-GVO) auszuüben,
  formationen hinausgeht, der für die      Techniken abgeleitet werden.2 RTB er-           um in Zusammenarbeit mit anderen
  Bereitstellung der relevanten Anzei-     folgt in Echtzeit, was zur Folge hat, dass      Datenschutzbehörden eine gemein-
  gen erforderlich ist, und                solche sensitiven Daten ohne jegliches          same Untersuchung der genannten
                                           Einverständnis und ohne jegliche Kon-           Geschäftspraktiken durchzuführen.
b einer Vielzahl von Dritten für eine      trolle verbreitet werden können. Da sol-        Wie im Folgenden näher ausgeführt,
  Reihe von Anwendungen zur Verfü-         che Daten mit sehr hoher Wahrschein-            wurden entsprechende Beschwerden
  gung gestellt werden, die weit über      lichkeit an zahlreiche Organisationen           bereits bei Datenschutzbehörden
  die Zwecke hinausgehen, welche eine      weitergegeben werden, die diese Daten           anderer EU-Mitgliedstaaten einge-
  betroffene Person verstehen kann         wiederum mit anderen Daten verknüp-             reicht.
  und in die sie einwilligen oder gegen    fen, können extrem komplexe Profile
  die sie Widerspruch einlegen kann.       von Personen erstellt werden, ohne dass      iii Darüber hinaus ersuchen wir die Da-
  Es gibt keine rechtliche Grundlage für   die betroffene Person davon Kenntnis             tenschutzaufsichtsbehörden, die in
  eine solche allgegenwärtige und inva-    hat, geschweige denn ihr Einverständ-            dieser Beschwerde aufgeführten sys-
  sive Profilerstellung und Verarbeitung   nis gegeben hätte. Die Industrie fördert         tematischen und weit verbreiteten
  personenbezogener Daten aus Profit-      diese Praxis und verzichtet auf adäqua-          Probleme und Bedenken gemäß de-
  gründen (Art. 22 Datenschutz-Grund-      te Sicherheitsmechanismen, welche die            ren gesetzlichen Auftrag nach § 40
  verordnung – DS-GVO).                    Integrität der persönlichen Daten und            Bundesdatenschutzgesetz          (BDSG)
                                           auch solcher besonderer Kategorien ge-           zu untersuchen und eine Bewertung
Zweitens Der praktizierte Mechanismus      währleisten könnten. Darüber hinaus ist          durchzuführen, ob die Branche die ein-
der Branche ermöglicht es nicht, die       es unwahrscheinlich, dass Einzelperso-           schlägigen Datenschutzvorschriften
Kontrolle über die Verbreitung perso-      nen wissen, dass ihre persönlichen Da-           einhält. Darüber hinaus fordern wir die
nenbezogener Daten nach deren Über-        ten auf diese Weise verbreitet und über-         Datenschutzaufsichtsbehörden auf, im
tragung (bzw. überhaupt) zu behalten.      tragen wurden, es sein denn, sie sind            Rahmen ihres Ermessens eine gemein-
Die schiere Anzahl der Empfänger sol-      aus einem speziellen Grund in der Lage,          same Prüfung der Branche vorzuneh-
cher Daten führt dazu, dass die Sender     bei einer Vielzahl von Unternehmen er-           men und geeignete Verhaltensregeln
weder ihre unbefugte Weiterverarbei-       folgreiche Anträge auf Zugang zu per-            / Empfehlungen in Anlehnung an Art.
tung verhindern, noch die betroffenen      sönlichen Daten zu stellen.3 Es ist nicht        57 Abs. 1 lit. g, h DS-GVO zu erarbeiten
Personen über die Empfänger der Daten      zu erkennen, dass diese Unternehmen              und, falls erforderlich, Durchsetzungs-
ordnungsgemäß informieren können.          solchen Anfragen nachgekommen sind               maßnahmen zu ergreifen.
Die rechtskonforme Verarbeitung der        und dass dies nachweisbar wäre. Ohne
personenbezogenen Daten kann nicht         Maßnahmen der Regulierungsbehörden           7 Die von den Datenschutzaufsichtsbe-
mehr gewährleistet werden, wenn die-       ist es nicht möglich, die branchenweite      hörden geforderten Maßnahmen sind in
se einmal weitergegeben worden sind.       Einhaltung der Datenschutzbestimmun-         den nachstehenden Ziffern 48 - 53 aus-
Die technischen und organisatorischen      gen sicherzustellen.                         führlich beschrieben.
Sicherheitsvorkehrungen, die getroffen
wurden, bestätigen, dass Datenschutz-      6 Angesichts dieser anhaltenden Verstö-      B. Hintergrund
verletzungen dem Design der Branche        ße gegen die einschlägigen Vorschriften
inhärent sind. Dieses Problem besteht      und Gesetze werden die Datenschutzauf-       8 Der Hintergrund der Branche ist in
unabhängig davon, ob die Verarbei-         sichtsbehörden um Folgendes ersucht:         dem beigefügten Bericht von Dr. Ryan

                                                                                                DANA • Datenschutz Nachrichten 3/2019
126
Real Time Bidding

(Ryan-Bericht) dargestellt. Wir ver-        12 Diese Daten werden dann an ein            über eine Rechtsgrundlage für die Ver-
weisen die Datenschutzaufsichtsbe-          umfangreiches Ökosystem von Data             arbeitung der personenbezogenen Da-
hörden für eine detaillierte Erklärung      Brokern und Werbetreibenden wei-             ten verfügt. Hat oder erhält ein Anbieter
zur Branche, zu deren Vorgehensweise        tergegeben. Diese Dritten können die         personenbezogene Daten und liegt keine
und zu den dem System innewohnen-           Daten dann nach eigenem Ermessen             Rechtsgrundlage für den Zugang zu die-
den Datenschutzbelangen auf diesen          verwenden, wobei die Betroffenen als         sen Daten und deren Verarbeitung vor,
Bericht.                                    die „Datensubjekte“ keinerlei Mitspra-       sollte der Verkäufer die Erhebung und
                                            che, Kenntnis oder Kontrolle über diese      Speicherung der Daten schnellstmöglich
C. Richtlinien und Verfahren                nachfolgende Nutzung haben. Die An-          einstellen und von einer Datenweitergabe
                                            wendungen für diese Daten sind um-           an andere Parteien auch dann absehen,
9 Die Unternehmen sind in einem Bran-       fangreich; sie können mit anderen Da-        wenn diese Parteien eine Rechtsgrundla-
chenverband zusammengeschlossen,            ten zusammengeführt werden oder die          ge haben.“
der Parameter und Anwendungsmuster          Daten können verwendet werden, um
festlegt: das Interactive Advertising Bu-   für viele unterschiedliche Zwecke ein        15 Denjenigen, die personenbezogene
reau (IAB). Die europäische Niederlas-      Profil der betroffenen Person zu erstel-     Daten übertragen, wird folglich ein Er-
sung des IAB, IAB Europe, hat mit der       len. Die letztliche Verwendung dieser        messensspielraum eingeräumt, ob eine
„Industry Standard Policy“ Verhaltens-      Daten kann daher Bereiche umfassen,          „gerechtfertigte Grundlage für die An-
regeln und standardisierte Vorgehens-       die vom ursprünglich Verantwortlichen        nahme besteht, dass der Verkäufer über
weisen für Europa festgelegt. Wegen         in seiner Interaktion mit dem Kunden         eine Rechtsgrundlage für die Verarbei-
der marktbeherrschenden Stellung von        nicht erwähnt wurden. Solche Endver-         tung personenbezogener Daten ver-
Google handelt dieses Unternehmen mit       wendungen können für die betroffenen         fügt“. Im Umkehrschluss kann also die
Authorized Buyers nach eigenen Verfah-      Personen bedenklich sein, wenn sie           Einwilligungseinstellung einer betroffe-
ren und Vorgehensweisen. Wir gehen          überhaupt davon Kenntnis erlangen.6          nen Person umgangen werden. Der An-
nacheinander auf beides ein.                Tatsächlich gibt es keine Möglichkeit        bieter kann auf einer nicht näher spezi-
                                            für den Verantwortlichen, alle mögli-        fizierten „gerechtfertigten Grundlage“
i. IAB Europe                               chen Endanwendungen zu erwähnen,             seinen Ermessensspielraum nutzen, um
                                            da diese nach der Übertragung der Da-        festzustellen, dass es einen rechtmä-
10 IAB Europe hat das „Europe Transpa-      ten nicht mehr in seiner Macht stehen.       ßigen Grund gibt, personenbezogene
rency & Consent Framework“ geschaffen       Dieses Problem ist dem Design der Bran-      Daten an Dritte weiterzugeben, auch
(Framework).4 Dieser Rahmen basiert         che inhärent.                                wenn eine Person die Zustimmung aus-
auf der Idee, im Verlauf des RTB-Prozes-                                                 drücklich verweigert hat. Das gesamte
ses die Einwilligung von einer betroffe-    13 Darüber hinaus können die zu verar-       System stützt sich also auf das Ermessen
nen Person für alle späteren Datenwei-      beitenden Daten, wie im Bericht von Dr.      und die Beurteilung des Anbieters auf
tergaben an Dritte einzuholen.              Ryan beschrieben, besondere Kategori-        Grundlage vager Begriffe mit unklar de-
                                            en personenbezogener Daten, sog. sen-        finierten Parametern und beruht nicht
11 Mit dem Design des Systems ist ein       sitive Daten, enthalten. Dass solche Da-     auf den Wünschen, der Kenntnisnahme
grundlegender Fehler verbunden. Das         ten ohne jegliche Kontrolle weitergege-      oder der Zustimmung des Betroffenen.
Framework erkennt ausdrücklich an,          ben werden, ist äußerst problematisch.
dass der für die Datenverarbeitung                                                       16 Zusammenfassend lässt sich sagen,
Verantwortliche, der „data controller“      14 Ein weiteres Problem dieses Frame-        dass das Framework dem Verkäufer ei-
(und damit auch die betroffene Per-         works liegt darin, dass es darauf abzielt,   nen Ermessensspielraum einräumt,
son), unmittelbar jede Kontrolle über       die Kontrolle über personenbezogene          anstatt die Position des Betroffenen
die Verwendung dieser Daten verliert,       Daten nach deren Übertragung zu be-          zu berücksichtigen. Dies steht im Wi-
sobald die Daten einer natürlichen Per-     seitigen. Das Framework geht davon           derspruch zu den gesetzlichen Anfor-
son übertragen wurden. Tatsächlich ak-      aus, dass diejenigen, die solche per-        derungen der DS-GVO. Das Framework
zeptiert das Framework, dass selbst für     sonenbezogenen Daten verbreiten, sie         versucht eine fiktive Zustimmung zu
den Fall, dass ein Empfänger von Daten      auch ohne Einwilligung der Betroffenen       konstruieren, wobei sich die Verfasser
gegen Gesetze verstößt, diesem Emp-         an Dritte weitergeben.                       darüber im Klaren sind, dass eine tat-
fänger weiterhin Daten zur Verfügung                                                     sächliche Zustimmung schwer zu er-
gestellt werden dürfen.5 Durch den Ver-     Das Framework besagt (Betonung nicht         reichen ist. Angesichts der möglichen
zicht der „data controller“ auf die Kon-    im Original): „Ein Anbieter kann sich        Verarbeitung von besonderen Katego-
trolle verzichtet die Branche insgesamt     aus einem beliebigen Grund dafür ent-        rien personenbezogener Daten ist es
darauf, den Anschein eines Mechanis-        scheiden, keine Daten an einen anderen       durchaus verständlich, dass versucht
mus aufrechtzuerhalten, in dem es eine      Anbieter zu übermitteln, aber ein Anbie-     wird, den Anbietern eine Form der Er-
Rolle spielt, wie die Daten verwendet       ter darf keine Daten an einen anderen        messensfreiheit einzuräumen. Bedauer-
werden. Einmal abgegeben, ist die Kon-      Anbieter übermitteln, ohne dass eine         licherweise ist das Ergebnis nicht mehr
trolle über diese Daten im Äther des Da-    gerechtfertigte Grundlage für die            als ein Feigenblatt hinsichtlich der
tenhandels für immer verloren.              An­nahme vorliegt, dass der Verkäufer        Rechte der einzelnen Personen an ihren

DANA • Datenschutz Nachrichten 3/2019
                                                                                                                            127
Real Time Bidding

Daten. Es gibt keine plausible Lesart des     verbinden; oder (iii) Rate Card Daten in     20 Der zitierte Abschnitt legt nahe,
Frameworks, welche die individuellen          irgendeiner Form, einschließlich aber        dass Authorized Buyer, sobald die per-
Rechte angemessen berücksichtigt und          nicht beschränkt auf Zusammenfassun-         sonenbezogenen Daten an einen Käufer
schützt.                                      gen, mit Dritten teilen.                     übermittelt werden, keine wirksame
                                                                                           Kontrolle mehr darüber hat, wie die-
17 Wir stellen fest, dass IAB Europe          Datenschutz                                  se Daten verwendet werden. Vielmehr
kürzlich eine Presseerklärung veröffent-                                                   wird akzeptiert, dass der Dritte (Käufer)
licht hat, in der eine Überarbeitung des      Wenn [der] Käufer auf von Google zur         befugt und in der Lage ist, diese Daten
Frameworks angekündigt wird. Diese            Verfügung gestellte personenbezogene         zu verwenden. Die einzigen Beschrän-
Vorschläge werden aber nicht konkreti-        Daten, die eine Person direkt oder indi-     kungen sind vertraglicher Natur und es
siert und die Ausführungen adressieren        rekt identifizieren und die ihren Ursprung   ist unklar, inwieweit diese tatsächlich
nicht die bestehenden Bedenken. Viel-         im Europäischen Wirtschaftsraum haben        durchgesetzt werden oder werden könn-
mehr weist die Presseerklärung darauf         („persönliche Daten“), zugreift, sie ver-    ten. Das Gleiche gilt für die „Google Ads
hin, dass es ein geeigneter Zeitpunkt         wendet oder verarbeitet, gilt folgendes      Controller-Controller Data Protection
für die Aufsichtsbehörden wäre, die ge-       für [den] Käufer:                            Terms“ von Google.8
samte Branche zu überprüfen, um eine
konsistente und datenschutzkonforme           • alle Datenschutz-, Datensicherheits-       21 Darüber hinaus werden sogar die
Praxis zu erreichen.                            und Privatsphäregesetze, Richtlinien,      auferlegten Einschränkungen ausge-
                                                Verordnungen und Regeln unter allen        höhlt. Zum Beispiel wird aus der Guide-
ii. Authorized Buyers                           anwendbaren Gerichtsbarkeiten sind         line nicht klar, welche Einschränkungen
                                                einzuhalten;                               einem erfolgreichen Bieter auferlegt
18 Für Authorized Buyers gelten eine                                                       werden, denn die Einschränkungen gel-
„Richtlinie“ (guideline)7 und Geschäfts-      • Zugriff und Nutzung personenbezoge-        ten für erfolglose Bieter:
bedingungen (terms of business). Die            ner Daten ist nur für Zwecke gestattet,
Richtlinie stößt auf eine Reihe von Be-         die mit der gegebenen Einwilligung der     Außer wenn [der] Käufer [die Auktion
denken.                                         Person konform sind, deren personen-       für] einen bestimmten Seitenaufruf ge-
                                                bezogene Daten übermittelt wurden;         winnt, ist Folgendes nicht erlaubt: („Un-
19 Die Richtlinie verlagert die Verant-                                                    less buyer wins a given impression, it
wortung für den Datenschutz vom „Data         • Geeignete organisatorische und tech-       must not …“).
Controller“ auf Dritte, nämlich diejeni-        nische Maßnahmen zum Schutz der
gen, welche die Daten erhalten. So wird         Mitarbeiter sind zu ergreifen, um die      Das offensichtliche Fehlen von Kontrol-
in der Richtlinie Folgendes ausgeführt:         personenbezogenen Daten gegen Ver-         le gibt Anlass zu ernsthaften Bedenken
                                                lust, Missbrauch und unbefugten oder       hinsichtlich der technischen und orga-
RTB Callout Data Restriction                    rechtswidrigen Zugriff, Offenlegung,       nisatorischen Sicherheit der relevanten
                                                Änderung und Vernichtung zu schüt-         Daten.
Zur Auswertung von Seitenaufrufen und           zen; und
von Angeboten auf Basis von Benutzerda-                                                    22 Darüber hinaus hängt die Wirksam-
ten, die [der Käufer] zuvor erhalten hat,     • es muss das gleiche Schutzniveau ge-       keit der Datenschutzpolitik allein von
kann [dieser] die verschlüsselte Cookie-        boten werden, wie es die EU-US-Daten-      den Dritten ab, die Authorized Buyer-
ID und die mobile Werbekennung spei-            schutzrichtlinie (EU-US Privacy Shield     Verletzungen freiwillig melden sollen.
chern. Alle anderen Callout-Daten mit           Principles) vorschreibt.                   Es gibt keine ausreichenden techni-
Ausnahme von Positionsdaten können                                                         schen Maßnahmen zum Schutz perso-
vom Käufer nach der Beantwortung eines        [Der] Käufer wird [die] Einhaltung dieser    nenbezogener Daten.
Anzeigenaufrufs und nur zum Zweck der         Verpflichtung regelmäßig überwachen
Vorhersage der Verfügbarkeit von Lager-       und hat Google unverzüglich schriftlich      D. Die Probleme: Rechtliche Beden-
beständen durch das Authorized Buyers         zu benachrichtigen, wenn [der] Käufer        ken bezüglich Framework und Gui-
Program gespeichert werden. [Der] Käu-        nicht mehr in der Lage ist, dieser Ver-      delines
fer darf die Callout-Daten nur für die Dau-   pflichtung nachzukommen (oder wenn
er, die zur Erfüllung der oben genannten      es ein erhebliches Risiko gibt, dass [der]   23 Der oben dargestellte Hintergrund
Zwecke erforderlich ist, und in keinem        Käufer dieser Verpflichtung nicht mehr       verdeutlicht, dass die Verarbeitung durch
Fall länger als 18 Monate aufbewahren.        nachkommen kann) und in solchen              die Branche ein erhebliches Risiko für
Außer wenn [der] Käufer [die Auktion          Fällen wird [der] Käufer entweder die        anhaltende Verstöße gegen das Daten-
für] einen bestimmten Seitenaufruf ge-        Verarbeitung personenbezogener Daten         schutzrecht und insbesondere gegen die
winnt, ist folgendes nicht erlaubt: (i)       einstellen oder unverzüglich andere an-      DS-GVO birgt. Datenschutzaufsichtsbe-
Callout-Daten verwenden um mit diesem         gemessene und geeignete Maßnahmen            hörden berücksichtigen normative Rah-
Seitenaufruf Benutzerlisten oder Benut-       zur Behebung der Probleme, die einem         men wie Branchen-Frameworks, wenn
zerprofile zu erstellen; (ii) Callout-Daten   angemessenen Schutzniveau im Wege            es darum geht zu entscheiden, ob regu-
für diesen Seitenaufruf mit Daten Dritter     stehen, ergreifen.                           latorische Maßnahmen ergriffen werden

                                                                                                  DANA • Datenschutz Nachrichten 3/2019
128
Sie können auch lesen