Die Studie des Norwegian Consumer Council (NCC)
Was hat die Studie der norwegischen Verbraucherorganisation (Norwegischer Verbraucherrat) gezeigt?
Wenn wir Apps auf unseren Handys verwenden, sammeln Hunderte von Unternehmen eine Menge Informationen über uns, einschließlich darüber, wer wir sind, wohin wir gehen und was uns gefällt. Diese Informationen werden gesammelt und zu umfassenden Profilen zusammengestellt, um uns mit Werbung und anderen maßgeschneiderten Botschaften anzusprechen. Darüber hinaus können Unternehmen diese Profile an unzählige andere Unternehmen verkaufen oder auf andere Weise teilen. Das bedeutet, unsere persönlichen Informationen werden weit verbreitet und mit wenig oder gar keiner Kontrolle verwendet.
Warum ist das wichtig?
- Targeted advertising bzw gezielte Werbung kann unsere innersten Geheimnisse ausnutzen und uns in unseren verwundbarsten Momenten erreichen. Dies kann für ausbeuterische Zwecke verwendet werden, die unsere Schwächen ausnutzen.
- Durch die Segmentierung und gezielte Ansprache von Verbraucher/innen wird es auch unmöglich zu verstehen, ob wir von Angeboten diskriminiert oder ausgeschlossen werden. Wenn jede/r unterschiedliche Botschaften erhält, kann dies nahezu unmöglich überwacht werden.
- Die von diesen Unternehmen gesammelten Daten werden nicht nur für gezielte Werbung verwendet, sondern unter Umständen auch für andere Zwecke, darunter Diskriminierung, Ausschluss von Diensten, und eine algorithmische Entscheidungsfindung, die unsere Menschenrechte bedroht und unser Leben in erheblichem Maße beeinträchtigen kann. Ein viel beachtetes Beispiel dafür ist die datengesteuerte Wahlmanipulation wie im Cambridge Analytica-Skandal.
- Die weite Verbreitung personenbezogener Daten führt auch zu erheblichen Sicherheitsbedenken. Wenn große Mengen personenbezogener Daten auf viele Akteur/innen verteilt werden, steigt die Wahrscheinlichkeit eines Datenverstoßes.
Rechtliche Aspekte
Gegen welche Unternehmen reichen VerbraucherschützerInnen, wie der norwegische Verbraucherrat (NCC) Beschwerden ein?
NCC reichte formale Beschwerden wegen Datenschutzverstößen gegen die (bi/gay)Dating-App Grindr, sowie gegen fünf Adtech-Unternehmen ein, die über diese App personenbezogene Daten erhalten haben: Twitters MoPub, AT & Ts AppNexus, OpenX, AdColony und Smaato.
Warum diese Firmen?
Der technische Test von Mnemonic hat ergeben, dass diese Unternehmen alle personenbezogene Daten von der Grindr-App erhalten haben. Es handelt sich dabei um große Akteure in der Adtech-Branche, und ihre Geschäftspraktiken können als repräsentativ für die Branche insgesamt angesehen werden.
Welche Rolle spielen diese Firmen?
Grindr ist eine äußerst beliebte Gay/Bi-Dating-App mit mehr als 10 Millionen Downloads im Google Play Store. Obwohl sie im Besitz der chinesischen Firma Kunlun ist, hat Grindr ihren Hauptsitz in den USA. Der Dienst ist ortsabhängig und zeigt Benutzer/innen mögliche matches in ihrer jeweiligenUmgebung an. Bei den technischen Tests wurde beobachtet, dass Grindr mit vielen Adtech-Unternehmen personenbezogene Daten austauscht, vermutlich als Teil der gezielten Werbung in der App. Das Unternehmen hat seinen europäischen Hauptsitz in Irland. https://www.grindr.com/
MoPub ist die Adtech-Tochter von Twitter und bietet eine Vermittlungsplattform für Werbung für Apps. In Grindr etwa erleichtert MoPub die Anzeigenschaltung in einer App. MoPub empfängt eine Menge Daten selbst, die es an andere Adtech-Unternehmen weiterleitet, die Anzeigen schalten möchten, wie AppNexus und OpenX. Während der technischen Tests erhielt MoPub den GPS-Standort, die Werbe-ID und mehr, die es an andere Unternehmen weitergab. MoPub listet auf seiner Website mehr als 160 Partnerunternehmen auf, denen es mitteilt, dass es die Daten, mit denen sie sammeln, teilen darf. Der europäische Hauptsitz von Twitter MoPub befindet sich in Irland. https://www.mopub.com/
AppNexus gehört dem großen US-Telekommunikationsanbieter AT & T und bietet einen „Werbemarktplatz“. Es funktioniert sowohl auf mobilen Apps als auch auf Websites und ermöglicht es Herausgebern, Werbeflächen über ihre Gebotsplattform an Werbetreibende zu verkaufen. Mit der AppNexus-Plattform können auch andere Unternehmen Verbraucherdaten kaufen oder verkaufen, um gezielte Werbung zu schalten. Beim Testen von Grindr wurde beobachtet, dass AppNexus die Kombination aus Werbe-ID und IP-Adresse über MoPub erhielt. Auf diese Weise kann das Unternehmen Verbraucher/innen geräteübergreifend verfolgen. Gemäß seiner Datenschutzrichtlinie kann AppNexus (auf „Anweisung seiner Kunden“) Verbraucherdaten mit seinen mehr als 4000 Drittanbietern teilen. AppNexus scheint kein europäisches Hauptquartier zu haben, hat aber seinen Sitz in New York. https://www.appnexus.com/
OpenX betreibt eine Anzeigenbörse, über die andere Adtech-Unternehmen Angebote für die Schaltung von Anzeigen an Verbraucher/innen abgeben können. Eigenangaben des Unternehmens zufolge, erreicht es allein in den USA mehr als 240 Millionen Verbraucher/innen, und zeichnet es täglich 4,5 Billionen Datenereignisse auf. Während des Grindr-Tests wurde festgestellt, dass OpenX über MoPub den GPS-Standort, die Werbe-ID und eine Reihe von Stichwörtern, darunter "gay" und "bi", erhielt. OpenX hat mehr als 1600 Herausgeber/innen- und Werbe-Partner/innen, mit denen OpenX möglicherweise Kundendaten über seine Plattform austauscht. OpenX scheint kein europäisches Hauptquartier zu haben, hat aber seinen Sitz in Kalifornien. https://www.openx.com/
AdColony ist ein Unternehmen für mobile Werbung, das nach eigenen Angaben mehr als 1,5 Milliarden Verbraucher/innen erreicht. Es sammelt Verbraucherdaten direkt von einer sehr großen Anzahl von Apps („ein marktführender SDK-Footprint in den Top-1000-Apps“) und von verschiedenen Drittanbietern, um Profile zu erstellen, die für gezielte Werbung verwendet werden. AdColony betreibt auch eine Echtzeit-Gebotsplattform, mit der andere Adtech-Unternehmen auf Werbeflächen bieten können. Beim Testen von Grindr wurde beobachtet, dass AdColony über eine direkte Integration in die Grindr-App GPS-Standort, Werbe-ID und mehr erhielt. Der europäische Hauptsitz befindet sich in Deutschland. https://www.adcolony.com/
Smaato bietet eine mobile Werbeplattform, mit der Werbetreibende auf Werbeflächen bieten können, und verbindet Apps mit weiteren Werbenetzwerken. Es gibt an, mit mehr als 90.000 Apps zusammenzuarbeiten, um Werbetreibenden den Zugang zu mehr als 1 Milliarde Verbraucher/innen zu ermöglichen. Smaato gibt an, dass es Verbraucherdaten mit seinen mehr als 1000 Werbepartner/innen teilen darf. Während des Grindr-Tests wurde beobachtet, dass Smaato den GPS-Standort, die Werbe-ID und mehr durch eine direkte Integration in die Grindr-App erhielt. Innerhalb von 30 Minuten gingen mehr als 90 Anfragen von Grindr ein. Das Unternehmen hat seinen europäischen Hauptsitz in Deutschland. https://www.smaato.com/
Inwiefern verstoßen diese Firmen gegen das Gesetz?
- Laut der rechtlichen Analyse durch noyb verstoßen diese Unternehmen alle gegen die DSGVO. Sie verfügen über keine gültige Rechtsgrundlage, um die personenbezogenen Daten, die sie nach den Beobachtungen des technischen Tests erhalten haben, zu verarbeiten und weiterzugeben.
- Erstens beruht die Datenerhebung und -nutzung, an der sie beteiligt sind, nicht auf einer rechtsgültigen Einwilligung der Nutzer/innen im Sinne von Art 7 DSGVO. Benutzer/innen haben keine Ahnung, dass die Unternehmen überhaupt existieren, und können daher keine informierten Entscheidungen treffen.
- Zweitens können diese Unternehmen kein berechtigtes Interesse gem Art 6 DSGVO geltend machen. Wegen des umfassenden Datentracking und den daraus resultierenden Datenschutzverletzungen überwiegen die Rechte und Freiheiten der Einzelnen gegenüber den berechtigten Interessen, die die Unternehmen möglicherweise geltend machen.
Heißt das, die DSGVO funktioniert nicht?
Die DSGVO hat das europäische Datenschutzrecht gestärkt und erhebliche Geldbußen für Verstöße eingeführt. Eine wirksame Durchsetzung ist jedoch nach wie vor eine Herausforderung in ganz Europa. Ohne Durchsetzung scheinen viele Unternehmen die Vorschriften nicht zu respektieren. Mit dieser Kampagne wollen wir die Behörden zur Durchsetzung des Gesetzes motivieren, um sicherzustellen, dass die DSGVO auch tatsächlich zum wirksamen Schutz der Verbraucher/innen beiträgt.
Haben andere Organisationen ähnliche Maßnahmen ergriffen?
- Im Jahr 2019 wurde eine Reihe von Beschwerden gegen die Echtzeit-Gebotsrahmen auf Websites von Google und dem IAB eingereicht. Diese Beschwerden betrafen die Sicherheitsverletzungen, die bei jeder Übermittlung personenbezogener Daten im Rahmen des Gebotsverfahrens auftreten. Die Beschwerden wurden zuerst von Johnny Ryan (Brave), Jim Killock (Open Rights Group) und Michael Veale (Assistant Professor am University College London) eingereicht.
- Die Panoptykon Foundation reichte daraufhin eine Beschwerde auf der Beschwerde zur Sicherheitsverletzung bei Datenübermittlung ein. Schließlich gab es noch eine Reihe von Beschwerden von Gemma Galdon Clavell (Eticas Foundation) und Diego Fanjul (Finch); David Korteweg (Bits of Freedom) in den Niederlanden; Jef Ausloos (Universität Amsterdam) und Pierre Dewitte (Universität Leuven) sowie Jose Belo (Exigo Luxembourg).
- Die britische NGO Privacy International hat gegen sieben Datenmakler/innen Beschwerde wegen systematischer Verletzung der DSGVO eingereicht.
Was können die Konsequenzen dieser Aktion sein?
- Die Datenschutzbehörden sind befugt, den Unternehmen anzuordnen, ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO zu ändern, die Verarbeitungstätigkeiten der Unternehmen zu verbieten und / oder eine Geldbuße von bis zu 4% ihres weltweiten Jahresumsatzes zu verhängen (siehe Art 58 DSGVO).
- Herausgeber/innen und Werbetreibende sollen dazu gebracht werden, kein weiteres Geld in das Adtech-Ökosystem zu leiten, was die Einnahmen der Branche schmälert. Dies kann das Wachstum datenschutzfreundlicherer Werbegeschäftsmodelle ermöglichen, was wiederum das Tracking und die Profilerstellung verringern und langfristig die Grundlage des Internet verändern kann.
- Wenn sich Online-Werbung nicht mehr auf personenbezogene Daten stützt, kann dies die Akzeptanz innovativer und nützlicher Dienste für die Verbraucher/innen erhöhen. Dies kann auch die Menge an werbefinanzierten Inhalten von geringer Qualität im Internet reduzieren, die häufig durch datengesteuerte Werbemodelle finanziert werden.
- Wenn Nachverfolgung und Profilerstellung reduziert werden, trägt dies auch zum Schutz der Menschenrechte bei, weil weniger Datensammlungen zu weniger Potenzial für Ausbeutung und Manipulation führen.
Inwiefern betrifft die Aktion den Rest der Welt?
- Obwohl die DSGVO nur für die Verarbeitung personenbezogener Daten von Personen gilt, die in der Europäischen Union und im Europäischen Wirtschaftsraum ansässig sind, können die Folgen dieser Maßnahme global sein. Alle genannten Unternehmen sind weltweit tätig, und wenn sie ihre Geschäftspraktiken ändern, schützt dies auch Verbraucher/innen außerhalb Europas.
- Wenn einige Unternehmen ihre Praktiken ändern, diese Änderungen jedoch nur auf europäische Verbraucher/innen beschränken, kann die Anwendung globaler Mindeststandards in Frage gestellt werden.
- Außerdem werden wir Druck auf Verlage und Marken/Werbetreibende ausüben, die auch außerhalb Europas tätig sind. Wenn Herausgeber/innen und Werbetreibende nach alternativen Werbegeschäftsmodellen suchen, wird dies auch den Konsument/innen weltweit zu Gute kommen.
Welche Verbraucherorganisationen nehmen teil?
Bisher haben sich 16 Verbraucherorganisationen aus der ganzen Welt der Aktion angeschlossen, aber wir gehen davon aus, dass sich noch weitere an der Aktion beteiligen, bzw. zu einem späteren Zeitpunkt Maßnahmen ergreifen werden.
Wie können sich Verbraucher/innen schützen?
- Verbraucher/innen können das Tracking reduzieren, indem sie Tools wie Privacy Badger in Webbrowsern verwenden. Das Deaktivieren personalisierter Anzeigen oder das Zurücksetzen der Werbe-ID über die Einstellungen ihres Mobilgeräts kann einige Nachverfolgungen verhindern. Wie wir im Bericht zeigen, können Apps dies jedoch leicht umgehen, sodass der Schutz meist nur illusorisch ist.
- Wir haben uns aus mehreren Gründen bewusst dafür entschieden, die Verbraucher/innen nicht aktiv zu beraten, Adblocker und ähnliche Software zu verwenden:
- Adblocker sind umstritten, weil die meisten von ihnen Anzeigen blockieren, unabhängig davon, ob sie Tracker enthalten, und daher möglicherweise legitime Einnahmequellen für Herausgeber/innen entfernen. Als Verbraucherorganisation ist das natürlich nicht unser Hauptanliegen, aber es wird zweifellos ein Problem darstellen, wenn wir anfangen, Adblocking zu empfehlen.
- Außerdem verbietet Google unter Android absichtlich Adblocker aus dem Play Store. Daher müssten Verbraucher/innen Apps von anderen Quellen herunterladen, um Adblocker zu installieren, was mit Sicherheitsrisiken verbunden ist.
Kritische Fragen
„Die meisten Menschen kümmern sich eh nicht um Datenschutz, solange sie die Dienste kostenlos erhalten.“
- Untersuchungen in Europa und den USA haben eindeutig gezeigt, dass die Verbraucher/innen sich um ihre Privatsphäre kümmern, aber sich machtlos fühlen, wenn sie nur die „take it or leave it“ Option haben.
- Das neueste Eurobarometer on data protection zeigt beispielsweise, dass "62% der Befragten besorgt sind, dass sie keine vollständige Kontrolle über die online bereitgestellten personenbezogenen Daten haben".
- Darüber hinaus ist die Privatsphäre ein öffentliches Anliegen, das gemeinsam angegangen werden muss. Auch wenn es der oder dem Einzelnen kurzfristig egal ist, müssen die langfristigen Konsequenzen für Individuen, sowie für die Gesellschaft als ein wichtiges soziales Problem behandelt werden. Daher ist eine systemische Änderung erforderlich.
„Ist es wirklich so schlimm, zumindest bekommt man so die relevanteren Werbeanzeigen?"
- Da unsere Smartphones immer bei uns sind und uns rund um die Uhr überwachen, steigt das Potenzial, uns gezielt zu erreichen, wenn wir am anfälligsten sind.
- Da Daten in großem Umfang ohne große Kontrolle ausgetauscht werden, ist es sehr schwer zu erkennen, ob sie nur für Werbezwecke verwendet werden oder ob sie auch für zusätzliche Zwecke verwendet werden.
- Die Verwendung personenbezogener Daten für das Mikrotargeting entzieht uns auch die Autonomie, dient der Manipulation und kann zur Ausgrenzung und Diskriminierung in einer Weise eingesetzt werden, die unsere Menschenrechte gefährdet. Sie können beispielsweise davon ausgeschlossen werden, bestimmte Angebote zu erhalten, die auf der Erstellung von Profilen basieren, oder in eine Kategorie von unerwünschten Inhalten eingeordnet werden, über die Sie keine Kenntnis haben oder die Sie nicht kontrollieren können.
- Es bestehen auch erhebliche Sicherheitsbedenken hinsichtlich der Verbreitung personenbezogener Daten. Jedes Unternehmen, das solche Daten sammelt, kann einer Datenschutzverletzung unterliegen. Dies kann zu einer Vielzahl von Schäden für den Verbraucher/innen führen, einschließlich Identitätsdiebstahl und Erpressung.
- Da das dominierende Adtech-System nur eine sehr geringe Übersicht zulässt, ist es für Werbetreibende auch schwierig zu wissen, wohin ihr Geld fließt oder wo ihre Anzeigen geschaltet werden, und das System generiert Geld basierend auf Klicks. Dies hat dazu geführt, dass das Adtech-System von Anzeigenbetrug durchzogen ist, bei dem Bots auf Anzeigen klicken, und hat einige Akteure dazu angeregt, qualitativ minderwertige Inhalte wie gefälschte Nachrichten zu veröffentlichen.
„Es ist mir egal, ich habe nichts zu verbergen.“
- Jeder hat etwas zu verbergen. Beispielsweise fühlen Sie sich möglicherweise nicht wohl mit einer großen Anzahl von Unternehmen, die detaillierte Informationen über Ihre Gesundheit oder Ihr Sexualleben erhalten.
- Es geht jedoch nicht nur darum, etwas zu verbergen, es geht darum, Kontrolle über unser Leben zu haben. Wenn Daten unkontrolliert weitergegeben und verwendet werden, können Entscheidungen über uns ohne unser Wissen und ohne die Möglichkeit getroffen werden, deren Ergebnis in Frage zu stellen oder zu ändern.
- Wir fordern die Verbraucher/innen nicht auf, Maßnahmen zu ergreifen, um sich vor Nachverfolgung und Profilerstellung zu schützen, da dies nicht in der Verantwortung des Einzelnen liegt. Es ist Aufgabe der Behörden, die Verbraucher/innen zu schützen, und dies wird derzeit nicht getan.
„Zerstört das nicht das "freie" Internet, wie wir es kennen? Und die Leute müssen anfangen, für digitale Dienste zu bezahlen?“
- Nein, es gibt andere Geschäftsmodelle für die Schaltung von Anzeigen, die das Recht der Menschen auf Privatsphäre nicht verletzen.
- Zum Beispiel kontextbezogene Werbung, die auf bestimmte Websites, Apps und Nachrichtenartikel abzielt und nicht auf den Einzelnen. Dies bedeutet, dass Sie möglicherweise eine Anzeige sehen, die für den von Ihnen betrachteten Inhalt relevant ist, anstatt eine Anzeige hinzuzufügen, die auf einem persönlichen Profil von Ihnen basiert.
- Es gibt auch Werbemodelle, die nicht zulassen, dass personenbezogene Daten das Gerät des Verbraucher/innens verlassen, wodurch auch das Datenschutzrisiko minimiert wird.
„Könnte eine Lösung darin bestehen, dass die Verbraucher/innen Eigentümer ihrer eigenen Daten waren und diese selbst mit Gewinn verkaufen könnten?“
Nein. Wenn wir einen Preis für personenbezogene Daten festlegen, entsteht ein finanzieller Anreiz, Ihre Privatsphäre zu schützen. Datenschutz und Privatsphäre sind ein Grundrecht und sollten daher nicht als Ware behandelt werden. Wir wollen eine Situation vermeiden, in der sich nur die Wohlhabenden Privatsphäre leisten können. Darüber hinaus gibt es wertvolle Themen, bei denen „Ihre“ Daten für sich genommen nicht besonders wertvoll sind, da es die Rückschlüsse und Analysen der Daten sind, die Einnahmen für Unternehmen schaffen.