Angriff auf Werbemarkt: Brave reicht DSGVO-Beschwerde gegen Google ein
Mit der Beschwerde greift das Browser-Startup einen der zentralen Pfeiler der heutigen Online-Werbung an: Die personalisierte Werbeauslieferung.
Pünktlich zur Fachmesse für Online-Werbung Dmexco greift der Browser-Hersteller Brave seinen größten Konkurrenten und die gesamte Werbebranche an. Wie das Unternehmen in seinem Blog verkündet, hat es Beschwerden bei mehreren den britischen und irischen Datenschutzbehörden eingereicht, damit diese Verfahren gegen Google und andere Werbefirmen anstrengen.
"Datenschutzfreie Zone"
Ziel der Beschwerde ist das so genannte "Programmatic Advertising", das immer größere Teile der Werbebranche übernimmt. Hierbei wird Werbung nicht mehr auf bestimmten Websites oder Medien gebucht – stattdessen offerieren die Publisher die offenen Werbeplätze noch während des Ladevorgangs in Echtzeit-Auktionen. "Jedes Mal, wenn eine personalisierte Anzeige angezeigt wird, werden intime Daten über den Nutzer an Dutzende oder Hunderte von Firmen gesendet", schreibt Brave-Manager Johnny Ryan. Dazu gehören unter anderem die IP-Adresse, Cookie-IDs, technische Parameter des verwendeten Geräts und die Art der abgerufenen Inhalte.
In der 32-seitigen Erläuterung skizziert Ryan das Geschäft mit persönlicher Werbung als "datenschutzfreie Zone". So sind an der Werbeauslieferung oft Dutzende verschiedene Firmen aktiv beteiligt. Besonders kritisch aber sind laut Beschreibung Ryans die Echtzeitmarktplätze, auf denen die Werbeplätze gehandelt werden. Hier würden zu viele Daten an einem großen Kreis von Werbedienstleistern weitergegeben, ohne dass hier ausreichend Kontrolle darüber herrsche, was mit diesen Daten passiert.
Automatisierte Vereinbarung
Grundlage für den Datenhandel sind das Protokoll Open Real-Time Bidding (OpenRTB) oder im Fall von Google auch die proprietäre Version "Authorized Buyers", die den weltweiten Handel von Werbeplätzen ermöglichen. In Märkten wie Großbritannien wird schon weit mehr als die Hälfte der Online-Werbung über solche Marktplätze gehandelt. Auch in Deutschland boomt das Geschäft.
Laut Beschwerde durch Brave läuft dieses Geschäftsmodell aber verschiedenen Vorschriften der Datenschutz-Grundverordnung (DSGVO) zuwider. So verlangt Artikel 5 der Verordnung besondere Sorgfalt bei der Verarbeitung persönlicher Daten, Artikel 22 stellt Hürden bei der automatisierten Verarbeitung solcher Daten auf. Zwar erwähnt die Beschwerde, dass das Geschäft im Zuge der DSGVO angepasst wurde, bezweifelt aber, dass die Kunden tatsächlich ausreichend über das Ausmaß und Folgen der Datenweitergaben informiert seien.
Nahrung bekommt die Beschwerde auch durch die Diskussionen auf der Dmexco. So verwiesen die Panelteilnehmer über den aktuellen Stand des Programmatic Advertising darauf, dass es für unerfahrene Marktteilnehmer schwer sei herauszufinden, welche Marktteilnehmer sich tatsächlich an den Datenschutz hielten.
Google: Wir arbeiten datenschutzkonform
Google äußert sich auf Anfrage von heise online zur Beschwerde nur allgemein: "Wir haben den Datenschutz und Sicherheit von Anfang an in unsere Produkte integriert und haben uns dazu verpflichtet, den Bedingungen der Datenschutz-Grundverordnung zu entsprechen". Dabei verweist der Konzern auf die eigenen Datenschutz-Tools, die der Konzern seinen Nutzern bereitstellt. Im Vorfeld hatte Google auch hohe Anforderungen an seine Geschäftspartner gestellt, die Zustimmung der Nutzer gesetzeskonform einzuholen, wenn diese weiter an dem personalisierten Anzeigengeschäft beteiligt sein wollten.
Auf Anfrage von heise online hat sich auch der unabhängige Datenschutz-Forscher Dr. Lukasz Olejnik die Beschwerde angesehen. "Die generelle Beschreibung der Echtzeit-Auktionen ist weitgehend korrekt". So werde nach einer Aktion wie dem Aufruf einer Website die Daten des Nutzers an die Bieter der Online-Marktplätze weitergegeben. Zu diesen Daten gehören neben den technischen Details auch Ableitungen, wie etwa das vermutete Geschlecht und die Interessen des Nutzers. "Nichts davon ist transparent für die Nutzer – und bis vor kurzer Zeit gab es auch wenig Interesse, das Problem der Zustimmung des Nutzers anzugehen." Damit entspreche die Analyse zumindest im Teil den Forschungen zum Echtzeit-Auktionen, die Olejnik bereits 2014 publizierte.
Hat Werbung signifikante Konsequenzen?
Ob die Beschwerde aber tatsächlich wirksam sein kann, ist jedoch für den Forscher unklar. So gebe es Hinweise, dass die Datenweitergabe im Hinblick auf die Datenschutz-Grundverordnung eingeschränkt worden sei. Zudem sei das europäische Gesetz auch nicht so scharf formuliert, wie es Brave nahelegt. "Die Datenschutz-Grundverordnung beschränkt zwar die automatisierte Entscheidungsfindung aufgrund von persönlichen Daten, aber hauptsächlich nur in Fällen, in denen solche Entscheidungen juristische oder andernfalls gewichtige Konsequenzen haben", erklärt Olejnik.
Spannender ist für ihn die Frage, ob das aktuelle Praxis des Programmatic Advertising die Anforderungen an datenschutzfreundliche Voreinstellungen aus Artikel 25 erfülle. "Dies wird sicherlich ein interessanter, wenn auch kein einfach zu lösender Fall für die Datenschutzaufsichtsbehörden", schließt der Forscher. Eine schnelle Klärung ist freilich nicht in Sicht: Die europäischen Datenschutzbehörden werden derzeit mit Beschwerden überhäuft – bis Streitfälle tatsächlich vor Gericht geklärt werden, wird es wahrscheinlich Jahre dauern.
Beschwerde im eigenen Interesse
Brave selbst versucht mit seinem Browser ein eigenes Werbesystem aufzubauen, das auf der von der Firma kontrollierten Kryptowährung "Basic Attention Tokens" basieren soll. Kerngedanke dabei: Statt Werbung von Adservern herunterzuladen soll die Werbung auf der Festplatte des Nutzers lokal gespeichert und vom Browser selbst auf Websites eingeblendet werden. Unter den derzeit existierenden Marktbedingungen der Online-Werbung hätte das System aber kaum eine Erfolgschance: Werbekunden sind zunehmend ungewillt, den Angaben eines Anbieters zu vertrauen, welche Werbung angezeigt und angeklickt wurde.
[Update 13.09.2018 – 17:45 Uhr] Inzwischen hat die Branchenorganisation IAB Europe auf Anfrage von heise online die Vorwürfe zurückgewiesen: "Wir haben die Beschwerde von Herr Ryan gelesen und glauben, dass sie fehlerhaft ist und ein fundamental falsches Verständnis des europäischen Datenschutzrechts, der OpenRTB-Spezifikation, proprietärer Werbetechniken und dem Transparenz- und Konsens-Framework der IAB Europe offenbart." So verstoße es nicht gegen das Gesetz, persönliche Daten in den Echtzeit-Auktionen zu verwenden, wenn sich die Teilnehmer an die Vorschriften der Datenschutz-Grundverordnung hielten. (mho)