DSGVO-Beschwerde: Datenschützer hält Android-Tracking für hochproblematisch
Bürgerrechtler haben Beschwerde gegen die Android Advertising ID eingereicht, die Google laut einem Datenschutzbeauftragten sehr ernst nehmen sollte.
Der Hamburgische Datenschutzbeauftragte Johannes Caspar hat "erhebliche datenschutzrechtliche Zweifel" an der Android Advertising ID (AAID) von Google. Das Zurücksetzen der Smartphone Kennung durch den Nutzer "ändert nichts an den Grundbedingungen des Trackings und vermittelt keine wirksame Kontrolle durch die Nutzer", erklärte der Jurist gegenüber heise online. Eine freiwillige Einwilligung in dieses Nachverfolgen von Nutzerspuren sei schwer erkennbar.
Datenweitergabe an unzählige Dritte
Ein österreichischer Android-Anwender legte vorige Woche mit Unterstützung der Wiener Bürgerrechtsorganisation Noyb.eu eine formelle Beschwerde gegen Google auf Basis der Datenschutz-Grundverordnung (DSGVO) bei der nationalen Datenschutzbehörde ein, da Nutzer über die AAID ohne gültige rechtliche Grundlage ausspioniert werden könnten. Die damit gesammelten Daten würden "an unzählige Dritte im Werbe-Ökosystem weitergegeben", argumentieren die Aktivisten. Der User habe über das Verfahren letztlich keine Kontrolle.
"Diese Beschwerde sollte Google sehr ernst nehmen", betont Caspar, der als Kontrolleur für Google Deutschland zuständig ist. "Es besteht lediglich eine Wahl, entweder mit einer neuen oder einer bereits bestehenden ID getrackt zu werden." Ferner sei zu klären, welche Auswirkungen das Löschen der Kennung auf die zuvor gesammelten Daten habe. Könnten diese weiterhin auf den Nutzer zurückgeführt werden, bliebe auch das Opt-out "ein rein symbolischer Akt ohne Auswirkungen auf die eigenen Daten". Er sei daher "gespannt auf die Erkenntnisse der federführenden Aufsichtsbehörde zu dieser Beschwerde."
Google platziert jedes Mal, wenn ein Nutzer ein neues Android-Smartphone zum ersten Mal einschaltet, die umstrittene Tracking-ID auf dem Telefon. Diese funktioniere wie ein "digitales Nummernschild", beklagt Noyb. Sie ermögliche es dem Konzern und zahllosen Drittanbietern, die User zu überwachen.
Dauerhaftes Tracking
Die AAID dient im Kern dazu, personalisierte Reklame zu schalten. Vorher setzten Werbenetzwerke auf noch sensiblere Kennungen wie die Gerätenummer IMEI, um einen Nutzer einem bestehenden Profil zu zuordnen. Die ID lässt sich zurücksetzen, wozu die Experten des Portals Mobilsicher raten. Im Anschluss darf die damit neu generierte Kennung nur mit ausdrücklicher Zustimmung des Nutzers mit einer vorherigen AAID oder daraus stammenden Daten verknüpft werden. Darüber hinaus müssen es Netzwerke respektieren, wenn ein Anwender personalisierte Werbung deaktiviert hat.
In der Regel halten sich prominente Dienste aber nicht an die Vorgaben, heißt es bei Mobilsicher: "So fragen Apps reihenweise Login-Daten zusammen mit der Werbe-ID ab". Auch Noyb verweist auf solche "bekannten Geschäftspraktiken" vor allem von "Cross Device Tracking"-Unternehmen. Studien und Untersuchungen wie der Bericht "Out of control" des norwegischen Verbraucherrates hätten bewiesen, dass die AAID in Verbindung mit unzähligen anderen Identifikatoren wie IP-Adressen, IMEI-Codes und GPS-Koordinaten, Social-Media-Handles, E-Mail-Adressen oder Telefonnummern gespeichert, gemeinsam genutzt und bei Bedarf mit alten Werten verknüpft werde, was faktisch ein dauerhaftes Tracking von Android-Nutzern ermögliche.
Kein gültiges Opt-in
Gerade die Kombination von eindeutigen Identifikatoren wie der AAID und IP-Adressen stößt laut den Datenschützern auf "gewichtige Bedenken", da sie es Dritten ermögliche, "Benutzer innerhalb des Werbe-Ökosystems und darüber hinaus zu identifizieren". Es ist unmöglich, "die Verarbeitung von personenbezogenen Daten innerhalb der Android-Software zu unterbinden". Dies stehe "in krassem Gegensatz" zu der Praxis von Apple: unter iOS sei es gestattet, die dortige Werbe-ID mit Nullen zu überschreiben.
Laut DSGVO müssten die Nutzer dem Tracking zustimmen, unterstreicht Noyb. Google sammele aber kein gültiges Opt-in ein, bevor die AAID erstellt wird, sondern scheine diese ohne das explizite Plazet der Anwender zu generieren. Die Kennung werde faktisch zudem nicht gelöscht. Das System des Tech-Riesen scheine so strukturell zu verhindern, dass die Betroffenen ihre verbrieften Kontrollrechte ausüben könnten. Sprecher von Google Deutschland äußerten sich auf Anfrage von heise online nicht zu der Beschwerde.
(kbe)