Real Time Bidding: Bewusster Verstoß gegen DSGVO von Google und dem IAB?

Datenschützer haben den Behörden in Großbritannien und Irland Unterlagen vorgelegt, die belegen sollen, dass sowohl Google als auch das Interactive Advertising Bureau (IAB) beim Real Time Bidding gegen die Datenschutzgrundverordnung verstoßen – und das in vollem Bewusstsein. Bei diesem System werden täglich millionenfach personenbezogene Daten verarbeitet, wofür es eigentlich die explizite Einwilligung der Nutzer bräuchte.

Nimmt das IAB einen Bruch mit der DSGVO bewusst in Kauf?

Die millionenfache Ausspielung von Nutzerdaten wie GPS-Informationen oder der Browserhistorie gehört zum Kern des Real Time Advertising. Doch genau in diesem Punkt sehen Datenschützer ein Problem, da derlei Daten nach der DSGVO nur mit der Zustimmung der betroffenen Nutzer verarbeitet werden dürften. Weil beinah jedes große Werbesystem auf die Technologie zurückgreift, ist der etwaige Verstoß gegen die Verordnung von großem Ausmaß. Matt Binder schreibt bei Mashable, dass Datenschützer den britischen und irischen Behörden nun weitere Beweise vorgelegt haben, die diesen Verstoß sowie das Wissen darum bei Google und dem IAB dokumentieren.

Bereits im September 2018 hatten Dr. Johnny Ryan von Brave, der Chef der Open Rights Group Jim Killock, Michael Veale vom University College London und die CEO der Panoptykon Foundation, Katarzyna Szymielewicz, eine Klage bei den betreffenden Stellen eingereicht. Neue Dokumente zeigen vor allem, dass das IAB sich schon 2017 darüber im Klaren gewesen sein soll, dass die Real Time Bidding-Systeme mit der DSGVO nicht harmonieren können. IAB Europe CEO Townsend Feehan habe damals in einer E-Mail an die Generaldirektion Kommunikationsnetze, Inhalte und Technologien der EU-Kommission angegeben:

Consent under the GDPR must be ‚informed‘, that is, the user consenting to the processing must have prior information as to the identity of the data controller processing his or her personal data and the purposes of the processing. As it is technically impossible […] in a real-time bidding (RTB) scenario, programmatic trading, the area of fastest growth in digital advertising spend, would seem, at least prima facie, to be incompatible with consent under GDPR.

Dennoch hat das IAB angegeben, mit den Richtlinien konform zu gehen. Der gleiche Vorwurf wird Google von den Datenschützern gemacht.

Die Datenschützer prangern weitere Aspekte an

Ein weiteres IAB-Dokument, das die Kläger im Mai 2018 vorlegten, besagt:

there is no technical way to limit the way data is used after the data is received by a vendor for decisioning/bidding on/after delivery of an ad.

Die personenbezogenen Daten, die von Werbenetzwerken verarbeitet werden, können dabei sehr ausführlich sein. Nach anderen Dokumenten hat das IAB gar eine Liste, mithilfe derer User in konkrete Muster eingeteilt werden. Matt Binder berichtete letzten Monat, dass Kategorien wie „HIV/ AIDS“, „Inzest/ Missbrauchsunterstützung“ usw. zu den Targeting-Kategorien gehören.

Im Kontext des Real Time Advertising geben die Aktivisten an, dass 595 verschiedene Signale zum User ausgespielt werden. Davon müssten nach den Datenschutzregelungen in der EU mindestens vier Prozent verboten beziehungsweise gekürzt werden, um der DSGVO zu entsprechen.

Verstöße gegen die Datenschutzgrundverordnung sind zumindest Google nicht neu. Die französische Commission Nationale de l’Informatique et des Libertés hatte das Unternehmen unlängst zu einer Strafzahlung in Höhe von 50 Millionen Euro verdonnert, weil die Datenschutzbestimmungen gegenüber Usern nicht eingehalten wurden. Insbesondere die Personalisierung von Ads und die nicht vorhandene oder unzureichende Einwilligung der Nutzer stand dabei im Fokus.

Ein Verstoß, wie ihn die Werbesysteme des IAB und Googles – aber sicher nicht nur deren – in Kauf zu nehmen scheinen, wird durch ein Zuwiderhandeln von Artikel 5 DSGVO sowie der Artikel 24 oder auch 28 DSGVO deutlich. Eine Einwilligung in dem Maße, wie die DSGVO sie bei der Datenverarbeitung fordert, kann im Rahmen von Real Time Bidding kaum eingeholt werden. Die Werbenetzwerke müssten also explizit klarstellen, wofür welche Daten bei ihren Ad-Technologien eingesetzt werden. Das ist jedoch schwer durchzusetzen.

Sollten die Behörden aber zu dem Schluss kommen, dass Google und das IAB wissentlich gegen die Verordnung verstoßen haben, dürften weitere Strafzahlungen warten. Darüber hinaus wird eine Debatte um die Zukunft des Real Time Advertising aufkommen, im Hinblick darauf, ob das System in seiner aktuellen Form DSGVO-konform ist.

Das IAB hatte zuletzt reagiert, indem auf das Transparency & Consent Framework hingewiesen wurde. Man wehrt sich gegen die Vorwürfe der Datenschützer und erklärt, nur weil ein Verstoß gegen die EU-Vorschriften technisch möglich ist, kann ein solcher damit noch nicht bewiesen werden.

 A technical standard may be misused to violate the law or used in a legally compliant way, just as a car may be driven faster than the speed limit or driven at or below that limit. The mere fact that misuse is possible cannot reasonably be used as evidence that it is  actually happening.  And the whole purpose of the Transparency & Consent Framework is to ensure it does not.

Diese Aussage steht nun zumindest zur Diskussion.