Neue Daten über die Nutzung der Informationen von Webbenutzern durch das Real-Time-Bidding (RTB)-System für Tracking und Ad-Targeting, die heute vom Irish Council for Civil Liberties (ICCL) veröffentlicht wurden, legen nahe, dass Google und andere Schlüsselakteure in der Hochgeschwindigkeitsüberwachung tätig sind -basierte Anzeigenauktionssysteme verarbeiten und geben die Daten von Menschen milliardenfach am Tag weiter.
„RTB ist die größte Datenschutzverletzung, die jemals verzeichnet wurde“, argumentiert die ICCL. „Es verfolgt und teilt, was Menschen täglich online sehen und wo sie sich in der realen Welt befinden, 294 Milliarden Mal in den USA und 197 Milliarden Mal in Europa.“
Die ICCLs Prüfberichtdas auf Branchenzahlen basiert, die die Rechteorganisation nach eigenen Angaben aus einer vertraulichen Quelle erhalten hat, bietet eine Schätzung der RTB pro Person und Tag in den US-Bundesstaaten und europäischen Ländern, was darauf hindeutet, dass Webnutzer in Colorado und Großbritannien zu den am stärksten exponierten gehören das System – mit 987 und 462 RTB-Sendungen pro Person und Tag.
Aber selbst Online-Personen, die am Ende der Tabelle leben, District of Columbia oder Rumänien, werden ihre Informationen laut Bericht schätzungsweise 486 Mal pro Tag bzw. 149 Mal pro Tag von RTB offengelegt.
Die ICCL berechnet, dass die Online-Aktivitäten und der reale Standort von Menschen, die in den USA leben, 57 % häufiger offengelegt werden als Menschen in Europa – wahrscheinlich aufgrund von Unterschieden in den Datenschutzbestimmungen in den beiden Regionen.
Insgesamt schätzt die ICCL, dass das Online-Verhalten und die Standorte der US-Internetnutzer 107 Billionen Mal im Jahr verfolgt und weitergegeben werden, während die Daten der Europäer 71 Billionen Mal im Jahr offengelegt werden.
„Im Durchschnitt werden die Online-Aktivitäten und der Standort einer Person in den USA 747 Mal täglich von der RTB-Branche offengelegt. In Europa legt RTB 376 Mal am Tag die Daten von Menschen offen“, schreibt es auch und fügt hinzu: „Private Daten von Europäern und US-Internetnutzern werden an Firmen auf der ganzen Welt gesendet, einschließlich nach Russland und China, ohne dass dies kontrolliert werden kann fertig mit den Daten.“
Die Zahlen des Berichts sind wahrscheinlich eine konservative Schätzung des vollen Umfangs von RTB, da die ICCL den Vorbehalt enthält, dass: „[T]Die für RTB-Sendungen präsentierten Zahlen sind eine niedrige Schätzung. Die Branchenzahlen, auf die wir uns verlassen, beinhalten keine Facebook- oder Amazon-RTB-Sendungen.“
Dem Bericht zufolge erlaubt Google, der größte Akteur im RTB-System 4.698 Unternehmen erhalten RTB-Daten über Menschen in den USA, während Microsoft – das seine Beteiligung an RTB im Dezember letzten Jahres beim Kauf verstärkte Die Adtech-Firma Xandr von AT&T – sagt, dass sie möglicherweise Daten an 1 sendet.647 Unternehmen.
Auch das ist wahrscheinlich nur die Spitze des Eisbergs, da RTB-Daten über das Internet übertragen werden – was bedeutet, dass sie von nicht offiziell gelisteten RTB-„Partnern“ abgefangen und ausgenutzt werden können, wie z um einzelne Webbenutzer gewinnbringend neu zu identifizieren und zu profilieren, indem Informationen wie Geräte-IDs, Geräte-Fingerprinting, Standort usw. verwendet werden, um beispielsweise Webaktivitäten mit einer benannten Person zu verknüpfen.
Datenschutz- und Sicherheitsbedenken werden seit Jahren in Bezug auf RTB geäußert – insbesondere in Europa, wo es Gesetze gibt, die einen solchen systematischen Missbrauch der Informationen von Menschen verhindern sollen. Aber auch in den USA ist das Bewusstsein für das Problem nach einer Reihe von Skandalen um Standortverfolgung und Datenaustausch gestiegen.
Die Anfang dieses Monats durchgesickerte Stellungnahme des Obersten Gerichtshofs, die darauf hindeutete, dass sich das höchste Gericht der USA darauf vorbereitet, Roe v Wade – die Aufhebung des verfassungsmäßigen Schutzes für Abtreibung – aufzuheben, hat weitere Besorgnis geschürt und Schockwellen durch das Land geschickt, wobei einige Kommentatoren Frauen sofort dazu drängten Löschen Sie ihre Perioden-Tracking-Apps und achten Sie genau auf ihre digitale Sicherheit und Datenschutzhygiene.
Die Sorge ist, dass die Anzeigenverfolgung personenbezogene Daten offenlegen könnte, die verwendet werden können, um Frauen und Personen zu identifizieren, die schwanger sind und/oder Abtreibungsdienste in Anspruch nehmen.
Viele US-Bundesstaaten haben den Zugang zur Abtreibung bereits stark eingeschränkt. Aber wenn der Oberste Gerichtshof Roe v Wade aufhebt, wird erwartet, dass eine Reihe von Staaten die Abtreibung vollständig verbieten – was bedeutet, dass Menschen, die schwanger werden können, einem erhöhten Risiko durch Online-Überwachung ausgesetzt sind, da jede Online-Suche nach Abtreibungsdiensten oder Standortverfolgung oder andere Arten von Daten Das Mining ihrer digitalen Aktivitäten könnte dazu verwendet werden, ein Verfahren gegen sie aufzubauen, weil sie eine illegale Abtreibung erhalten oder versuchen, eine illegale Abtreibung zu erhalten.
Hochsensible personenbezogene Daten von Webbenutzern werden inzwischen routinemäßig aufgesaugt und für Zwecke der Anzeigenausrichtung geteilt, wie frühere ICCL-Berichte in haarsträubenden Details beschrieben haben. Die Datenmaklerbranche sammelt auch Informationen über Einzelpersonen, um sie zu handeln und zu verkaufen – und insbesondere in den USA scheint es allzu einfach zu sein, Standortdaten von Personen zu erhalten.
Letztes Jahr zum Beispiel war ein katholischer Top-Priester in den USA angeblich zurückgetreten nachdem Anschuldigungen über seine Sexualität erhoben wurden, basierend auf der Behauptung, dass Daten auf seinem Telefon erhalten worden seien, die auf die Verwendung der standortbasierten schwulen Verbindungs-App Grindr hindeuteten.
Ein Mangel an Online-Privatsphäre könnte sich auch negativ auf die Gesundheit von Frauen auswirken – was es einfacher macht, Informationen zu sammeln, um schwangere Menschen zu kriminalisieren, die in einer Post-Roe-Welt eine Abtreibung wünschen.
„Es gibt keine Möglichkeit, die Nutzung von RTB-Daten nach der Ausstrahlung einzuschränken“, betont ICCL in dem Bericht. „Datenbroker haben es verwendet, um Demonstranten von Black Lives Matter zu profilieren. Das US-Heimatschutzministerium und andere Behörden nutzten es für die Telefonverfolgung ohne Durchsuchungsbefehl. Es wurde in das Outing eines schwulen katholischen Priesters durch seine Verwendung von Grindr verwickelt. ICCL deckte den Verkauf von RTB-Daten auf, die wahrscheinliche Überlebende sexuellen Missbrauchs enthüllten.“
Der Bericht wirft besonders schneidende Fragen für europäische Regulierungsbehörden auf, da die Region im Gegensatz zu den USA über einen umfassenden Datenschutzrahmen verfügt. Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 EU-weit in Kraft und die Regulierungsbehörden sollten diese Datenschutzrechte seit Jahren gegen außer Kontrolle geratene Adtech durchsetzen.
Stattdessen gab es eine kollektive Zurückhaltung, dies zu tun – wahrscheinlich als Ergebnis der umfassenden und allgegenwärtigen Einbettung individueller Tracking- und Profiling-Technologie in die Webinfrastruktur, verbunden mit lautstarken Behauptungen der Adtech-Industrie, dass das freie Web nicht überleben kann, wenn Internetnutzer „Die Privatsphäre wird respektiert. (Solche Behauptungen ignorieren die Existenz alternativer Formen der Anzeigenausrichtung, wie z. B. kontextbezogen, die keine Nachverfolgung und Profilerstellung der Aktivitäten einzelner Webbenutzer erfordern, um zu funktionieren, und die sich seit Jahren als rentabel erwiesen haben, z. B. für die Suche ohne Nachverfolgung Motor, DuckDuckGo.)
Eine von der irischen Datenschutzkommission (DPC) vor drei Jahren (Mai 2019) nach einer Reihe von RTB-Beschwerden eingeleitete Untersuchung zu Googles Adtech ist – angeblich – noch im Gange. Aber eine Entscheidung ist noch nicht ergangen.
Das britische ICO hat nach Beschwerden, die bereits 2018 eingereicht wurden, auch wiederholt Vollstreckungsmaßnahmen gegen RTB durchgeführt, obwohl es seit 2019 öffentlich die Ansicht geäußert hat, dass die Branche der verhaltensbasierten Werbung völlig außer Kontrolle geraten ist. Und in einem Abschiedsfoto im vergangenen Herbst forderte die scheidende Datenschutzbeauftragte Elizabeth Denham die Branche auf, sinnvolle Datenschutzreformen durchzuführen.
Seitdem wurde von der belgischen Datenschutzbehörde festgestellt, dass ein Flaggschiff-Mechanismus der Adtech-Industrie zum Einholen der Zustimmung von Webbenutzern zum Anzeigen-Tracking – das selbsternannte Transparency and Consent Framework (TCF) des IAB Europe – selbst gegen die DSGVO verstößt.
Seine Entscheidung vom Februar 2022 stellte auch fest, dass das IAB selbst schuld war, und gab dem Branchenverband zwei Monate Zeit, um einen Reformplan vorzulegen, und sechs Monate, um ihn umzusetzen. (Hinweis: Google und das IAB sind die beiden Gremien, die Standards für RTB festlegen.)
Dieses Einwilligungsproblem ist eine (solide) Beschwerde gegen RTB gemäß der europäischen DSGVO. Die Sorge der ICCL konzentrierte sich jedoch auf die Sicherheit – da sie argumentiert, dass der schnelle, massive Handel mit den Daten von Menschen zum Platzieren von Anzeigen durch Senden über das Internet an Tausende von „Partnern“ (aber auch mit dem klaren Risiko des Abfangens und Aneignens durch Dutzende von unbekannten anderen) ist von Natur aus unsicher. Und ungeachtet der Einwilligungsprobleme verlangt die DSGVO, dass die Informationen der Menschen angemessen geschützt werden – daher wird RTB als „größte Datenschutzverletzung aller Zeiten“ bezeichnet.
Im März kündigte die ICCL ihre Absicht an, die DPC zu verklagen – und warf der Regulierungsbehörde jahrelange Untätigkeit in Bezug auf RTB-Beschwerden vor (von denen einige im selben Jahr eingereicht wurden, in dem die DSGVO in Kraft trat). Dieser Rechtsstreit ist noch anhängig.
Sie hat sich auch an die EU-Ombudsperson gewandt, um sich darüber zu beschweren, dass die Europäische Kommission die Anwendung der Verordnung nicht ordnungsgemäß überwacht – was dazu führte, dass erstere Anfang dieses Jahres eine Untersuchung einleitete, um die gegenteiligen Behauptungen der Kommission zu prüfen.
Eine geforderte Frist für die EU-Exekutive zur Übermittlung von Informationen an die Ombudsperson ist laut ICCL gestern ohne Vorlage abgelaufen, wobei die Kommission Berichten zufolge um weitere 10 Tage gebeten hat, um die angeforderten Daten bereitzustellen – was auf den vierjährigen Jahrestag des Inkrafttretens der DSGVO hindeutet Kraft (25. Mai 2018) wird derweil (vielleicht etwas leiser, als wenn die Ombudsperson in der Lage gewesen wäre, ein Urteil zu fällen) vorüberziehen…
„Während wir uns dem vierjährigen Jubiläum der DSGVO nähern, veröffentlichen wir Daten über die größte Datenschutzverletzung aller Zeiten. Und es ist eine Anklage gegen die Europäische Kommission und insbesondere Kommissarin [Didier] Reynders, dass sich diese Datenschutzverletzung jeden Tag wiederholt“, sagte Johnny Ryan, Senior Fellow am ICCL, gegenüber Tech.
„Es ist an der Zeit, dass die Kommission ihre Arbeit macht und Irland dazu zwingt, die DSGVO korrekt anzuwenden“, fügte er hinzu.
Wir haben auch Google, Microsoft, die DPC und die Europäische Kommission mit Fragen zum ICCL-Bericht kontaktiert, aber zum Zeitpunkt des Verfassens dieses Artikels hatte keiner geantwortet.
Ryan sagte uns, dass die ICCL auch an US-Gesetzgeber schreibt, um das Ausmaß der „Datenschutzkrise in der Online-Werbung“ hervorzuheben – und insbesondere den Unterausschuss des Senats für Wettbewerbspolitik, Kartell- und Verbraucherrechte zu drängen, sicherzustellen, dass der FTC angemessene Durchsetzungsressourcen zur Verfügung gestellt werden – damit sie dringend „gegen diesen gewaltigen Einbruch“ vorgehen könne.
In dem von uns geprüften Schreiben weist die ICCL darauf hin, dass private Daten von US-Bürgern an Firmen auf der ganzen Welt gesendet werden, darunter auch nach Russland und China – „ohne jegliche Kontrolle darüber, was dann mit den Daten geschieht“.
Der Krieg in Europa fügt dieser Überwachungs-Adtech-Geschichte sicherlich eine weitere Dimension hinzu.
Der russische Einmarsch in die Ukraine Anfang dieses Jahres hat zusätzliche Besorgnis über die Massenüberwachung von Webnutzern durch Adtech geschürt – dh, wenn die Daten der Bürger über das Online-Tracking ihren Weg zurück in feindliche Drittländer wie Russland und sein Verbündetes China finden.
Bereits im März, die Finanzzeiten berichteten, dass zahlreiche Apps SDK-Technologie des russischen Suchgiganten Yandex enthalten – der beschuldigt wurde, Benutzerdaten an Server in Russland zurückgesendet zu haben, wo sie der russischen Regierung zugänglich sein könnten.
In Europa verlangt die DSGVO, dass Exporte personenbezogener Daten aus dem Block nach dem gleichen Standard geschützt werden, mit dem die Informationen von Bürgern verpackt werden sollten, wenn sie in Europa verarbeitet oder gespeichert werden.
In einem wegweisenden EU-Urteil im Juli 2020 hat das oberste Gericht des Blocks ein Flaggschiff-Datenübermittlungsabkommen zwischen der EU und den USA wegen Sicherheitsbedenken im Zusammenhang mit Massenüberwachungsprogrammen der US-Regierung niedergeschlagen – was zu anhaltender Rechtsunsicherheit in Bezug auf internationale Datenflüsse in riskante Drittländer führte, wie das Gericht betonte Notwendigkeit für EU-Regulierungsbehörden, Datenexporte proaktiv zu überwachen und einzugreifen, um jeglichen Datenfluss in Länder ohne angemessenen Datenschutz auszusetzen.
Viele der Hauptakteure im Adtech-Bereich sind in den USA ansässig – was angesichts des hohen Standards, den das EU-Recht für den legalen Export von Daten vorschreibt, Fragen zur Rechtmäßigkeit jeglicher Verarbeitung von Daten von Europäern durch den Sektor aufwirft, der auch jenseits des großen Teichs stattfindet.