Ein Adtech-Unternehmen im Besitz von Microsoft ist das Ziel einer Beschwerde, die von einer europäischen Interessengruppe für Datenschutz unterstützt wird. noyb – eine gemeinnützige Organisation, die weit über ihre Verhältnisse lebt, wenn es darum geht, Maßnahmen gegen datenschutzverletzende Tech-Giganten zu ergreifen.
In seiner jüngsten Aktion unterstützt noyb eine namentlich nicht genannte Person in Italien dabei, bei der Datenschutzbehörde des Landes eine Beschwerde gegen Xandr einzureichen. Die Beschwerde wurde gemäß der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union eingereicht. Das bedeutet, dass sie, sollte sie Erfolg haben, zu Geldstrafen von bis zu 4 % des weltweiten Jahresumsatzes von Microsoft, der Muttergesellschaft von Xandr, führen könnte.
Xandr wird vorgeworfen, dass es an Transparenz mangelt und die Datenzugriffsrechte von Personen im Block verletzt werden, deren Informationen verarbeitet werden, um Profile zu erstellen, die für Mikrotargeting-Werbung verwendet werden, die über programmatische Anzeigenauktionen verkauft wird. Die Klage behauptet auch, dass das Adtech-Unternehmen ungenaue Informationen über Personen verwendet.
Konkret behauptet noyb, dass Xandr gegen die Artikel 5(1)(c) und (d), 12(2), 15 und 17 der DSGVO verstößt.
In der Beschwerde wird die Datenschutzbehörde aufgefordert, den Fall zu untersuchen und, falls Verstöße bestätigt werden, Xandr zur Einhaltung der Vorschriften aufzufordern. noyb schlägt außerdem vor, eine Geldstrafe von bis zu 4 % des Jahresumsatzes gegen die Muttergesellschaft von Xandr zu verhängen (NB: Microsofts Gesamtjahresumsatz für 2023 lag bei fast 212 Mrd. USD).
Regulatorisches Risiko eingehen?
Microsoft hat die „datengestützte Technologieplattform“, wie sie Xandr nennt, aufgegriffen, und zwar auf der Ende 2021um sein digitales Werbegeschäft auszubauen, obwohl Xandr seine strukturelle Autonomie behielt und als eigenständiges Unternehmen operiert. Microsofts Pressemitteilung Damals sprach man davon, dass die Übernahme die „Retail Media Solutions“ des Unternehmens verbessern würde, und pries „verstärkte Monetarisierungsmöglichkeiten für Publisher durch größeren First-Party-Datenzugriff und ein Full-Funnel-Marketing-Angebot“. Das Unternehmen erwähnte jedoch nicht die Aussicht auf ein erhöhtes regulatorisches Risiko, das sich aus der Übernahme ergeben könnte.
Das Problem, so die von noyb unterstützte Beschwerde, besteht darin, dass Xandr nicht auf Datenzugriffsanfragen von Personen reagiert, die ihre persönlichen Daten löschen oder korrigieren lassen möchten. Die Beschwerde verweist auf eine „versteckte“ Website wo es heißt, dass Xandr Datenzugriffsmetriken veröffentlicht. Laut dieser Seite erhielt das Unternehmen zwischen dem 1. Januar 2022 und dem 31. Dezember 2022 1.294 Zugriffsanfragen und 600 Löschanfragen – lehnte jedoch jede einzelne ab.
In einer Erläuterung auf der Webseite heißt es: „Anfragen zu Zugriff und Löschung werden abgelehnt, wenn wir die Identität und Gerichtsbarkeit des Antragstellers nicht überprüfen können. Aufgrund der pseudonymen Natur der Daten, die Xandr auf seiner Plattform sammelt, können wir die Identität der Verbraucher, die Zugriffs- und Löschungsanfragen gestellt haben, nicht überprüfen, wenn diese Anfragen nicht an andere Kennungen gebunden sind, und daher haben wir solche Anfragen abgelehnt.“
Xandr scheint also zu behaupten, dass es die Datenzugriffsrechte der DSGVO nicht einhalten muss, da die von ihm über Einzelpersonen gespeicherten Informationen pseudonym sind.
In der Klage wird jedoch argumentiert, dass die Behauptung eines Unternehmens, dessen gesamtes Geschäft auf der Erstellung von Profilen einzelner Personen zum Zwecke gezielter Werbegewinne beruht, nicht glaubwürdig sei, es könne die Personen, über deren Informationen es verfüge, nicht identifizieren.
Massimiliano Gelmi, Datenschutzanwalt bei noyb, kommentierte in einer Stellungnahme: „Xandrs Geschäft basiert offensichtlich darauf, Daten von Millionen Europäern zu speichern und sie gezielt anzugreifen. Dennoch gibt das Unternehmen zu, dass es eine Antwortrate von 0 % auf Zugriffs- und Löschungsanfragen hat. Es ist erstaunlich, dass Xandr überhaupt öffentlich zeigt, wie es gegen die DSGVO verstößt.“
Es ist anzumerken, dass die DSGVO eine weit gefasste Auffassung davon vertritt, was personenbezogene Daten sind, und dass pseudonymisierte Daten weiterhin personenbezogene Daten bleiben. Das bedeutet, dass diejenigen, die über solche Informationen verfügen, EU-weite gesetzliche Anforderungen einhalten müssen, wie etwa die Gewährung von Datenzugriffsrechten.
Richtlinien zu den Zugriffsrechten betroffener Personen Die im letzten Jahr vom Europäischen Datenschutzausschuss (EDSA) verabschiedeten Richtlinien enthalten ein anschauliches Beispiel aus dem Bereich der Mikrotargeting-Werbung. Der Ausschuss weist darauf hin, dass ein Adtech-Unternehmen in der Lage sein sollte, eine Person, die Zugriff auf ihre personenbezogenen Daten anfordert, vom selben Endgerät aus, das mit ihrem Werbeprofil verknüpft ist (d. h. über darauf abgelegte Cookies), „genau zu identifizieren“, da „eine Verbindung zwischen den verarbeiteten Daten und der betroffenen Person hergestellt werden kann“.
Wenn eine Person ihre Daten auf andere Weise anfordert, beispielsweise per E-Mail, schlägt die EDPB-Anleitung vor, dass das Adtech-Unternehmen zusätzliche Informationen von ihr anfordern sollte, um das relevante Werbeprofil zu identifizieren und ihrer Datenzugriffsanfrage nachzukommen. Konkret heißt es in der Anleitung, dass eine Person die in ihrem Endgerät gespeicherte Cookie-Kennung angeben müsste.
Es ist nicht klar, welche Schritte Xandr unternommen hat, um die Anzeigenprofile der Personen zu identifizieren, die Zugriff auf ihre Daten oder deren Löschung beantragt haben.
Um auf die Beschwerde zurückzukommen: Die Recherchen von noyb haben auch offenbar ein hohes Maß an Ungenauigkeit in den von Xandr über Einzelpersonen gespeicherten Informationen zutage gefördert – was bei den Kunden weitere Fragen zur Qualität der Ad-Targeting-Dienste aufwerfen könnte. Aber es hat auch rechtliche Bedeutung, da die DSGVO Einzelpersonen das Recht auf Berichtigung falscher über sie gespeicherter Daten einräumt.
EU-Bürger können sich auch in Bezug auf andere Rechte auf die DSGVO berufen, darunter das Recht, eine Kopie ihrer Daten anzufordern. Auch hier behauptet noyb, dass Xandr in diesem Bereich nicht konform sei. Das Unternehmen war nicht in der Lage, von Xandr selbst eine Kopie der Daten des Beschwerdeführers zu erhalten, sondern stellte stattdessen eine Anfrage auf Auskunft über die Daten eines seiner Datenbroker-Lieferanten.
„Dank einer Zugriffsanfrage beim Datenbroker – und Xandr-Lieferanten – emetriq wissen wir, dass zumindest ein Teil der Datenbank von Xandr aus völlig ungenauen und widersprüchlichen persönlichen Daten über Personen besteht“, heißt es in einer Pressemitteilung. „Laut emetriq ist der Beschwerdeführer sowohl männlich als auch weiblich und hat ein geschätztes Alter zwischen 16-19, 20-29, 30-39, 40-49, 50-59 und 60+. Der Beschwerdeführer hat außerdem ein Einkommen zwischen 500-1.500 €, 1.500-2.500 € und 2.500-4.000 €. Darüber hinaus ist dieselbe Person arbeitssuchend, angestellt, Student, Schüler und arbeitet in einem Unternehmen. Dieses Unternehmen wiederum beschäftigt 1-10, 1.000+ und 1.100-5.000 Menschen gleichzeitig.“
„Es ist schwer vorstellbar, wie diese Datenkategorien für eine präzise Anzeigenausrichtung verwendet werden können“, fügt noyb hinzu. „Obwohl emetriq nicht der einzige Datenbroker ist, der Xandr mit Daten versorgt, muss davon ausgegangen werden, dass diese Informationen für die Anzeigenausrichtung verwendet werden.“
Gelmi kommentierte weiter: „Es scheint, dass Teile der Werbebranche sich nicht wirklich darum kümmern, Werbetreibende mit genauen Informationen zu versorgen. Stattdessen enthält der Datensatz eine chaotische Vielfalt widersprüchlicher Informationen. Dies kann Unternehmen wie Xandr potenziell zugute kommen, da sie denselben Benutzer als jung und alt an verschiedene Geschäftspartner verkaufen können.“
Microsoft wurde mit der Bitte um eine Antwort auf die Beschwerde kontaktiert.
Ein Sprecher von noyb teilte uns mit, dass nicht damit zu rechnen sei, dass die Beschwerde im Rahmen des One-Stop-Shop-Verfahrens der DSGVO von Italien an die irische Datenschutzbehörde weitergeleitet werde, da Xandr in den USA ansässig sei. Diese Unternehmensstruktur lässt vermuten, dass das Adtech-Unternehmen in anderen EU-Mitgliedstaaten, in denen es Daten von Einheimischen verarbeitet hat, mit weiteren Beschwerden konfrontiert sein könnte – was das regulatorische Risiko weiter erhöht.
Die von noyb unterstützte Beschwerde hebt hervor bisherige Forschung Es heißt, es habe gezeigt, dass Xandr für Werbeprofilierungszwecke hochsensible Informationen über Einzelpersonen sammelt, wie etwa Daten über ihr Sexualleben oder ihre sexuelle Orientierung, ihre religiösen Überzeugungen und ihre politischen Meinungen. Die DSGVO legt eine besonders hohe Messlatte – die ausdrückliche Zustimmung – für die legale Verarbeitung sensibler Datenkategorien fest.
Es ist nicht klar, wie solche Einwilligungen von Personen eingeholt werden sollen, deren Daten Xandr besitzt. Besucher von Websites können jedoch eine Informationsquelle sein, da das Tracking für Anzeigen durch Personen ausgelöst werden kann, die auf Inhalte von Herausgebern zugreifen. In der EU sollten solche Websites die Besucher um ihre Erlaubnis zum Tracking bitten, doch den branchenüblichen Mechanismen zur Einholung der Einwilligung von Personen wird vorgeworfen, gegen die DSGVO zu verstoßen.