Italiens Wettbewerbs- und Verbraucherschutzbehörde hat angekündigt eine Untersuchung darüber, wie Google die Zustimmung der Nutzer erhält, um deren Aktivitäten über verschiedene Dienste hinweg zur Profilerstellung für Anzeigen zu verknüpfen, und erklärt, dass der Adtech-Gigant verdächtigt werde, „unlautere Geschäftspraktiken“ anzuwenden.
Dabei geht es darum, wie Google die Zustimmung von Nutzern in der Europäischen Union erhält, um deren Aktivitäten in seinen Apps und Diensten – wie Google Search, YouTube, Chrome und Maps – zu verknüpfen. Durch die Verknüpfung der Nutzeraktivitäten kann Google Profile für die gezielte Anzeigenausrichtung erstellen, die Haupteinnahmequelle des Unternehmens.
Als Reaktion auf die Untersuchung der italienischen AGCM erklärte ein Google-Sprecher gegenüber Tech: „Wir werden die Einzelheiten dieses Falls analysieren und kooperativ mit der Behörde zusammenarbeiten.“
Seit Anfang März unterliegt Google dem Digital Markets Act (DMA) der EU, einem Ex-ante-Wettbewerbsregime, das in der gesamten Europäischen Union, darunter auch in Italien, gilt. Das Unternehmen ist einer von mehreren ausgewiesenen Internet-„Gatekeepern“, die eine Reihe wichtiger Plattformen (auch als „Core Platform Services“ bezeichnet) besitzen und betreiben, ebenso wie Meta, X, Amazon, ByteDance und Microsoft.
Die EU-weite Regelung ist für Italiens Ermittlungen gegen Google relevant, da die DMA es für diese Gatekeeper zur Pflicht gemacht hat, die Zustimmung der Nutzer einzuholen, bevor sie personenbezogene Daten von Nutzern für Werbezwecke verarbeiten oder die von ihren Diensten gesammelten Daten kombinieren dürfen. Die Ermittlungen der AGCM scheinen sich auf den letztgenannten Bereich zu konzentrieren.
„[T]Die von Google an seine Nutzer gerichtete Bitte um Zustimmung zur Verlinkung der angebotenen Dienste kann eine irreführende und aggressive Geschäftspraxis darstellen“, heißt es in der AGCM schrieb in einer Pressemitteilung.
„Tatsächlich scheint es mit unzureichenden, unvollständigen und irreführenden Informationen verbunden zu sein und könnte die Entscheidung beeinflussen, ob und in welchem Umfang eine Zustimmung erteilt werden soll.“
Das Vorgehen der Regulierungsbehörde ist interessant, da es normalerweise die Europäische Kommission ist, die die Durchsetzung gegen diese Gatekeeper leitet. Die im März angekündigte laufende Untersuchung der EU gegen Google im Rahmen des DMA konzentriert sich jedoch nicht darauf, ob Google die Zustimmung zur Verknüpfung von Benutzerdaten erhält. Die EU hat erklärt, dass ihre DMA-Untersuchung die Selbstpräferenzierung bei der Google-Suche und die Anti-Steering-Funktion bei Google Play betrifft.
Die italienische Behörde scheint die Gelegenheit zu nutzen, um auf Bedenken zu reagieren, zu denen sich die Kommission noch nicht geäußert hat.
Ziel der Wettbewerbsdurchsetzung in der EU und in den Mitgliedsstaaten ist grundsätzlich die Vermeidung von Doppelarbeit. In diesem Fall könnte es jedoch sein, dass die italienische Regulierungsbehörde diese Lücke schließt.
Googles Zustimmungsfluss unter der Lupe
In ihrer Pressemitteilung äußerte die AGCM ihre Besorgnis darüber, dass Googles Anfrage an die Nutzer, die um ihre Zustimmung bitten, ihnen nicht die Informationen liefert, die sie für eine freie und informierte Entscheidung benötigen. Und wenn doch, liefert Google Informationen „unzureichend und ungenau“, so die AGCM. Insbesondere vermutet die Regulierungsbehörde, dass Google nicht transparent ist, was die „tatsächlichen Auswirkungen“ auf die Nutzer angeht, wenn sie der Verknüpfung ihrer Konten zustimmen.
Darüber hinaus hegt die Regulierungsbehörde den Verdacht, dass Google nicht das gesamte Bild offenlegt. Sie ist besorgt über die Menge an Informationen, die Google „in Bezug auf die Vielfalt und Anzahl der Dienste von Google bereitstellt, bei denen es zu einer ‚Kombination‘ und ‚Kreuzverwendung‘ personenbezogener Daten kommen kann, sowie in Bezug auf die Möglichkeit, die Zustimmung auf einige Dienste zu modulieren (und damit zu beschränken).“
Laut DMA muss die Zustimmung zur Verknüpfung von Konten zu Werbezwecken den Standards eines anderen EU-weiten Gesetzes entsprechen, der Datenschutz-Grundverordnung (DSGVO). Diese schreibt vor, dass die Zustimmung „freiwillig, spezifisch, informiert und eindeutig“ erfolgen muss.
Die DSGVO legt auch Bedingungen fest, wie die Einwilligung durch schriftliche Erklärungen in einer Online-Schnittstelle eingeholt werden kann. Sie verlangt, dass solche Anfragen „in einer Weise präsentiert werden, die klar von den anderen Angelegenheiten unterscheidbar ist, in einer verständlichen und leicht zugänglichen Form und in einer klaren und einfachen Sprache.“
Während die Durchsetzung der DSGVO normalerweise von den Datenschutzbehörden geleitet wird, führt die Einbeziehung der Zustimmungsstandards der DSGVO durch den DMA zu dem, was wir hier sehen: Italiens Wettbewerbs- und Verbraucherschutzbehörde nimmt Googles Zustimmungsfluss genau unter die Lupe.
Die AGCM ist nicht nur besorgt über die Informationen, die Google den Nutzern zur Verfügung stellt, sondern auch über Wie Google bittet die Menschen um ihre Zustimmung. Das lässt darauf schließen, dass die „Techniken und Methoden“, die es zur Einholung der Zustimmung verwendet, ebenfalls ein Problem darstellen könnten.
Die Behörde vermutet, dass Googles Zustimmungsverfahren „die Entscheidungsfreiheit des Durchschnittsverbrauchers beeinträchtigen“ könnte, was dazu führen könnte, dass Nutzer „dazu gebracht werden, eine kommerzielle Entscheidung zu treffen, die sie andernfalls nicht getroffen hätten, indem sie der Kombination und gegenseitigen Verwendung ihrer personenbezogenen Daten zwischen den zahlreichen angebotenen Diensten zustimmen.“ Oder, in kürzeren Worten: Google könnte Menschen manipulieren, damit sie der Verknüpfung ihrer Konten zustimmen.
Manipulatives oder sogenanntes „Dark Pattern“-Design ist seit Jahren ein bedauerliches Merkmal von Online-Wahlprozessen bei allen Arten von Verbraucherdiensten. Doch die zunehmende Regulierung digitaler Plattformen und Dienste in der EU scheint dieser nutzerfeindlichen Taktik endlich entgegenzuwirken.
Der DMA verweist nicht nur auf die DSGVO-Standards für die Einwilligung und ermöglicht es damit mehr Durchsetzungsbehörden, Auswahlprozesse zu prüfen. Auch der Digital Services Act (DSA) des Blocks verbietet strikt die Verwendung von Designs, bei denen durch Täuschung oder andere hinterhältige Anreize die Fähigkeit der Nutzer, freie Entscheidungen zu treffen, verzerrt oder beeinträchtigt wird.
Erst letzte Woche bestätigte die EU ihre ersten vorläufigen Feststellungen zu einem Verstoß gegen die DSA-Regeln gegen irreführendes Design, als sie bekannt gab, dass sie das blaue Häkchensystem auf X (ehemals Twitter) verdächtigt, ein illegales Dark Pattern zu sein.