Irlands ausweichende Antwort auf eine große Sicherheitsbeschwerde gegen Googles Adtech im Jahr des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist das Ziel einer neuen Klage – die der Datenschutzkommission (DPC) jahrelange Untätigkeit vorwirft die Beschwerdeführer behaupten, es sei „die größte Datenschutzverletzung aller Zeiten“.
Heute Lokalpresse in Irland berichtete, dass der irische High Court zugestimmt hat, die Klage zu verhandeln.
Der Rechtsstreit wurde vorbereitet von der Irischer Rat für bürgerliche Freiheiten (ICCL), dessen Senior Fellow, Johnny Ryan, als Kläger genannt wird.
Streitig ist die Antwort des DPC auf eine langjährige Beschwerde über die Rolle von Google beim Hochgeschwindigkeitshandel mit den personenbezogenen Daten von Webnutzern, um festzustellen, welche Anzeigen geschaltet werden – und insbesondere über die mangelnde Aufmerksamkeit der Datenhandelssysteme des Trackings -basierte werbefinanzierte Werbeindustrie zahlt auf Sicherheit. (Sicherheit ist natürlich ein Schlüsselprinzip des Vorzeige-Datenschutzregimes der EU.)
Die ICCL-Klage wirft dem DPC daher vor, nicht auf eine „massive Google-Datenverletzung“ reagiert zu haben.
Ryan wird jedem bekannt sein, der die zunehmenden rechtlichen Probleme von Adtech in Europa verfolgt hat – als treibende Kraft hinter einer Reihe von Beschwerden und Gerichtsverfahren seit 2018, die den Hochgeschwindigkeitshandel mit den Daten von Menschen für Echtzeit-Anzeigenauktionen (auch bekannt als , Echtzeitgebote oder RTB).
Ryan, ein ehemaliger Adtech-Insider, der zum Whistleblower wurde, hat durch eine Reihe strategischer DSGVO-Beschwerden den Reformdruck auf die Branche erhöht. Aber in letzter Zeit zielen seine Beschwerden zunehmend auf die DPC selbst ab.
Im September 2020 veröffentlichte er beispielsweise ein Beweisdossier, das hervorhebt, wie die Online-Anzeigen-Targeting-Branche die intimen Merkmale von Internetnutzern ohne deren Wissen oder Zustimmung profiliert – und forderte die DPC auf, wegen der RTB-Sicherheitsbeschwerde weiterhin untätig zu bleiben.
Er hat auch eine Beschwerde bei der Europäischen Kommission eingereicht, die dazu führte, dass eine Ombudsperson einschritt, um die eigene hochrangige Überwachung der (dezentralisierten) Anwendung der DSGVO durch die EU zu untersuchen, die sich auf die Behörden in jedem Mitgliedstaat verlässt, um die Untersuchung durchzuführen und Durchsetzung von Rechtsverstößen.
Zur Google-Adtech-Beschwerde von 2018 hat die DPC – bisher – einige Verfahrensschritte angekündigt.
Nach Ryans ursprünglicher Beschwerde vom September 2018, in der sowohl Google als auch der Verband der Online-Werbebranche IAB Europe (als zwei Hauptakteure im RTB-System) genannt wurden, leitete Irland im Mai 2019 eine formelle Untersuchung zu Googles Adtech ein – da die Regulierungsbehörde die führende EU ist Wachhund für Google.
Irland leitete jedoch keine Untersuchung zum Inhalt von Ryans Beschwerde ein; vielmehr leitete es eine so genannte Untersuchung auf eigenen Wunsch ein – und sagte, es würde versuchen, „festzustellen, ob die Verarbeitung personenbezogener Daten, die in jeder Phase einer Werbetransaktion durchgeführt wird, im Einklang mit den einschlägigen Bestimmungen der DSGVO steht, einschließlich der Rechtsgrundlage für die Verarbeitung, die Grundsätze der Transparenz und Datenminimierung sowie die Aufbewahrungspraktiken von Google“, wie es damals hieß.
Insbesondere sagte die DPC nicht, dass ihre Untersuchung die Rolle von Google bei RTB durch eine Sicherheitslinse hinterfragen würde – obwohl der Kern von Ryans Beschwerde darin bestand, dass ein System „funktioniert“, indem es hochsensible Daten über Personen (Browsing-Gewohnheiten, Geräte-IDs) sendet , Standort usw.), direkt über das Internet, damit sie an zahlreiche Vermittler weitergegeben werden können, ohne dass die Benutzer, die verfolgt und profiliert werden, kontrollieren können, wer ihre Informationen erhält oder was mit ihnen geschieht, nachdem sie veröffentlicht wurden dort ist buchstäblich das Gegenteil von sicher.
Darauf drängt Ryan nun über die ICCL: Die Klage zielt darauf ab, Irland zu zwingen, die Sicherheit von RTB zu untersuchen; ein Problem, das die Regulierungsbehörde bisher offenbar gerne vermeiden wollte.
Während RTB mit einer Reihe anderer DSGVO-Beschwerden konfrontiert war, konzentrierte sich Ryans Beschwerde in erster Linie in Bezug auf Themen wie die Rechtsgrundlage für die Verarbeitung von Personendaten absichtlich auf die Sicherheit – da sie den klarsten Weg zu bieten schien, um zu demonstrieren, dass etwas sehr war verfault im Zustand von Adtech, wie er Tech bereits 2018 erklärte.
„Ich versuche, bei jedem Rechtsstreit, den wir anstrengen, so effizient wie möglich zu sein“, sagt Ryan uns jetzt. „Seit 3,5 Jahren habe ich die irische Datenschutzkommission gebeten, die größte Datenpanne, die jemals aufgezeichnet wurde, zu untersuchen und dagegen vorzugehen. Und das hat sie nicht getan, und infolgedessen war jeder Europäer dem ausgesetzt.“
„Das DPC ist wirklich gut darin, Dinge zu verschlammen“, fügt er hinzu. „Dies ist ein wirklich nettes, klares und klares Beispiel dafür, dass das DPC europaweite Verantwortung für ein wirklich großes Problem trägt, das alle betrifft – alle – und es ist keine Kleinigkeit. Und sie haben nichts getan. Also gibt es eigentlich nichts, was ich tun könnte – wir müssen sie verklagen.“
„Wenn sie nicht danach handeln, können sie genauso gut nicht existieren“, schließt er.
Liam Herrick, Executive Director von ICCL, kommentierte die Klage in einer Erklärung und fügte hinzu: „Wir sind besorgt, dass die Rechte von Einzelpersonen in der gesamten EU gefährdet sind, weil die DPC das RTB-System von Google über dreieinhalb Jahre seit der ersten Meldung durch Johnny Ryan im Jahr 2018 nicht untersucht hat. Das Problem, um das es hier geht, betrifft die Rechte aller Europäer und wir gehen vor Gericht, um zu sehen, dass digitale Rechte geschützt sind. Wiederholte Versuche, die DPC dazu zu bringen, diese Rechtsverletzung aufzugreifen, sind gescheitert.“
Letzten Monat wurde ein Flaggschiff-Framework der Werbebranche, das auch Ziel von Beschwerden im Zusammenhang mit RTB war, auch bekannt als das Transparency and Consent Framework (TCF) des IAB Europe, das Webbenutzern routinemäßig in Form eines Pop-up-Fensters zur Wahl des Datenschutzes bereitgestellt wird. Menschen um Zustimmung zu bitten, dass ihre Daten für Ad-Targeting in Echtzeit-Werbeauktionen verwendet werden – wurde von der belgischen Datenschutzbehörde als Verstoß gegen die DSGVO eingestuft. (Wie auch das IAB selbst.)
Dem IAB wurden einige Monate gegeben, um eine Lösung für eine sehr lange Liste von Verstößen zu finden – und Einige Datenschutzexperten argumentieren, dass dies angesichts der systemischen Verstöße, in die sich die TCF einklinkt (und für die RTB das Hauptziel ist), wahrscheinlich eine unmögliche Aufgabe ist.
Die belgische Behörde ging auf andere, ähnliche RTB-Beschwerden wie die von Ryan ein, die vor Ort eingereicht worden waren. (Das IAB wird von der belgischen Regulierungsbehörde beaufsichtigt, sodass von Irland nicht erwartet wird, dass es in diesem Zweig seiner Beschwerde führend ist. Ryan beschuldigt Irland jedoch auch, seine ursprüngliche Beschwerde nicht an Belgien weitergeleitet zu haben, wie es der One-Stop-Shop-Mechanismus der DSGVO sicherlich tun würde beabsichtigen.)
Die von der belgischen Datenschutzbehörde in Bezug auf die TCF des IAB identifizierte lange Liste von Fehlern weist sehr viel Sicherheit auf – mit Verstößen gegen die Sicherheit der Verarbeitung; Integrität personenbezogener Daten; Data Protection by Design and Default unter denen, die Anfang dieses Jahres in seiner endgültigen Entscheidung aufgeführt wurden.
Doch obwohl die Sicherheit eindeutig als Problem mit einem Flaggschiff-Industrie-Framework identifiziert wurde, das in RTB eingesteckt wird (und mehr als das dazu gedacht ist, das System als ein wichtiges strategisches Teil des Adtech-Apparats zu füttern), ist die DPC-Untersuchung von Googles Adtech immer noch im Gange — unter Verwendung ihrer eigenen Aufgabenstellung — das „S“-Wort nicht erwähnt.
In einer Zeitleiste, die aufzeichnet, was die ICCLs sind Pressemitteilung Sofas als „3 ½ Jahre Untätigkeit“ bezeichnet, schreibt die Organisation für bürgerliche Freiheiten, dass die Regulierungsbehörde am 12. aber diese Aussage „schließt die Datensicherheit aus – das kritische Thema der Beschwerde“.
Es ist nicht klar, warum sich das DPC dafür entschieden hat, die Sicherheit aus seiner Untersuchung von Googles Adtech herauszuschneiden.
Seine zahlreichen Kritiker würden sicherlich darüber nachdenken. (Obwohl Ryan sagt, er habe „keine Ahnung von ihren Motiven“, als er um eine Meinung gebeten wird, schlägt er vor, dass seine „anhaltende Trägheit“ in einem Spektrum von „Verschwörung bis hin zum Mist“ zweifelhaft aussieht – daher „deshalb brauchen wir eine unabhängige Überprüfung.)
Um einen Kommentar zur Klage der ICCL gebeten, lehnte der stellvertretende Kommissar Graham Doyle weitergehende Bemerkungen ab und sagte nur, dass es „zu diesem Zeitpunkt nicht viel zu sagen gibt, abgesehen von der Tatsache, dass unsere Untersuchung voranschreitet“.
Irlands Datenschutzbehörde zieht weiterhin scharfe Kritik wegen ihres umständlichen (manche sagen labyrinthischen) Ansatzes zur Durchsetzung der DSGVO auf sich – insbesondere im Hinblick auf grenzüberschreitende Beschwerden gegen große Technologiegiganten wie Google und Facebook.
Zivilgesellschaft, Verbraucherschutz- und Digital- und Datenschutzgruppen sowie einzelne Experten haben die Regulierungsbehörde jahrelang dafür kritisiert, dass sie sich mit den Füßen schleppt – oder einfach vermeidet –, eine Reihe schwerwiegender Beschwerden und Bedenken ordnungsgemäß zu untersuchen, von systemischen Datenschutz- und Einwilligungsmissbräuchen bis hin zu Verstößen gegen die Standortverfolgung oder tatsächlich die massive Sicherheitsfrage von RTB; also im Grunde die Art von systemischen Problemen, die – wenn sie durch Untersuchungen bestätigt werden – gleichermaßen massive Verbraucherschäden implizieren, die sich über den gesamten Block erstrecken.
Das bedeutet auch, dass dies die Art von Beschwerden ist, die, wenn sie tatsächlich durchgesetzt würden, eine umfassende Reform bestimmter Arten von datenschutzfeindlichen Data-Mining-Geschäftsmodellen erzwingen könnten.
Es ist bemerkenswert, dass die Handvoll endgültiger Entscheidungen, die das DPC bis heute gegen Technologiegiganten erlassen hat, seit die DSGVO im Mai 2018 angewendet wurde, ein in die Verordnung integriertes Widerspruchsverfahren durchlaufen mussten – nachdem andere EU-Datenschutzbehörden Irlands abgelehnt hatten Präferenz für geringere Strafen (siehe seine Entscheidung über Sicherheitsverletzungen von 2020 gegen Twitter; und seine Entscheidung über Transparenz von 2021 gegen WhatsApp).
Ein DPC-Entscheidungsentwurf gegen Facebook, der vom Beschwerdeführer (gegen den Willen des DPC) im vergangenen Herbst veröffentlicht wurde, sieht ebenfalls lächerlich nachsichtig aus. (Dieser Beschwerdeführer reichte im November auch eine Strafanzeige gegen die Aufsichtsbehörde ein und beschuldigte die DPC, „verfahrensmäßige Erpressung“ eingesetzt zu haben, um zu versuchen, sie zu knebeln.)
Es ist nicht klar, wie schnell die ICCL-Klage gegen die DPC voranschreiten und Irlands GDPR-Durchsetzung von Adtech möglicherweise beschleunigen könnte. Dies kann davon abhängen, welches der irischen Gerichte sich dafür entscheidet.
Die Regulierungsbehörde war in den letzten Jahren mit einer Reihe weiterer rechtlicher Herausforderungen für ihre Prozesse konfrontiert – darunter ein paar im Zusammenhang mit einer sehr lange laufenden Beschwerde gegen die EU-US-Datenübertragungen von Facebook, von denen eine Komponente im Januar 2021 beigelegt wurde, indem sie sich bereit erklärte, sie schnell zu lösen Die Beschwerde. (Allerdings ist eine endgültige Entscheidung zu diesem Thema still steht aus.)
Das britische Information Commissioner’s Office sah sich unterdessen auch Kritik wegen Adtech-Untätigkeit und Rechtsstreitigkeiten über RTB-Beschwerden (ab Ende 2020) ausgesetzt – nachdem es eine ähnliche Beschwerde abgeschlossen hatte, ohne Durchsetzungsmaßnahmen gegen die Adtech-Branche zu ergreifen (trotz der öffentlichen Anerkennung der systemischen Gesetzlosigkeit).
In diesem Fall ging die Klage jedoch nur an ein Gericht, das letztendlich entschied, dass ihm die Zuständigkeit fehlte um die Gültigkeit des Ergebnisses zu beurteilen, das das ICO behauptet hatte (das die Kläger aber anfechten wollten).
Eine Klage gegen die DPC, die vor Gericht verhandelt wird, sollte nicht mit solchen auf Befugnissen basierenden Unsicherheiten konfrontiert werden – wenn sich also ICCL und Ryan in ihren Argumenten durchsetzen, könnte die irische Regulierungsbehörde mit einer Anordnung konfrontiert werden, die Sicherheit von Googles Adtech zu untersuchen, die sie nicht einfach ignorieren kann; und im Wesentlichen gezwungen sein, eine sicherheitsbewusste Bereinigung von Adtech durchzusetzen. Was ein ziemlicher Gedanke ist.
Google wurde um einen Kommentar zur ICCL-Klage gebeten.