Eine interessante Neuheit lernen von 1.759 iOS-Apps, bevor und nachdem Apple im vergangenen Jahr eine wichtige Datenschutzfunktion implementiert hatte, bei der Entwickler um Erlaubnis bitten mussten, App-Benutzer zu verfolgen – auch bekannt als App Tracking Transparency (ATT) – hat festgestellt, dass die Maßnahme die Verfolgung erschwert hat, indem sie die Erfassung der Kennung verhindert für Werbetreibende (IDFA), die für das App-übergreifende Benutzer-Tracking verwendet werden können.
Die Forscher fanden jedoch kaum Änderungen an den in Apps integrierten Tracking-Bibliotheken und sahen auch, dass viele Apps immer noch Tracking-Daten sammeln, obwohl der Benutzer die Apps gebeten hat, nicht verfolgt zu werden.
Darüber hinaus fanden sie Beweise dafür, dass App-Hersteller datenschutzfeindliche Fingerabdrücke von Benutzern durch die Verwendung von serverseitigem Code verwenden, um Apples ATT zu umgehen – was darauf hindeutet, dass Cupertinos Schritt eine Gegenbewegung von Entwicklern motivieren könnte, andere Mittel einzusetzen Verfolgen Sie weiterhin iOS-Benutzer.
„Wir haben sogar ein reales Beispiel von Umeng, einer Tochtergesellschaft des chinesischen Technologieunternehmens Alibaba, gefunden, die ihren serverseitigen Code verwendet, um Apps mit einer von Fingerabdrücken abgeleiteten App-übergreifenden Kennung auszustatten“, schreiben sie. „Die Verwendung von Fingerabdrücken verstößt gegen die Richtlinien von Apple und wirft Fragen auf, inwieweit das Unternehmen in der Lage ist, seine Richtlinien durchzusetzen. ATT könnte letztendlich eine Verlagerung von Tracking-Technologien hinter die Kulissen fördern, sodass sie außerhalb der Reichweite von Apple liegen. Mit anderen Worten, die neuen Regeln von Apple könnten zu noch weniger Transparenz beim Tracking führen, als wir es derzeit haben, auch für akademische Forscher.“
Die Forschungsarbeit mit dem Titel Auf Wiedersehen Tracking? Auswirkungen von Transparenz- und Datenschutzkennzeichnungen für iOS-App-Tracking, ist die Arbeit von vier Wissenschaftlern der University of Oxford und einem fünften unabhängigen Forscher aus den USA. Es ist erwähnenswert, dass es als Vorabdruck veröffentlicht wurde – was bedeutet, dass es noch nicht von Experten begutachtet wurde.
Ein weiterer Bestandteil der Studie befasste sich mit den „privaten Nährwertkennzeichnungen“, die Apple Ende 2020 für iOS eingeführt hat – wobei die Forscher zu dem Schluss kamen, dass diese Kennzeichnungen oft ungenau sind.
Apples System, das darauf abzielt, iOS-Benutzern auf einen Blick einen Überblick darüber zu geben, wie viele Daten sie für die Nutzung einer App preisgeben, verlangt von App-Entwicklern, dass sie selbst erklären, wie sie Benutzerdaten verarbeiten. Und hier fanden die Forscher „bemerkenswerte Diskrepanzen“ zwischen den offengelegten und tatsächlichen Datenpraktiken der Apps – was ihrer Meinung nach bei den Verbrauchern ein falsches Sicherheitsgefühl erzeugen und sie darüber irreführen könnte, wie viel Privatsphäre sie aufgeben, um eine App zu verwenden.
„Unsere Ergebnisse deuten darauf hin, dass Tracking-Unternehmen, insbesondere größere mit Zugriff auf große Fundgruben von Erstanbietern, Benutzer immer noch hinter den Kulissen verfolgen“, schreiben sie in einem Abschnitt, in dem sie diskutieren, wie fortgesetztes, zustimmungsloses Tracking sowohl die Macht von Gatekeepern als auch die Undurchsichtigkeit verstärken kann des mobilen Datenökosystems. „Sie können dies durch eine Reihe von Methoden tun, einschließlich der Verwendung von IP-Adressen, um installationsspezifische IDs über Apps hinweg zu verknüpfen, und über die Anmeldefunktion, die von einzelnen Apps bereitgestellt wird (z. B. Google- oder Facebook-Anmeldung oder E-Mail-Adresse).
„Gerade in Kombination mit weiteren Nutzer- und Gerätemerkmalen, die laut unserer Daten noch immer vielfach von Tracking-Unternehmen erhoben werden, wäre es möglich, das Nutzerverhalten app- und webseitenübergreifend zu analysieren (z. B. Fingerprinting und Kohorten-Tracking). Eine direkte Folge des ATT könnte also sein, dass bestehende Machtungleichgewichte im digitalen Tracking-Ökosystem verstärkt werden.“
Das Papier kann Argumente, die versuchen, das Wettbewerbsrecht gegen Datenschutzrechte zu stellen, anheizen, da die Autoren des Papiers ihre Ergebnisse darauf hindeuten, dass Apple und andere große Unternehmen ihre Marktmacht als Ergebnis von Maßnahmen wie ATT erhöhen konnten, die geben Benutzer haben mehr Einfluss auf ihre Privatsphäre.
Apple wurde wegen eines Kommentars zu dem Forschungspapier kontaktiert, aber zum Zeitpunkt des Verfassens dieses Artikels hatte das Unternehmen nicht geantwortet.
Die Wettbewerbsbehörden haben bereits eine Reihe von Beschwerden über Apples ATT eingereicht.
Während ein separater Plan von Google, die Unterstützung für das Tracking von Cookies in seinem Chrome-Browser abzulehnen – und auf alternative Ad-Targeting-Technologien umzustellen (die der Technologieriese auch auf Android-Geräte bringen wird) – in den letzten Monaten ebenfalls Ziel von Kartellbeschwerden war .
So wie es aussieht, wurde weder Apples ATT noch Googles selbsternannte „Privacy Sandbox“ von den beiden mobilen Gatekeepern vollständig von den Wettbewerbsbehörden blockiert, obwohl Googles Sandbox-Plan nach einer kartellrechtlichen Intervention des Vereinigten Königreichs, die dazu führte, in Europa weiterhin genau überwacht wird Das Unternehmen bietet eine Reihe von Verpflichtungen zur Entwicklung des Tech-Stacks an. Die Interventionen haben sehr wahrscheinlich auch dazu beigetragen, den ursprünglichen Zeitplan von Google zu verzögern.
Die EU führt auch eine formelle kartellrechtliche Untersuchung der Adtech von Google durch, die eine Untersuchung des Sandbox-Plans beinhaltet – obwohl sie zum Zeitpunkt der Ankündigung der Untersuchung betonte, dass jede Entscheidung auch die Privatsphäre der Nutzer berücksichtigen müsse, und schrieb, dass sie „berücksichtigen würde die Notwendigkeit, die Privatsphäre der Nutzer in Übereinstimmung mit diesbezüglichen EU-Gesetzen wie der Datenschutz-Grundverordnung zu schützen“, und betont, dass: „Wettbewerbsrecht und Datenschutzgesetze Hand in Hand arbeiten müssen, um sicherzustellen, dass Display-Werbemärkte auf a Level Playing Field, bei dem alle Marktteilnehmer die Privatsphäre der Nutzer gleichermaßen schützen.“
Die gemeinsame Arbeit der britischen Wettbewerbs- (CMA) und Datenschutzbehörden (ICO) war auch der Ansatz, der während des gesamten Datenschutz-Sandbox-Verfahrens der CMA verfolgt wurde. Und in einer Stellungnahme aus dem letzten Jahr sagte der scheidende britische Informationskommissar der Adtech-Branche, dass sie sich von der auf Tracking und Profiling basierenden Anzeigenausrichtung verabschieden müsse – und drängte auf die Entwicklung alternativer Anzeigenausrichtungstechnologien, die keine Verarbeitung der Daten von Personen erfordern.
In der Diskussion in ihrem Forschungspapier spekulieren die Forscher weiter, dass ein reduzierter Zugriff auf permanente Benutzerkennungen als Ergebnis von Apples ATT – im Laufe der Zeit – die Privatsphäre von Apps „wesentlich verbessern“ könnte, was genau auf diese umfassenderen Veränderungen hindeutet, die zur Neufassung des Ad-Targeting im Gange sind Technologien (wie Googles Sandbox), die behaupten, besser für die Privatsphäre zu sein, obwohl diese Behauptungen, wie die Forscher auch anmerken, hinterfragt werden müssen – da sie das Potenzial haben, wirtschaftliche Berechnungen von datenschutzfeindlichen Techniken wie Fingerabdrücken abzuwenden.
Sie sagen jedoch voraus, dass diese Migration weg vom Tracking die Marktmacht der Plattform-Gatekeeper weiter konzentriert.
„Während einige Unternehmen kurzfristig versuchen könnten, den IDFA durch statistische Identifikatoren zu ersetzen, könnte der eingeschränkte Zugang zu nicht probabilistischen anwendungsübergreifenden Identifikatoren es Datenbrokern und anderen kleineren Tracker-Unternehmen sehr schwer machen, sich zu behaupten. Techniken wie Fingerabdrücke und Kohortenverfolgung sind möglicherweise nicht wettbewerbsfähig genug im Vergleich zu datenschutzfreundlicheren On-Device-Lösungen“, schlagen sie vor. „Wir sehen bereits eine Verlagerung der Werbebranche hin zur Einführung solcher Lösungen, angetrieben durch Entscheidungen von Plattform-Gatekeepern (z. B. Googles FloC / Topics API und Android Privacy Sandbox, Apples ATT und Privacy Nutrition Labels), obwohl weitere Diskussionen erforderlich sind, wenn dies der Fall ist Diese neuen Technologien schützen die Privatsphäre sinnvoll.
„Das Nettoergebnis dieser Verlagerung hin zu mehr Privatsphäre wahrenden Methoden wird jedoch wahrscheinlich eine stärkere Konzentration auf die bestehenden Plattform-Gatekeeper sein, wie die frühen Berichte über den verdreifachten Marketinganteil von Apple, die geplante Überarbeitung der Werbetechnologien von Facebook/Meta und andere, und die wechselnden Ausgabenmuster der Werbetreibenden deuten darauf hin. Letztendlich wird die Werbung für iOS-Benutzer – die zu den wohlhabendsten Personen gehören – eine Gelegenheit sein, die viele Werbetreibende nicht verpassen dürfen, und sie werden sich daher auf die Werbetechnologien der größeren Technologieunternehmen verlassen, um weiterhin auf die Richtigen abzuzielen Zielgruppen mit ihren Anzeigen.“
Das Papier ruft auch das Versäumnis der europäischen Regulierungsbehörden und politischen Entscheidungsträger hervor, hart gegen das Tracking vorzugehen, indem sie Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) durchsetzen, und schreibt: „[I]Es ist besorgniserregend, dass ein paar Änderungen durch ein privates Unternehmen (Apple) den Datenschutz in Apps anscheinend mehr verändert haben als viele Jahre hochrangiger Diskussionen und Bemühungen von Regulierungsbehörden, politischen Entscheidungsträgern und anderen. Dies unterstreicht die relative Macht dieser Gatekeeper-Unternehmen und das bisherige Versagen der Regulierungsbehörden, die DSGVO angemessen durchzusetzen. Ein effektiver Ansatz, um die Einhaltung des Datenschutzrechts und des Datenschutzes in der Praxis zu verbessern, könnte eine gezieltere Regulierung der Gatekeeper des App-Ökosystems sein; Bisher gibt es keine gezielte Regulierung in den USA, Großbritannien und der EU.“
Für Internet-Gatekeeper ist jedoch eine gezielte Regulierung im Kommen. Wenn auch in einem Tempo, das um Größenordnungen langsamer ist als die Anzeigen, die versteigert und jede Millisekunde eines jeden Tages auf die Augäpfel gerichtet werden.
Die Europäische Union hat erst letzten Monat eine politische Einigung über ihre Vorzeige-Ex-ante-Wettbewerbsreform für Gatekeeper, auch bekannt als Digital Markets Act, erzielt – und die Gesetzgeber sagten damals, dass sie davon ausgehen, dass die Regelung im Oktober in Kraft tritt. (Obwohl es unwahrscheinlich ist, dass es frühestens 2023 wirklich einsetzt und es bereits Debatten darüber gibt, ob die Kommission über ausreichende Ressourcen verfügt, um gegen einige der wertvollsten Unternehmen der Welt mit ihren wachsenden Armeen von internen Anwälten vorzugehen.)
Das Vereinigte Königreich hat unterdessen seine eigene maßgeschneiderte Version dieser Art von Big-Tech-Wettbewerbsreform. Sein „wettbewerbsfreundliches“ Regime wurde bereits im Jahr 2020 zurückgezogen, es stehen jedoch noch immer Gesetze zur Ermächtigung der Digital Markets Unit aus. Und aktuell Berichte in der britischen Presse haben vorgeschlagen, dass das Gesetz über den digitalen Wettbewerb dem Parlament erst im nächsten Jahr vorgelegt wird – was eine weitere Verzögerung bedeuten würde.
Deutschland hat hier die Nase vorn, nachdem es Anfang letzten Jahres eine Wettbewerbsreform verabschiedet hat. Es hat auch – Anfang dieses Jahres – Google als Gegenstand dieses speziellen Missbrauchskontrollregimes identifiziert. Obwohl das FCO des Landes noch die Untersuchung der verschiedenen Google-Produkte abschließen muss, die ihm wettbewerbsrechtliche Bedenken bereiten. Aber es ist möglich, dass wir dieses Jahr einige Gatekeeper-Durchsetzungen durch das FCO sehen werden.