iccl-report

Werbetreibende zeichnen unsere Webaktivitäten auf – ohne Kontrolle über die Verwendung der generierten Daten. © Irish Council for Civil Liberties

Schweiz: Täglich über 300 Datenschutzverletzungen pro Person

Pascal Sigg /  Eine irische NGO macht erstmals das Ausmass der Online-Überwachung zu Werbezwecken bekannt – weil die Behörden zahnlos bleiben.

«Die RTB-Industrie trackt jeden Tag, was du dir anschaust – egal wie intim oder sensitiv – und sie zeichnet auf, wohin du gehst. Dies ist die grösste Datenschutzverletzung der Geschichte. Und sie wird jeden Tag wiederholt», sagte Johnny Ryan, Senior Fellow beim ICCL (Portrait in der ZEIT, hinter Paywall). RTB (Real-Time-Bidding) bezeichnet eine automatisierte Echtzeitauktion, welche innert Millisekunden abläuft, wenn InternetuserInnen eine Seite anwählen.

Durchschnittlich 300 Mal am Tag verstösst die Online-Werbebranche gegen die Persönlichkeitsrechte aller einzelnen Schweizer InternetuserInnen. Dies geht aus einem kürzlich veröffentlichten Bericht des Irish Councils for Civil Liberties (ICCL) hervor. Dieser macht erstmals Zahlen zur Weitergabe der UserInnendaten in Europa und den USA bekannt.

Bei den Daten handelt es sich um den Standort des mit dem Internet verbundenen Geräts sowie die Online-Aktivität wie beispielsweise die Angabe, welche Webseiten bestimmte UserInnen wann besuchen. Gemäss ICCL beruhen die Daten auf einem Google-Feed, welcher nur der Werbeindustrie zugänglich war.

Die Daten werden im Rahmen der Echtzeitauktionen von Online-Werbeplätzen erfasst und weitergegeben. In der Schweiz erfolgt dies gemäss Report über 14 verschiedene Marktplätze, wobei Google den grössten Anteil hat, gefolgt von Microsoft (Xandr), PubMatic und Index Exchange. Der Report kann allerdings keine Daten zu Amazons oder Facebooks Marktplätzen für Real-Time-Bidding (RTB) präsentieren. Deshalb heisst es im Bericht auch, die realen Zahlen dürften tatsächlich deutlich höher liegen.

Obschon der Report sagt, dass Datenschutzrechte gebrochen werden, dürfte die Rechtslage einen Einfluss auf die Intensität des Trackings haben. So sind UserInnen aus den USA, wo ein deutlich laxeres Datenschutzrecht gilt, mehr als doppelt so stark überwacht wie EuropäerInnen. Im Schnitt 747 Mal täglich werden US-UserInnendaten erfasst und weitergegeben – und eben, Facebook- und Amazon-Aktivitäten noch nicht eingerechnet. Die Schweiz liegt leicht unter dem europäischen Schnitt von 376 Weitergaben täglich.

Automatisierte Echtzeitauktionen mit Risiken

Die als Real-Time-Bidding bezeichneten Echtzeitauktionen erfolgen unter Werbetreibenden oder ihren Vertretern, häufig Mediaagenturen, welche den spezifischen UserInnen auf der entsprechenden Seite ihre Werbung präsentieren wollen.

Dabei kommen Daten wie Standort, aber auch Geschlecht oder Alter zum Einsatz. Im Grunde werden dabei standardisierte Pakete unserer Aufmerksamkeit gehandelt. Der durch Algorithmen gesteuerte Prozess der börslichen Preisbestimmung zwischen Computern ist allerdings höchst intransparent. Und die Milliardenindustrie birgt deshalb auch finanzielle Risiken.

Diese Infrastruktur, welche die Aufmerksamkeit der NutzerInnen zu Geld macht, indem sie ihre Daten monetarisiert, hält einen Grossteil der Websiten im Internet gratis zugänglich. Doch die UserInnendaten werden nicht nur benutzt, um die Preise der Anzeigeplätze auf den Websiten zu bestimmen. «Die privaten Daten europäischer und amerikanischer InternetuserInnen werden an Firmen auf der ganzen Welt, inklusive Russland und China geschickt. Ohne jegliche Kontrolle darüber, was dann mit diesen Daten geschieht», heisst es im Bericht.

Dies birgt auch grosse Risiken für alle InternetuserInnen. «Es gibt keine Möglichkeiten, die Weiterverwendung dieser Daten einzuschränken» betont der ICCL im Bericht. «Datenhändler nutzen sie, um Black Lives Matter-Demonstranten zu identifizieren. Das U.S. Department of Homeland Security und andere Behörden nutzten sie für unbegründetes Smartphone-Tracking. Und diese Daten wurden auch benutzt, um einen katholischen Priester seines Amtes zu entheben, weil aufgrund seiner Nutzung der App Grindr seine sexuelle Orientierung bekannt wurde.»

Johnny Ryan vom ICCL erklärt Real-Time-Bidding und die Risiken (ICCL)

Druck auf zahnlose Datenschutzbehörden

Die jetzige Publikation des Berichts versteht der ICCL als konkreten öffentlichen Druck, weil auf dem Rechtsweg zu wenig passiert ist und die Datenschutzorgane zu zahm agieren. Konkret kritisiert der ICCL die Europäische Kommission und insbesondere den Justizkommissar Didier Reynders, nachdem dieser eine Deadline des eigenen Ombudsmanns hatte verstreichen lassen. Der ICCL hatte zuvor beim Ombudsmann Beschwerde eingereicht. In Irland selbst ist der ICCL unzufrieden mit der Datenschutzbehörde und hat bereits angekündigt, diese zu verklagen.

Auch in anderen EU-Ländern – teilweise ebenfalls auf Initiative von ICCL-Fellow Ryan – laufen rechtliche Abklärungen. Vor wenigen Monaten büsste die belgische Datenschutzbehörde den europäischen Verband der Online-Werber IAB Europe für sein standardisiertes Formular, welches die Zustimmung der InternetuserInnen für die Verwendung ihrer Daten zu Werbezwecken abholt. Es sei intransparent und verstosse daher gegen das aktuelle EU-Datenschutzgesetz. IAB Europa hat gegen die Busse rekurriert und hauptsächlich argumentiert, man sei gar nicht verantwortlich, da der Verband die Daten gar nicht kontrolliere.

Die Schweiz orientiert sich an der EU – und wartet auch wegen begrenzter Ressourcen ab

Dieser zusätzliche Druck auf die EU ist relevant, weil sich die Schweizer Datenschutzpraxis eben an derjenigen der EU orientiert. Die Probleme der EU, gerade bei der Durchsetzung des geltenden Rechts, sind grösstenteils identisch mit denjenigen der Schweizer Behörden. «Die Nutzer müssen über die Erhebung und Verwendung der eigenen Daten angemessen informiert werden und der Vorwurf, dass dies noch nicht in ausreichendem Masse passiert, ist weder in der Schweiz noch in der EU neu», sagt der Rechtsanwalt für IT und Datenschutzrecht Damian George.

George sieht auch die Betreiber von Internetseiten selber in der Verantwortung. «Wenn für den Webseitenbetreiber nicht klar ist, wer alles auf die Daten zum Onlineverhalten seiner Nutzer zugreifen kann, kann er auch keine Zusicherungen hinsichtlich der Datensicherheit machen. Webseitenbetrieber müssen ihren Entwicklern auf die Finger schauen, damit diese keine problematischen Scripts und Dienstleister einbinden.»

Aus dem Büro des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten heisst es auf Infosperber-Anfrage: «Wir nehmen den Bericht der irischen Bürgerrechtsorganisation ICCL zur Kenntnis und verfolgen die Situation und deren Entwicklungen – vor allem auf der Ebene der Rechtsprechung und insbesondere in Europa. Der EDÖB setzt seine begrenzten Ressourcen in diesem sehr komplexen und technischen Bereich der Online-Werbebranche (Adtech) gezielt ein.»

So können Sie sich wehren

Wer verhindern will, dass sein Surfverhalten standardmässig zu Werbezwecken erfasst wird, kann sich wehren. Am einfachsten geht dies via Browser. Insbesondere die Browser Brave und Firefox bieten Möglichkeiten, unkompliziert Adblocker zu verwenden. Weitere Mittel sind im Ratgeber zur digitalen Selbstverteidigung der Digitalen Gesellschaft und der Wochenzeitung erklärt.


Themenbezogene Interessenbindung der Autorin/des Autors

Keine
_____________________
Meinungen in Beiträgen auf Infosperber entsprechen jeweils den persönlichen Einschätzungen der Autorin oder des Autors.

Zum Infosperber-Dossier:

Privatsphre2

Schutz der Privatsphäre

Internet-Seiten, E-Mails, Telefonanrufe, Handy-Standorte usw. werden flächendeckend erfasst. Wer stoppt´s?

War dieser Artikel nützlich?
Ja:
Nein:


Infosperber gibt es nur dank unbezahlter Arbeit und Spenden.
Spenden kann man bei den Steuern in Abzug bringen.

Direkt mit Twint oder Bank-App



Spenden


Die Redaktion schliesst den Meinungsaustausch automatisch nach drei Tagen oder hat ihn für diesen Artikel gar nicht ermöglicht.
Portrait Pascal.Sigg.X

Pascal Sigg

Pascal Sigg ist Redaktor beim Infosperber und freier Reporter.