Brave, der Hersteller eines Chromium-basierten Browsers, der mit Google Chrome konkurriert, sagt, dass es einen neuen Beweis dafür gibt, dass Google personenbezogene Daten an Werbetreibende weitergibt und gegen die europäischen Datenschutzgesetze in Bezug auf Datenkontrolle und Transparenz verstößt. Johnny Ryan, Chief Policy and Industry Relations Officer von Brave, hat seine Ergebnisse der Irish Data Protection Commission, Googles führender Regulierungsbehörde in Europa, vorgelegt.
Im Mai eröffnete der DPC eine Untersuchung der Echtzeit-Bidding (RTB)-Anzeigenbörse von Google, die Anzeigenkäufer mit Millionen von Websites verbindet, die ihr Inventar verkaufen. Ryan reichte 2018 eine GDPR-Beschwerde in Großbritannien und Irland über das RTB-System von Google ein und argumentierte, dass Google und Werbeunternehmen personenbezogene Daten bei RTB-Bewerbungsanfragen auf Websites, die die verhaltensorientierte Werbung von Google nutzen, preisgeben.
Im Gegensatz zur kontextbezogenen Werbung beruht die höherwertige verhaltensorientierte Werbung darauf, das Verhalten eines Geräts über Websites hinweg mit Hilfe von Cookies und anderen Mitteln zu verfolgen.
Das Anzeigesystem für autorisierte Käufer von Google wird auf 8,4 Millionen Websites verwendet, und Ryan schätzt, dass Google personenbezogene Daten an Hunderte von Google-Anzeigentechnikpartnern „sendet“, die für Nutzer im RTB-System von Google bieten.
„Man kann nicht wissen, was diese Unternehmen dann damit gemacht haben, denn Google verliert die Kontrolle über meine Daten, sobald sie gesendet wurden. Seine Richtlinien sind kein Schutz“, sagte Ryan.
Ryans jüngster Anspruch konzentriert sich auf Googles so genannte „Push Page“ oder „google_push“, die er als Benutzerkennung und Workaround für GDPR-Beschränkungen bezeichnet. Sie wurde den RTB-Bietern zusätzlich zu einem bestehenden Identifikator namens „google_gid“ zur Verfügung gestellt.
Er behauptet, dass die Push-Page mehreren Werbetreibenden erlaubt, Benutzerprofil-Identitäten zu teilen, wenn eine Person eine Webseite lädt. Jede Push-Seite wird durch Hinzufügen eines Identifikators am Ende einer gemeinsamen URL und in Kombination mit Google-Cookies einzigartig gemacht, damit Unternehmen die Person pseudonym identifizieren können, so Ryan.
„Alle Unternehmen, die von Google zum Zugriff auf eine Push-Page eingeladen werden, erhalten die gleiche Kennung für die zu profilierende Person. Dieser Identifikator „google_push“ ermöglicht es ihnen, ihre Profile der Person zu vergleichen, und sie können dann Profildaten miteinander austauschen“, schreibt Ryan.
Um zu testen, welche Daten Google mit Werbetreibenden teilt, verwendete Ryan eine Neuinstallation von Chrome, das keine Anmeldungen, Cookies oder Browserverläufe hatte, und analysierte dann die Netzwerkverkehrsprotokolle auf seinem Computer.
Innerhalb einer Stunde nach dem Surfen im Internet wurde das ‚google_gid‘ von Ryans Browser 318 Mal im Netzwerkverkehr von 10 Unternehmen verwendet, die eine RTB-Auktion gewonnen haben. Die Unternehmen können dann in einem Cooking-matching-Prozess überprüfen, ob es sich bei dem Benutzer um jemanden handelt, den sie zuvor profiliert haben, und dann das Profil des Benutzers aktualisieren.
Ryan bemerkt jedoch, dass es wahrscheinlich ist, dass Google den Identifikator auch an Hunderte von Unternehmen weitergegeben hat, die es als EU Ad-Tech-Partner aufführt.“Wie der Identifikator „google_gid“ wurde auch der Identifikator „google_push“ zuvor von Google an diese Unternehmen weitergegeben, um den Betroffenen zu identifizieren“, schreibt Ryan.
„Es gibt jedoch einen wichtigen Unterschied zwischen den beiden Identifikatoren. Der Identifikator „google_gid“ ist spezifisch für jedes Unternehmen, das ihn erhält. Dies bedeutet, dass diese Unternehmen weniger wahrscheinlich in der Lage sind, das, was sie von Google über die betroffene Person erfahren, miteinander zu vergleichen. Der Identifikator „google_push“ ist jedoch für mehrere Unternehmen gleich, die ihn erhalten.“
In einer Erklärung an CPORT sagte ein Google-Sprecher, dass das Unternehmen ohne Zustimmung des Nutzers keine gezielten Anzeigen schaltet.
„Wir schalten keine personalisierten Anzeigen und senden keine Gebotsanfragen ohne Zustimmung des Benutzers an Bieter. Die irische DPC – als führende DPA von Google – und die britische ICO prüfen bereits Echtzeit-Bewerbungen, um die Einhaltung der GDPR zu bewerten. Wir begrüßen diese Arbeit und arbeiten uneingeschränkt zusammen“, sagte die Sprecherin.
Dennoch teilte das britische Information Commissioners Office in einem Bericht vom Juni über seine Überprüfung des RTB-Ökosystems, das auch die autorisierten Käufer von Google betrachtete, einige von Ryans Bedenken hinsichtlich der RTB-Datenlieferkette. Insgesamt stellte das ICO fest, dass die „adtech-Industrie in ihrem Verständnis von Datenschutzanforderungen unreif erscheint“.
Er stellte auch fest, dass eine einzige RTB-Anfrage dazu führen kann, dass personenbezogene Daten von Hunderten von Unternehmen mit jeweils eigenen Datenschutzrichtlinien verarbeitet werden.
„Mehrere Parteien erhalten Informationen über einen Benutzer, aber nur einer gewinnt“ die Auktion, um diesem Benutzer eine Anzeige zu präsentieren. Es gibt keine Garantien oder technischen Kontrollen über die Verarbeitung personenbezogener Daten durch andere Parteien, z.B. Aufbewahrung, Sicherheit usw.“, schrieb das ICO.
„Im Wesentlichen kann diese Partei, sobald die Daten nicht mehr in den Händen einer Partei liegen, nicht mehr garantieren, dass die Daten einem angemessenen Schutz und einer angemessenen Kontrolle unterliegen.“