Schlagwort: personalisierte Werbung

LfD Niedersachsen: Keine Profilbildung zu Werbezwecken

29. September 2022

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) warnte eine große Anzahl genossenschaftlicher Banken davor, mit Hilfe von Kundendaten Profile für Werbezwecke zu bilden. Bereits vor einigen Monaten hatte die LfD Niedersachsen in einem ähnlichen Fall gegen die Volksbank ein Bußgeld in Höhe von 900.000€ verhängt.

Kein Smart-Data Verfahren

Konkret riet die LfD Niedersachsen davon ab, sog. Smart-Data Verfahren anzuwenden. Durch dieses Vorgehen können Banken für jeden Kunden passende Werbemaßnahmen auswählen. Dafür analysieren sie in einem großen Umfang die Zahlungsverkehrsdaten ihrer Kunden. Auf diese Weise verfügen Banken über Information, wie u.a. die Höhe des Gehalts, Ausgaben für Lebensmittel oder Bezüge von Sozialleistungen. Außerdem kaufen Banken regelmäßig personenbezogene Daten ihrer Kunden bei externen Dienstleistern ein. Demnach können die Banken beispielsweise Information über Schulabschlüsse, Anzahl der Kinder pro Haushalt oder Anteil geschiedener Personen in der Bevölkerung sammeln.

Die Datenanalyse zeige, wie hoch die Wahrscheinlichkeit sei, dass ein Kunde Interesse an einem bestimmten Produkt habe. Wenn der Analyse zufolge ein Kunde Interesse an einem Kredit oder einer Hausfinanzierung habe, könne die Bank konkret für ein solches Produkt werben.

Keine rechtmäßige Datenverarbeitung

In der Pressemitteilung verwies die LfD Niedersachsen auf das Mitte diesen Jahres an die Volksbank verhängte Bußgeld in Höhe von 900.000 Euro. Diesbezüglich führte die BfD aus, dass die fehlende Rechtsgrundlage das Problematische an der Datenverarbeitung im Rahmen des Smart-Data-Verfahrens sei.

Die Volksbank hatte sich auf ihr berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen. Die LfD Niedersachsen stellte fest, dass Banken grundsätzlich ein berechtigtes Interesse an der „werblichen Ansprache“ ihrer Kunden haben können. Allerdings überwiege bei diesen Werbemethoden das Interesse der Kunden. 

Außerdem könne die Datenverarbeitung nicht auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erfolgen. Zwar wurden Einwilligungen der Kunden zur Datenverarbeitung eingeholt, diese seien aber zu unbestimmt. Der Kunde wisse nicht, in welchem Umfang die Bank seine personenbezogene Daten verarbeite. 

Fazit

Die LfD Niedersachsen betonte, dass sie zunächst lediglich Warnung ausgesprochen habe. Sie wollte sich Vor-Ort darüber informieren, ob Banken diese schwerwiegenden Verstöße gegen das Datenschutzrecht fortführen.

Twitter: Strafe in Millionenhöhe, wegen Nutzertäuschung

2. Juni 2022

Twitter hatte jahrelang verschwiegen, dass aus Sicherheitsgründen hinterlegte Handynummern und E-Mail-Adressen auch zu Werbezwecken verwendet worden waren. Das Unternehmen sprach von einem “Versehen”.

In der veröffentlichten Klageschrift von letzter Woche verwiesen die Handelsbehörde FTC und das Justizministerium darauf, dass Twitter die Nutzer um ihre Telefonnummern und E-Mail-Adressen mit der Begründung gebeten hatte, man könne damit ihre Accounts besser absichern. Online-Dienste greifen auf E-Mails oder Nachrichten an Handy-Nummern zum Beispiel zum Zwecke der Anmeldung auf neuen Geräten zurück sowie bei vergessenen Passwörtern oder um gesperrte Profile wieder freizuschalten.

Twitter habe die Daten aber auch verwendet, um den Nutzern personalisierte Werbung anzuzeigen, hieß es in der Klage. Damit seien die für andere Zwecke erhobenen Kontaktinformationen missbraucht worden. Twitter habe verschwiegen, dass es für eine Zwei-Faktor-Authentifizierung hinterlegte Handynummern und E-Mail-Adressen dazu verwendet habe, Unternehmen dabei zu helfen, personalisierte Werbung zu schalten. Zwischen Mai 2013 und September 2019 hätten mehr als 140 Millionen Nutzer ihre Telefonnummern oder E-Mail-Adressen mit Twitter geteilt, betonte die US-Regierung. Sie sah in der Vorgehensweise des Dienstes einen Verstoß gegen eine Einigung aus dem Jahr 2011, in welcher sich Twitter auch zu Transparenz beim Datenschutz verpflichtet hatte.

Twitter räumte die Vorwürfe in einer Stellungnahme ein. “Einige der zu Sicherheitszwecken bereitgestellten E-Mail-Adressen und Telefonnummern konnten versehentlich für Werbezwecke verwendet werden”, erklärte der Leiter der Datenschutzabteilung, Damien Kieran.

Mit 150 Millionen Dollar (140 Millionen Euro) kommt Twitter allerdings deutlich günstiger davon als Facebook im Jahr 2019. Damals warfen US-Behörden dem weltgrößten Online-Netzwerk ebenfalls vor, frühere Datenschutz-Verpflichtungen verletzt zu haben. Facebook zahlte fünf Milliarden Dollar und stimmte einer strikteren Datenschutz-Aufsicht zu. Auch Twitter muss nun unter anderem den Datenschutz von durch die FTC benannten Experten prüfen lassen und der Behörde Zwischenfälle binnen 30 Tagen melden. Außerdem soll Twitter ein Verfahren zur sicheren Anmeldung anbieten, das ohne eine Telefonnummer funktioniert.

Belgien: Wichtiger Standard für Cookiebanner für rechtswidrig erklärt

18. März 2022

Die belgische Datenschutzbehörde hat einen für die Onlinewerbung zentralen Standard für datenschutzrechtlich unzulässig erklärt. Das System Transparence and Consent (TCF) mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising einsammeln, entspricht nach Auffassung der Datenschutzbehörde nicht den Grundsätzen von Rechtmäßigkeit und Fairness.

Die Datenschutzbehörde hat die Entscheidung gegen den Werbeverband IAB Europe getroffen, der den TCF-Mechanismus entwickelt und betreibt. IAB muss nun nicht nur alle auf diese Weise gesammelten Daten löschen, sondern auch ein Bußgeld von 250.000 Euro bezahlen.

Das Transparency & Consent Framework (TCF) ist der zentrale Standard hinter Cookie-Bannern und personalisierter Werbung. Wenn ein Nutzer bei einem Cookie-Banner auf “Akzeptieren” klickt, erzeugt das System einen sogenannten TC-String und schickt diesen an alle Partner weiter, die am System teilnehmen. Kernaufgabe des TCF ist damit die Weitergabe der Einwilligung in die Datenverarbeitung zu Werbezwecken an alle Partner des Systems. Der TC-String bildet die Grundlage für die Erstellung von individuellen Profilen jeden Nutzers und für Auktionen, in denen Werbeplätze für die gewünschte Zielgruppe in Echtzeit versteigert werden.

Die Entscheidung könnte nicht nur für belgische Unternehmen möglicherweise schwerwiegende Auswirkungen haben: Nach Art. 56 Abs. 6 DSGVO gilt das “One-Stop-Shop”-Prinzip. Demnach ist bei grenzüberschreitender Datenverarbeitung die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Dies bedeutet, dass Unternehmen bei grenzüberschreitenden Datenverarbeitungen nur einen Ansprechpartner für die Beurteilung der datenschutzrechtlichen Belange haben. Die Entscheidung dieses Ansprechpartners gilt dann europaweit. Viele Betreiber:innen von Websiten, der Großteil der Online-Medien und auch Google oder Amazon nutzen das System , um die im Cookiebanner erteilte Einwilligung von Nutzer:innen in die Verarbeitung von persönlichen Daten zu verteilen.

Zwar hat IAB angekündigt, gegen die Entscheidung vorzugehen. Die möglichen Auswirkungen für die Werbebranche sind dennoch enorm und könnten das Prinzip personalisierter Werbung grundsätzlich in Frage stellen.

Klarnas neue “Super-App” in der Kritik

6. Januar 2022

Der Online-Bezahldienstleister Klarna sieht sich einiger Kritik bezüglich des Datenschutzes in seiner “Super-App” ausgesetzt. In den vergangenen Wochen sind bei der Berliner Datenschutz-Aufsichtsbehörde einige Beschwerden von Nutzerinnen und Nutzern eingegangen.

Klarnas noch recht neue App vereint die bereits bekannte Zahlmöglichkeit direkt mit dem Online-Shopping. Viele Händler wurden bereits in die App integriert, sodass eine separate Anmeldung bei den einzelnen Online-Shops nicht mehr notwendig ist. Sogar der Versand und das Paket-Tracking sind in der App möglich. Dadurch erhält Klarna neben den Bezahldaten auch alle anderen Informationen zu Bestellungen und Kaufverhalten der Nutzer, anhand derer personalisierte Angebote und Werbung generiert und an die Nutzerinnen und Nutzer ausgespielt werden können.

Rund die Hälfte der Beschwerden bezieht sich auf die Rechte der Nutzerinnen und Nutzer auf Auskunft oder Löschung ihrer Daten. Ein weiteres großes Problem ist die Datenschutzerklärung, die etwa 14.000 Wörter lang ist. Art. 12 DSGVO verlangt jedoch, dass die Informationen in “präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache” zur Verfügung gestellt werden. Auch inhaltlich könne die Datenschutzerklärung nicht überzeugen, sondern sei vielmehr eine “grandiose Nebelmaschine”.

Schrems vs. Facebook vor dem Obersten Gerichtshof Österreichs

23. April 2021

Der Rechtsstreit zwischen dem Datenschutzaktivisten Max Schrems und Facebook geht in die nächste Runde. Wie die österreichische Nachrichtenagentur APA berichtete, legten beide Parteien Rechtsmittel gegen das ursprüngliche Urteil des Oberlandesgerichts Wien ein.

In dem Rechtsstreit geht es unter anderem um die Frage, ob die Nutzer der Plattform eine Einwilligung erteilen müssten oder mit dem Unternehmen einen Vertrag abschließen, da Facebook als mutmaßliche Leistung Werbung anbietet. Facebook ist dabei der Auffassung, dass die Nutzer einen Vertrag abschließen.

Das Landgericht urteilte zunächst, dass die Datenverarbeitung vertrags- und gesetzeskonform sei. Diese Ansicht teilte auch das OLG Wien. Zuletzt ging es in seinem Urteil von einem Vertrag aus. Demnach dürfte Facebook die Daten auch ohne Einwilligung der Nutzer verarbeiten.

Der Datenschutzverein noyb teilte mit, dass Max Schrems den OGH gebeten habe, den Fall zur Klärung an den Europäischen Gerichtshof zu verweisen. Darüber hinaus verwies man darauf, dass die DSGVO sehr strenge Regeln für die Einwilligung enthalte. “Nutzer müssen vollständig informiert werden, die freie Wahl haben, ja oder nein zu sagen und sie müssen in der Lage sein, jeder Art der Verarbeitung ausdrücklich zuzustimmen.”

Datenschutz-Studie zu personalisierten Inhalten im Netz

27. Februar 2020

In einer Studie wurden 1065 Menschen in Deutschland zu ihrer Einstellung zum Datenschutz, personalisierten Botschaften und automatisiert generierten Empfehlungen im Netz befragt. Die Wissenschaftlerinnen und Wissenschaftler führten diese Studie im Auftrag des Max-Planck-Instituts für Bildungsforschung und der Universität Bristol durch und veröffentlichten diese Woche die Ergebnisse.

Die Umfrage hat ergeben, dass die Wahrnehmung des Einsatzes von KI-Technologien im Netz unter den Teilnehmern verhältnismäßig hoch sei. So sind die in diesem Zusammenhang verwendeten Begrifflichkeiten bekannt und die meisten Befragten können Nutzoberflächen mit und ohne personalisierte Inhalte unterscheiden.

Darüber hinaus hänge die Einstellung zu Personalisierung im Netz von den Inhalten ab. Die Mehrheit der Studienteilnehmer lehnt personalisierte Inhalte zu politischen Themen ab, während personalisierte Botschaften zu Unterhaltung, Shopping und nutzerorientierte Suchergebnisse als akzeptabel empfunden werden.

Die Wissenschaftlerinnen und Wissenschaftler halten aber fest, dass sich datenschutzrechtliche Bedenken und Sorgen der Teilnehmer nicht in ihrem Verhalten widerspiegeln.

Die Wissenschftlerinnen und Wissenschaftler hoffen mit der Veröffentlichung der Ergebnisse der Studie ein politisches Signal zu senden.  „Deutsche finden ihre Daten schützenswert. Das wird an unseren Ergebnissen sehr deutlich und diese Haltung der Bürger:innen sollte in eine öffentlichen Debatte überführt werden. Künftig brauchen wir dann Regulationen, die es jeder Einzelnen ermöglicht, den Umgang mit ihren Daten online selbst einzustellen.“, betonte Philipp Lorenz-Spreen (einer der an der Studie beteiligten Wissenschaftler).

Unzulässige Melderegisterauskünfte: Wahlwerbung für Kleinkinder

1. Juli 2019

Bei der baden-württembergischen Landesdatenschutzbehörde sind vermehrt Beschwerden gegen Meldebehörden im Zusammenhang mit der Wahlwerbung im Rahmen der Europa- und Kommunalwahlen im Mai eingegangen. In einigen Fällen sollen Kleinkinder und Säuglinge personalisierte Wahlwerbung erhalten haben.

Grundsätzlich können Parteien bei Meldebehörden unter bestimmten Voraussetzungen Daten von Wahlberechtigten zum Zwecke der Wahlwerbung erfragen (§ 50 Abs. 1 Bundesmeldegesetz). Dies ist aus datenschutzrechtlicher Sicht zulässig, soweit die Betroffenen dagegen keinen Widerspruch eingelegt haben. Teilweise haben Meldebehörden aber auch Daten von Nichtwahlberechtigten und Personen, für die eine Übermittlungssperre eingetragen war, weitergegeben. Laut Datenschutzbehörde war diese Datenverarbeitung nicht zulässig, sodass es sich um Datenpannen bei den Behörden handelt.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink hob in einer Pressemittelung den dringenden Handlungsbedarf bei Meldebehörden hervor und drückte sein Verständnis für den Unmut der Bürger aus. Daneben betonte er aber auch die Bedeutung des Auskunftsrechts der Parteien in diesem Zusammenhang: „Parteien nehmen im demokratischen Willensbildungsprozess eine hervorgehobene Rolle ein und sind deshalb melderechtlich privilegiert“.

Cookienutzung: wenig Beeinflussung durch DSGVO

15. November 2018

Die internationale Mediaplattform “Teads” hat in einem neuen Report ermittelt, dass nur fünf Prozent der europäischen Internetnutzer Werbe-Cookies aktiv vermeiden. Trotz zahlreicher Diskussionen über die neue DSGVO bleibt mithin die Datenbasis für personalisierte Werbung zunächst erhalten.

Jeder kennt Sie: Die Cookie-Banner, die von Europas Publisher auf den Websiten eingesetzt werden, um die Besucher der Website zu fragen, ob Sie den Einsatz von Cookies akzeptieren möchten. 62 % dieser Banner sind derart ausgestaltet, dass Nutzer die Werbe-Cookies akzeptieren oder ablehnen können. Im Durchschnitt entscheiden sich derzeit 95 % der Nutzer, die aktiv auf die Frage antworten, für Cookies, lediglich 5 % entscheiden sich aktiv gegen den Cookie-Einsatz.

Da sich etwa zwei Drittel der laut Comscore 300 weltweit führenden Online-Publisher im Vermarktungsnetzwerk von Teads befinden, ist diese Auswertung durchaus aussagekräftig.

Für Deutschland kann eine derartige Auswertung nicht vorgenommen werden. Es gibt keine Daten zur Cookie-Zustimmung, da die meisten deutschen Publisher keine explizite Zustimmung zur Cookie-Verwendung einholen. Diese stützen sich auf ihr berechtigtes Interesse, welches nach der DSGVO eine Datennutzung für Werbezwecke in gewissem Umfang erlaubt. Wenn der Nutzer Cookies nicht wünscht, muss er selbst im Browser den Einsatz deaktivieren.

Im Rahmen der personalisierten Werbung stellt der Einsatz von Cookies einen wesentlichen Faktor dar. Nach Inkrafttreten der DSGVO sollen individuelle Daten grundsätzlich nur noch mit ausdrücklicher Zustimmung des Nutzers erhoben werden. Lediglich das “berechtigte Interesse” lässt gewissen Spielraum zu, der in Deutschland von den Publishern genutzt wird. Allerdings kann sich in der Hinsicht noch einiges verschärfen, wenn die geplante E-Privacy-Verordnung kommt. Dann könnte es auch in Deutschland Pflicht werden, ein Opt-In für jegliches Tracking einzuführen.

 

Häufig rechtswidriger Einsatz von gezielter Facebook-Werbung

6. Oktober 2017

Anders als bei einem klassischen Flyer im Briefkasten ist es im Bereich der Online-Werbung möglich, Bedürfnisse und Interessen von potentiellen Kunden gezielt zu adressieren und somit das Verkaufspotential erheblich zu steigern. Ein solches Werkzeug für personalisiertes Marketing bietet auch der Internetriese Facebook in Form seiner “Custom Audience” an.

Das Bayerische Landesamt für Datenschutzaufsicht nahm nun diverse Anfragen von Unternehmen zum rechtskonformen Einsatz des Tools zum Anlass, den Service und die entsprechende Umsetzung unter rechtlichen Gesichtspunkten zu überprüfen. In ihrer Pressemitteilung legt die Behörde anschaulich dar, welche beiden Varianten es von der “Facebook Custom Audience” gibt:

  • Custom Audience über die Kundenliste:
    Ein Unternehmen erstellt eine Liste mit Name, Wohnort, E-Mail-Adresse u. Telefonnummer seiner Kunden und/oder Interessenten. Nach Umwandlung der Kundendaten mittels Hash-Verfahren gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab. Es erfolgt eine präzise Auswahl der Personen, deren Interessen sich mit dem Angebot des Unternehmens decken und die Werbung von dem Unternehmen erhalten sollen.
  • Custom Audience über das Pixel-Verfahren:
    Auf der Webseite des Unternehmens wird ein unsichtbares Facebook-Pixel eingebunden, durch welches das komplette Nutzungsverhalten einer Person nachvollzogen werden kann. Das BayLDA skizziert beispielhaft folgendes Szenario: “Ein Nutzer besucht einen Webshop und interessiert sich für das neuste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet.” Auf Basis dieser Informationen kann das Unternehmen den Kunden nun mit passender Werbung zu dem betreffenden Smartphone versorgen und kann auf die Rückkehr des Kunden auf den zuvor besuchten Webshop hoffen.

Die Prüfung der Unternehmen, die “Facebook Customer Audience” für sich nutzen, ergab in vielen Fällen einen datenschutzrechtlich unzulässigen Umgang mit dem Service. Oftmals wurde der Nutzer nicht oder nicht vollständig über den Einsatz des Pixel-Verfahrens informiert. Zudem fehlte die Möglichkeit des Users, dem Einsatz von “Customer Audience” zu widersprechen (Opt-Out). Dies stellt einen Verstoß gegen geltendes Datenschutzrecht dar und kann zu Bußgeldern führen, die sich mit Anwendung der Datenschutz-Grundverordnung ab Mai 2018 drastisch erhöhen.

Google stoppt E-Mail-Scans für personalisierte Werbung

29. Juni 2017

Was viele Nutzer des googleeigenen Mailingsdienstes Gmail vemutlich bisher gar nicht wissen: Google scannt alle E-Mails der Nutzer, um diese in einem zweiten Schritt mit personalisierter Werbung ansprechen zu können. Doch mit dieser Praxis soll nun Schluss sein. Dies kündigte die für Googles Cloud-Geschäft zuständige Managering Diane Greene zumindest nun im Blog des Unternehmens an. Ohne den genauen Zeitpunkt des Stopps zu nennen, erklärte sie “Nach dem Wechsel wird der Inhalt der Nachrichten in Gmail nicht mehr gescannt, um die Anzeigen zu personalisieren.

In der kostenlosen Variante des Mailingsdienstes wird die Scan-Methode bereits seit dem Start des Services 2004 angewendet, um die Bereitstellung finanzieren zu können. Die Praxis, die Mails im Posteingang des jeweiligen Nutzers zu scannen, um ihn dann im Web-Interface mit, auf die Inhalte der Mails zugeschnittener Werbung anzusprechen, hatte schon damals zu vielen kritischen Stimmen gesorgt, die allerdings erst jetzt Früchte tragen, indem Google den E-Mail-Scan einstellt.

Trotz der umstrittenen Funktion war die Nachfrage, vor allem aufgrund des großen und bis dato konkurrenzlosen Funktionsumfang, für den werbefinanzierten Google-Dienst groß. Auch die Bezahlversion Google G Suite, bei dem das Scan-Verfahren nicht eingesetzt wird, nutzen inzwischen 3 Millionen Kunden.

Ganz entfallen wird die personalisierte Werbung beim Nutzen von Gmail aber weiterhin nicht. Der Konzern will sich aber nun nach anderen Kriterien richten. So kann Google einem Kunden aufgrund des vom Android-Smartphone gemeldeten Standorts, der besuchten Websites oder aufgrund der Nutzung googleeigener Apps zugeschnitte Anzeigen darstellen. Auch die Mails werden weiterhin gescannt, um so z.B. Komfortaktionen des Google-Assistenten Now nutzen zu können.

Durch entsprechende Änderungden ihrer Accounteinstellungen können Google-Nutzer der Personalisierung und der weitergehenden Informationsübermittlung an Google widersprechen.

Pages:  1 2
1 2