Schlagwort: Tracking
26. Mai 2021
Der Essenslieferdienst Lieferando speichert detaillierte Tracking-Daten seiner Fahrer. Dies berichtet der Bayerische Rundfunk. Den Stein ins Rollen gebracht hatten Angestellte von Lieferando, die Auskunft über ihre gespeicherten personenbezogenen Daten verlangten, die dem BR vorliegen.
Über die App “Scoober” werden pro Lieferung 39 Datenpunkte erfasst – von der Zuteilung der Bestellung über die Abholung bis zur Auslieferung an die Kunden. Alle 15 bis 20 Sekunden wird der genaue Standort des Fahrers gespeichert. Über diese Datenpunkte kann festgestellt werden, ob die Fahrer die jeweiligen Vorgaben erreichen, Verspätungen werden personalisiert gespeichert. Für Fahrer in Vollzeit kommen so 100.000 Datenpunkte pro Jahr zusammen. Die Datensätze reichen überdies zum Teil bis ins Jahr 2018 zurück.
Lieferando selbst hält die Daten für notwendig, um den Lieferbetrieb ordnungsgemäß durchführen zu können. Außerdem stehe die Datenverarbeitung im Einklang mit der Datenschutz-Grundverordnung. Eine Leistungs- oder Verhaltenskontrolle der Mitarbeiter finde nicht statt. Daran zweifelt der Vorsitzende des Gesamt-Betriebsrats für Deutschland, Semih Yalcin, und hält die Datenverarbeitung für “totale Überwachung” und “unverhältnismäßig”.
Diese Kritik teilt der Datenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink. Er hat sich der Sache nach einer Beschwerde eines Fahrers angenommen. Die dauerhafte Überwachung der Arbeitsleistung sei nach Einschätzung seiner Behörde “klar rechtswidrig”. Allerdings hat er die Angelegenheit und seine Untersuchungsergebnisse an die niederländische Datenschutzbehörde weitergegeben. Lieferando gehört zum niederländischen Mutterkonzern Just Eat Take Away, daher muss die DPA die weiteren Ermittlungen anstellen. Diesem droht nun eine zweistellige Millionenstrafe: da der Umsatz von Just Eat Take Away in der Corona-Pandemie im Jahr 2020 um 54 % auf 2,4 Milliarden Euro gestiegen ist und nach der DSGVO die Strafe bis zu vier Prozent des weltweiten Jahresumsatzes betragen kann, droht ein Bußgeld von bis zu 96 Millionen Euro.
28. April 2021
Apples neue Datenschutzfunktionen sorgen für Unruhe unter mehreren Medien- und Werbeverbände. Nun haben sie Wettbewerbsbeschwerde gegen den US-Konzern beim Bundeskartellamt eingelegt.
Künftig sollen Apps auf Apples Endgeräten, konkret dem iPhone und iPad mit Softwareversion iOS 14.5, den Benutzer um Erlaubnis fragen, bevor dessen Verhalten für Werbezwecke verfolgt werden kann. Das neue Verfahren mit dem Namen „App Tracking Transparency“ (ATT) kündigte Apple bereits vergangenen Sommer an, hatte die tatsächliche Einführung allerdings verschoben, um App-Anbietern Zeit für die Umstellung zu geben. Vor allem der Streit mit Facebook in Bezug auf Apples geplanten Änderungen sorgte dabei für große Aufmerksamkeit (wir berichteten). Da nun die Möglichkeit besteht, dass viele Benutzer einem Tracking nicht zustimmen, fürchten viele Anbieter um ihr Werbegeschäft.
Der Grund für die Beschwerde vor dem Bundeskartellamt ist allerdings ein anderer. Während Apps von Drittanbieter eine wirksame Einwilligung einholen müssen, geht Apple selbst einen anderen Weg. Eigene Dienste sind von der Änderung nämlich ausgenommen und können weiterhin die Daten der Nutzer sammeln. Die Beschwerdeführer, unter anderem der Zentralverband der deutschen Werbewirtschaft ZAW, die Organisation der Mediaagenturen OMG, der Markenverband, sowie die Verlegerverbände BDZV und VDZ sehen darin einen Versuch, „der Werbewirtschaft den Zugriff auf wettbewerbsrelevante Daten unzulässig zu erschweren“ und die Medienvielfalt zu gefährden. Damit muss nun eine Entscheidung des Bundeskartellamtes abgewartet werden.
Über die weitere Enwicklung werden wir Sie hier auf dem Laufenden halten
14. April 2021
Der Wiener Datenschutzaktivist Max Schrems hat bei der französischen Datenschutzbehörde CNIL eine Beschwerde gegen Google eingereicht. Die österreichische Datenschutzorganisation noyb („none of your business“), dessen Vorsitzender Schrems ist, bestätigte den Schritt und führte die Gründe für die Entscheidung auf ihrer eigenen Website auf.
Konkret wendet sich noyb mit seiner Beschwerde gegen Googles AAID (Android Advertising Identifier). Dabei wirft noyb Google vor, ein unrechtmäßiges Tracking auf Android-Smtartphones zu verfolgen, bei dem der semi-permanente Device Identifier AAID es durch eine versteckte, eindeutige Werbe-ID, Google und allen Apps auf dem Smartphone ermöglicht, Informationen über das Online- und Offlineverhalten der Nutzer zu kombinieren. Die Datenschutz-Aktivisten sehen darin eine gezielte Verfolgung der Nutzer, die gem. der DSGVO einer Einwilligung bedürfe. Eine solche holt Google allerdings nicht ein.
Dass Google hier möglicherweise nicht mit offenen Karten spielt, leuchtet ein, denn mithilfe von AAID lassen sich gezielt Konsumpräferenzen hochrechnen und dadurch personalisierte Werbung schalten. Für die Benutzer der Smartphones gibt es keine Option diese Art von Tracking zu umgehen oder gar auszuschalten, das Tracking bleibt beim Benutzen des Smartphones stets aktiv.
Man darf gespannt sein, welche Entscheidung die französische Datenschutzbehörde in Sachen Google treffen wird. Die Tragweite der Entscheidung darf jedenfalls nicht unterschätzt werden. Wir werden Sie in jedem Fall mit dem Datenschutzticker auf dem Laufenden halten.
8. März 2021
Es gibt wohl nur wenige kommerzielle Webseiten, die kein Tracking – also die Analyse des Nutzerverhaltens – betreiben und die meisten Seiten verwenden entsprechende Dienste von Google. Nun hat Google angekündigt, künftig – vermutlich ab 2022 – keine Tracking-Cookies mehr anzubieten, welche individualisierte Werbung ermöglichen. Dieser Schritt mag für User und Kunden überraschend erscheinen, war aber durchaus abzusehen. Google legt seit einigen Jahren einen größeren Fokus auf das Thema Datenschutz und Privatsphäre und hatte so beispielsweise vergangenes Jahr für den unternehmenseigenen Browser Chrome erstmals die Möglichkeit eröffnet, sog. third-party-cookies zu löschen.
Kein Verzicht auf Werbung
Gleichwohl wird Google nicht darauf verzichten, seinen Kunden maßgeschneiderte Werbe-Möglichkeiten anzubieten. Zwar hat sich Google – bzw. die Mutter Alphabet Inc. – in den vergangenen Jahren immer breiter aufgestellt, doch noch immer macht der Umsatz aus Werbung rund zwei Drittel des Konzernumsatzes aus. Google selbst verweist darauf, dass diese Cookies angesichts neuer gesetzlicher Vorgaben und dem gestiegenen Interesse der User am Thema Datenschutz/Privacy in Zukunft nicht wirtschaftlich seien. Und so wird Google künftig vermehrt auf das sog. FLoC (Federated Learning of Cohorts) setzen. Dabei wird nicht mehr das Nutzerverhalten einzelner User analysiert, sondern von größeren Nutzer-Gruppen. Diese sollen laut bisheriger Tests so effektiv sein, dass sie mindestens 95 Prozent der bisherigen Conversions generieren können. Bereits im zweiten Quartal will Google seinen Kunden über Google Ads FLoC-basierte Kohorten zur Verfügung stellen.
Ausblick
Durch den künftigen Verzicht auf individualisiertes Tracking wird sich – laut einiger Experten – für Google sowie dessen Kunden nicht viel ändern. Stattdessen wird erwartet, dass die Entscheidung Druck auf die Konkurrenz im Online-Werbe-Markt aufbauen wird, insbesondere auf Facebook. Aber auch aus datenschutzrechtlicher Sicht könnten sich daraus Auswirkungen ergeben, beispielsweise auf den erforderlichen Cookie-Consent. Ob dies der Fall ist, wird jedoch erst abschließend bewertet werden können, wenn die genauen Funktionsweisen der FLoC-basierten Kohorten bekannt sind. Und auch aus User-Sicht wird zu hinterfragen sein, ob die geplanten Neuerungen tatsächlich zu mehr Privatsphäre führen.
27. August 2020
Mit iOS 14 möchte Apple einen neuen Tracking Schutz für das iPhone einführen und seinen Datenschutz verbessern. Facebook befürchtet jedoch, dass es seine Nutzer so nur noch eingeschränkt verfolgen kann und rechnet mit einem Werbeeinnahmenverlust um die Hälfte. Facebook gibt an, dass durch die Neuerungen im Betriebssystem Publisher- Inhalte und App-Anbieter einen erheblichen Umsatzrückgang zu erwarten hätten.
Apple wird in Zukunft Drittanbieter von Apps dazu anhalten Einwilligungen bei den Endnutzern der Endgeräte einzuholen, wenn diese getrackt werden sollen. Dies würde dazu führen, dass der von Facebook betriebene Advertising Identifier (IDFA) nur noch eingeschränkt zu nutzen wäre.
Facebook selber nutzt den IDFA um Nutzeraktivitäten zu bewerten und um zu erkennen, ob bestimmte Werbeinhalte zur Installation einer App geführt haben. In einer Mitteilung an die Presse macht Facebook deutlich, dass es versuchen wird Publisher bei den geplanten Änderungen zu unterstützen, jedoch die Gefahr sieht, dass die Nutzung vom IDFA für iOS Geräte in Zukunft wahrscheinlich gar keinen Sinn mehr machen wird.
Zwar konnten die Endnutzer bereits jetzt den IDFA löschen, haben die Möglichkeit aus eigenem Antrieb heraus aber kaum genutzt. Heimliches App-Tracking wird mit den Neuerungen nun jedenfalls schwieriger.
Verbesserter Datenschutz bei Apple
Nicht nur für das geplante Opt-In erhält Apple viel Lob. Auch für sonstige Änderungen und Reglungen, die dem Datenschutz den Endnutzer entgegenkommen, erhält das Unternehmen positive Resonanz. So müssen Drittanbieter in Zukunft als Pflichtangabe aufführen, welche Daten sie erfassen. Der App Store solle die Informationen zudem in leicht verständlicher Form angezeigen.
Gleichzeitig muss sich Apple auch Kritik gefallen lassen. An einem Opt-in für die eigene Werbeplattform fehlt es zum Beispiel noch.
28. November 2018
Ein kurzes Video der norwegischen Verbraucherschutzorganisation zeigt wie mittels Googles Tracking von Nutzer-Standorten ein ausführliches Bild über religiöse und politische Überzeugungen, den Gesundheitsstand und die sexuelle Orientierung gemacht werden kann.
Android-Smartphones besitzen eine Funktion des automatischen Standortverlaufs, die die Bewegungen des Nutzers aufzeichnet und dafür sorgt, dass Googles Dienste wie z.B. Google Now ordnungsgemäß funktionieren. Die gesammelten Daten werden dann für die Optimierung der Suchfunktionen, aber auch für die gezielte Werbung genutzt. Dabei werden verschiede Tricks verwendet um die Abschaltung der Standort-Ortung durch Nutzer zu vermeiden.
Europäische Verbraucherschutzverbände aus Norwegen, den Niederlanden, Griechenland, Tschechien, Slowenien, Polen und Schweden sehen in dem Googles Tracking von Nutzer-Standorten ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) und wollen bei ihren jeweiligen Datenschutzbehörden Beschwerde einlegen. Nach Ansicht der Verbraucherschutzverbände fehle Google ein ausreichender rechtlicher Grund um diese Daten zu verarbeiten.
Google-Sprecher verweist nach dem Vorwurf der Verbraucherschützer auf die Möglichkeit des Ausschaltens der Tracking-Funktion, jedoch teilt ebenfalls mit, dass die Standort-Ortung auch nachdem sie ausgeschaltet sei, weiter Standort-Daten zur Nutzungsverbesserung sammele.
Es bleibt daher abzuwarten, ob die Beschwerde eingelegt wird und wie sich der Verbraucherzentrale Bundesverband in Deutschland zu diesem Thema äußert.
5. September 2018
Google Signale ist eine neue Erweiterung von Google, die im Rahmen von Google Analytics genutzt werden kann. Aktuell befindet sich diese Funktion noch als BETA-Version im Rollout.
Sobald der Google-Nutzer Google Signale aktiviert, werden die Google Analytics Funktionen aktualisiert.
Google kann das geräteübergreifende Verhalten der Nutzer, die Google Signale aktiviert haben, abschätzen. Die Daten der Nutzer werden grundsätzlich für eine Dauer von 26 Monaten gespeichert.
Google erhält Statistiken, die auf Anmeldung und Gerätetypen aller Nutzer basieren.
Datenschutzrechtlich hat dies viele Auswirkungen. Google nutzt für diese Statistiken die Logins im Google-Netzwerk und führt damit ein sog. Cross-Device Tracking durch. Cross- Device Tracking umfasst eine geräteübergreifende Analyse von Besucherströmen auf einer Webseite. Bei dieser Methode werden Besucher mit einer ID markiert. Durch das Cross-Device Tracking können Nutzer eindeutig identifiziert werden.
Die Einhaltung der geltenden Datenschutzbestimmungen spielt hierbei eine große Rolle. Die Konto-Einstellungen “personalisierte Werbung” scheint zumindest derzeit ein Opt-Out zu sein. Folglich holt Google aktuell keine Einwilligung für das Cross-Device Tracking ein, sondern es wird nur eine Widerspruchsmöglichkeit zur Verfügung gestellt.
15. August 2018
Google-Nutzer können zwar die Funktion “Standortverlauf” deaktivieren, dennoch speichern einige Apps wie z.B. Google Maps und Google Weather personenbezogene Daten wie bspw. Geodaten des Nutzers. Weltweit sind mehr als zwei Milliarden Handys mit Android Betriebssystem und eine große Anzahl von iPhone-Nutzern betroffen.
Es werden aber auch durch automatische Updates der Google Weather App und Eingaben von Google Chrome Geodaten verarbeitet. Durch das Tracking kann Google das Nutzungsverhalten bzw. die Präferenzen der Nutzer nachverfolgen. Orientiert am Nutzungsverhalten kann Google individuell auf den Nutzer zugeschnittene Werbung (personalisierte Werbung) anzeigen. Der Vorteil für die werbenden Unternehmen liegt darin, dass die Wahrscheinlichkeit den Nutzer als Kunden zu gewinnen höher ist. Dementsprechend teurer ist auch der Werbeplatz.
In den USA nutzen die Strafverfolgungsbehörden die Geodaten, um den Standort von Verdächtigen einer Straftat zu ermitteln. Die Verdächtigen klagten und machten geltend, dass durch die Datenverarbeitung eine Verletzung des Persönlichkeitsrechts vorliege. Dies erinnert an das Urteil vom Bundesverfassungsgericht aus dem Jahr 2005 (Urteil vom 12.04.2005, Az.: 2 BvR 581/01), in dem der zweite Senat des Bundesverfassungsgerichts entschied, dass bei der Verwendung von Instrumenten zur technischen Observation kein Eingriff in das allgemeine Persönlichkeitsrecht vorliegt.
16. Juli 2018
Immer mehr Hersteller bieten Haushaltsgeräte wie die elektrische Zahnbürste, Kühlschränke oder Staubsaugerroboter mit der Funktion, dass sich die Geräte mit dem WLAN verbinden, an. Vielen Nutzern ist nicht bewusst, dass diese Geräte ihr Verhalten „tracken“, dh. erheben, auswerten und an ihren Hersteller weiterleiten. So meldet die elektrische Zahnbürste wie lange und wie häufig sie in Gebrauch ist. In Kühlschränken werden Kameras installiert, die dokumentieren, welche Lebensmittel wie häufig gekauft werden und der Staubsaugerroboter kann Auskunft über die Dauer und Häufigkeit seiner Nutzung und teilweise über die Größe oder sogar Zuschnitt der Wohnung geben. Diese Daten benutzen die Hersteller vor allem für Marketingzwecke, um ihr Angebot an das Verhalten ihrer Kunden anzupassen.
Dieses Tracking ist datenschutzrechtlich mehr als bedenklich. Nach der DSGVO spricht einiges dafür, dass diese Datenverarbeitung nicht datenschutzkonform ist.
Zunächst könnte das heimliche und uferlose Tracking könnte gegen das Transparenzgebot aus Art. 5 Abs. 1 lit. a DSGVO verstoßen. Beim Kauf eines internetfähigen Haushaltsgeräts ist es für den Kunden nicht ersichtlich, ob und welche seiner Verhaltensdaten übermittelt werden. Als Teil der Informationspflichten, muss der Betroffene über die Datenverarbeitung in Kenntnis gesetzt werde.
Gegen die Rechtmäßigkeit dieser Datenverarbeitung und Übermittlung spricht außerdem, dass sie auf keine Rechtsgrundlage gestützt werden kann. Art. 6 Abs. 1 lit. a) DSGVO scheidet aus, weil keine vorherige Einwilligung beim Nutzer eingeholt wird.
Art. 6 Abs. 1 lit. b) DSGVO erlaubt eine Verarbeitung, wenn dies für die Erfüllung des Vertrages notwendig ist. Der Kaufvertrag braucht aber gerade keine solches Tracking um erfüllt zu werden. Insbesondere können alle Geräte für ihren bestimmungemäßen Gebrauch ohne diese Datenverarbeitung genutzt werde.
Nach Art. 6 Abs. 1 lit. f) DSGVO ist eine Verarbeitung erlaubt, wenn der Hersteller ein berechtigtes Interesse an der Erhebung und Auswertung der Kundendaten hat. Dieses Interesse ist als berechtig einzustufen, wenn die schutzwürdigen Interessen des Kunden an seiner Privatsphäre nicht überwiegen. Beim Gebrauch von Haushaltsgeräten zum Staubsaugen, Aufbewahren und Kühlen von Lebensmitteln und Zähneputzen ist die Privatsphäre des Nutzers aber gerade höher zu bewerten, als die wirtschaftlichen Interessen der Hersteller und damit schutzwürdig.
Abgesehen von der mangelnden Rechtsgrundlage, könnte das Tracking gegen das Kopplungsverbot aus Art. 7 Abs. 4 DSGVO verstoßen. Danach ist es verboten einen Vertragsabschluss von der Einwilligung in eine nicht für die Erfüllung notwendige Datenverarbeitung abhängig zu machen. In diesen Fällen ist die Einwilligung nicht mehr freiwillig erteilt worden und damit ungültig. Darüber hinaus trifft die Hersteller nach Art. 25 DSGVO die Pflicht datenschutzfreundliche Voreinstellungen bei Geräten zu treffen. Der Verstoß ist auch bußgeldbewehrt nach Art. 83 Abs. 4 lit. a) DSGVO.
Es lässt sich festhalten, dass das Tracking bei der Nutzung von internetfähigen Haushaltsgeräten nach der DSGVO problematisch ist. Es kann unter Umständen auf keine Rechtsgrundlage gestützt werden, verstößt gegen Datenschutzgrundsätze und ist bußgeldbewehrt.
14. Mai 2018
Mit ihrer Stellungnahme vom 26.04.2018 hat die Datenschutzkonferenz von Bund und Ländern, bestehend aus Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht, zur Frage der Anwendbarkeit des Telemediengesetzes (kurz TMG) nach Inkrafttreten der DSGVO am 25.05.2018 Stellung genommen. Dabei ging es vor allem um die Frage, auf welcher Rechtsgrundlage der DSGVO die Verarbeitung personenbezogener Daten durch den Einsatz von Cookies und Trackingtools wie Google Analytics gestützt werden kann.
Bislang gilt nach dem TMG, dass der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile erstellen darf, sofern er diese Daten pseudonymisiert und der Betroffene dem nicht widerspricht. Dieses Opt-Out-Verfahren, auf das der Betroffene bislang im Rahmen der Datenschutzerklärung hinzuweisen ist, gilt ebenso für den Einsatz von Cookies. Einer Einwilligung des Betroffenen bedurfte es bisher daher nicht. Nach Auffassung der Datenschutzkonferenz soll sich dies unter der DSGVO nun ändern. Sie ist der Ansicht, dass die DSGVO den Regelungen des TMG sowie denen der bestehenden E-Privacy-Richtlinie vorgeht und Anbieter von Telemediendiensten personenbezogene Daten nur noch dann verarbeiten dürften, wenn dies für die Durchführung des angefragten Online-Services “unbedingt erforderlich” sei. Für alle anderen Fälle müsse eine Interessenabwägung im Einzelfall durchgeführt werden.
Die Anwendbarkeit der DSGVO habe zur Folge, dass beim Einsatz von Tracking-Maßnahmen, “die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen”, sowie beim Erstellen von Nutzerprofilen ab dem 25.05.2018 eine informierte Einwilligung des Betroffenen einzuholen sei. Dies auch dann, wenn die erhobenen personenbezogenen Daten pseudonymisiert würden. Gleiches gelte für den Einsatz von weiteren Cookies.
Das Papier steht damit im Gegensatz zu der herrschenden Rechtsansicht in der Praxis. Die Gesellschaft für Datenschutz und Datensicherheit (GDD), die hauptsächlich Betriebsdatenschutzbeauftragte vertritt, vertritt ihrerseits die Ansicht, dass Werbung nach der DSGVO prinzipiell “ein berechtigtes Interesse” der Unternehmen darstelle und so gerade “grundsätzlich nicht von einer Einwilligung abhängig ist”. Da die EU-Gesetzgeber dies zumindest für den Einsatz von Direktwerbung festgelegt hätten, stellt sich die GDD auf den Standpunkt, dass dies ebenfalls für das pseudonymisierte Tracking gelten müsse, da eine solche Verarbeitungsweise weniger stark in das Persönlichkeitsrecht der Betroffenen eingreife als eine direkte werbliche Ansprache. Gleiches gelte aus Sicht der GDD für Cookies, die ebenfalls zu Werbezwecken eingesetzt würden.