Werbebranche verstößt ''fast systematisch'' gegen DSGVO

Mit dem Inkrafttreten der DSGVO im Jahr 2018 hatten Datenschutzbefürworter einen wichtigen Sieg errungen. Die gemeinsame europäische Gesetzgebung sollte eine genauere Kontrolle von Unternehmen ermöglichen, die mit Nutzerdaten handeln. Doch Teile der digitalen Werbeindustrie haben sich nicht viel verändert.

"Sie versuchen, an alten Praktiken festzuhalten und sie als etwas anderes zu tarnen, sind aber im Kern immer noch dieselben", sagt David Martin aus seinem Wohnzimmer in Brüssel. Er leitet die Gruppe für digitale Rechte im BEUC, einem Dachverband für europäische Verbraucherorganisationen. Teile des digitalen Werbesystems seien "auf einem fast systematischen Verstoß" gegen die DSGVO aufgebaut, so Martin.

Er teilt damit die Ansicht der meisten Datenschutzbefürworter: In der Theorie ist die DSGVO großartig, aber in der Praxis hat sie schwerwiegende Defizite. Der österreichische Datenschutzforscher und -aktivist Wolfie Christl untersucht seit einigen Jahren, wie Unternehmen unsere Daten nutzen. Kürzlich unterstützte er den norwegischen Verbraucherrat mit Out of Control, einem Bericht, der verschiedene mögliche Datenschutzverletzungen im App-Ökosystem dokumentiert.

"In den meisten Fällen ist es schwierig oder unmöglich nachzuvollziehen, wie persönliche Daten zwischen Apps, Datenbrokern und deren Kunden fließen", sagt er. Für Christl hat es den Anschein, dass die Datenschutzbehörden in der EU entweder nicht in der Lage oder nicht willens sind, viele der Verstöße gegen die DSGVO zu unterbinden.

"Ohne massive Bußgelder und Verbote der Datenverarbeitung wird es keine Änderung geben. Die EU-Mitgliedsstaaten und die EU-Kommission müssen handeln", stellt er fest.

Die Frage ist, ob jemand bereit ist, zuzuhören. Und wie einfach es wäre, die angeblichen Verstöße zu verfolgen. Arve Føyen, Partner in der Anwaltskanzlei Føyen Torkildsen, meint, es sei schwierig, Unternehmen wie Venntel zu bestrafen, da sie keine Niederlassungen in Europa haben. "Ich befürchte, dass dadurch ein illusorischer Eindruck entsteht, dass die Regeln gelten - aber in der Praxis ist es einfach nicht möglich, rechtliche Schritte einzuleiten", erklärt Føyen.

Ein digitales Fotoalbum

Es sind einige Monate vergangen, seit ich mein Extra-Handy in die Sporthütte Ullevålseter mitgenommen habe - ein beliebter Ort für Kaffee und Waffeln im Wald von Nordmarka. Auf meinem Bildschirm sehe ich jetzt Punkte, die sich entlang von Waldwegen schlängeln. Einige ballen sich dort zusammen, wo ich eine Pause eingelegt habe. Wo ich zügig gelaufen bin, sind sie weiter voneinander entfernt. Es war ein heißer Spätsommersonntag. Die Pferdebremsen waren aktiv, besonders in den sumpfigen Abschnitten.

Wir neigen dazu, die meisten Orte zu vergessen, an denen wir gewesen sind und was wir dort gemacht haben. Dennoch reichen ein paar Hinweise aus, damit die Erinnerungen zurückkehren. Meine Schritte an diesem Sommersonntag zurückzuverfolgen, wurde wie das Blättern in einem alten Album, in dem jede Seite ihre eigene Geschichte enthält.

Das Komische ist, dass diese Daten von jemand anderem festgehalten werden. Meine Bewegungen. Es ist unheimlich, meinen eigenen Schritten zu folgen, auch wenn sie keine romantische Affäre, geheime Treffen oder peinliche Gesundheitsprobleme verraten. Die meisten von uns haben Momente in ihrem Leben, die sie nicht teilen wollen. Nicht einmal mit unseren engsten Vertrauten, unseren Chefs oder der Regierung.

Ich konnte den Datenfluss von mobilen Apps zu Venntel abbilden, aber ich habe immer noch eine Menge unbeantworteter Fragen. Welcher von Venntels Kunden hat die Informationen über mich erworben? Könnten es Unternehmen aus dem Verteidigungssektor, Geheimdienste oder das FBI sein?

Schwer, Antworten zu bekommen

Gravy Analytics hat auf unsere wiederholten Anfragen nicht reagiert. Die Tochtergesellschaft Venntel wollte weder telefonisch noch per E-Mail befragt werden.

In einer kurzen Stellungnahme behauptet Venntel, dass meine Telefonbewegungen nicht an ICE oder die United States Customs and Border Protection (CBP) weitergegeben wurden. Sie schreiben auch, dass sie keine Beziehung zu den App-Anbietern Sygic oder Lawiusz Fras haben. (NRK hat nie behauptet, dass sie eine direkte Beziehung haben, hat aber dokumentiert, dass das Unternehmen Informationen von diesen Apps über andere erhält.) "Wir werden uns nicht weiter zu unseren Geschäftsbeziehungen oder zur Auslegung von Gesetzen äußern", schreibt Venntel.

Die CBP erklärt in einem Statement gegenüber dem NRK, dass sie nur begrenzten Zugang zu den kommerziell verfügbaren Daten haben und diese im Einklang mit den relevanten Regeln und Vorschriften verwendet werden. (Die gesamte Erklärung finden Sie am Ende dieses Artikels.)

Der Pressesprecher der CBP, Jason Givens, antwortete nicht auf Nachfragen, welche Beschränkungen die CBP bei der Beschaffung von Daten über europäische Bürger oder Telefone, die sich außerhalb der US-Grenzzone befinden, hat.

FBI und ICE haben ebenfalls Verträge mit Venntel, aber sie haben nicht auf Fragen geantwortet, welche Möglichkeiten dies bietet, Europäer innerhalb und außerhalb Europas zu verfolgen.

Als Predicio am 11. August auf die Anfrage nach Zugang antwortete, erwähnten sie nichts über den Datenaustausch mit Venntel zwischen Februar und Juli. (Die Funny Weather-App wurde am 10. August installiert.) Predicio hat auf meine wiederholten Anfragen zu Interviews nicht reagiert.

Complementics-Mitbegründer Walter Harrison erklärt, dass meine Daten nur für Marketing-Analysen verwendet wurden. Harrison wollte nicht interviewt werden und beantwortete keine Fragen über die Beziehung zu Gravy Analytics. Als Vice Motherboard Harrison zu Gravy Analytics befragte, sagte dieser, dass sein Partner "sich vertraglich verpflichtet hat, keine Daten, die er von Complementics erhält, direkt oder indirekt an US-Regierungsgeheimdienste, Einwanderungsbehörden oder Strafverfolgungsbehörden weiterzugeben".

Zur Methodik: Der Artikel basiert auf einer Reihe von Subjektzugriffsanfragen, die an Unternehmen der Standortdatenbranche geschickt wurden. Die Anfragen basieren auf der von Michael Veale zur Verfügung gestellten Vorlage. Angehängt sind Teile der Antworten von Venntel (Erklärung, Metadaten, Beschreibung der Datenfelder, Daten), Gravy Analytics (Erklärung, Beschreibung der Datenfelder, Metadaten, Daten), Sygic (Erklärung, Daten), Predicio (Erklärung, Daten) und Complementics (Erklärung, Beschreibung der Datenfelder, Daten). Nur ein kleiner Teil der rohen Standortdaten wird freigegeben.