Schrems vs. Googles Android-Tracking

News

Der österreichischer Jurist Maximilian Schrems, bekannt durch sein kontinuierliches Vorgehen gegen die datenschutzrechtlich-fragwürdigen Vorgehensweisen von Facebook & Co. und den daraus resultierenden Konsequenzen für Safe Habor und Privacy Shield, geht nunmehr gegen das Tracking von Google vor.

Immer Ärger mit Max (Schrems)

Bei Google wird es nicht ruhig. Erst vor kurzen hat das Bundesgericht in San Jose, CA eine Sammelklage mit einem Streitwert von 5 Milliarden Euro zugelassen. Inhaltlich wird Google durch Nutzer:innen vorgeworfen, dass überbordend persönliche Nutzungsdaten im Inkognito-Modus im Chrome-Browser gesammelt wurden.

Nun meldet sich der Datenschutzaktivist Schrems mit einer Beschwerde an die französische Aufsichtsbehörde CNIL nach seinem beachtlichen Sieg gegen Facebook im letzten Sommer zurück. Schrems, mit seiner Datenschutzorganisation noyb (none of your business), der sich fortwährend für die Einhaltung der Datenschutzbestimmungen einsetzt, regelmäßig sehr „unangenehme“ Fragen stellt und die Big Player herausfordert, richtet seine Beschwerde gegen Googles AAID (Android Advertising Identifier oder GAID = Google Advertising ID).

AAID verstößt gegen ePrivacy-Richtlinie?

noyb wirft Google unrechtmäßiges Tracking auf Android-Telefonen vor. Kern der Kritik ist der semi-permanente Device Identifier AAID, der es ermöglicht über alle Apps auf den Telefonen Informationen von Nutzer:innen zu verfolgen und Online- und Offlineverhalten zu kombinieren. Nach Einschätzung von noyb ist für die Verwendung dieses Trackers eine Einwilligung der Nutzer:innen notwendig, die durch Google aber nicht eingeholt wird.

Ausdrückliche Einwilligung notwendig

Durch AAID ist jedem Smartphone von Android eine eindeutige Werbe-ID zugewiesen, welche es Google selbst und ihren Drittanbieter ermöglicht, durch Verfolgung und Messung des Surfverhaltens personalisierte Werbung auszuspielen. Dieses Art des Trackings ist in Art. 5 Abs. 3 der ePrivacy-Richtlinie geregelt und bedarf der Zustimmung der Nutzer:innen. Entgegen der zum Teil fehlleitenden Bezeichnung als Cookie-Richtlinie bezieht sich die Regelung nicht nur auf das Tracken durch Cookies.

Die Richtlinie ist technikneutral gehalten, um verschiedene Formen des Trackings abzudecken, keine Hintertürchen zu ermöglichen und auch langfristig durch fortschreitende Technik ein belastbares Instrument zu haben. Das Tracken auf Smartphones wird im Datenschutz teilweise etwas stiefmütterlich behandelt, was der Tragweite jedoch nicht gerecht wird. noyb stellt zu Recht den Vergleich auf, dass die Identifikationsnummer wie ein Nummernschild fungiert und eine weitreichende Ermittlung des Nutzungsverhaltens ermöglicht. Es bedürfte folglich einer informierten Einwilligung der Nutzer:innen.

Aber nicht nur, dass die Nutzer:innen dieser Verwendung der Identifikationsnummer zu keinem Zeitpunkt zustimmen, sie können auch nichts gegen diese Verarbeitung tun. Google ermöglicht nicht mal ein Opt-out. Eine Löschung der AAID wird von Google nicht ermöglicht, wie eine vorherige Beschwerde durch noyb an den Berliner Beauftragten für Datenschutz und Informationssicherheit bereits aufzeigte. Die Tracking-ID kann nur durch die User:innen zurückgesetzt werden. Durch das Zurücksetzen wird jedoch eine neue ID generiert, die sich in der Funktionalität zur alten ID nicht unterscheidet. Zudem werden durch diesen Vorgang auch keine Alt-Daten gelöscht und der Daten-Sammelkreislauf geht weiter.

Stefano Rossetti, ein Jurist bei noyb.eu, stellt hierzu zutreffend fest:

„AAID ist wie ein farbiges Pulver, das man an den Füßen und Händen hat: es macht jede Bewegung innerhalb des mobile Ökosystems nachvollziehbar. Außerdem kann man das Pulver nicht entfernen, man kann lediglich die Farbe wechseln. Das ist letztendlich worum es bei der Android Advertising ID geht – ein Tracker, der ständig Informationen über unser Verhalten sammelt.“

Es bleibt spannend

Der Kreis der Betroffenen ist enorm groß. Der überwiegende Anteil der Smartphone-User:innen in Europa verwenden ein Android-Gerät (Schätzung nach ca. 300 Millionen von 450 Millionen Geräten). Diese Reichweite kommt einer flächendeckenden Überwachung gleich und bedarf nun der Aufklärung durch die französische Aufsichtsbehörde CNIL.

Google hilft in dieser Konstellation auch keine Flucht nach Irland. Die CNIL kann ohne weitere Zusammenarbeit mit anderen Aufsichtsbehörden in Europa vorgehen, weil sich die Beschwerde von noyb auf eine Norm der ePrivacy-Richtlinie stützt. Die CNIL ist bereits in der Vergangenheit mit sehr empfindlichen Sanktionen gegen Google vorgegangen und nutzt hoffentlich die vorliegende Beschwerde, um dem fragwürdigen Datenschutzverhalten des Tech-Giganten weiter Einhalt zu gebieten.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Internationaler Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.