Erhebliche datenschutzrechtliche Zweifel: DSGVO-Beschwerde gegen Googles Android-Tracking hat Substanz
Der AAID geht es an den Kragen. (Foto: t3n)
Seit einer Woche läuft die formelle DSGVO-Beschwerde eines österreichischen Nutzers (PDF), die er gemeinsam mit der Wiener Bürgerrechtsorganisation Noyb.eu bei der nationalen Datenschutzbehörde eingereicht hatte. Sie richtet sich gegen die Android Advertising ID (AAID), eine alphanumerische Kennung, die Google auf jedem Android-Smartphone generiert und mit der das Smartphone und dessen Nutzer eindeutig identifiziert werden können. Die ID soll eigentlich nur das Ausspielen personalisierter Werbung ermöglichen, wird aber von Bürgerrechtlern als „digitales Nummernschild“ eines jeden Android-Geräts bezeichnet.
Android Advertising ID, das digitale Nummernschild eines Smartphones
So kann laut dem Beschwerdeführer jeder Android-Nutzer ohne gültige rechtliche Grundlage ausspioniert werden, zudem würden die über die AAID gesammelten Daten „an unzählige Dritte im Werbe-Ökosystem weitergegeben“. Eine Kontrolle des Nutzers über die Daten und deren Weitergabe sei nicht möglich.
Auf Nachfrage von Heise bestätigte der Hamburger Datenschutzbeauftragte Johannes Caspar die Problematik. Aus seiner Sicht ergäben sich „erhebliche datenschutzrechtliche Zweifel“ an der Zulässigkeit der AAID unter den Regularien der europäischen Datenschutzgrundverordnung (DSGVO). Caspar empfiehlt Google, die Vorwürfe ernst zu nehmen und einer sachgerechten Behandlung zuzuführen.
Genau danach sah es zunächst nicht aus. Google hatte dem Beschwerdeführer recht unverbindlich geantwortet und ihm empfohlen, seine AAID bei Bedarf einfach zurückzusetzen. Damit wäre ein Tracking über die bisherige ID nicht mehr möglich. Gleichzeitig werde allerdings eine neue ID generiert und fortan verwendet. Laut Caspar ändere die „Wahl, entweder mit einer neuen oder einer bereits bestehenden ID getrackt zu werden“, nichts an den Grundbedingungen des Trackings. Eine wirksame Kontrolle sei so nicht gegeben.
AAID nur ein Element in einem strukturell rechtswidrigen Tracking-System?
Der Beschwerdeführer bezweifelt zudem, dass das Neusetzen der AAID überhaupt eine Auswirkung auf das Tracking hat. Immerhin sei bekannt, dass Unternehmen die AAID in Kombination mit anderen Werten wie IP-Adressen, IMEI-Codes und GPS-Koordinaten, Social-Media-Handles, E-Mail-Adressen oder Telefonnummern speichern und verarbeiten. In diesem Szenario wäre eine neu gesetzte AAID nur ein auszutauschender Parameter in einer ansonsten unveränderten Tracking-Konfiguration.
Ein weiteres gewichtiges Argument gegen die Zulässigkeit der AAID ergebe sich aus dem fehlenden Opt-in. So werden Android-Nutzer an keiner Stelle des Einrichtungsprozesses um ihre Zustimmung zur Erstellung der AAID gebeten, geschweige denn, dass sie die Möglichkeit hätten, der Erstellung zu widersprechen.
Strafe über 6 Milliarden Dollar droht
Sollte der Beschwerde durch die österreichische Datenschutzbehörde entsprochen werden, könnte eine empfindliche Strafe verhängt werden. Die mögliche Höchststrafe würde sich nach den Berechnungen der Wiener Bürgerrechtler auf fast sechs Milliarden US-Dollar belaufen. Google hat bislang nicht auf die Beschwerde reagiert.
Übrigens: Auch Apple verwendet eine entsprechende Werbe-ID. Die kann der Nutzer jedoch mit Nullen überschreiben und damit unbrauchbar machen.
Passend dazu: EU-Datenschutzbehörde zur DSGVO: Cookie-Consent reicht nicht
