Der Oberste Gerichtshof in Irland hat einer Klage gegen die staatliche Datenschutzkommission DPC stattgegeben. Die Behörde ermittle nur zaghaft gegen Google und die angebundenen Unternehmen wegen etwaiger Verstöße gegen die DSGVO. Konkret geht es um eine Beschwerde der Bürgerrechtsorganisation Irish Council for Civil Liberties (ICCL) von 2018, die massive Sicherheitsverstöße beim Echtzeithandel mit persönlichen Daten angezeigt hatte. Die DPC habe Googles Datenhandelssystemen der auf Tracking basierenden Werbebranche nur mangelnde Aufmerksamkeit geschenkt und bei späterer Betrachtung den wichtigsten Aspekt – den der Sicherheit – ausgespart. Die Kläger sprechen von der „größten Datenpanne aller Zeiten“, berichtet Techc runch.

Beim modernen Adtech-Real-Time-Bidding (RTB) bieten Werbetreibende in Echtzeit auf digitale Werbeplätze. Das geschieht automatisch in den rund 2,6 Sekunden Ladezeit einer Website. Dabei erhalten die Profile der Nutzer:innen, die die Seite aufrufen, eine immer größere Bedeutung. Über Cookies verfolgen Unternehmen die User:innen und legen Profile an. Dabei zahlen sie umso mehr für die Ad-Impression, je mehr über den oder die Nutzer:in bekannt ist. Seit Jahren steht das Verfahren im Verdacht, gegen die DSGVO zu verstoßen.

Johnny Ryan ist ein leitender Mitarbeiter des ICCL und ein ehemaliger Adtech-Insider. Seit 2018 bemüht sich der Whistleblower, dass sich die zuständigen Behörden der „massiven Datenschutzverletzungen“ zuwenden, die er Google und dem System vorwirft. Er veröffentlicht dazu regelmäßig Studien und Dossiers. Im September 2020 wies er darüber nach, dass die Online-Werbebranche intime Merkmale von Internetnutzer:innen ohne deren Wissen und Zustimmung zu Profit macht. Auch seinerzeit rügte er die Datenschutzbehörde für ihre anhaltende Untätigkeit.

Da Google wie viele andere Tech-Konzerne ihren Europasitz in Irland hat, ist die irische DPC für die Einhaltung der Datenschutzverordnungen zuständig. Ryan hat bereits Beschwerde bei der Europäischen Kommission eingelegt, da die dezentrale Überprüfung im Falle Irlands nicht funktioniert. Die DPC strengte 2019 schließlich eine Untersuchung zu Googles Adtech an, die sich aber einem eigenen Ansatz verschrieb, der ausgerechnet den Faktor Sicherheit ausschloss.

Kern von Ryans Beschwerde war jedoch, dass das System darauf basiert, hochsensible Daten über Personen (Surfgewohnheiten, Geräte-IDs, Standorte etc.) quer durchs Internet an eine Vielzahl von Zwischenhändlern zu senden, ohne dass die getrackten Betroffenen darauf irgendeinen Einfluss haben, und dass das eben einen eklatanten Sicherheitsverstoß darstellt. Ryan betont, dass dieser größer als alle jemals aufgezeichneten Verstöße sei und durch das Versagen der Behörde nun alle Europäer:innen davon betroffen seien.

Während Ryan seit vier Jahren darauf wartet, dass Google und die Werbeplattform IAB von der DPC unter die Lupe genommen werden, hat die belgische Datenschutzbehörde reagiert. Das „Transparency and Consent Framework“ der IAB fordert Nutzer:innen per Popup-Fenster dazu auf, Daten für Ad-Targeting zuzulassen. Die Behörde fand heraus, dass es mehrfach gegen die DSGVO verstößt. Es heißt, das IAB habe eine sehr lange Liste von Verstößen erhalten – mit der Bitte, sich ihrer anzunehmen. Sie sollen so tiefgreifend und systemisch zum RTB-Betrieb beitragen, dass Expert:innen bezweifeln, das IAB könne sie ausmerzen, ohne das ganze System ins Wanken zu bringen.

Es ist nicht das erste oder zweite Mal, dass die irische Datenschutzbehörde angezählt wird. Immer wieder fällt ihr umständlicher Ansatz beim Durchsetzen der DSGVO auf. So korrigierte die EU Kommission Strafzahlungen, die die DPC erlassen hatte, massiv nach oben. Sowohl bei Verstößen von Twitter, Whatsapp als auch Facebook wurde der Behörde vorgeworfen, zu mild entschieden zu haben. Auch im Fall Facebook hängt eine Klage der ICCL gegen die DPC an.

Auch der österreichische Datenschützer Schrems klagt. Er wirft der DPC vor, Datenschutz-Akteure über Verschwiegenheitserklärungen zum Schweigen zu bringen. Auch Ryan hatte eine solche erhalten. Im vorliegenden Fall könnte das Gericht die DPC dazu verdonnern, die Sicherheit von Googles Adtech zu untersuchen.