Datenschutz durch Technologie? Googles „Privacy“ Sandbox
Tilman Herbrich Schriftleitung Datenschutz-Berater
Sehr geehrte Leserinnen und Leser,
die Online-Marketing-Welt steht vor einem Umbruch. Ja, wirklich. Obwohl Cookies dieses Jahr ihren 30. Geburtstag feiern, läuft ihre Zeit ab. Cookies sind eben nicht nur kleine Textdateien, sondern fungierten bislang als Identifikatoren und globale Einheitstechnologie für die webseitenübergreifende Wiedererkennung von Nutzer:innen. Die Relevanz für Online-Werbende kann nicht hoch genug eingeschätzt werden. Einmal einen eingefangen, wurde man das Cookie und seine ID nur schwer wieder los. Geheime Listen sorgten dafür, dass Cookies weltweit abgeglichen werden und Nutzer:innen nirgendwo anonym surfen konnten. Und weder die ePrivacy-RL noch die DSGVO haben daran viel geändert, zu verlockend war das Geschäft.
Umso größer das Entsetzen, als Google 2019 ankündigte, im marktbeherrschenden Chrome-Browser demnächst Drittanbieter-Cookies zu deaktivieren. Träume platzten, Augen wurden feucht. Aber nicht nur für die AdTech-Anbieter, sondern auch für mittelständische Unternehmen drohten durch die technische Deaktivierung seither immer wieder fatale Folgen, nämlich die vollständige Abhängigkeit von Google und anderen Walled Gardens, in deren Gefilden eine Identifizierung über einen Login und nicht ein Cookie erfolgt. KMU sind oft auch zu klein, um die frisch entwickelten Alternativen zu Drittanbieter-Cookies effektiv nutzen zu können: Wer verfügt schon über eine Nutzerbasis von Millionen, um z.B. ID-Solutions selbst einsetzen zu können?
Als Ersatz für die Drittanbieter-Cookies soll die „Privacy Sandbox“ im Chrome-Browser dienen. „Datenschutz durch Technologie“, wie es der Titel der Website vermuten lässt? Wohl kaum. Sand ist ein schlechtes Fundament für Datenschutz. Die Kritik an den neuen Tools der Privacy Sandbox, wie der Topics API, der Protected Audiences API und der Attribution Reporting API, ist hörbar und berechtigt. Ob es die Competition and Market Authority aus UK (CMA) ist, die mangelnde Transparenz, fehlende Fairness gegenüber Mitbewerbern und die ausufernde Nutzung von First-Party-Daten durch Google bemängelt, ob es die Architekten des Internets – die Technical Architecture Group des World Wide Web Consortiums – sind, deren Prüfung ergab, dass die Topics API die Nutzer:innen nicht vor unerwünschtem Tracking und Profiling schützt, oder ob es das 73-seitige Gutachten des Cyber-Experten Lukasz Olejnik von der Edinburgh Law School ist: Keines dieser Dokumente bescheinigt der Sandbox eine ausreichende Datenschutz-Compliance.
Die Risiken für die Nutzung der Privacy Sandbox tragen Website- und App-Betreiber, denen Google seine rechtswidrigen Dienste als „alternativlos“ offeriert. Profiteur will Google sein, das seine Markstellung durch Abhängigkeiten von Werbeplattformen, Publishern und Werbungtreibenden erheblich stärkt, und ausspielt. Ein Fall für die Kartellbehörden, auch in der Europäischen Union. Laut den „Guidelines 2/2023“ des EDSA (vgl. hierzu S. 128) stellt „Local Processing“, wie es in der Sandbox erfolgt, einen Endgerätezugriff dar. In der Konsequenz ist hierfür eine Einwilligung nach § 25 Abs. 1 S. 1 TTDSG notwendig. Bislang sucht man eine Einwilligungs- oder Ablehnungsoption im Chrome-Browser jedoch vergebens. Zudem bedingt der Abruf der APIs zu den einzelnen Diensten die Verarbeitung der IP-Adresse, die aufgrund Googles Omnipräsenz für Google und seine als Joint Controller agierenden Werbepartner (vgl. C-604/22) wertvoll für die Wiederkennung der Nutzer:innen ist. Eine entsprechende Vereinbarung nach Art. 26 Abs. 1 DSGVO bietet Google nicht an.
Ob und wie Google den Zweifeln an der Einhaltung europäischer Datenschutzgesetze begegnet und wie häufig Google die Timeline für das finale Aus der Drittanbieter-Cookies noch verschieben wird, hängt auch vom Prüfergebnis der CMA ab. Wir werden Sie auf dem Laufenden halten; für den Moment wünsche ich Ihnen im Namen der Redaktion eine wie gewohnt spannende Lektüre.
Ihr
Tilman Herbrich