Google wird vorgeworfen, die DSGVO im Rahmen von RTB zu umgehen
Am 4. September 2019 warf Brave, das Unternehmen hinter dem gleichnamigen Browser, Google ein gigantisches Leck personenbezogener Daten über seine Ad Exchange Authorized Buyers (früher Google AdX) vor. Brave gelang damit ein Medien-Coup, insbesondere weil die Vorwürfe von der Financial Times breit aufgegriffen wurden (siehe Google accused of secretly feeding personal data to advertisers und How Google feeds your data to advertisers). Die Details dieser Vorwürfe sind Teil einer Beschwerde, die von der irischen Datenschutzbehörde bearbeitet wird und Google eine Umgehung der DSGVO-Regeln vorwirft.
Man kann sich darüber freuen, dass die durch RTB verursachten Probleme von großen Medien aufgegriffen werden, denn Adtech ist ein extrem komplexes Feld, das nur wenige Eingeweihte wirklich verstehen. Leider enthält der Vorwurf zahlreiche Fehler und kann deshalb von Google leicht entkräftet werden.
Braves Fehler durch ein falsches Verständnis von RTB
Schauen wir uns die Mitteilung im Detail an: Sie beginnt mit einer abenteuerlichen Zahl, die Johnny Ryan (Brave's Chief Policy & Industry Relations Officer) vorbringt:
Das Werbesystem „DoubleClick/Authorized Buyers" von Google ist auf über 8,4 Millionen Websites aktiv.
Diese Zahl stützt sich auf die Analyse einer Drittseite, die die Zahl der Websites zählt, die einen Tracker von Doubleclick (dem zu Google gehörenden Werbeunternehmen) aufrufen. Diese Tracker werden aber nicht nur für Google Authorized Buyers, Googles Ad Exchange für große professionelle Websites, eingesetzt, sondern auch für andere Werkzeuge wie Googles RTB-Einkaufsplattform (DSP) DV360, Google Analytics oder Google AdSense. Die Zahl der Authorized-Buyers-Kunden ist nicht öffentlich bekannt, liegt aber deutlich niedriger.
Die Mitteilung fährt mit einer Ungenauigkeit fort:
Google behauptet, die zahlreichen Unternehmen, die sein Real-Time-Bidding-System (RTB) nutzen und sensible Daten über Website-Besucher erhalten, daran zu hindern, ihre Profile über diese Besucher zusammenzuführen.
Die Dokumentation von Google sagt etwas deutlich anderes:
Google untersagt es mehreren Käufern, Daten zusammenzuführen, die sie vom Cookie Matching Service erhalten.
Google verbietet seinen Partnern also, ihre Daten zusammenzuführen, behauptet aber nicht, sie technisch daran zu hindern (hier berühren wir ein RTB-inhärentes Problem: Eine Ad Exchange kann nicht kontrollieren, wie die an Partner-Käuferplattformen übermittelten personenbezogenen Daten dort verwaltet werden).
Die Mitteilung meint anschließend zu enthüllen, Google habe ein früheres Versprechen gebrochen, nachdem es im Oktober 2019 angekündigt habe, im RTB keine pseudonymen Kennungen mehr weiterzugeben:
Es kündigte außerdem an, die Weitergabe pseudonymer Kennungen eingestellt zu haben, die diesen Unternehmen helfen könnten, eine Person leichter zu identifizieren – offenbar als Reaktion auf das Inkrafttreten der DSGVO.
Nur sagte Googles Ankündigung nicht, dass pseudonyme Kennungen nicht mehr in RTB-Anfragen verschickt würden (also in den Anfragen, die Google beim Surfen in Echtzeit an Käuferplattformen sendet), sondern dass diese pseudonymen Kennungen aus den nachträglich an Käuferplattformen gesendeten konsolidierten Dateien entfernt würden ("Data Transfer files"):
Wir haben verschlüsselte Cookie-IDs und Listennamen (sofern verwendet) für alle globalen Gebotsanfragen an Authorized Buyers aus der Data-Transfer-Datei entfernt.
Diese Dateien werden üblicherweise täglich ausgetauscht und enthalten zusätzliche Informationen wie den Gewinner der Auktion, den tatsächlichen Verkaufspreis der Werbeeinblendung usw.
Der Vorwurf
Die neuen Belege von Brave zeigen, dass Google nicht nur einer weiteren Partei, sondern vielen erlaubte, einen Abgleich mit Google-Kennungen vorzunehmen.
Brave scheint hier die Funktionsweise von RTB zu entdecken, obwohl sie seit vielen Jahren von Google und den zahlreichen Akteuren der Branche gut dokumentiert ist.
Die Belege zeigen ferner, dass Google es mehreren Parteien erlaubte, ihre Kennungen für die betroffene Person untereinander abzugleichen.
Damit kommen wir zur Neuheit, die Brave aufgedeckt haben will. Worum geht es?
Alle Unternehmen, die Google zum Zugriff auf eine Push Page einlädt, erhalten dieselbe Kennung für die Person, die profiliert wird. Diese „google_push"-Kennung erlaubt es ihnen, ihre Profile der Person miteinander abzugleichen, und sie können anschließend Profildaten untereinander austauschen.
Google würde also dieselbe personenbezogene Kennung (google_push) an alle Käuferplattformen senden, wodurch diese Käuferplattformen anschließend die Informationen austauschen könnten, die sie jeweils über die Nutzer besitzen.
Eine RTB-inhärente Weitergabe personenbezogener Kennungen
An dieser Stelle ist eine Pause wichtig: Damit RTB funktionieren kann, synchronisiert die Ad Exchange (die Verkaufsplattform, auch SSP genannt) ihre Nutzerkennungen mit den Käuferplattformen ihrer Partner. Das von Brave festgestellte Problem ist allgemein und dem RTB inhärent. Um dieses Problem abzumildern, sendet Google unterschiedliche Nutzerkennungen für jede Käuferplattform (meines Wissens treffen andere SSPs diese Vorsichtsmaßnahme nicht):
Gegenüber Käufern identifiziert Google Nutzer über eine käuferspezifische Google User ID, die aus einer verschlüsselten Version des doubleclick.net-Cookies besteht – abgeleitet von diesem Cookie, aber nicht mit ihm identisch.
Seit es RTB gibt, können Käuferplattformen also kolludieren und ihre eigenen personenbezogenen Daten austauschen, um ihre Datenbanken anzureichern. Das setzt voraus, Vereinbarungen mit Wettbewerbern zu schließen und ein enormes rechtliches Risiko einzugehen, ist theoretisch aber tatsächlich möglich.
Eine Umgehung der DSGVO durch Google?
Was ist also diese personenbezogene Kennung "google_push", die Google an seine Partner-Käuferplattformen sendet? Brave schreibt, es handle sich um eine von Google als Reaktion auf die DSGVO eingeführte Umgehung.
Push Pages erscheinen daher als Umgehung von Googles eigenen erklärten Richtlinien dazu, wie RTB unter der DSGVO funktionieren sollte.
Das ist auch das Argument, das Zach Edwards aufgreift, der von Brave für die Untersuchung beauftragte Forscher.
Eine einfache Suche in der Online-Hilfe von Google Authorized Buyers zeigt jedoch, dass der Parameter google_push bereits im April 2013 existierte. Das ruiniert das Umgehungsargument (die DSGVO gilt seit dem 25. Mai 2018):
Ab Mitte April werden wir dem Parameter google_push in unseren Pixel-Match-Anfragen einen URL-sicheren String-Wert zuweisen und erwarten, dass derselbe URL-sichere String im von Ihnen gesetzten Parameter google_push zurückgegeben wird. Diese Änderung wird uns bei der Behebung von Latenzproblemen helfen und die Effizienz unseres Pixel-Matchings verbessern.
Der Parameter google_push wird von Google also verwendet, um Latenzprobleme zu diagnostizieren, nicht um Nutzer zu tracken.
Erlaubt diese "personenbezogene Kennung" Käufern, Nutzerinformationen zu teilen?
Auch hier können wir uns die Kommunikation von Zach Edwards anschauen:
Es stellt sich also heraus, dass diese "personenbezogene Kennung" nicht personenbezogen ist (und für diesen Zweck nutzlos wäre, denn Googles Ziel ist es, Latenz zu messen; die Kennung ändert sich bei jedem Laden der Seite). Theoretisch können die mit Google verbundenen DSPs, die für dieselbe Werbeeinblendung in Konkurrenz gesetzt wurden, ihre Logs jedoch tatsächlich teilen, um die Informationen anzureichern, die sie über Nutzer besitzen.
Schlussfolgerungen
Auch wenn das von Zach Edwards identifizierte Problem real ist, ist es schade, dass Brave die Fehler vervielfacht und Google bei diesem google_push-Parameter eine unlautere Absicht unterstellt hat. Sinnvoller wäre es, die Kritik auf den RTB-Mechanismus auszuweiten, der wahrscheinlich mit der DSGVO unvereinbar ist (siehe dazu die laufende Untersuchung der britischen Datenschutzbehörde).