Es war schon eine Weile her als ich das Paper des Norwegian Consumer Council “Out of control” gelesen habe. Eine richtige “Perle” in Sachen AdTech, Programmatic Advertising, und zur Tracking-Wirtschaft oder zu Deutsch: das ganze Werbegeschäft des Internets. Wer mehr über das Tracking-Geschäft auf Webseiten und Apps erfahren will, dem sei wärmstens auch der Erklärartikel von Patrick “Google Floc- Paradiesvogel oder Geier?” empfohlen.
Damals – als ich den Report gelesen habe- stiess ich auf eine interessante Fussnote: Die Schweizer Firma 42matters.com biete 180 Millionen Userprofilen in einer Datenbank für das Marketing von App-Entwicklerinnen an. Wie diese Userprofile zustandegekommen sind, und woher die Firma die Daten extrahieren, sei unbekannt, schrieben die NorwegerInnen.
Das erregte natürlich meine Aufmerksamkeit: 42matters.com eine Art Cambridge Anlytica der Schweiz? Eine Firma die über dubiose Wettbewerbsspiele, Persönlichkeitsquizzes und leichtsinnigen Userinnen, die schnell mal Ja klicken, allerlei Daten absaugt?
Nun hatte ich endlich die Gelegenheit mir die Website etwas genauer anzuschauen. 42matters.com ist ein ETH-Spinoff, wurde 2011 gegründet, hat seinen Sitz in Zürich und bietet “App Intelligence”; also alle möglichen Formen von Trends und Metadaten. Hierbei handelt es sich um durchaus interessante Statistiken über Apps, die auch von Tech-Journalistinnen gerne konsultiert werden.
Doch bis 2019 war da noch mehr in petto. 42matter.com war damals auch eine Art “Data Broker”: 180 Millionen User-Profilen wurden feilgeboten, unter dem sogenannten “Audience Finder”. Ein alter Blogpost- der nun 2021 eingestellt wird- zeigt die Bewerbung des Produkts:
“42matters’ Custom Audience Finder: With the accuracy and granularity of data available on mobile apps unmatched thanks to mobile IDs, as well as 42matters’ audience profiling technology with over 180 million unique profiles in our database, you are able to now target users who are using specific apps.”
Blogartikel von 42matters.com
Auf der Website stellt die Firma ihr Angebot den Facebook-Werbemöglichkeiten “Custom Audiences” und “Lookalike Audience” als Vergleich gegenüber. Und konstatiert dass ihr Angebot um ein Vielfaches einfacher zu handhaben ist als die Konkurrenz des sozialen Riesen:
“If all of the above seems complicated, you see why so many advertisers don’t take advantage of Facebook’s custom audience feature. But it doesn’t have to be that way.
That’s why we’re introducing an innovative custom Audience Finder tool powered by 42matters’ technology that allows you to leverage all of the feature’s benefits, while removing its most significant complications”
42matters.com rühmte sich damit dass Markennamen wie Nielsen, Oracle und Statista auf ihre umfangreiche Datenbank zurückgreifen. Darin enthalten sind nicht etwa Namen oder Emailadresse, sondern andere persönliche Daten wie die Mobile ID, die sie App-Entwicklerinnen und Werbekunden zur Verfügung stellen.
Nun, die brennende Frage: wie gelangte 42matters.com an diese Daten?
Ich habe nachgefragt und erhielt folgende Antwort von Andrea Girardello, Mitgründer und CEO von 42matters.com:
“Data sources were third-party apps with consent to exchange data.”
Andrea Girardello, CEO von 42matters.com
Nun ist das natürlich eine wenig aussagekräftige Standardantwort. Ich wollte es genauer wissen: welches waren die Datenpartner von 42matters.com und was bedeuten in diesem Zusammenhang genau Konsens/Zustimmung?
Mit jeder meiner Nachfragen wurde der CEO etwas spezifischer, das nächste Informationshäppchen lautete so:
“It was a requirement for the third-party publishers to get consent where required by law. As company policy we don’t disclose names of partners, but for example there were apps in the “game” category.”
Andrea Girardello, CEO von 42matters.com
Nutzerinnen von Spielen haben also beim Download ihrer App irgendwo ein Häkchen gesetzt und damit Zustimmung auf die Weitergabe von allerlei persönlichen Daten- inklusive Mobile ID- gegeben. Wie sehr geschah das im Wissen der Nutzerinnen? Und wurde dabei explizit die Weitergabe jener Daten für einen Data Broker wie 42matters.com abgefragt?
“The publishers had to specifically mention 42matters in their ToS and/or opt-in.”
Andrea Girardello, CEO von 42matters.com
Auch wenn sich der CEO mit Opt-In noch rausreden konnte (inwiefern das stimmt, können wir heute nicht überprüfen): Wie vermutet war also die Datenweitergabe an 42matters.com als eine von unzähligen “Partnern” unter ToS (Terms of Service) subsumiert worden, wie das für die Tracker von 1000 anderen Data Brokers und AdTech-Unternehmen der Fall ist. Ob die Gamerin das durchliest, ist sekundär. Denn ohne ihr “freiwillig erzwungenes” Häkchen kann sie ihr Spiele-App wohl gar nicht herunterladen.
Die gute Nachricht: Es sind Tempi Passati. Gemäss Girardello war das Angebot von Mitte 2018 bis 2019 in Kraft. Danach hat die Firma beschlossen ihr Produkt aufzugeben. Allerdings nicht wegen Datenschutzbedenken, sondern weil Facebooks Konkurrenzangebot einfach besser war.
“We decided to terminate the Audience Finder because we didn’t have usage for it as Facebook had/has much more advanced solutions (and it was also getting too expensive for us to keep developing it).”
Andrea Girardello, CEO von 42matters.com
Die Mobile ID (aber auch die Advertising ID oder die IP Adresse) ist eindeutiger Identifier. Eine Studie von 2019 zeigt dass 70% von 24 000 Google Play Apps die Advertising ID an Drittparteien übermitteln (Facebook, Google, AdTech-Firmen, Data Broker etc.). Der rechtliche Fall gemäss der Analyse der norwegischen Konsumentenschutzbehörde ist klar: Gemäss Artikel 4 (11) und 7 DSGVO brauchen solche eindeutigen Kennungen eine explizite Zustimmung von Nutzerinnen. Und nein, es reicht nicht diese in ein “Consent Package” hineinzupacken. Denn das wäre eine Verletzung des europäischen Datenschutzrechts. Gemäss eines Entscheids der französischen Datenschutzbehörde CNIL müssten die “empfangenden” Parteien (also diejenigen Akteure, die User-Profile und Daten erwerben) auch nachweisen können, dass sie die Informationen von den Datenhändlern auf expliziter Einwilligung erworben haben. Damit wären im Fall der Firma 42matters.com auch deren KundInnen in der Pflicht.
Was ist nun die Moral von der Geschichte?
Wir schauen gerne nach Übersee um uns über die bösen US-Unternehmen zu echauffieren, also in den Staaten in denen die Data Broker/Händler Hochkonjunktur aufgrund von nicht vorhandenen Privacy-Gesetze feiern, weil sie nach Belieben ganze Wählerprofile dank verfügbaren offenen Quellen schürfen und zusammenschustern können. Wie wir heute wissen war die Rolle des Unternehmens Cambridge Analytica bei Trumps Wahlsieg massiv überhöht worden. Die Datenbanken und psychometrischen Vermessungen spielten kaum eine Rolle bei der ausgefeilten Facebook-Werbekampagne des damaligen Digital-Direktors Brad Parscale. Doch die Medien begingen bei der Medienberichterstattung den Fehler, sich zu sehr auf die vermeintlich manipulative Wirkung von datengetriebenen Werbekampagnen zu fokussieren. Anstelle sich auf die Frage zu konzentrieren, wie diese riesigen Datenbanken überhaupt zustandegekommen sind. Der Hauptskandal war nämlich der ganze unsichtbare und intransparente Datenhandel im Hintergrund. Wie wir heute wissen, handelte es sich um paar wenige Tausende von Nutzerinnen, die für ein paar Groschen Lohn ein Persönlichkeitsquiz ausgefüllt haben. Herausgekommen ist dabei ein “Schatz” mit über 50 Millionen betroffenen Facebook-Userinnen. Die meisten werden bis heute nicht davon wissen.
Eine ähnliche Geschichte wird sich wohl hinter den 180 Millionen Menschen bei 42matters.com abgespielt haben, und hier handelt es sich um eine Schweizer Firma. Und das alles nur weil diese Personen ein Game auf ihr Smartphone heruntergeladen haben.
Update: Hier noch die Sicht des Eidgenössischen Datenschützers Adrian Lobsiger, Sprecherin Silvia Böhlen schreibt dazu:
“Eine explizite Einwilligung kann nicht aus einer Bestimmung in den AGB abgeleitet werden, sondern muss durch eine aktive Handlung der betroffenen Person freiwillig erteilt werden: zum Beispiel durch das Ankreuzen eines Kästchens neben einer Aussage wie z.B. «Ich stimme der Weitergabe meiner Personendaten an Unternehmen X für Zweck Y zu». Es ist aber wichtig zu betonen, dass gemäss geltendem Recht (Art. 4 Abs. 5 DSG) die Einwilligung der betroffenen Personen zu einer Datenbearbeitung nicht zwingend explizit sein muss, sondern nur wenn es sich um die Bearbeitung von besonders schützenswerten Daten oder Persönlichkeitsprofilen handelt.
Auch eine implizite Einwilligung kann nur aus den AGB abgeleitet werden, wenn diese genügend klar und bestimmt sind, um einer betroffenen Person zu ermöglichen, darin eine Einwilligungserklärung nach Treu und Glauben zu verstehen, welche die fragliche Datenbekanntgabe umfasst. Es muss im konkreten Fall geprüft werden, ob die Anforderungen an Transparenz und Freiwilligkeit eingehalten werden.“
Nun handelt es sich wohl bei eindeutigen Identifiern wie Mobile ID nicht um besonders schützenswerte Daten. Aber die Firma 42Matters.com erstellte mit der Datenextraktion aus den Apps Persönlichkeitsprofile. Insofern ist es wohl rechtlich gesehen nach wie vor fragwürdig, wenn die Datenweitergabe einfach unter den ToS abgehandelt wird.
Eine Antwort
Mein Fazit: Krass wie schlecht wir User in der Schweiz geschützt sind. Das geltende Recht kehrt das zu unseren Ungunsten um: “besonders schützenswerte Daten” muss erstmal erstritten werden. Wilder Westen.