Datenhändler: Identifizierung möglich, um Werbung zu verkaufen, nicht um Grundrechte auszuüben
noyb reichte heute eine Reihe von Beschwerden gegen Websites und Datenhändler ein, die Auskunftsbegehren mit Cookies als Authentifizierungsfaktor nicht ausreichend beantwortet hatten. Die Unternehmen hatten bei der Authentifizierung von Nutzer:innen hinderliche Vorgehensweisen an den Tag gelegt, die von der Verweigerung des Auskunftsrechts bis zur Anforderung zusätzlicher Informationen reichten.
- Beschwerde gegen Datenhändler: maschinenübersetzt EN [PDF]
- Beschwerde gegen die Website: maschinenübersetzt EN [PDF]
Ausübung von Grundrechten durch Cookie-basierte Authentifizierung. Tracking-Cookies werden verwendet, um Nutzer:innen zu identifizieren und mit personalisierter Werbung anzusprechen. Daher können Cookie-Daten auch zur Identifizierung und Authentifizierung von Nutzer:innen verwendet werden, die ihre Rechte nach der DSGVO wahrnehmen. Zumindest theoretisch. Um zu testen, wie die Cookie-basierte Authentifizierung von der Industrie gehandhabt wird, haben Nutzer:innen eine Reihe von Auskunftsbegehren auf der Grundlage von Cookie-Daten gestellt.
Nichtbeantwortung von Auskunftsbegehren. Um die Informationen zu erhalten, die über sie gesammelt wurden, fügten die Nutzer:innen die von den Websites platzierten Cookies als Identifizierungsmittel ihres Auskunftsbegehrens bei. Viele Websites und Datenhändler beantworteten den Antrag auf Auskunft jedoch nicht ausreichend. Stattdessen verlangten sie entweder andere Formen der Identifizierung (z. B. einen Ausweis und/oder zusätzliche persönliche Angaben) oder ignorierten die Anfrage ganz. noyb reichte daher mehrere Beschwerden gegen die Firmen ein, weil sie die Auskunftsanfragen nicht beantworteten und den Grundsatz der Datenminimierung nicht einhielten.
Stefano Rossetti, Datenschutzjurist bei noyb: "Die Idee hinter diesen Beschwerden ist einfach: Wenn ein Unternehmen ein Cookie verwenden kann, um mich zu verfolgen und mir gezielte Werbung zu schicken, warum sollte ich dann nicht in der Lage sein, genau dieses Cookie zu verwenden, um mein Recht auf Datenschutz auszuüben?"
EDSA-Leitlinien zur Cookies-basierten Authentifizierung. Die Authentifizierung von Nutzer:innen über Cookies ist nicht nur technisch möglich, sondern wird auch in den jüngsten EDSA-Leitlinien empfohlen, wonach Datenvermittler geeignete Verfahren einführen müssen, die es Nutzer:innen ermöglichen, mit den Daten, die mit eindeutigen Identifikatoren (wie Cookies) verknüpft sind, eine Zugangsanfrage zu stellen. In Anbetracht des Grundsatzes der Datenminimierung haben Nutzer:innen daher das Recht, ihre Identität anhand der bereits über sie generierten Daten zu authentifizieren, und können nicht gezwungen werden, zusätzliche persönliche Informationen anzugeben.
Widersprüchliche Fähigkeiten von Datenmaklern. Während Websites und Datenhändler Nutzer:innen für gezielte Werbung über Cookies identifizieren, weigern sie sich, Nutzer:innen mit denselben Mitteln zu identifizieren, sobald diese von ihrem Grundrecht auf Auskunft gemäß Art. 15 DSGVO gebrauch machen.
Stefano Rossetti, Datenschutzjurist bei noyb: "Diese Beschwerden eröffnen eine neue Reihe von Rechtsstreitigkeiten, die sich mit der digitalen Identität und der Möglichkeit der Verwendung eines Tracking-Tools, in diesem Fall eines Cookies, zur Ausübung von GDPR-Rechten befassen."