Datenfirma unterhält „privates Bevölkerungsregister“
Presseartikel aus netzpolitik.org von Markus Reuter
LiveRamp ist Verknüpfungsdienstleister für personalisierte Werbung. Dafür habe das Unternehmen eine Art Bevölkerungsregister angelegt, in dem Einzelpersonen und Haushalten eine Identifikationsnummer zugeordnet wird, sagt eine Studie. Das könnte gegen die Datenschutzgrundverordnung verstoßen.
Das unabhängige Daten-Institut Cracked Labs hat sich im Auftrag der Open Rights Group das Daten-Verknüpfungsunternehmen LiveRamp (ehemals Acxiom) technisch angeschaut und ausgewertet, welche Daten das Unternehmen über Menschen sammelt und wie diese zur Verknüpfung unterschiedlicher Datensätze genutzt werden.
Die englischsprachige Studie wurde am Mittwoch unter dem Titel „Allgegenwärtige Identitätsüberwachung zu Marketingzwecken“ (PDF) veröffentlicht. Sie stützt sich vor allem auf offen zugängliche Software-Dokumentation und Datenschutzbedingungen der beteiligten Unternehmen.
Demnach sammelt das Unternehmen Daten von mehreren hundert Millionen Konsument:innen und „betreibt ein massives Identitätsüberwachungssystem, das jeder Person eine geschützte Kennung zuweist, die mit identifizierenden Attributen wie Namen, Postadressen, E-Mail-Adressen, Telefonnummern und digitalen IDs von Browsern, Smartphones und anderen Geräten verknüpft ist.“
Laut der Studie, die Wolfie Christl und Alan Toner erstellt haben, unterhält LiveRamp „bevölkerungsweite Identitätsdatenbanken“. Neben Einzelpersonen verknüpften diese Datenbanken auch Identitätsdatensätze zu Personenhaushalten. Es wird also erfasst, wer mit wem zusammen lebt. Um die Identitätsdatenbanken zu erstellen und ständig zu aktualisieren, beschafft und kauft LiveRamp Identitätsdaten von „Offline“-Datenanbietern, „Match-Partnern“ und anderen Drittunternehmen, heißt es in der Studie.
Die Datenpraktiken des Unternehmens mit seinen mehr als 3.000 Mitarbeitern weltweit legten laut der Studie nahe, dass die RampIDs und andere Identifikatoren eine wichtige Rolle im heutigen Ökosystem der Marketingüberwachung spielen. Sie erleichterten den Austausch von personenbezogenen Daten über Konsument:innen zwischen Tausenden von Verlagen, Werbetreibenden, Adtech-Firmen, Datenmaklern und großen Plattformen. LiveRamp liefert mit den Identifikatoren eine Art Personenkennziffer anhand derer Werbedaten zu Profilen verknüpft werden können.
Mittels der Identifikatoren könnten Unternehmen personenbezogene Daten über ihre Kunden und andere Verbraucher mit anderen personenbezogenen Daten in der digitalen Welt verknüpfen und kombinieren – weit über die Kanäle, Websites, Apps oder Plattformen hinaus, die diese Unternehmen selbst betreiben, heißt es in der Studie. Dies bestätigte laut der Studie sowohl LiveRamp selbst wie auch Google, das die RampID als „Verbindungsschlüssel“ zwischen den Werbedaten des Kunden und denen von Google beschreibt.
Beschwerde eingereicht
LiveRamp führt laut der Studie diese Verarbeitung personenbezogener Daten in mehreren Ländern aus, darunter im Vereinigten Königreich und in Frankreich. Die Studie zweifelt an, dass das Unternehmen eine Rechtsgrundlage für seine Datenverarbeitung habe. Das Unternehmen LiveRamp hat auf eine Presseanfrage von netzpolitik.org bislang nicht reagiert.
Die Open Rights Group hat auf Grundlage der Studie Beschwerden beim britischen Information Commissioner’s Office und der französischen Datenschutzbehörde CNIL gegen LiveRamp eingereicht.
In der Beschwerde heißt es:
Seine Datenbanken können als private Bevölkerungsregister betrachtet werden. LiveRamp verkauft diese Funktionalität an eine Vielzahl von Online-Akteuren, die damit in der Lage sind, Einzelpersonen beim Surfen zu beobachten und mit anderen Online-Akteuren über Einzelpersonen zu kommunizieren – vor allem über solche, die sie verfolgen, profilieren, bewerben und verkaufen wollen.
Laut der Open Rights Group verstößt die Praxis von LiveRamp gegen viele Regelungen der Datenschutzgrundverordung (DSGVO). Jim Killock von der Open Rights Group hält die von LiveRamp genutzten „neuen und gefährlichen Technologien“ für einen Versuch, personalisierte Werbung weiterzuführen, wenn die bisherige Technik von Tracking-Cookies eingeschränkt werde. An die Datenschutzbehörden gerichtet sagt Killock: „Jetzt ist es an der Zeit, diese neuen und gefährlichen Technologien zu stoppen, bevor sie aus dem Ruder laufen.“
Auch in unserer Recherche zu den Datensegmenten der Online-Werbeindustrie tauchte das Unternehmen LiveRamp auf. Es stellte Targeting-Kategorien wie Brustkrebs, Blasenkrebs oder Depression bereit.