SBS Firmengruppe Logos

| Datenschutzrecht

Werbe-ID auf Android-Handys: illegales Tracking durch AAID?!


Max Schrems verklagt Google. Der Konzern verstoße mit der Werbe-ID AAID in Android-Smartphones gegen europäisches Datenschutzrecht.

Google werden schwere Verstöße gegen die europäischen Datenschutzgesetze vorgeworfen. Der US-Konzern soll nämlich Android User über eine individuelle Werbe-ID tracken – und zwar illegal. Denn die Zustimmung der User zu dem Tracking über die ID wird gar nicht eingeholt. Auch Apple steht in der Kritik, das Gleiche zu tun. Der Datenschutzaktivist Max Schrems hat deswegen mit seiner NGO Noyb Klage gegen Google eingereicht. Zuständig ist die französische Datenschutzbehörde, die den Fall nun prüft. Auch in Spanien und in Österreich ermitteln die Behörden derzeit – wegen Apples Werbe-ID.


Google trackt Nutzer über eine Werbe-ID in Android-Smartphones

Android Handy

Smartphones, auf denen das Google-Betriebssystem Android läuft, haben einen „Android Advertising Identifier“ (AAID). Das ist eine Werbe-ID, die für jedes Smartphone individuell generiert wird und mit der dann also das Smartphone des Nutzers eindeutig identifiziert werden kann – wie über ein Nummernschild. Google und weitere Akteure (z.B. Werbetreibende, die Kunden von Google sind, oder App-Anbieter) haben Zugriff auf die AAID. Sie können dann genau sehen, was der einzelne Nutzer wann und wo im Internet gegoogelt hat. So kann natürlich ermittelt werden, welche Vorlieben ein Nutzer hat, um ihm dann personalisierte Werbung zu schalten – also ihm Produkte vorzuschlagen, die er ziemlich wahrscheinlich mögen wird.

Google meint zwar, dass Nutzer die Werbe-ID in den Einstellungen bei „Anzeigen“ aussetzen könnten, weil dadurch die personalisierte Werbung deaktiviert werde. Aber grundsätzlich ist die Werbe-ID beim Kauf eines Android-Smartphones erstmal aktiv. Und das, ohne dass man als Nutzer diesem Tracking zugestimmt hat. Eben dieses Identifizieren und Verfolgen von Android-Usern über die AAID ohne vorherige Zustimmung seien laut Max Schrems „illegale Operationen“.

Davon betroffen sind von den 450 Millionen aktiven Smartphones in der Union rund 300 Millionen Android-User – und damit also ein Großteil aller EU-Bürger. Das zeige das enorme Ausmaß der Überwachung über AAID-Tracker, meint Noyb. Und wahrscheinlich sind auch die restlichen 150 Millionen Smartphones, auf denen nicht Android läuft, von fragwürdigem Tracking betroffen. Denn auch Apple nutzt eine Werbe-ID für iPhones: den „Identifier for Advertisers“ (IDFA).

Stefano Rossetti, Datenschutzjurist bei Noyb:

“AAID ist wie ein farbiges Pulver, das man den Füßen und Händen hat: es macht jede Bewegung innerhalb des mobilen Ökosystems nachvollziehbar. Außerdem kann man das Pulver nicht entfernen, man kann lediglich die Farbe wechseln. Das ist letztendlich, worum es bei der Android Advertising ID geht – ein Tracker, der ständig Informationen über unser Verhalten sammelt”


Beschwerde gegen Google bei der französischen Datenschutzbehörde

Max Schrems und Noyb zufolge verstößt Google mit seiner Werbe-ID bei Android-Handys gegen die ePrivacy-Richtlinie. Diese europäische Richtlinie schreibt nämlich vor, dass ein Tracker nur erstellt und gespeichert werden darf, wenn die betroffenen Nutzer darüber informiert wurden und eindeutig zugestimmt haben. Das sei bei AAID allerdings nicht der Fall. Die Android-User würden einfach unwissentlich und ohne ihre ausdrückliche Zustimmung von Google und allen anderen Apps auf dem Smartphone über die ID verfolgt – ein Verstoß gegen die „Vertraulichkeit elektronischer Kommunikationsdaten“ (Artikel 5 (ePrivacy).

Deswegen hat Schrems mit Noyb also Beschwerde bei der französischen Datenschutzbehörde CNIL eingereicht. Sie solle Googles Tracking-Praktiken untersuchen und offenlegen und dafür sorgen, dass der Tech-Konzern die gesetzlichen Regeln zum Datenschutz einhält. Sollte dabei herauskommen, dass Google wirklich illegal agiert, müsse es entsprechende Gelstrafen geben. Die könnten ziemlich hoch ausfallen.

Warum in Frankreich?

Da Google sein Europageschäft aus Irland heraus betriebt, wäre eigentlich die irische Datenschutzbehörde für die Beschwerde gegen den Konzern zuständig gewesen. Doch die braucht oft ziemlich lang, um Beschwerden zu prüfen und Maßnahmen zu verhängen, wenn Datenschutzverstöße vorliegen. Deswegen hat Max Schrems sich mit seiner Beschwerde gegen Androids Werbe-ID ganz bewusst nicht auf die DSGVO, sondern auf die ePrivacy-Richtlinie bezogen. So ist dann nämlich nicht Irland, sondern Frankreich zuständig. Die französische Behörde muss nicht mit den Datenschutzbehörden anderer EU-Staaten zusammenarbeiten, sondern kann direkt selbst eine Entscheidung treffen. Sie soll besonders gut geeignet sein für Beschwerden, die sich auf die ePrivacy-Richtlinie stützen.

Max Schrems, Jurist und Datenschutzaktivist:

Mit seiner NGO Noyb („None of your business“) rückt der Datenschützer Max Schrems immer wieder in den Fokus der Öffentlichkeit. So konnte der Österreicher in der Vergangenheit bereits zwei Erfolge beim EuGH verbuchen, die hohe Wellen geschlagen haben. Im Oktober 2015 kippte er das Safe-Harbor-Abkommen zwischen den USA und der EU, das den Datenaustausch zwischen beiden Gebieten regelte. Im Juni letzten Jahres klagte er dann abermals erfolgreich gegen die Nachfolgeregelung Privacy Shield. Schrems meinte nämlich, die Abkommen würden nicht dem Datenschutzniveau der EU entsprechen, da US-amerikanische Sicherheitsbehörden wie die NSA oder das FBI einfach auf Daten von Europäern zugreifen könnten. Der EuGH gab Schrems in seiner Argumentation recht – ein spektakulärer Erfolg.

Auch die jetzige Beschwerde gegen Google sei Teil von etwas Größerem. Dafür hat Schrems neben der Beschwerde bei der französischen CNIL auch in Österreich eine Beschwerde gegen Google eingereicht. Denn: Nicht nur werden Android-User nicht nach ihrer Zustimmung gefragt, bevor sie mit AAID getrackt werden – sie können die Werbe-ID nicht einmal im Nachhinein von ihren Geräten löschen. Es ist nur möglich, die Kennung zurückzusetzen. Aber auch dann wird einfach eine neue ID generiert. Im Ergebnis heißt das: Bisher gesammelte Daten bleiben erhalten und die Nutzer werden auch weiterhin verfolgt. Datenschutzrechtlich ist das offensichtlich höchst bedenklich.


Auch Apple steht in der Kritik

Derzeit prüfen die Datenschutzbehörden in Österreich und in Spanien Vorwürfe, die Schrems gegen Apple erhoben hatte. Im Grunde handelt es sich dabei um das Gleiche wie bei Google: das Generieren von Werbe-IDs, über die Nutzer dann getrackt werden – ohne dass sie davon wissen oder dem zugestimmt hätten. Hierin wird die allgemeine Agenda des Datenschützers klar: Werbe-IDs bzw. Tracking-Codes sollen generell überall entfernt werden – bei Android und bei Apple.

Apple meinte zwar, diese Vorwürfe gegen sie träfen nicht zu. Es sei ja durchaus möglich, das Tracking, über das dann personalisierte Werbung geschaltet wird, zu deaktivieren. Aber das Handeln des Unternehmens zeigt etwas anderes. In ein paar Wochen werden Nutzer mit dem kommenden iOS-Update nämlich die Werbe-ID erlauben müssen. Für jede App kann man sich bei iOS 14.5 dann entscheiden: Möchte ich zulassen, dass diese App mich verfolgt und meine Spur speichert? Bisher war diese Zustimmung ja nicht eingeholt worden. Diese Zustimmungspflicht mit dem kommenden iOS-Update kann als eine Maßnahme von Apple verstanden werden, um nicht für illegales Tracking belangt zu werden. Der Druck, den Max Schrems mit seinen Beschwerden bei den Datenschutzbehörden aufbaut, scheint also zu wirken.

Bei anderen Unternehmen regt das wiederum Unmut. Sie wollen eine Kartellklage gegen Apple erheben. Unternehmen wie Facebook befürchten nämlich, in ihrem Werbegeschäft stark eingeschränkt zu werden, wenn Apple-User demnächst entscheiden können, kein Tracking zuzulassen.


SBS Legal – Kanzlei für Datenschutzrecht in Hamburg

Datenschutz ist ein laufender Prozess, der stetig neue Anpassung an sich verändernde Gesetzeslagen erfordert. Als Kanzlei für Datenschutzrecht beraten wir von SBS LEGAL Sie kompetent und fachlich versiert in allen Belangen des Datenschutzes. Unser Team aus erfahrenen Anwälten sorgt dafür, dass Unternehmen (darunter auch solche mit Geschäftssitz außerhalb der EU) den hohen Anforderungen des Datenschutzrechtes in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen – und das schon seit vielen Jahren.

Wir stehen auch Ihnen gern als Partner zur Seite.

Sie brauchen Hilfe im Datenschutzrecht?

Kontaktieren Sie uns gern. Wir freuen uns bereits jetzt, Ihren Erfolg zu gestalten.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.

Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht