Am 13. Dezember reichte die niederländische Stiftung für Datenschutz (SDBN) eine Sammelklage gegen Adobe ein, weil das Unternehmen über seine Plattform Adobe Experience Cloud unrechtmäßig personenbezogene Daten sammelt, diese für die Erstellung von persönlichen Profilen verwendet und sie an Werbetreibende weitergibt. Mit anderen Worten: Die SDBN behauptet, dass Adobe Sie mit seinen Ad-Tech-Tools unrechtmäßig ausspioniert und Profile erstellt.
Ähnlich wie bei der anhängigen Klage des SDBN gegen X (ehemals Twitter) geht es bei dieser Klage um weit verbreitete Datenschutzprobleme im Ad-Tech-Umfeld und es lohnt sich, sie genau zu verfolgen. Um was es hier geht, erfahren Sie hier!
Was steht auf dem Spiel?
Dieser Fall könnte Adobe enormen Schadenersatz kosten, da das Unternehmen Profile von Millionen niederländischer Bürger erstellt hat. Aber Geld ist bei diesem Fall wohl der unwichtigste Aspekt.
Im Großen und Ganzen handelt es sich bei den vom SBDN aufgeworfenen Fragen einfach um die wohlbekannten Probleme der Tracking-basierten Werbung - und Adobe befindet sich in guter Gesellschaft. Wenn es dem SDBN gelingt, einen Präzedenzfall gegen Adobe (oder X) zu schaffen, könnten andere große Fische wie Google und Meta als nächste an der Reihe sein und ebenfalls viel Geld riskieren.
Unterm Strich geht es in diesem Fall nicht wirklich um Adobe. Es geht um ein Geschäftsmodell. Ein Geschäftsmodell, das weit verbreitet, unmoralisch und gefährlich ist und auf invasiver Überwachung im globalen Maßstab beruht.
Es gab noch nie einen besseren Zeitpunkt, um sowohl die Ethik als auch die Rechtmäßigkeit des Geschäftsmodells der Werbetechnologie in Frage zu stellen. Meta ändert seine Datenschutzrichtlinien zum dritten Mal innerhalb eines Jahres in einer weiteren Runde seines Katz-und-Maus-Spiels mit der GDPR - und sieht sich einer weiteren rechtlichen Herausforderung von noyb gegenüber. Gleichzeitig stellt eine Koalition von Datenschützern in dem viel beachteten Fall des IAB Europe die Rechtmäßigkeit des Echtzeitgebotssystems in Frage, das die Online-Werbeumgebung bestimmt.
In diesem ohnehin schon prekären Szenario könnte ein niederländischer Präzedenzfall gegen überwachungsbasierte Werbung störende (sprich: gute) Auswirkungen auf das Ad-Tech-Ökosystem haben.
Was hat Adobe (vermeintlich) falsch gemacht?
Die Adobe Experience Cloud ist eine weit verbreitete Online-Marketing-Suite, die Dienste wie Adobe Analytics, Adobe Experience Manager und Adobe Campaign umfasst. Mit anderen Worten, die Cloud ist eine Sammlung von Software-as-a-Service-Tools, die Informationen austauschen und Anzeigen auf der Grundlage von Besucherdaten schalten.
Während die Klage selbst derzeit nicht öffentlich zugänglich ist, enthält die Website des SDBN einen allgemeinen Überblick über die Forderungen. Das SDBN behauptet, dass Adobe unrechtmäßig personenbezogene Daten über Cookies gesammelt (was implizit auf Adobe Analytics und das Acrobat SDK als Schuldige hindeutet) und personenbezogene Daten an Dritte im Ad-Tech-Umfeld weitergegeben hat.
Da gibt es eine Menge zu entpacken, also lassen Sie es uns Stück für Stück aufschlüsseln.
Adobe-Analytik
Adobe Analytics ist ein professionelles, teures, Cookie-basiertes Webanalysetool. Unternehmen können Adobe Analytics nutzen, um Besucher zu verfolgen und mehr über ihre Interessen zu erfahren. Dadurch können sie andere Tools in der Adobe Experience Cloud nutzen, um Werbeflächen an die zahlreichen Werbepartner von Adobe zu verkaufen.
Mit anderen Worten: Adobe Analytics ist das Adobe-Pendant zu Google Analytics. Es spielt eine entscheidende Rolle in Adobes Ad-Tech-Umgebung, denn von dort kommen die Daten - zusammen mit Adobes SDK (siehe unten).
Das SDBN behauptet, dass Adobe Analytics illegal Daten sammelt, indem es Cookies ohne die Zustimmung des Nutzers platziert. Mit anderen Worten: Mit den Cookie-Pop-ups, die Websites gesetzlich anzeigen müssen, bevor sie Marketing-Cookies im Browser des Besuchers platzieren, stimmt etwas nicht.
Dies kann aus einer Reihe von Gründen geschehen. Cookie-basierte Tools wie Adobe Analytics und Google Analytics sollten Cookies nur mit Zustimmung platzieren. Aber Unternehmen richten diese Tools oft falsch ein - absichtlich oder aus Nachlässigkeit. Infolgedessen zeigen viele Websites kein Cookie-Pop-up an oder platzieren Cookies selbst bei Nutzern, die dies abgelehnt haben.
Der SDBN behauptet auch, dass Websites oft nicht genau genug darüber informieren, was mit den durch Cookies erhobenen personenbezogenen Daten geschieht. Die Bereitstellung dieser Informationen ist eine Voraussetzung für die Einholung einer gültigen Einwilligung gemäß der Datenschutz-Grundverordnung.
Das Acrobat-SDK
Adobe Analytics ist nicht die einzige Quelle für personenbezogene Daten für Adobe Cloud Experience: Adobe sammelt auch personenbezogene Daten mit dem Acrobat-SDK und leitet sie an seine Ad-Tech-Tools weiter.
Software Development Kits (SDKs) sind Pakete mit vorkompiliertem Code, die Entwicklern von Drittanbietern zur Verfügung gestellt werden - und in der Regel Tracker enthalten. Mit einem SDK erhält ein Drittentwickler einen sehr nützlichen Werkzeugkasten für die Entwicklung seiner App kostenlos und wälzt die Kosten auf die Nutzer ab, deren persönliche Daten - oft ohne ihre Zustimmung - gesammelt werden. Diese Daten werden - Sie ahnen es schon - für Werbung verwendet und oft zu den umfangreichen Profilen hinzugefügt, die Ad-Tech-Unternehmen pflegen.
Mit anderen Worten: SDKs sind eine Falle: ein cooles und kostenloses Tool für Entwickler, für das Sie mit Ihren Daten bezahlen.
Mobile Tracking ist ein riesiges Problem, das nicht die Aufmerksamkeit bekommt, die es verdient. Deshalb freuen wir uns über eine weitere SDBN-Aktion, die weit verbreitete SDKs betrifft.
Profiling und gemeinsame Datennutzung
Das SDBN behauptet, dass Adobe personenbezogene Daten an Dritte weitergibt. Hier gibt es keine Überraschungen: Dies ist in der Werbetechnik aufgrund der Art des Real Time Bidding Systems (RTB) Standard.
Wir haben bereits über RTBs geschrieben, daher hier die Kurzversion. Tools wie Abode Analytics und Google Analytics sammeln Ihre Daten über Websites und fügen sie zu einem persönlichen Profil hinzu. Anhand dieses Profils können Unternehmen erkennen, wofür Sie sich interessieren und wie sie Ihre Werbung besser ausrichten können. Jedes Mal, wenn Sie eine Website besuchen, wird dieses Profil an die Ad-Tech-Umgebung weitergegeben, damit die Unternehmen auf eine bestimmte Werbefläche bieten können. Während der Gebotsabgabe werden die Profile an die Werbetreibenden weitergegeben, damit diese wissen, wie viel dieser Besucher für sie wert ist und welche Anzeigen sie schalten sollten, um eine bessere Rendite zu erzielen.
Dieses System ist eine Katastrophe. Die Daten werden für jedes Gebot an Hunderte von Parteien weitergegeben, und Unternehmen wie Adobe und Google haben keinerlei Kontrolle über die Daten, nachdem sie sie weitergegeben haben. Ad-Tech ist ein Überwachungsspiel, das von Kriminellen, Überwachungsfirmen, ausländischen Regierungen und so ziemlich jedem missbraucht werden kann, der die Mühe auf sich nimmt, ein Unternehmen zu gründen und sich der Party anzuschließen.
Als stolze Entwickler eines Tracking-freien Webanalysetools sind wir ein wenig voreingenommen, wenn es um Ad-Tech geht. Aber Sie brauchen uns nicht zu glauben, wie schlecht die Dinge sind. Zwei aktuelle Berichte des Irish Council for Civil Liberties (einer angesehenen Nichtregierungsorganisation für Bürgerrechte) zeigen, dass Online-Werbung ein wahres Feuerwerk der Privatsphäre ist, das sogar Regierungs- und Militärangehörige gefährden kann!
Fazit: Ja, Adobe teilt Ihre Daten mit einer Reihe von Partnern. Höchstwahrscheinlich sind einige von ihnen nicht vertrauenswürdig. Das ist sehr bedauerlich und kaum überraschend.
Wie wird sich dies auswirken?
Werfen wir einen Blick auf Adobes Position. In seinen Pressemitteilungen und in früheren Gesprächen mit dem SDBN behauptete Adobe, dass keiner der angeblichen Verstöße seine Schuld sei. Das Unternehmen behauptet, dass die Einhaltung der Vorschriften in der alleinigen Verantwortung des Kunden liegt - Adobe verkauft den Dienst, stellt einige rechtliche Unterlagen zur Verfügung und beendet die Sache.
Hat Adobe Recht? Inwieweit erlaubt es die Datenschutz-Grundverordnung Adobe, seine Compliance-Verpflichtungen auf seine Kunden abzuwälzen?
Die Rechtslage ist hier nicht eindeutig, aber es gibt einen interessanten Präzedenzfall zu diesem Thema, der den multinationalen Werbeträger Criteo betrifft. In diesem Fall entschied die französische Datenschutzbehörde (CNIL), dass ein so wichtiges Unternehmen wie Criteo die Erfassung und Dokumentation der Einwilligung nicht vollständig auf seine Kunden abwälzen kann. Stattdessen ist es verpflichtet, sich stärker um die Einhaltung der Vorschriften zu kümmern und Maßnahmen zu ergreifen, um sicherzustellen, dass es mit echten und gültigen Einwilligungen arbeitet.
Die CNIL ist eine einflussreiche Behörde, und der öffentlichkeitswirksame Präzedenzfall gegen Criteo könnte genau das sein, was das SDBN braucht, um das Blatt zu seinen Gunsten zu wenden. Andererseits sind die niederländischen Gerichte nicht an die Entscheidungen der CNIL gebunden und könnten sehr wohl eine andere Haltung bei der Zuweisung von Compliance-Verpflichtungen einnehmen.
Abschließende Überlegungen
Wie Sie wahrscheinlich schon gemerkt haben, mögen wir die Nachverfolgung nicht. Wir halten es für unverantwortlich, gefährlich und unethisch. Aus diesem Grund haben wir Simple Analytics entwickelt, um unseren Kunden alle erforderlichen Einblicke zu geben, ohne persönliche Daten von den Endnutzern zu sammeln. Wenn Sie sich angesprochen fühlen, können Sie uns gerne Ihre Meinung sagen!