ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
www.datenschutzzentrum.de/

Dies ist unser Webangebot mit Stand 27.10.2014. Neuere Artikel finden Sie auf der ├╝berarbeiteten Webseite unter www.datenschutzzentrum.de.

26. September 2007

Schreiben des Leiters des ULD
Dr. Thilo Weichert
an die
Kommissarin der Europäischen Kommission Neelie Kroes zum

Wettbewerbsverfahren wegen der Übernahme des Internet-Werbevermarkters DoubleClick durch Google

 

Sehr geehrte Frau Kommissarin,

das Unabhängige Landeszentrum für Datenschutz (ULD) ist die in Art. 28 der Europäischen Datenschutzrichtlinie (EU-DSRL) vorgesehene unabhängige Datenschutz-Kontrollstelle für das Bundesland Schleswig-Holstein. Das ULD wird in jüngster Zeit immer wieder auf das Kartellverfahren hinsichtlich der geplanten Übernahme des Online-Werbevermarkters DoubleClick durch den Suchmaschinenbetreiber und Internet-Dienstleister Google angesprochen. Dem ULD wird die Frage gestellt, inwieweit der Schutz des Rechts auf informationelle Selbstbestimmung einer solchen Übernahme entgegensteht. Nach den mir vorliegenden Informationen beherrscht Google derzeit ca. 86% des Marktes von Internet-Suchmaschinen in Deutschland und Spanien, ca. 82% in Frankreich und knapp 75% in Großbritannien. Google erlangt seine Erlöse durch Internet-Werbung, allein 45% durch Werbung über Suchmaschinen. DoubleClick ist ein weltweit agierender Marktführer im Bereich der Online-Werbung; allein 46% des Gesamtumsatzes werden hierüber erwirtschaftet.

Die Frage, inwieweit Datenschutzregelungen der geplanten Übernahme entgegenstehen, kann nicht abstrakt beantwortet werden. Datenschutzregelungen gelten unabhängig von der Größe und einer etwaigen Marktdominanz eines Unternehmens. Die Verpflichtung, die Normen des Datenschutzes zu beachten, gilt heute für DoubleClick und Google ebenso wie für ein verbundenes Unternehmen.

Datenschutzrechtlich relevant wird die Übernahme von DoubleClick durch Google aber, wenn die aus dem einen Unternehmen erlangten personenbezogenen Daten für die Datenverarbeitung des anderen Unternehmens genutzt werden. Sowohl DoubleClick wie auch Google führen „Behavioral Targeting“ durch, die gezielte Werbeansprache auf der Basis von Auswertung der Nutzungsdaten. Erfolgt vor einer Verwendung der Internet-Nutzungsdaten für Internet-Werbezwecke eine Anonymisierung, so ist gegen die weitere Datenverarbeitung aus Datenschutzsicht nichts einzuwenden. Bei einer personenbeziehbaren Auswertung der Nutzungsdaten bestehen jedoch datenschutzrechtliche Anforderungen:

  1. Die Zweckbindung der Daten muss beachtet werden, sowohl bei der Nutzung, in besonderem Maße aber bei der Datenübermittlung (Art. 6 EU-DSRL).
  2. Die Transparenz der Datenverarbeitung (Art. 10, 11 EU-DSRL) muss gewährleistet werden.
  3. Das Bestimmungsrecht der betroffenen Personen bei der Verwendung für Werbezwecke muss gewährleistet bleiben, entweder über eine wirksame Einwilligung oder durch die Möglichkeit, einen Widerspruch zu erklären (Art. 7a, 14 EU-DSRL).

Im Hinblick auf die Beachtung der europarechtlich festgelegten Pflichten zum besonderen Schutz sensibler Daten (Art. 8 EU-DSRL) und zur Löschung nicht mehr benötigter Daten (Art. 6e) EU-DSRL) bestehen sowohl bzgl. der Datenverarbeitung von DoubleClick wie bzgl. der von Google schon heute Zweifel. Die Europäische Datenschutzrichtlinie ist zumindest in Hinblick auf die Datenerhebung und Weitergabe in die USA anwendbar. Die Art. 29-Gruppe der Europäischen Kommission hat Zweifel geäußert, dass die 18monatige Aufbewahrung von personenbeziehbaren Nutzungsdaten mit dem europäischen Datenschutz vereinbar ist.

Eine Mitarbeiterin von Google teilte auf einer Veranstaltung zu Suchmaschinen in Berlin am 20. September 2007 in Berlin mit, dass personenbezogene Daten aus der Suchmaschinen-Nutzung (z.B. IP-Adressen, Cookies) nicht gemeinsam ausgewertet oder verarbeitet würden mit derartigen Daten aus anderen Anwendungen. Dem stehen tatsächliche Feststellungen gegenüber, wonach ein solcher anwendungsübergreifender Datenaustausch stattfindet.  Dem stehen auch die Datenschutzhinweise von Google gegenüber, in denen es heißt:
"Wir können die über Sie erhobenen personenbezogenen Daten mit Daten von anderen Google-Diensten oder anderen Unternehmen kombinieren, um das Angebot für unsere Nutzer zu verbessern, z.B. durch individuell auf Sie zugeschnittene Inhalte" (http://www.google.de/intl/de/privacy.html Extern).

Es ist unklar, ob schon heute Google und DoubleClick personenbezogene Daten über Konsumentinnen und Konsumenten austauschen. In jedem Fall muss nach allen vorliegenden Erkenntnissen davon ausgegangen werden, das im Fall einer Übernahme ein solcher Austausch erfolgt. In diesem Fall würde eine Fülle von Nutzerdaten zusammengefasst, die detaillierte Auswertungen und die Erstellung von individuellen Profilen ermöglicht, ohne dass die einzelnen betroffenen Internetnutzenden davon Kenntnis erlangen und ohne dass diese ihre Rechte geltend machen können. Eine entsprechende datenschutzrechtliche Kontrolle durch europäische Kontrollstellen ist nur schwer bzw. überhaupt nicht möglich, weil zwar die Datenerhebung (auch) in der Europäischen Union stattfindet, nicht aber die Zusammenführung der Daten, die Auswertung und die Nutzung für personifizierte Werbung; all dies erfolgt in den USA. Eine effektive und unabhängige Überprüfung dieser Datenverarbeitung in den USA ist in Ermangelung einer Datenschutzaufsicht in den USA nicht ersichtlich. Der Umstand, dass Google den Safe Harbour Grundsätzen zugestimmt hat, ist nicht beachtlich, da die erklärtermaßen erfolgende Datenverarbeitung konkret im Widerspruch zur Europäischen Datenschutzrichtlinie steht.

Derzeit muss davon ausgegangen werden, dass im Fall einer Übernahme von DoubleClick eine Integration der Datenbestände von diesem Untenehmen in die von Google erfolgt mit der Folge, dass grundlegende Regelungen der Europäischen Datenschutzrichtlinie verletzt werden. Die Unternehmens-Übernahme würde also zu einer massiven Verletzung von Datenschutzrechten von Konsumentinnen und Konsumenten in der Europäischen Union führen. Ich gehe davon aus, dass ein derartiger Datenschutzverstoß bei der wettbewerbsrechtlichen Beurteilung einer Unternehmensübernahme durch die Europäische Kommission zu berücksichtigen ist.

Eine andere Beurteilung kann möglich sein, wenn von Seiten der beteiligten Firmen glaubhaft, nachvollziehbar und überprüfbar dargelegt wird, dass die personenbezogene Datenverarbeitung der bisher separaten Unternehmen künftig und langfristig separat vorgenommen wird.

Ich möchte Sie bitten, diese datenschutzrechtlichen Erwägungen im Rahmen des laufenden Wettbewerbsverfahrens im Interesse der Internet-Nutzenden in der Europäischen Union umfassend zu berücksichtigen.

Mit freundlichen Grüßen
Dr. Thilo Weichert