Tracking-Code IDFA: Noyb reicht Datenschutzbeschwerden gegen Apple ein

Die Datenschutzinitiative Noyb des österreichischen Juristen und Aktivisten Max Schrems hat zwei Beschwerden gegen Apple eingereicht. Sie richten sich gegen den Tracking Code Identifier for Advertisers (IDFA), mit dem Apple und auch App-Entwickler die Aktivitäten von iPhone- und iPad-Nutzern verfolgen können. Mit möglichen Verstößen Apples gegen Datenschutzgesetze müssen sich nun der Berliner Beauftragte für Datenschutz und Informationenfreiheit sowie die spanische AEPD auseinandersetzen.

Noyb beschreibt den IDFA-Code als „das Cookie in deiner Hosentasche“. iOS generiere standardmäßig eine eindeutige ID für jedes Gerät. „Diese einzigartige Zahlen- und Zeichenfolge ermöglicht Apple und Drittanbietern, Benutzer zu identifizieren und ihr Online- und Mobilverhalten zu verbinden“, teilten die Aktivisten mit. Sie unterstellen, dass das Tracking auch über mehrere Geräte hinweg möglich ist.

Ihre Beschwerde begründen sie mit einer fehlenden Zustimmung von Nutzer zu dieser Datensammlung. iOS erstelle die Werbe-ID IFDA sogar ohne deren Wissen. Die IFDA erlaube es jedoch, Konsumpräferenzen zu erkennen und darauf basierend personalisierte Werbung anzubieten. Das Tracking wiederum falle unter das europäische „Cookie-Gesetz“, sprich Artikel 5 Absatz 3 der ePrivacy-Richtlinie. Sie fordere eine „informierte und eindeutige Einwilligung“ von Nutzern.

“ Das EU-Recht schützt uns vor Tracking. Die Installation oder das Auslesen von Tracking-Codes ist nur mit der Einwilligung des Nutzers möglich. Diese sehr einfache Regel gilt unabhängig von der verwendeten Tracking-Technologie. Während Apple sogar in seinem Browser vorsieht Cookies zu blocken, platzieret es selber ähnliche Codes in seinen Handys, ohne jegliche Zustimmung der User. Dies ist ein klarer Verstoß gegen EU-Datenschutzgesetze“, kommentiert Stefano Rossetti, Datenschutzjurist bei Noyb.

Die Beschwerde bringen die Datenschützer trotz der dieser Tage von Apple angekündigten Änderungen für die Werbe-ID auf den Weg. So soll die Nutzung von IDFA für Dritte eingeschränkt werden – allerdings nicht für Apple. Außerdem sollen Nutzer künftig wie beim Zugriff auf Kamera und Mikrofon gefragt werden, ob sie einer App die Nutzung der IDFA gestatten wollen. „Die anfängliche Speicherung der IDFA und deren Nutzung durch Apple wird jedoch nach wie vor ohne die Zustimmung der Benutzer erfolgen und damit gegen EU-Recht verstoßen“, ergänzte Noyb. Auch sei unklar, wann Apple die angekündigten Änderungen umsetze.

Noyb weist zudem darauf hin, dass mögliche Sanktionen direkt von der Berliner sowie der spanischen Behörde verhängt werden können – der Kooperationsmechanismus der DSGVO werde nicht ausgelöst, da es sich um einen Verstoß gegen die ePrivacy-Richtlinie handele. „Mit anderen Worte, wir versuchen, endlose Verfahren, wie wir sie in Irland vorfinden, zu vermeiden“, sagte Rossetti.

Werbe-IDs finden sich allerdings auch in anderen Betriebssystemen. Sie sollen generell die Auslieferung von personalisierter Werbung über Apps ermöglichen, die den Werbetreibenden höhere Einnahmen beschert als nicht personalisierte Werbung. Unter Windows 10 kann die Werbe-ID in den allgemeinen Datenschutzeinstellungen abgeschaltet werden.

Selbstverständlich bedient sich auch Google dieser Technik für sein Mobil-OS Android. Auch hier ist die ID ab Werk eingeschaltet., weswegen Noyb nach eigenen Angaben Googles Tracking-System derzeit prüft. Deaktivieren lässt sich die ID in den Google-Einstellungen unter dem Punkt Werbung – die Google-Einstellungen wiederum finden sich unter anderem herstellerunabhängig in der Einstellungen-App.

Schrems und seine Mitstreiter haben bereits zweimal EU-weit für Aufsehen gesorgt. Eine 2008 eingereichte Beschwerde führte dazu, dass 2015 das Safe-Harbour-Abkommen für den Datenaustausch zwischen der EU und den USA gekippt wurde. Das daraufhin mit den USA vereinbarte Abkommen Privacy Shield stellte Schrems ebenfalls in Frage. Es wurde im Sommer 2020 vom EU-Gerichtshof aufgehalten.