"Transparenter als Google"

Peter Cullen, oberster Datenschutzbeauftragter bei Microsoft, warnt vor der Übernahme des Werbebanner-Weltmarktführers DoubleClick durch Google. Im Interview mit ORF.at erläutert Cullen die Maßnahmen Microsofts, um die Auflagen der EU-weiten Datenschutzgesetze zu erfüllen.

Die Ankündigung der EU-Kommission vom Montag, die Prüfungsfrist zur geplanten Übernahme von DoubleClick durch Google um mehr als zwei Wochen zu verlängern, deutet auf heftiges Hin und Her hinter den Kulissen hin.

Immerhin soll hier die weltgrößte Agentur für Bannerwerbung vom Weltmarktführer in suchbezogener Werbung übernommen werden.

Das Kartellrechtliche

DoubleClicks globaler Marktanteil bei Bannern wird von Analysten auf 40 bis 50 Prozent geschätzt, die nächsten Konkurrenten sind dabei weit abgeschlagen.

Google wiederum soll in seinem Stammbereich zwischen 70 und 80 Prozent des Gesamtmarkts erobert haben, auch hier sind alle Konkurrenten weit abgeschlagen.

Der Suchmaschinenriese würde damit den Internet-Werbemarkt insgesamt haushoch dominieren, da außer diesen beiden Arten der Internet-Werbung nur noch Nischenformen existieren.

Die Datensammlung

Neben den kartellrechtlichen Aspekten ist dieser Merger auch unter einem weiteren Aspekt gerade in Europa enorm problematisch.

Bei vollzogener Übernahme würden auch die weltweit größten Sammlungen personenbezogener Daten zusammengelegt werden.

Welche und wieviele Daten über wieviele Internet-Benutzer sich mittlerweile angesammelt haben und wie viele davon bereits mit Stammdatensätzen [Klarname, Adresse, Geburtsdatum usw.] verknüpft sind, wissen nur die Verantwortlichen von DoubleClick und Google.

Der EU-Datenschutz

Von Einsichtsmöglichkeiten oder Korrektur durch die Benutzer ist bis jetzt keine Rede.

Dass eine derartige Praxis mit den EU-weit gültigen Datenschutzgesetzen nicht in Einklang zu bringen ist, liegt auf der Hand.

Microsoft und EU-Konformität

Microsoft hingegen hat seit 2003 damit begonnen, den konzerninternen Umgang mit personenbezogenen Daten zu evaluieren, und ihn dann auf Konformität mit EU-weit gültigen Gesetzen hinzutrimmen.

Den neugestalteten Mechanismus für Windows-Updates [Windows Genuine Advantage] ließ man vom Unabhängigen Landesdatenschutzzentrum Schleswig-Holstein evaluieren, das als bissigste Datenschutzinstanz aller deutschen Bundesländer gilt. Im September 2007 gab es dafür das "Datenschutz-Gütesiegel".

Peter Cullen im Interview

ORF.at hat mit Peter Cullen, "Chief Privacy Strategist" von Microsoft ein ausführliches Interview zum Thema geführt. Cullen war jahrelang Datenschutzbeauftragter der Royal Bank of Canada, 2003 wurde er von Microsoft engagiert.

Die Frage von ORF.at

Bei einem Hearing im US-Senat zur DoubleClick-Übernahme hat Microsofts Generalanwalt Brad Smith als einziger Repräsentant eines großen IT-Unternehmens deutliche Worte zum Thema Kartellrecht gefunden. Was aber ist Microsofts Position zum Datenschutz-Aspekt?

Peter Cullen antwortet

"Was die Privatsphäre des Konsumenten betrifft, so würde durch die Akquisition von DoubleClick durch Google ein Unternehmen die exklusive Kontrolle der größten Datenbank mit Informationen über individuelles Verhalten erhalten, die die Welt je gesehen hat.

Die Auswirkungen dessen auf den Datenschutz sind gewaltig und bedürfen genauer Prüfung. Wir bei Microsoft wissen, wie viel an Investitionen nötig ist, um die Erwartungen der Kunden nach Schutz und korrekten Umgang mit diesen Daten zu erfüllen."

Google mit "wenig Transparenz"

"Während wir unsere Anstrengungen für Datenschutz offengelegt haben, war Google weniger um Transparenz bemüht.

Niemand kann also sicher sein, dass Google ebenso viel Aufwand dafür betrieben hat. Betrachtet man das Ausmaß an personenbezogenen Informationen, über das Google verfügt - besonders in Verbindung mit DoubleClick - dann muss die Öffentlichkeit sicher sein können, dass Google die nötigen Investitionen getätigt und die adäquaten Mechanismen implementiert hat, um den Datenschutz zu gewährleisten", schreibt Cullen.

Ist "Tracking" abschaltbar?

Microsoft hatte im Juli angekündigt, bei seiner Suchmaschine Live Search eine Wahlmöglichkeit vorzusehen, ob der Benutzer mit Werbung versorgt werden will, die auf "Tracking" basiert. Wie steht es damit?

Cullens Antwort

"Als Teil unserer Datenschutzprinzipien für Live Search und Online-Werbung, haben wir gesagt, wir würden Kunden die Möglichkeit bieten, gezielte Werbung, die auf den Besuchen von Websites bei Drittanbietern basiert, abzustellen.

[...]

Bei Live Search benutzen wir einen kryptographischen Einweg-Prüfsummen-Algorithmus, um Suchbegriffe von personenbezogener Information wie E-Mail-Adresse, Namen, Telefonnummer usw. zu trennen."

"... mit Stammdaten nicht verknüpft"

"Damit stellen wir sicher, dass es nicht möglich ist, Daten aus Suchanfragen systematisch mit den Stammdaten des Benutzer zu verknüpfen.

Unser Zugang zur Anonymisierung von Suchbegriffsdatensätzen ist ebenso strikt, indem wir nach 18 Monaten die IP-Adressen und alle anderen Identifikationsfaktoren wie etwa Cookies löschen.

Durch eine genaue Nutzen-Analyse der Suchbegriffsdatensätze, die notwendig sind, um unser Suchservice aufrecht zu erhalten, sind wir bei 18 Monaten angelangt. Diese Zeitspanne ist nötig, um die Kunden mit relevanten Suchergebnissen zu versorgen und die finanzielle Integrität unseres Geschäftsmodells zu sichern."

Cullens Beispiel

"Ein Beispiel: Um Bedrohungen wie Attacken durch Bot-Nets, Klickbetrug und anderes abzuwehren, brauchen wir eine Art Grundmuster des normalen Nutzerverhaltens, das wir unseren Analysen zugrunde legen.

Da die Suchmuster saisonalen Schwankungen unterworfen sind, benötigen wir den Vergleich zum Vorjahrszeitraum, sowie die Monate davor und danach."

Der zweite Teil des Interviews folgt am Mittwoch

• EU untersucht DoubleClick-Deal genauer

• Googles Rekordergebnis in Q3, Börsenwert 200 Milliarden Dollar

• Das Hearing im US-Senat

• Ein aktueller Vortrag von Peter Cullen zum Thema Datenschutz [PDF]

(futurezone | Erich Moechel)