LiveRampDatenfirma unterhält „privates Bevölkerungsregister“

LiveRamp ist Verknüpfungsdienstleister für personalisierte Werbung. Dafür habe das Unternehmen eine Art Bevölkerungsregister angelegt, in dem Einzelpersonen und Haushalten eine Identifikationsnummer zugeordnet wird, sagt eine Studie. Das könnte gegen die Datenschutzgrundverordnung verstoßen.

Menschen stehen winkend auf einem Balkon in der New Yorker Börse
Vertreter:innen von LiveRamp in der New Yorker Börse. – Alle Rechte vorbehalten IMAGO / UPI Photo

Das unabhängige Daten-Institut Cracked Labs hat sich im Auftrag der Open Rights Group das Daten-Verknüpfungsunternehmen LiveRamp (ehemals Acxiom) technisch angeschaut und ausgewertet, welche Daten das Unternehmen über Menschen sammelt und wie diese zur Verknüpfung unterschiedlicher Datensätze genutzt werden.

Die englischsprachige Studie wurde am Mittwoch unter dem Titel „Allgegenwärtige Identitätsüberwachung zu Marketingzwecken“ (PDF) veröffentlicht. Sie stützt sich vor allem auf offen zugängliche Software-Dokumentation und Datenschutzbedingungen der beteiligten Unternehmen.

Demnach sammelt das Unternehmen Daten von mehreren hundert Millionen Konsument:innen und „betreibt ein massives Identitätsüberwachungssystem, das jeder Person eine geschützte Kennung zuweist, die mit identifizierenden Attributen wie Namen, Postadressen, E-Mail-Adressen, Telefonnummern und digitalen IDs von Browsern, Smartphones und anderen Geräten verknüpft ist.“

Laut der Studie, die Wolfie Christl und Alan Toner erstellt haben, unterhält LiveRamp „bevölkerungsweite Identitätsdatenbanken“. Neben Einzelpersonen verknüpften diese Datenbanken auch Identitätsdatensätze zu Personenhaushalten. Es wird also erfasst, wer mit wem zusammen lebt. Um die Identitätsdatenbanken zu erstellen und ständig zu aktualisieren, beschafft und kauft LiveRamp Identitätsdaten von „Offline“-Datenanbietern, „Match-Partnern“ und anderen Drittunternehmen, heißt es in der Studie.

Schematische Darstellung der Identitätsverknüpfung
Schaubild von LiveRamp aus dem Jahr 2019. - Alle Rechte vorbehalten LiveRamp

Die Datenpraktiken des Unternehmens mit seinen mehr als 3.000 Mitarbeitern weltweit legten laut der Studie nahe, dass die RampIDs und andere Identifikatoren eine wichtige Rolle im heutigen Ökosystem der Marketingüberwachung spielen. Sie erleichterten den Austausch von personenbezogenen Daten über Konsument:innen zwischen Tausenden von Verlagen, Werbetreibenden, Adtech-Firmen, Datenmaklern und großen Plattformen. LiveRamp liefert mit den Identifikatoren eine Art Personenkennziffer anhand derer Werbedaten zu Profilen verknüpft werden können.

Mittels der Identifikatoren könnten Unternehmen personenbezogene Daten über ihre Kunden und andere Verbraucher mit anderen personenbezogenen Daten in der digitalen Welt verknüpfen und kombinieren – weit über die Kanäle, Websites, Apps oder Plattformen hinaus, die diese Unternehmen selbst betreiben, heißt es in der Studie. Dies bestätigte laut der Studie sowohl LiveRamp selbst wie auch Google, das die RampID als „Verbindungsschlüssel“ zwischen den Werbedaten des Kunden und denen von Google beschreibt.

Beschwerde eingereicht

LiveRamp führt laut der Studie diese Verarbeitung personenbezogener Daten in mehreren Ländern aus, darunter im Vereinigten Königreich und in Frankreich. Die Studie zweifelt an, dass das Unternehmen eine Rechtsgrundlage für seine Datenverarbeitung habe. Das Unternehmen LiveRamp hat auf eine Presseanfrage von netzpolitik.org bislang nicht reagiert.

Die Open Rights Group hat auf Grundlage der Studie Beschwerden beim britischen Information Commissioner’s Office und der französischen Datenschutzbehörde CNIL gegen LiveRamp eingereicht.

In der Beschwerde heißt es:

Seine Datenbanken können als private Bevölkerungsregister betrachtet werden. LiveRamp verkauft diese Funktionalität an eine Vielzahl von Online-Akteuren, die damit in der Lage sind, Einzelpersonen beim Surfen zu beobachten und mit anderen Online-Akteuren über Einzelpersonen zu kommunizieren – vor allem über solche, die sie verfolgen, profilieren, bewerben und verkaufen wollen.

Laut der Open Rights Group verstößt die Praxis von LiveRamp gegen viele Regelungen der Datenschutzgrundverordung (DSGVO). Jim Killock von der Open Rights Group hält die von LiveRamp genutzten „neuen und gefährlichen Technologien“ für einen Versuch, personalisierte Werbung weiterzuführen, wenn die bisherige Technik von Tracking-Cookies eingeschränkt werde. An die Datenschutzbehörden gerichtet sagt Killock: „Jetzt ist es an der Zeit, diese neuen und gefährlichen Technologien zu stoppen, bevor sie aus dem Ruder laufen.“

Auch in unserer Recherche zu den Datensegmenten der Online-Werbeindustrie tauchte das Unternehmen LiveRamp auf. Es stellte Targeting-Kategorien wie Brustkrebs, Blasenkrebs oder Depression bereit.

5 Ergänzungen

      1. US Stock Exchange… da müsste man alle anderen Datenglücksspieler mit ächten, und alle Kunden, egal über wieviele Ecken.

        Das ist wirklich alles unwirksam, bis man mit dem Hammer kommt.

  1. Kennt mandoch. Von der Deutschen Post. Die haben eine ganze tochterfirma für illegale Datererfassung, -nutzung und Direktwerbung. Deutsche Post Direkt. Wenn sie sie nicht wieder umbenannt haben.

    Wer tut was dagegen? Niemand. Wenn wir missbraucht werden, immer mehr, mimer weiter so. Interessiert kein Schwein.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.