Schlagwort-Archive: Werbung

TK-Anbieter und AdBlocker: Eine unterschätzte Gefahr? (Update)

7 Antworten

In der Netzwelt findet derzeit eine heftige Diskussion um AdBlocker statt (s. nur hier und hier). Nachdem Unternehmen verstanden haben, dass AdBlocker eine Gefahr für die hinter ihren Angeboten stehenden darstellen, suchen sie nach Auswegen. Einerseits strengen sie – bisher erfolglos – Klagen gegen die Hersteller von AdBlockern an. Andererseits fangen sie an, Nutzer mit AdBlockern auszusperren. Nicht verstanden haben es die Unternehmen leider, was das Problem mit ihrem Modell ist. Ich bin sicher, dass Nutzer Werbung bis zu einem gewissen Grad akzeptieren und auf Werbeblocker verzichten würden, wenn diese Werbung einerseits die Nutzung von Internet und anderen Diensten nicht stört und zweitens keine Daten über den Nutzer gesammelt werden.  Manche haben das übrigens verstanden. Das Blog TechDirt beispielsweise gestattet Nutzern in vorbildlicher Weise ausdrücklich das vollständige Ausschalten von Werbung.

Es gibt noch eine andere Seite der Diskussion: TK-Unternehmen versuchen schon seit längerem, neue Einnahmequellen zu erschließen – ich erinnere an den Streit um die Netzneutralität. Nun hat Golem.de berichtet, dass die Deutsche Telekom erwägen soll, im eigenen Netz – und damit auf der Netzebene! – auf AdBlocker zu setzen. Ziel wäre es, Werbung auszufiltern, wenn die Werbeanbieter nicht einen Teil ihrer Gewinne an den TK-Anbieter abführen.

1. Werbeblocker auf Netzebene: Shine Technologies

Angeblich soll dafür ein System der Firma Shine Technologies eingesetzt werden. Die Webseite von Shine ist leider überhaupt nicht aussagekräftig. Es wird insbesondere nicht klar, wie die Werbung geblockt werden soll. Tief blicken lässt die Webseite allerdings schon. Dort heißt es zunächst:

„Ad Blocking is a Consumer Right. Full Stop.“

Direkt im Anschluss wird aber die Frage gestellt:

„Who’s Monetizing Your Pipe?“

Kunden von Shine sind nämlich TK-Unternehmen. Und die sollen Werbung nach Belieben stoppen können. So heißt es denn auch:

„Carriers can now stop Ad Tech dead in its tracks, protecting infrastructure and delivering an advertising-pollution-free user experience for Subscribers.“

und

„For the first time, and with unprecedented clarity, Carriers can see exactly which Ad Networks are actively monetizing on their infrastructure, at what volume, and at what monetary value.“

Es geht also weniger um den Schutz der Kunden vor Werbung, sondern um die Möglichkeit für TK-Unternehmen, Einblick zu nehmen, welche Werbung ihr Netzwerk passiert und welche Einnahmen dafür generiert werden – eine ideale Basis, um nach einer Beobachtungsphase einen Teil dieser Einkünfte zu verlangen – oder die Werbung wird geblockt.

2. Technik?

Wie gesagt, bleibt unklar, wie die Werbung blockiert werden soll. Festhalten lässt sich aber, dass der TK-Anbieter offenbar einzelne Werbung durchlassen und andere blocken können soll. Denkbar ist, dass ganze Domains von AdFarmen geblockt werden, z.B. auf DNS- oder IP-Ebene. Andererseits können auch auf der Ebene des http-Dienstes geblockt werden, indem bestimmte Anfragen nicht weitergeleitet oder aus dem Datenstrom ausgefiltert werden.

Werden z.B. Werbebanner abgerufen könnte eine Fake-Antwort zurückgesandt werden, damit der Browser nicht bis zum Ende des Timeouts auf die Grafik wartet.

Update: Ich bin von @ertraeglichkeit darauf hingewiesen worden, dass Shine Technologies nach Informationen von Heise Online auf Deep Packet Inspection setzt, um Werbung zu erkennen und auszufiltern.

(Wer hier nähere Informationen für mich hat, gerne per E-Mail oder in den Kommentaren.)

3. Gefahren

Ich habe den Titel dieses Beitrages „Eine unterschätzte Gefahr?“ genannt. Grund dafür ist, dass TK-Anbieter eine ganz besondere Rolle einnehmen, die ganz besondere Pflichten nach sich zieht. Eingriffe in den Datenstrom der Nutzer sind da extrem kritisch (ich habe mich mehrfach schon mit den Problemen der Deep Packet Injection befasst, s. meinen Beitrag in der MMR 2015, S. 8 ff. und zum aktuellen Verhalten des US-Anbieters AT&T).

a. Werbung: Nur auf „Anforderung“ durch den Nutzer

Zunächst ist wichtig, sich klar zu machen, wie und warum Werbung transportiert wird. Ausgangspunkt ist nämlich stets der Nutzer. Dieser „fordert“ die Werbung an. Webseite z.B. bestehen in der Regel nicht nur aus einem HTML-Dokument, sondern enthalten z.B. Grafiken oder laden auf Grund von in der Webseite enthaltenen Skripten Inhalte nach. Im Rahmen der Darstellung der vom Webserver u?bermittelten Webseite fordert der Browser daher diese weiteren Inhalte beim Webserver an – dies ist genau die Technik, die zur Darstellung von Werbung im Browser führt.

An dieser Stelle setzen Werbeblocker wie AdBlock-Plus an. Sie verändern vor der Ausführung durch den Browser das HTML-Dokument und hindern so den Browser daran, die in die Webseite eingebettete Werbung zu laden.

Auch z.B. bei Apps mit Werbung geht die Anforderung der Werbung und deren anschließende Darstellung vom Nutzer – nämlich der App – aus.

b. Veränderungen des Datenstroms: Verletzung von §§ 88 ff. TKG?

Nehmen wir einmal das – ganz einfache – Beispiel einer Webseite mit eingebautem Banner. Der Browser lädt die HTML-Datei, diese enthält ein Tag, das das Nachladen des Werbebanners als Grafik durch den Browser bewirkt.

Vermutlich (hoffentlich!) wird der Werbeblocker von Shine nicht dem Text des HTML-Dokuments verändern, sondern nur die anschließende Anfrage zum Nachladen des Banners blockieren.

Solche Eingriffe sind extrem problematisch mit Blick auf das Fernmeldegeheimnis. Dabei enthält § 88 TKG eine einfachgesetzliche Regelung des Fernmeldegeheimnisses in Art. 10 GG. Gemäß § 88 Abs. 1 TKG unterliegen dem Fernmeldegeheimnis der Inhalt der Telekommunikation und ihre na?heren Umsta?nde. § 88 Abs. 3 TKG verbietet einerseits, sich oder anderen u?ber das fu?r die gescha?ftsma?ßige Erbringung der TK-Dienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder von den na?heren Umsta?nden der Telekommunikation zu verschaffen. Weiter stellt § 88 Abs. 3 Satz 2 TKG eine strenge Zweckbindung auf.

Das OLG Hamburg sieht beispielsweise das Blockieren von DNS-Anfragen und IP-Anfragen durch den TK-Anbieter als Eingriff in das Fernmeldegeheimnis nach § 88 TKG an (OLG Hamburg, 21.11.2013 – 5 U 68/10, GRUR-RR 2014, 140 – 3dl.am). Zur Begründung führt das OLG Hamburg aus:

„Nach Auffassung des Senats handelt es sich bei IP-Adressen, URLs und DNS-Namen um nähere Umstände der Telekommunikation, wenn diese in Bezug zu einem Übertragungs- oder Verbindungsvorgang gesetzt werden, die vom Schutz des Fernmeldegeheimnisses umfasst sind …

Dass ein Eingriff in das Fernmeldegeheimnis ausgeschlossen sein soll, wenn die dem Schutz der Norm unterliegenden Informationen lediglich im Rahmen automatisierter Vorgänge zur Erschwerung des Zugriffs auf ein Internetangebot genutzt werden, vermag der Senat der gesetzlichen Regelung des § 88 III TKG nicht zu entnehmen. Auch die Gesetzesbegründung zu § 82 TKG aF ist zu diesem Gesichtspunkt unergiebig (BT-Drs. 13/3609, 53).

§ 88 III 2 TKG bestimmt dagegen ausdrücklich, dass Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in S. 1 genannten Zweck – mithin die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme – verwendet werden dürfen. Wenn Access-Provider rechtswidrige Informationen im Internet mittels der vorgenannten Methoden sperren sollen, so müssen sie hierfür jedoch gerade auf ihre Kenntnis von näheren Umständen der Telekommunikation zurückgreifen, die sie bei der geschäftsmäßigen Erbringung ihrer Telekommunikationsdienste erlangen, wie zum Beispiel IP-Adresse, URL oder DNS-Name. Die Nutzung dieser Kenntnisse für die Erschwerung des Zugriffs auf ein bestimmtes Angebot im Internet ist von dem Zweck des § 88 III 1 TKG nicht gedeckt und wäre daher allenfalls bei Vorliegen einer gesetzlichen Vorschrift gem. § 88 III 2 TKG zulässig …“

Hinzuweisen ist darauf, dass das OLG Köln dies hinsichtlich DNS- und IP-Sperren anders sieht (OLG Köln, 18.7.2014 – 6 U 192/11, GRUR 2014, 1081 – Goldesel). Bei URL-Sperren erkennt es jedoch auch einen Eingriff in das Fernmeldegeheimnis. Mit der Frage, wie sich das Versenden von gefälschten IP-Antworten – z.B. zur Verhinderung eines Timeouts – auswirkt, liegt meines Wissens noch keine Rechtsprechung vor. Im Zusammenhang mit TCP-Resetpaketen beim Filesharing weist Bedner allerdings zu Recht darauf hin, dass eine Strafbarkeit wegen des Unterdrückens von Daten nach § 303a StGB vorliegen kann (Bedner, Rechtma?ßigkeit der „Deep Packet Inspection“, S. 25 – PDF). Mit der Frage des Eingriffs in das Fernmeldegeheimnis durch Sperren wird sich der BGH demnächst – anlässlich der Revision zur Entscheidung des OLG Hamburg – näher befassen.

Nach dem oben dargestellten Hinweis scheint Shine Technologies auf Deep Packet Inspection zu setzen. Der Einsatz dieser Technik außerhalb von reinem Netzwerkmanagement – und dazu gehört das Blocken von Werbung sicher nicht – dürfte jedenfalls einen Eingriff in das Fernmeldegeheimnis darstellen. So sehen dies bei der Frage von Sperranordnungen sowohl OLG Hamburg (21.11.2013 – 5 U 68/10, GRUR-RR 2014, 140 – 3dl.am) als auch OLG Köln (18.7.2014 – 6 U 192/11, GRUR 2014, 1081 – Goldesel).

Mit anderen Worten: Das TK-Unternehmen, das Werbeblocker einsetzt, sieht sich der Gefahr ausgesetzt, einen Eingriff in das Fernmeldegeheimnis zu begehen. Es ist nämlich nicht die Aufgabe von TK-Unternehmen, in die vom Nutzer angeforderten Informationen einzugreifen. Sie sollen sich – so die Intention des Gesetzgebers – vollständig neutral verhalten und insbesondere keine Kenntnis von Inhalten und Umständen der Telekommunikation nehmen. Bei gezielten Blockaden im Datenstrom könnte aber ein entsprechender Eingriff vorliegen.

c. Veränderungen des Datenstroms: Verlust der Haftungsprivilegierung des § 8 TMG?

Ein weiterer Punkt könnte für TK-Anbieter unangenehm werden. Hier im Blog habe ich immer wieder über die Haftungsprivilegierung des § 8 TMG berichtet. Kurz gefasst bedeutet sie für TK-Anbieter, dass sie für Handlungen ihrer Nutzer nicht haften, wenn sie sich vollständig neutral verhalten. Dazu gehört insbesondere, dass sie die vom Nutzer angeforderten Informationen nicht verändern und nicht auswählen.

Wenn aber das Nutzer ein bestimmtes Werbebanner anfordert und der TK-Anbieter dieses blockiert, weil der Werbeanbieter nicht zu den zahlenden Kunden des TK-Anbieters gehört, dann entscheidet der TK-Anbieter – nicht der Kunde – ob eine bestimmte Information übertragen wird oder nicht. Der Anbieter verhält sich daher insoweit nicht mehr neutral, er wählt Informationen aus, die an den Nutzer übertragen bzw. nicht übertragen werden.

Der TK-Anbieter läuft dadurch Gefahr, für alle Handlungen seiner Nutzer in die Haftung genommen zu werden. Es ist derzeit unklar, was in einer solchen Situation passieren würde: Haftet der TK-Anbieter nur für diejenigen Informationen, die er ausgewählt oder verändert hat, oder verliert er seinen Status komplett? Der Gesetzeswortlaut („die übermittelte Information“) deutet darauf hin, dass die Privilegierung nur punktuell entfällt und nicht vollständig. TK-Anbieter sollten sich allerdings hier vorher absichern.

d. Vertragsverletzung und wettbewerbswidriges Handeln

Last but not least, kann das Blockieren einzelner Inhalte eine Vertragsverletzung darstellen. Der Nutzer fordert schließlich diese Information an. Was macht der TK-Anbieter, wenn der Nutzer sich gerne Werbevideos anschaut, der Werbeanbieter aber nicht zahlt? Indem der TK-Anbieter das Werbevideo blockiert, erfüllt er eine Datenanforderung seines Kunden nicht und erfüllt damit nicht seine vertragliche Verpflichtung. Ob das durch AGB rechtssicher abzubilden ist, wage ich zu bezweifeln.

Wer solcherlei Vertragsverletzungen begeht, kann im Übrigen möglicherweise auch durch Wettbewerber oder Verbände abgemahnt und auf Unterlassung in Anspruch werden. Wir müssen abwarten, ob es dazu kommt.

e. Blockade nur nach Auftrag durch den Nutzer?

Ich vermute, dass TK-Anbieter, die ein solches Modell realisieren wollen, dies am Ende durch eine aktive Handlung ihrer Nutzer absichern werden. So könnte der Nutzer bei Vertragsschluss oder später gefragt werden, ob der TK-Anbieter für ihn – als Service für den Kunden – Werbung blockieren soll. Wenn der Nutzer dem zustimmt, dürften zumindest Verletzungen des Fernmeldegeheimnisses und des Vertrages nicht vorliegen, die Auswirkungen auf § 8 TMG bleiben unsicher. Ob eine Voreinstellung mit Opt-Out („Ich will doch Werbung“) hier ausreichend wäre, ist eine weitere Frage.

Selbst wenn der Nutzer gefragt wird, bleibt aber problematisch, ob der TK-Anbieter darüber aufklären muss, dass er hieraus einen monetären Vorteil zieht und der Nutzer durch entsprechende AdBlocker auch selbst – und ohne den TK-Anbieter – ein ähnliches Ergebnis erzielen kann. Eine solche Pflicht könnte sich aus § 43a Abs. 2 Nr. 2 TKG sowie aus § 242 BGB ergeben. Fragen über Fragen …

4. Fazit

Es bleibt spannend. Ich bin insbesondere gespannt, ob und wann TK-Anbieter in Deutschland mit dem Einsatz von AdBlockern anfangen und wie offen sie damit umgehen werden. Die rechtliche Konstruktion jedenfalls wird nicht ganz einfach.

 

(Update 6.10.2015: Hinweis zur Deep Packet Inspection aufgeführt und in der Darstellung eingearbeitet, danke an @ertraeglichkeit)

Zur Unzulässigkeit der Veränderung von http-Datenverkehr durch den Hotspot-Anbieter – jetzt: AT&T

8 Antworten

Bei Web Policy ist ein Bericht von Jonathan Mayer erschienen, nach dem nun auch AT&T (vorher schon Comcast u.a.) in den USA bei seinen WiFi-Hotspots den http-Datenverkehr verändert und beim Abrufen von Webseiten Werbung einfügt.

Mit der Thematik der Deep Packet Injection hatte ich mich bereits Ende letzten Jahres / Anfang diesen Jahres befasst und dazu einen Aufsatz mit dem Titel „Freund oder Feind auf meiner Leitung? – (Un-)Zulässigkeit des Eingriffs in den Datenstrom durch TK-Anbieter mittels Deep Packet Injection“ in der Zeitschrift MMR veröffentlicht. Es ist tatsächlich verständlich, dass Anbieter von WLAN-Hotspots nach Möglichkeiten suchen, hieraus Einkünfte zu generieren. So heißt es auch bei Mayer:

„AT&T has an (understandable) incentive to seek consumer-side income from its free wifi service, but this model of advertising injection is particularly unsavory. Among other drawbacks: It exposes much of the user’s browsing activity to an undisclosed and untrusted business. It clutters the user’s web browsing experience. It tarnishes carefully crafted online brands and content, especially because the ads are not clearly marked as part of the hotspot service. And it introduces security and breakage risks, since website developers generally don’t plan for extra scripts and layout elements.“

Nach deutschem Recht wäre dieses Verhalten klar unzulässig (eingehend Mantz, MMR 2015, 8 ff.). Aus dem Fazit (MMR 2015, 8, 13):

„Das Ergebnis ko?nnte eindeutiger kaum sein: Deep Packet Injection stellt ohne wirksame Einwilligung einen eindeutig unzula?ssigen Eingriff in das Fernmeldegeheimnis dar, der fu?r die Verantwortlichen strafrechtliche Folgen haben kann. Da durch die Deep Packet Injection jedenfalls Verkehrsdaten erhoben werden, liegt auch ein Verstoß gegen die Regelungen des TK-Datenschutzes vor. In Betracht kommen zusa?tzlich Versto?ße gegen die Datenschutzvorschriften des TMG, wenn die Daten beim Werbeanbieter Personenbezug aufweisen.“

Für das amerikanische Recht hat Mayer auch erhebliche Zweifel an der Rechtmäßigkeit:

„The legality of hotspot advertising injection is a messy subject. There are a number of colorable arguments against, including under the FCC’s net neutrality rules, the FTC’s unfairness and deception authorities (and state parallels), wiretapping statutes, pen register statutes, tortious interference, copyright, and more. It certainly doesn’t help AT&T and RaGaPa that the ads aren’t labeled as associated with the hotspot, and that AT&T’s wifi terms of service are silent about advertising injection.“

Anbietern von WLAN-Hotspots kann daher hiervon nur abgeraten werden.

Verwendung von „anonymen Daten“ durch TK-Anbieter für Werbezwecke

Schreibe eine Antwort

In den letzten Tagen ist mehrfach über die Pläne des US-amerikanischen TK- und Mobilfunkanbieters Verizon berichtet worden, seine Kunden demnächst nicht nur bei der Nutzung des Mobilfunkzugangs, sondern auch bei der Nutzung von WLANs und Desktop-Rechnern zu überwachen und diese Daten für Werbung zu nutzen – und mit Werbeanbietern zu teilen. Das ist schon für sich beängstigend – wenn auch fast schon normal. Interessant ist aber auch, sich die Idee und deren Hintergründe näher anzusehen.

Verizon berichtet selbst über diese Pläne:

We’re enhancing our Relevant Mobile Advertising program in a way that can help marketers reach you with messages that may be more interesting to you.

In addition to the customer information that’s currently part of the program, we will soon use an anonymous, unique identifier we create when you register on our websites. This identifier may allow an advertiser to use information they have about your visits to websites from your desktop computer to deliver marketing messages to mobile devices on our network.

The Verge konkretisiert die Datenerhebung und deren Folgen:

The program works by seeding tracking cookies whenever a customer logs into the MyVerizon site, a typical tactic to follow a given user from page to page. In Verizon’s case, that data is also combined with detailed data on each user’s physical movements, taken every time the phone pings back to a cell tower for a signal. The result is a much fuller portrait than tracking cookies alone could provide. The end result is a tailored ad, delivered direct to your phone, representing a lucrative new profit stream for carriers at large.

Schon die Ankündigung verrät mehr als genug über das Angebot: Verizon vergibt ein „eindeutiges Identikationszeichen“ (unique identifier) an jeden Nutzer. Das bedeutet natürlich, dass Verizon alle Aktivitäten des Kunden diesem auch zuordnen kann: Das ist das Gegenteil von „anonym“ – oder mit anderen Worten: Glatt gelogen!

Der „unique identifier“ wird voraussichtlich auch für die Werbeanbieter nicht anonym sein oder bleiben. Denn die Werbeanbieter sollen die Kunden ja kontaktieren können. Oder sie erfahren über einen längeren Zeitraum so viel über den Kunden, dass sie Verizon nicht mehr brauchen, um den Schleier zu lüften. Wie man es dreht und wendet, der Kunde ist nicht anonym (unabhängig von der Frage eines relativen oder absoluten Personenbezuges, dazu hier, hier und hier).

Interessant wird es, wenn deutsche Anbieter so etwas versuchen. Die Daten, die TK-Anbieter über ihre Kunden erheben, wecken ohnehin vielfältige Begehrlichkeiten. Der TK-Anbieter sitzt sozusagen an der Quelle der vollständigen Online- (und bei Mobilfunk durch den Standort auch Offline-)Aktivitäten seiner Nutzer. Wertvolle Datenbestände können so aufgehäuft und gewinnbringend genutzt werden. So nutzt Telefónica/O2 bereits Standortdaten in Großbritannien. Pläne, diese auch in Deutschland zu Werbezwecken zu nutzen (s. auch hier), sind nach großem Aufschrei zurückgezogen worden.

Jedenfalls in Deutschland sollten TK-Anbieter von solchen Plänen von vornherein Abstand nehmen. Denn Telekommunikationsdaten (also alle Umstände der Telekommunikation) unterliegen einem strengen, durch das Fernmeldegeheimnis in Art. 10 GG und § 88 TKG abgesicherten, Schutzniveau, das seine Grundlage in §§ 91 ff. TKG findet. Ohne konkrete (informierte und freiwillige) Einwilligung des Kunden geht da wenig in Richtung einer Nutzung von Daten für Werbung. Auch die für TK-Anbieter relativ weitreichenden Ausnahmeregelungen z.B. für die Erkennung und Beseitigung von Störungen etc. nach §§ 100 ff. TKG unterliegen allesamt einer strengen Zweckbindung.

Dabei findet der TK-Datenschutz allerdings – genauso wie der „normale“ Datenschutz nach dem BDSG – keine Anwendung auf anonyme Daten. Das ist – neben der Augenwischerei, um die Kunden zu beschwichtigen – auch der Grund, warum TK-Anbieter immer wieder von „anonymen Daten“ oder „anonymisierten Daten“ reden. Wer sich aber dann mit dem jeweiligen Modell näher beschäftigt, wird in 99,99% der Fälle nur zu dem Ergebnis kommen können, dass es sich lediglich um eine Pseudonymisierung handelt.

Der „Vorteil“ für die Kunden ist übrigens, dass er endlich auf ihn zugeschnittene Werbung bekommt. Dazu Robert L. Mitchell von Computerworld:

What’s in it for you? Ads. You receive ads that are potentially more relevant to your interests instead of the normal ones you’d see.

What’s in it for Verizon Wireless? Money. It receives a premium for helping to deliver ads to a more targeted segment of its subscriber base who presumably are more likely to buy.

Money talks. If I’m going to allow the sharing of my personal information by Verizon Wireless — and I consider my browsing history to be very personal — I’d like something more than just seeing targeted ads in return. How about an offer to waive airtime or data overcharges for one month of my choice every six months? Or how about 700 free airtime minutes? Or an extra 2GB per month on my data plan?

Großzügigerweise sieht Verizon übrigens die Möglichkeit zum Opt-Out aus der Überwachung und Weitergabe von Daten vor, entweder über die Homepage oder per Telefon:

Yes, you can notify us that you do not want us to use your information for Relevant Mobile Advertising by visiting www.vzw.com/myprivacy or by calling (866) 211-0874.

Note: if you have a multi-line account, you must indicate your privacy choices with respect to each individual line.

In addition, if you would like to prevent third party advertising entities from using information they have about your web browsing across sites unrelated to Verizon, including the use of this information in the Relevant Mobile Advertising program, you can opt-out at www.aboutads.info.

@LossOfPrivacy gibt diesbezüglich den richtigen Tipp:

The best way to opt-out remains with your wallet.

Daher gilt:

  • Für TK-Anbieter: Hände weg von solchen Modellen.
  • Für Kunden: Hände weg von TK-Anbietern, die solche Modelle verfolgen.

Bild: Mike MozartCC BY 2.0