Laut einem neuen Bericht der kanadischen Datenschutzbehörde hat der Baumarkthändler Home Depot keine Kundeneinwilligung eingeholt, bevor er personenbezogene Daten an Meta weitergab, das die Social-Media-Giganten Facebook und Instagram betreibt.
Datenschutzbeauftragter Philippe Dufresne veröffentlichte am Donnerstagmorgen die Ergebnisse seiner jüngsten Untersuchung.
Es stellte sich heraus, dass Home Depot 2018 damit begann, Details aus elektronischen Belegen mit Meta zu teilen – einschließlich verschlüsselter E-Mail-Adressen und Kaufinformationen im Geschäft – ohne das Wissen oder die Zustimmung der Kunden. Das Unternehmen sagte, es habe im Oktober 2022 aufgehört, Kundeninformationen mit Meta zu teilen.
Die kanadische Abteilung von Home Depot nutzte einen Dienst des Social-Media-Riesen namens „Offline-Conversions“.
Laut Datenschutzbericht wurden an Meta gesendete Informationen verwendet, um festzustellen, ob ein Kunde ein Facebook-Konto hatte. Wenn dies der Fall war, verglich Meta die Einkäufe der Person im Geschäft mit den Anzeigen von Home Depot, um ihre Wirksamkeit zu messen.
Die Vertragsbedingungen des Programms erlaubten es Meta außerdem, die Kundeninformationen für eigene Geschäftszwecke zu verwenden, einschließlich der Erstellung von Benutzerprofilen und gezielter Werbung, die nichts mit Home Depot zu tun hatte.
‘Hochsensibel’
„Während die Details der Einkäufe einer Person im Ladengeschäft im Kontext von Home Depot möglicherweise nicht sensibel waren, könnten sie in anderen Einzelhandelskontexten hochsensibel sein, wo sie beispielsweise Informationen über die Gesundheit oder Sexualität einer Person preisgeben“, sagte er der Bericht des Kommissars.
Ein Sprecher von Home Depot sagte, dass im Rahmen des Meta-Programms nur nicht sensible Informationen – wie die Abteilung, in der ein Kauf getätigt wurde – verwendet würden.
Während einer Pressekonferenz am Donnerstag sagte Dufresne, dass sogar das Wissen, wann und wie oft eine Person einen Artikel kauft, persönliche Daten preisgeben kann.
„Je mehr Informationen Sie über eine Person haben, desto mehr können Sie sich ein Bild von dieser Person machen. Und deshalb ist es etwas, das von Organisationen unbedingt ernst genommen werden muss“, sagte er.
Die frühere Datenschutzbeauftragte von Ontario, Ann Cavoukian, sagte, jede Art von personenbezogenen Daten könne auf eine Weise ausgenutzt werden, die nicht immer offensichtlich sei.
„Persönlich identifizierbare Daten in den falschen Händen können für eine Vielzahl von Zwecken verwendet werden, die niemals in Betracht gezogen würden, die Sie beißen können“, sagte sie.
„Es handelt sich um sehr sensible Informationen. Sie gehören niemand anderem als der betroffenen Person, die einer bestimmten Verwendung der Informationen zustimmt.“
Dufresne sagte, sein Büro sei sich nicht sicher, wie viele Kanadier ihre Informationen mit Meta geteilt hätten, während das Programm lief. Er sagte, er vermute, es seien “viele”.
„Es ist eine weit verbreitete Realität, nach einer Papier- oder Online-Quittung gefragt zu werden. Wir hatten es also mit einer Situation zu tun, in der wir einen Beschwerdeführer hatten, der davon betroffen war, aber wir wissen, dass dies bei mehreren Gelegenheiten vorkam“, sagte er.
„Das ist etwas, das wir als etwas kennzeichnen, das von Organisationen betrachtet werden sollte. Und wenn sie ähnliche Richtlinien anwenden, müssen sie wissen, dass dies nicht mit dem Datenschutzgesetz vereinbar ist.“
Home Depot sagt, es sei besorgt über „Zustimmungsmüdigkeit“
Home Depot teilte dem Büro von Dufresne mit, dass es sich auf eine stillschweigende Zustimmung verlasse und dass seine Datenschutzerklärung – die über seine Website zugänglich und auf Anfrage in Einzelhandelsgeschäften in gedruckter Form erhältlich sei – erkläre, dass das Unternehmen anonymisierte Informationen für interne Geschäftszwecke verwendet.
„Die Erklärungen in seinen Richtlinien waren letztendlich unzureichend, um eine sinnvolle Zustimmung zu unterstützen“, sagte Dufresne in einer Medienmitteilung.
Cavoukian sagte, sie sei fassungslos über die Antwort von Home Depot.
„Das ist der Teil, der für mich einfach verblüffend ist, dass Unternehmen denken, sie können mit den Informationen ihrer Kunden machen, was sie wollen, und ihre Kunden werden sich nicht darum kümmern“, sagte sie.
Home Depot sagte, es habe die Kunden nicht über seine gemeinsame Vereinbarung mit Meta informiert, als sie an der Kasse waren, bevor sie eine elektronische Quittung verlangten, da das Risiko einer „Zustimmungsmüdigkeit“ besteht.
Dufresne glaubte auch dieses Argument nicht.
„Zustimmungsmüdigkeit ist kein triftiger Grund dafür, keine sinnvolle Einwilligung einzuholen“, schrieb er.
„Als Kunden aufgefordert wurden, ihre E-Mail-Adresse anzugeben, wurden sie nie darüber informiert, dass ihre Informationen von Home Depot an Meta weitergegeben würden oder wie sie von beiden Unternehmen verwendet werden könnten. Diese Informationen wären für die Entscheidung eines Kunden, ob oder, wesentlich gewesen keine E-Quittung zu erhalten.”
Wendy Wong ist Professorin für Politikwissenschaft am Okanagan Campus der University of British Columbia; Sie ist spezialisiert auf Menschenrechtsfragen im Zusammenhang mit Big Data. Sie sagte, die Idee einer sinnvollen Einwilligung müsse überdacht werden.
„Ich glaube nicht, dass es an Zustimmungsmüdigkeit liegt. Ich denke, die Arten von Dingen, denen wir als Öffentlichkeit und Verbraucher zustimmen müssen, sind so weit fortgeschritten, dass es nicht mehr sinnvoll ist“, sagte sie.
„Ich denke, dass wir die Öffentlichkeit in die Pflicht nehmen, komplexe und vage Rechtsdokumente zu verstehen und davon auszugehen, dass jeder versteht, was los ist, wenn es um Daten geht, die über uns gesammelt werden.“
Home Depot hat zugestimmt, die Empfehlungen des Beauftragten umzusetzen – einschließlich der Empfehlung, die persönlichen Daten von Kunden, die elektronische Quittungen anfordern, nicht mehr an Meta weiterzugeben, bis es in der Lage ist, bessere Zustimmungsmaßnahmen zu ergreifen.
„Wir schätzen und respektieren die Privatsphäre unserer Kunden und verpflichten uns zur verantwortungsvollen Erfassung und Nutzung von Informationen. Wir werden weiterhin eng mit dem Büro des Datenschutzbeauftragten von Kanada zusammenarbeiten“, sagte ein nicht genannter Sprecher in einer E-Mail an CBC.
Vom Kunden erhobene Beschwerde
Der Bundeswächter wurde von einem Mann auf das Problem aufmerksam gemacht, der sich darüber beschwerte, dass er beim Löschen seines Facebook-Kontos erfahren hatte, dass Meta Aufzeichnungen über die meisten seiner Einkäufe im Geschäft bei Home Depot hatte.
Dem Bericht zufolge ging er zum Büro des Datenschutzbeauftragten, als Home Depot ihm fälschlicherweise mitteilte, dass sie seine Informationen nicht mit Meta geteilt hätten.
Wong sagte, die Kanadier sollten sich der Daten und Muster bewusst sein, die sie teilen, und verlangen, dass ihre Regierungen Maßnahmen ergreifen.
„Sehen Sie, die Datenerhebung hat Auswirkungen auf Einzelpersonen, aber auch auf uns als Kollektiv, als Öffentlichkeit“, sagte sie.
„Wir müssen unsere politischen Entscheidungsträger wirklich dazu drängen, sich nicht nur auf Einzelpersonen zu konzentrieren, die hier in dieser Situation verletzt werden, sondern wie sich dies auf uns als Gesellschaft auswirkt, oder? Was bedeutet es, wenn so viele Daten über so viele unserer individuellen Aktivitäten vorliegen? gesammelt und trianguliert und in diesen riesigen Datensätzen analysiert.”
Der kanadische Zweig von Home Depot betreibt etwa 180 Geschäfte im ganzen Land.
Im Jahr 2014 deckte Home Depot eine massive Datenschutzverletzung auf, von der 56 Millionen Debit- und Kreditkarten betroffen waren. In diesem Fall sagte das in Atlanta ansässige Unternehmen, dass Hacker zunächst mit dem Benutzernamen und Passwort eines Drittanbieters auf sein Netzwerk zugegriffen hätten.
Home Depot sagte, die Hacker hätten dann Malware auf den Self-Checkout-Systemen von Home Depot eingesetzt, um Zugriff auf die Karteninformationen von Kunden zu erhalten, die monatelang in den US-amerikanischen und kanadischen Geschäften eingekauft hätten.
