Drücken Sie „Enter“, um den Inhalte zu überspringen

Microsofts Datenmarktplatz Xandr: Das sind 650.000 Kategorien, in die uns die Online-Werbeindustrie einsortiert

Dieser Artikel stammt von Netzpolitik.org.Der Autor ist…
Ein öffentlich auffindbares Dokument gibt einen einmaligen Einblick in den globalen Datenhandel für die digitale Werbung. Erstmalig können wir nachvollziehen, wie invasiv und kleinteilig die Werbefirmen und Datenhändler uns kategorisieren. Das Bild ist erschreckend, auch zahlreiche deutsche Firmen sind beteiligt.
Hunderte Firmen arbeiten daran, uns für Werbezwecke digital zu vermessen – CC-BY 4.0 netzpolitik.org mit MidjourneyWas auch immer wir im Internet tun, wird aufgezeichnet und ausgewertet, um uns zielgerichtet Werbung anzuzeigen. Das ist eine Realität, an die viele Menschen sich inzwischen gewöhnt haben – im Gegenzug sind schließlich viele Internetangebote kostenlos. Wo genau unsere Daten landen, wenn wir Websites aufrufen oder Apps nutzen, das können die wenigsten nachvollziehen. Auch daran haben wir uns gewöhnt. Die Wege des Targeted Advertising sind unergründlich.
Die Werbeindustrie tut viel dafür, damit das so bleibt: Die Netzwerke der Datensammler sind selbst für Branchenkenner:innen kaum zu überschauen. Jetzt präsentieren netzpolitik.org und das US-Medium The Markup einen einmaligen Einblick in das Geschäft mit unseren Daten. Wir haben die Angebotsliste von Xandr ausgewertet, einem der größten Datenmarktplätze der Werbewelt. Sie enthält mehr als 650.000 unterschiedliche Kategorien, in die die Industrie Menschen einsortiert, um sie mit gezielter Werbung erreichen zu können.
Umfang und Detailtiefe dieser Datensammlung sind erschreckend. Es gibt kaum eine menschliche Eigenschaft, die Werbetreibende nicht für Werbung ausnutzen wollen. Sie wollen Menschen aus Dänemark erreichen, die einen Toyota gekauft haben? Kein Problem. Sie wollen Menschen erreichen, die gerade finanzielle Probleme haben? Oder keine Krankenversicherung? Kein Problem. Minderjährige? Schwangere? Homosexuelle? Depressive? Politiker:innen? Alles kein Problem.
„Diese Liste ist das gewaltigste Dokument über den globalen Datenhandel, das ich je gesehen habe“, sagt der Wiener Tracking-Forscher Wolfie Christl. Er hat die Datei aufgestöbert und mit netzpolitik.org sowie The Markup geteilt. Das US-Medium berichtet heute unter anderem über die zahlreichen sensiblen Daten und macht sie mit einem interaktiven Tool einfach durchsuchbar. Xandr hat auf mehrere Presseanfragen nicht reagiert. Die Liste ist auf Mai 2021 datiert, sie stand bis zu unserer Anfrage auf einer Dokumentationsseite von Xandr offen im Netz. Heute ist sie nicht mehr erreichbar, aber beim Internet Archive gibt es eine archivierte Version der Seite und der Datei [23 MB]. Laut von uns befragten Jurist:innen zeige die Liste, dass das derzeitige Werbegeschäft strukturell unvereinbar mit Datenschutzanforderungen ist.
Riesige Container für Gruppen mit bestimmten Eigenschaften
Zielgerichtete Werbung ist das dominante Geschäftsmodell des Internetzeitalters. Das Versprechen: Mehr verkaufen, indem man genau die Menschen mit Werbung erreicht, die davon besonders angesprochen werden. Es ist ein Versprechen, das zieht. Die Umsätze der Branche klettern seit Jahren in immer größere Höhen, 2022 betrugen sie weltweit mehr als 550 Milliarden Dollar. Tendenz: rasant steigend. Denn je mehr man über einen Menschen weiß, desto besser man kann ihn beeinflussen, lautet die Annahme. Die Werbeindustrie arbeitet deshalb seit langem hart daran, immer mehr über uns erfahren.
Wann immer wir Websites besuchen, Apps nutzen, an Umfragen teilnehmen oder etwas mit Kreditkarte bezahlen, hinterlassen wir Daten. Hunderte Firmen weltweit sammeln diese Informationen und formen daraus sogenannte „Audience Segments“. Man muss sich diese Segmente als riesige Container für Gruppen von Menschen vorstellen. Jedes Segment enthält eine Liste mit digitalen Identifikationscodes, denen bestimmte Eigenschaften zugeschrieben werden. Das sind zum Beispiel demografische Merkmale, Interessen, Konsumverhalten oder Charaktereigenschaften. Auch Informationen darüber, welche Apps und Websites wir nutzen, welche Orte wir besuchen, woran wir vermeintlich glauben, welche Krankheiten wir haben, und unsere sexuelle Orientierung landen in Segmenten.
Diese Segmente werden in der Industrie gehandelt wie ganz normale Waren. Einer der wichtigsten Umschlagplätze dafür ist der Xandr Marketplace. Das US-Unternehmen gilt als eine der ersten Adressen für alle, die sich bei der Online-Werbung nicht vollständig den geschlossenen Systemen von Google, Meta und Amazon ausliefern wollen. 2022 hat Microsoft Xandr vom US-Telekommunikationsanbieter AT&T übernommen, Branchengerüchten zufolge für etwa eine Milliarde Dollar.
Für den ehemaligen Software-Konzern, der vielen noch primär als Hersteller von Produkten wie Windows und Office ein Begriff ist, war die Übernahme ein weiterer Schritt bei der Transformation zu einem Daten- und Werbekonzern. Während das Unternehmen den Konkurrenten Google lange für seinen Datenhunger kritisierte, erhielt Microsoft kürzlich selbst vom Forbes-Magazin den informellen Titel „Next Ad-Tech Giant“. Neben dem Ausbau des eigenen Werbenetzwerkes kaufte Microsoft unter der Führung von CEO Satya Nadella Startups wie den Werbedienstleister PromoteIQ auf. Auch die Übernahme des Sozialen Netzwerks LinkedIn und des Spieleherstellers Activision Blizzard passt in diese Strategie. Beide Unternehmen liefern nicht nur umfassende Daten von Nutzer:innen, sondern bringen auch gefragte Werbeplätze mit sich, die Microsoft vermarkten kann.
Eine Excel-Liste mit 650.000 Zeilen
Mit Xandr integriert Microsoft nun einen zentralen Player der Branche nach und nach in die eigenen Werbedienste. Xandr richtet sich mit seinen Plattformen sowohl an Werbetreibende, die Zielgruppen zuschneiden wollen, als auch an Unternehmen, die selbst Werbeplätze zur Verfügung stellen und dafür Käufer suchen – also zum Beispiel Nachrichtenwebsites, Spiele-Apps oder Smart-TV-Angebote. Außerdem bietet Xandr eine Infrastruktur für den Handel von Daten zwischen Anbietern von Werbeplätzen, Werbetreibenden und anderen Datenhändlern sowie Dienste, mit denen sich die IDs von Menschen synchronisieren lassen, um sie über mehrere Geräte hinweg tracken zu können.
Kurzum: Microsofts Neuerwerbung ist eine wichtige „Infrastruktur für das globale Werbe-Ökosystem“, wie das Branchenmagazin Adzine schreibt. Auf dem Marktplatz können andere Datenhändler ihre Daten zur Nutzung anbieten. Dass Xandr in der Vergangenheit offenbar keine Probleme hatte, hier auch fragwürdige Daten handeln zu lassen, davon zeugt die Angebotsliste. Die Datei enthält hunderte Segmente zu sensiblen Themen wie Gesundheit, sexueller Orientierung, Politik, Religion, Ethnizität und offenbar auch Segmente mit Minderjährigen.
Welche Kunden die bei Xandr angebotenen Daten nutzen, ist nicht bekannt. Wir haben Xandr und Microsoft eine umfangreiche Presseanfrage geschickt. Trotz mehrfachen Nachhakens im Verlauf von fast zwei Wochen haben weder wir noch The Markup Antworten erhalten. Laut Adzine arbeiten in Deutschland beispielsweise die Medienunternehmen Axel Springer und Burda mit Xandr. Die Zahl der Kunden ist vermutlich groß, 650.000 Segmente dürften für viele als Pluspunkt gelten. In der digitalen Werbebranche ist schließlich allen bekannt, dass das derzeitige System auf granularen Datensammlungen basiert.
An dieser Stelle ist wichtig zu betonen, dass Xandr und ähnliche Plattformen ihren Werbekunden die Daten nicht direkt überlassen. Die Werbetreibenden zahlen nicht für die Rohdaten mit den pseudonymen IDs einzelner Personen. Sondern dafür, über spezielle Plattformen zielgerichtet Menschen in bestimmten Zielgruppen-Segmenten zu erreichen. Viel davon findet automatisiert statt, die Branche spricht deshalb von Programmatic Advertising. Damit dieses System funktioniert, müssen die personenbezogenen Daten von Internetnutzer:innen durch die Hände zahlreicher Unternehmen gehen. Immer wieder kommt zudem ans Licht, dass einige Firmen doch auch Rohdaten verkaufen, zum Beispiel an das FBI.
So sieht die Angebotsliste des Datenmarktplatzes aus
Die Angebotsliste des Xandr Marketplace enthält die Metadaten zu insgesamt 651.463 Segmenten. Für jedes Segment gibt es in der Excel-Datei eine eigene Zeile, die den Namen sowie eine ID des Anbieters enthält, den Namen des Segments und eine Segment-ID. Das sieht beispielsweise so aus:
Adsquare (Data Provider) | 2711 | 25423859 | Adsquare Data Alliance > DE > Place Visits > By Category > Eat and Drink > Restaurant > Fast Food (adsquare)
Das bedeutet, der Datenhändler Adsquare bot Daten zu Personen im Deutschland an, die Fast-Food-Restaurants besucht haben. Die Segmentnamen geben häufig Hinweise auf die Unterkategorien. Hier ist es „Place Visit“ für besuchte Orte, andere Beispiele sind „Purchase“ für getätigte Einkäufe, „Top Mobile App“ für die meistgenutzte App oder „Travel intent“ für Orte, an die jemand mutmaßlich reisen wird.
Viele Unternehmen der Branche lehnen den Begriff „Datenhändler“ für ihr Geschäft ab. Sie nennen sich lieber Technologieplattformen, Infrastrukturdienstleister oder „Location Intelligence Platform“. Schließlich geben sie die Rohdaten meist nicht direkt an die Endkunden weiter. Aber die Firmen beziehen Daten aus unterschiedlichen Quellen, organisieren und verpacken sie neu, helfen, Personen über unterschiedliche Geräte hinweg zu tracken und zu erreichen, und bieten sie anderen Firmen gegen Geld oder andere ökonomische Vorteile zur Nutzung an. Das ist Datenhandel.
Insgesamt 93 dieser Firmen werden in der Xandr-Datei explizit als „Data Provider“ gelistet, also als Datenlieferanten. Das sind Unternehmen, die die von ihnen vertriebenen Daten offenbar direkt bei Xandr angeboten haben. Sieben davon sind deutsche Datenhändler. Sie erhalten ihre Daten aus unzähligen Quellen. Dutzende Firmen sind in der Datei durch die Bezeichnung der Segmente als ursprüngliche Quelle für die Daten zu erkennen, auch darunter zahlreiche deutsche Unternehmen. Man findet zum Beispiel diverse Segmente, die offenbar auf Daten beruhen, die von der Kreditkartenfirma Mastercard stammen. Die Namen der Segmente lesen sich so, als würde die Kreditkartenfirma Informationen über Einkäufe und daraus abgeleitet über besuchte Orte und Interessen zur Verfügung stellen:

Eyeota – DE Mastercard – Top Spending Geography – Casino and Gambling Activities
Eyeota – DE Mastercard – Top Spending Geography – Children’s Apparel
Eyeota – DE Mastercard – Top Spending Geography – College or University Education
Eyeota – DE Mastercard – Top Spending Geography – Computer and Software Stores

Auf Anfrage sagt Mastercard, man biete Dienstleistungen auf Basis der „Erstellung aggregierter, geografischer Einblicke in die Ausgaben aus anonymen Transaktionsdaten“ an. Auf unsere Frage, wie genau die Daten mit Bezug zu Mastercard-Transaktionen in der Segmentliste von Xandr landen, antwortete Mastercard nicht.
Keine Informationen enthält die Datei von Xandr darüber, wie viele IDs von Menschen die einzelnen Segmente enthalten und wie die IDs aussehen. Bekannt ist allerdings, dass dies hunderttausende oder gar Millionen unterschiedliche IDs sein können. Allein Oracle, in der Xandr-Liste mit mehr als 200.000 Segmenten der größte Anbieter, behauptet, Daten über mehr als fünf Milliarden Personen zu haben.

Mercedes, Mütter und Militär
Die Angebotsliste in ihrem ganzen Ausmaß zu erfassen, ist schwer. Das liegt nicht nur am Umfang der Segmentsammlung, sondern auch daran, dass die Kategorienamen je Datenhändler sehr unterschiedlich aufgebaut sind. Die Liste enthält außerdem viele Segmente, die speziell für einzelne Werbekunden erstellt wurden. Mehr als 50.000 Segmente tragen die Bezeichnung „custom“, was sich mit „maßgeschneidert“ übersetzen lässt. Laut Xandr-Dokumentation werden so Segmente bezeichnet, die nicht für alle Werbekunden nutzbar sind. Stattdessen müssen sie erst von den Anbietern freigeschaltet werden.
Trotz dieser Unübersichtlichkeit hat The Markup eine Datenanalyse vorgenommen, die zumindest eine grobe Häufigkeitsverteilung einiger übergeordneter Kategorien zeigt. Demzufolge sind Segmente mit Verweisen auf den Automobilsektor die größte Gruppe. Werbetreibende können mit den Xandr-Daten beispielweise Fans oder Besitzer:innen einer bestimmten Automarke ansprechen oder Leute, in deren Haushalt es mehr als zwei Autos gibt und die jährlich mehr als 32.000 Kilometer fahren. Allein zum Schlagwort „Mercedes“ findet man mehr als 1.000 Segmente.
Die zweitgrößte Gruppe sind demografische Merkmale. Werbetreibende können nicht nur nach Geschlecht oder Alter auswählen, sondern etwa Eltern von Teenagern, alleinerziehende Mütter mit Kleinkindern oder Menschen, die gerade vor der Scheidung stehen. Oft fließen Informationen über den Lebensstil mit ein, etwa „konservative Rentner“, „urbane Eliten“ oder auch „multikulturelle Familien“. Mütter scheinen eine besonders interessante Gruppe zu sein, es gibt Segmente mit „Soccer Moms“, „Big City Moms“, „Busy Moms“ oder auch „Moms who shop like crazy“.
Der groben Analyse zufolge basiert die drittgrößte Segment-Gruppe auf Informationen zu Beruf oder Branche von Personen. Segmente tragen dann Namen wie „Beauty Center Owner“, „Lawyer“ oder „Policy Makers“. Fast immer sind die Segmente auf Englisch benannt, auch wenn sie sich explizit auf Länder wie Deutschland oder Frankreich beziehen. Auf Deutsch betitelte Segmente findet man selten, etwa „KMU Entscheider kleine & mittelständische U.“ Häufig geht es in dieser Kategorie auch um Mitarbeiter:innen ganz bestimmter Unternehmen, etwa „aldi competitor“ oder „Volvo SUV Konkurrenz“. Selbst Angehörige von Militär und Polizei kann man als Zielgruppe auswählen.
Brustkrebs, Depressionen und Schwangerschaftsabbrüche
Hunderte Segmentbezeichnungen deuten auf hochsensible Daten wie Gesundheitsinformationen. Die Werbetreibenden können aus Kategorien wie Brustkrebs, Blasenkrebs oder Depression wählen. Einige Segmentnamen verweisen sogar auf Besucher:innen einzelner Kliniken. Hier einige Beispiele des US-Anbieters Liveramp:

LiveRamp Data Store | 8082 | 16237485 | HealthRankings > BPD
LiveRamp Data Store | 8082 | 16237395 | HealthRankings > BPH
LiveRamp Data Store | 8082 | 16237478 | HealthRankings > Breast Cancer
LiveRamp Data Store | 8082 | 24900788 | HealthRankings > Breast Cancer Caregivers
LiveRamp Data Store | 8082 | 16237416 | HealthRankings > Cholesterol
LiveRamp Data Store | 8082 | 16237450 | HealthRankings > Cough/Cold
LiveRamp Data Store | 8082 | 16237432 | HealthRankings > Diabetes
LiveRamp Data Store | 8082 | 16237508 | HealthRankings > Diabetes Type II
LiveRamp Data Store | 8082 | 16237498 | HealthRankings > Eating Disorder

Zu den Segmenten mit Gesundheitsbezug gesellen sich zahlreiche Segmente, die auf die Religion verweisen, etwa „muslim“ oder „jewish“, und solche, die auf die sexuelle Orientierung von Menschen oder ihre Herkunft und Ethnizität schließen lassen. Auch viele Segmente zu politischen Themen enthält die Liste: Wer ist für Donald Trump und wer gegen ihn? Wer ist für oder gegen Black Lives Matter und wer gegen das Recht auf Schwangerschaftsabbruch?
Tracking-Forscher Wolfie Christl sieht in derart umfassenden Datensammlungen gleich mehrere Probleme. Da sei zum Beispiel das Eindringen in die Privatsphäre aller Menschen, die in den Segmenten landen. „Kein Mensch kann damit rechnen, dass alle Informationen über das eigene Verhalten bei hunderten Firmen landen.“ Christl nennt das eine „Verletzung der kontextuellen Integrität“. Der Kontext, in dem Menschen ihre Daten preisgegeben haben – möglicherweise sogar bewusst, indem sie an einer Umfrage teilgenommen oder bei einer App ihr Gehalt angegeben haben –, sei ein anderer Kontext als der, in dem die Informationen genutzt werden.

Das führe nicht nur zu Kontrollverlust, sondern habe auch ganz konkrete Auswirkungen auf das Leben von Menschen. „Die Werbefirmen nutzen das Wissen über uns, um uns zu manipulieren und unser Verhalten zu formen“, so Christl. Ganz bewusst würde manche Online-Werbung persönliche Schwächen ausnutzen. Es sei etwa an der Tagesordnung, dass verletzliche Gruppen gezielt angesprochen werden, Menschen mit Spielsucht, Depression oder anderen Krankheiten. Die Segmente werden zudem im Marketing auch immer wieder genutzt, um Menschen gezielt von Informationen auszuschließen. Bei Werbung für Wohnungen oder Jobs zum Beispiel kommt es immer wieder zu Diskriminierung, auch Fälle von irreführender oder betrügerischer Werbung, sogenanntes „Scamvertising“, kann mit den Daten befeuert werden.
„Wie die Datenfirmen uns einsortieren, entscheidet darüber, was wir zu sehen bekommen oder und sogar welche Preise oder Rabatte wir bekommen. Das prägt unsere Welt und es prägt auch unser Selbstbild, wenn wir von Werbung immer auf eine bestimmte Art und Weise angesprochen werden“, sagt Christl. Der auf Datenschutz spezialisierte Rechtsanwalt Tillmann Herbrich sieht darin insgesamt eine Gefahr für das demokratische Gemeinwesen. „Durch die unmittelbare Beeinflussung der subjektiven Nutzerwahrnehmung lässt sich auch die Wahrnehmung des Weltgeschehens beeinflussen“, so Herbrich. Dabei gehe auch auch um die Platzierung von Fake News und die datengetriebene Verstärkung von Desinformation.
Deutsche Nutzer, die abnehmen wollen
Wieviele IDs von Menschen aus Deutschland und anderen EU-Ländern sich in den Segmenten befinden, lässt nicht genau sagen. Klar ist: Die Xandr-Liste enthält Segmente mit Bezug zu allen Weltregionen. Ein Schwerpunkt liegt auf den USA und Europa, doch auch zu Ländern in Südamerika und Asien finden sich Segmente in der Liste. Das ist erkennbar an Länderkennzeichnungen in den Segmentnamen, etwa „US“, „DE“ oder „Germany“. Mehr als 3.000 Kategorien mit explizitem Bezug zu Deutschland sind in der Liste, angeboten von Datenhändlern aus Deutschland und den USA.
Von den Segmenten mit sensiblen Daten haben zahlreiche einen klar erkennbaren Bezug zu den USA. Dort lassen sich offenbar selbst Menschen im Umkreis von Militärbasen oder Besucher:innen konkreter Wahlkampfveranstaltungen targeten. Viele kritische Segmente haben jedoch keine klare Länderzuordnung. Wir wollten von Xandr wissen, ob es ausschließen kann, dass sich hierin auch IDs von EU-Bürger:innen befinden. Wir erhielten keine Antwort.
Einige sensible Segmente haben im Namen jedoch auch einen klaren Bezug zu Deutschland und anderen EU-Ländern. Dazu zählen Segmente mit Informationen über Kasino-Besuche, ein Faible für Sportwetten oder gar Spielsucht. Die deutsche Firma Adsquare bot mit Deutschlandbezug Segmente wie „poor“ oder zur Altersgruppe „13-18 years“. Die Berliner Firma gehört mit einem Angebot von mehr als 15.000 unterschiedlichen Segmenten zu den größeren Anbietern in der Datei. Dazu zählen auch Kategorien wie „Period Trackers“, „Conservative Retiree“, „Multicultural Families“ oder Besuche bei den Geldautomaten von verschiedenen Banken, etwa der Sparkasse. Auf Anfrage sagt Adsquare, die hier genannten Segmente nicht mehr anzubieten.
Auch die ProSiebenSat.1-Tochter The ADEX hatte Segmente mit Gesundheitsbezug im Angebot, etwa „Alternative Medicine“, „Menopause“ oder „Sleep Disorders“. Außerdem bot sie offenbar ein Segment zu Angestellten von Kirchen und religiösen Gruppen an. Die Telekom-Tochter emtriq wiederum bot offenbar Segmente wie „Hobbies and Interests: Erotic“ und „pregnant“ an. Die deutsche Firma Zeotap hatte ein Segment „LGBT“ mit der Länderkennzeichnung „ES“ für Spanien im Programm. Was die deutschen Datenhändler dazu sagen, lest ihr in unserem Artikel „Wie deutsche Firmen am globalen Geschäft mit unseren Daten verdienen“.
Wie Xandr und das Programmtic Advertising System funktionieren

Wie die Segmente im Einzelnen entstehen, also aus welchen Quellen die Daten stammen und wie die Zusammensetzung berechnet wird, wollte uns keine der von uns angefragten deutschen Firmen erklären. Gesichert ist: Neben Segmenten mit harten Fakten wie dem Alter oder besuchten Orten und Websites gibt es zahlreiche Kategorien, die auf Schlussfolgerungen und Schätzungen beruhen. Es gibt berechtigte Zweifel an der Genauigkeit und Qualität der Daten, erklärt Tracking-Forscher Wolfie Christl. Dennoch würden sie genutzt, um zu entscheiden, was Menschen zu sehen bekommen.
Welchen Weg manche Daten gehen, lässt sich gut am Beispiel der Ratgeber-Seite gutefrage.net erklären. Das Unternehmen hat uns gegenüber bestätigt, seit 2019 Daten über die Interessen seiner Nutzer:innen an die ProSiebenSat.1-Tochter The ADEX weiterzugeben. „Wir erheben ‚Interest‘-Daten basierend auf unseren Frage-Themen auf gutefrage.net für Targeting-Zwecke, die wir an Werbetreibende weitergeben.“ Es sind Segmente, die Auskunft über Interessen der Nutzer:innen geben. Wer sich für Bücher und Literatur interessiert zum Beispiel, wer für die Zubereitung von Desserts, wer für Motorräder, wer für Autos allgemein und wer für Autoteile. Auch die Interessen „Alternative Medizin“ und „Abnehmen“ finden sich in der Liste, mit gutefrage.net als Quelle.
Wir wollten von gutefrage.net wissen, in welcher Form die Daten weitergegeben werde. Das Unternehmen antwortet, bei dem Prozess würden „keine personenbezogenen oder soziodemografischen Daten erhoben“. Das allerdings steht im Widerspruch zum Cookie-Banner der Website. Auf diesem heißt es „Wir erheben personenbezogene Daten (z.B. IP-Adresse, Pseudonymisierte Identifier, Emailadresse) und übermitteln diese auch Drittanbieter wie The Tradedesk und Liveramp, die uns helfen, unser Webangebot zu verbessern und zu finanzieren.“ Übersetzt: Wer die Website besucht und nicht 2,99 Euro monatlich zahlt, sondern beim Cookie-Banner auf „Akzeptieren“ klickt, landet wohl mit einer ID in einer dieser Interessenkategorien. Der Datenhändler The ADEX bietet diese Segmente dann auf verschiedenen Plattformen zur Nutzung an. Etwa bei Xandr und auf sogenannten Demand Side Platforms (DSP). Werbekunden müssen sowohl der DSP als auch dem Datenbieter eine Gebühr zahlen.
Auf der anderen Seite des Werbekreislaufes sind die Anbieter freier Werbeplätze, zum Beispiel auf Nachrichtenwebsites. Sie tun dies über eine Supply Side Platform (SSP). Die freien Werbeplätze und die Informationen über die gewünschten Zielgruppe kommen über Auktionen auf AdExchange-Plattformen zusammen. Die DSP übermittelt die gewünschte Zielgruppe an die AdExchange. Wenn nun jemand besagte Nachrichtwebsite besucht, sendet die Seite die IDs des Besuchers an die SSP. Diese wiederum leitet eine Auktion ein, indem sie einen Bid-Request mit der ID des Nutzers und Informationen über den Werbeplatz an die AdExchange schickt. Dort wird erkannt, ob der Besucher der Website zur gewünschten Zielgruppe des Kunden passt, sich zum Beispiel für das Thema Abnehmen interessiert. Wenn dies der Fall ist, bietet die DSP auf den Werbeplatz. Die Meistbietenden gewinnen, sie können ihre Werbung bei der gewünschten Zielgruppe anzeigen.
Die Berliner Datenschutzbeauftragte ist skeptisch
Die Erkennung der passenden Nutzer:innen und die Auktionen finden in wenigen Millisekunden statt. Technisch ist dieses System eine Meisterleistung, rechtlich steht es auf tönernen Füßen. Erst Anfang Juni kam das Bundeskartellamt am Ende einer mehrjährigen Untersuchung zu dem Ergebnis, dass der Markt des Programmatic Advertising in hohem Maße intransparent ist. Das gelte sowohl gegenüber beteiligten Unternehmen und Werbekunden als auch gegenüber Nutzer:innen. Die Marktdominanz vor allem von großen Digitalkonzernen wie Google verschärfe die Problematik. „Wir sollten uns ernsthaft fragen, ob wir quasi den ‚gläsernen‘ Internetnutzer wollen, allein aus dem Grund, dass wir bestimmte Produkte oder Serviceleistungen kaufen sollen“, schlussfolgert Kartellamtspräsident Andreas Mundt.
Auch der Datenschutz macht der Branche Probleme. Denn die Werbeplattformen brauchen laut Datenschutzgrundverordnung (DSGVO) eine rechtliche Grundlage für ihr Geschäft. Dafür komme nur die informierte und freiwillige Einwilligung der Betroffenen in Frage, sagt die Chefin der Berliner Datenschutzaufsichtsbehörde Meike Kamp zu netzpolitik.org. Lange wurde darum gerungen, ob auch andere Rechtsgrundlagen in Frage kommen, inzwischen sind sich die meisten Aufsichtsbehörden einig: Nein.
Die Datenhändler sagen, dass für das Einholen der Einwilligung ihre Datenpartner zuständig sind. Auf Websites nimmt das heute fast immer die Form von Cookie-Bannern an, auch bei der Installation von Apps muss man meist die Datenschutzbestimmungen akzeptieren. Wer hier zustimmt, muss damit rechnen, dass die Daten bei dutzenden oder gar hunderten Werbefirmen landen. Und genau das ist das Problem, sagt Jurist Marco Blocher von der gemeinnützigen Organisation None of Your Business (NOYB). „Kein Mensch kann da noch überschauen, wo die eigenen Daten landen und was dann genau damit passiert, vor allem weil diese Werbefirmen die Daten abermals an eine Vielzahl von Empfängern weitergeben.“
Es fehle bei den gängigen Einwilligungs-Bannern an der notwendigen Transparenz, pflichtet Rechtsanwalt Tilman Herbrich bei: „Aufgrund der Komplexität der Infrastruktur, der hohen Anzahl von involvierten Drittanbietern, der Vielzahl an abgefragten Verarbeitungszwecken und dem Umfang der Nutzerprofile werden die Anforderungen an die Informiertheit einer Einwilligungserklärung kaum erreicht.“
Auch die Berliner Aufsichtschefin Meike Kamp kommt zu diesem Schluss: „Die komplexe Struktur der beteiligten Akteure sowie die spezifischen Datenflüsse“ nachzuvollziehen, sei für den Einzelnen schwierig. Die Auswirkungen der Einwilligungsentscheidung seien kaum nachvollziehbar. „Eine tatsächlich selbstbestimmte und informierte Einwilligung wird somit praktisch unmöglich.“ Der Transparenzgedanke der DSGVO bleibe auf der Strecke.
Hinzu käme, dass viele Einwilligungsbanner noch immer mit Tricks und manipulativem Design arbeiten, um an Einwilligungen zu kommen, ergänzen Herbrich und Blocher. „Viele Consent-Ausgestaltungen auf Websites und in Apps gewähren Nutzern keine gleichwertigen Auswahlmöglichkeiten, vor allem in Form und Farbgebung, für die Erteilung und Ablehnung einer Einwilligung“, so Herbrich. Deshalb fehle es an der Freiwilligkeit.
Wer ist eigentlich verantwortlich?
Wir haben die deutschen Datenfirmen Adsquare, emtriq und The ADEX nach der Rechtsgrundlage für ihre Datenverarbeitung gefragt. Sie alle verweisen auf die Einwilligung und darauf, dass ihre Datenlieferanten dafür zuständig sind, sie einzuholen. Man lasse sich vertraglich zusichern, dass dies korrekt geschehe, gelegentlich gebe es stichprobenartige Überprüfungen.
Doch damit machten es sich die Datenhändler zu leicht, sagt Marco Blocher von NOYB. „Sie müssten die eingeholten Einwilligungen dokumentieren, verwalten, Widerrufe berücksichtigen.“ Sich vom Datenlieferanten eine vertragliche Zusicherung einzuholen, dass alles DSGVO-konform sei“, reiche nicht aus. Man könne schließlich als Arzneimittelhersteller auch nicht sagen: „Der Lieferant hat vertraglich gesagt, das ist diese und jene Chemikalie, ich habe das deshalb ungeprüft in der Medikamentenherstellung verwendet.“ Dass die Anforderungen im derzeitigen Werbesystem umgesetzt werden, bezweifelt Blocher.
Bei den Daten, die derzeit von Websites gesammelt und an Werbefirmen weitergeben werden, setzen fast alle Firmen auf einen technischen Standard. Das sogenannte Transparency and Consent Framework (TCF) wird von der Branchenorganisation IAB bereitstellt. Es soll sicherstellen, dass die Einwilligung standardisiert und rechtsicher eingeholt wird und dass Daten im Werbesystem nicht ohne Einwilligung verarbeitet werden. Doch ob der Standard rechtssicher ist, daran gibt es große Zweifel.
Die belgische Datenschutzaufsicht hatte den TCF-Standard 2022 für ungültig erklärt, unter anderem, weil er die Anforderungen an die Transparenz nicht erfüllt. Inzwischen nutzen Firmen eine angepasste Version des TCF, doch auch diese werde den Anforderungen der DSGVO nicht ohne Reduktion der Verarbeitungszwecke und Empfänger gerecht, so Herbrich. Seiner Meinung nach müssten Nutzer:innen beispielsweise darüber aufgeklärt werden, in welche Kategorien sie einsortiert werden, wie viele Firmen ihre Daten erhalten und wie genau diese genutzt werden.
Die Werbe- und Datenbranche sieht das anders. Höchstrichterliche Urteile zu Datenhandel und dem System des Programmatic Advertising gibt es noch nicht.
Keine sensiblen Informationen?
Für die datenschutzrechtliche Beurteilung dürfte besonders wichtig sein, ob auch sensible Daten nach Artikel 9 der DSGVO verarbeitet werden. Dazu zählen Gesundheitsdaten und solche, aus denen sich Schlüsse über politische Überzeugungen, sexuelle Orientierung, Religion und Herkunft ziehen lassen. Bei solchen Daten gelten für die Einwilligung nochmal erhöhte Anforderungen, erklärt Behördenchefin Meike Kamp. Diese müsse ausdrücklich erfolgen, also mit ausführlicheren Informationen über die Daten, sagt Tilman Herbrich. „Eine ausdrückliche Einwilligung kann man nicht mit einem Klick in einem Cookie-Banner auf ‚Alle akzeptieren‘ erklären.“ Auch die Daten von Minderjährigen unter 16 Jahren sind besonders geschützt, in vielen Ländern braucht es die Einwilligung der Eltern.
Die Datenhandelsfirmen stellen sich auf den Standpunkt, sie würden keine sensiblen Daten verarbeiten, sondern lediglich allgemeine Interessen. So erklärt etwa die Pressesprecherin der ProSiebenSat.1-Tochter The ADEX, dass sie zu den Details einzelner Segmente nichts sagen könne, weil die Verträge mit Datenpartnern Verschwiegenheitsklauseln enthielten. Wir hatten unter anderem gefragt, wie sich die ADEX-Segmente „Menopause“, „Corona Virus“, „Sleep Disorders“ und „Churches and Religious Groups – 1st and 2nd Management Level – GPS Data“ zusammensetzen.
Die Sprecherin antwortet auf einer grundsätzlichen Ebene: Die Bezeichnung der Segmente spiegele „ausschließlich die Kategorienart der besuchten Website wider, ohne dass damit eine Aussage über zum Beispiel die körperliche oder geistige Gesundheit eines Betroffenen verbunden ist“. Als Beispiel nennt die Sprecherin das Segment „Sports Cars“, in das man einsortiert werde, wenn man einen Medienbericht über einen Ferrari aufgerufen habe. „Hieraus die Aussage, der Betroffene wäre Eigentümer eines Ferraris oder sonstigen Sports Car, abzuleiten, ist erkennbar unzutreffend und auch nicht intendiert.“
Dieser Widerspruch begegnet einem immer wieder in der Branche: Einerseits sollen die Daten so genau sein, dass sie perfektes Targeting garantieren, andererseits sollen die Daten so allgemein sein, dass es keine Probleme mit dem Datenschutz gibt. Auch die Telekom-Tochter Emetriq schreibt uns, das Unternehmen verarbeite keine Daten, die zu den besonderen Kategorien nach Artikel 9 DSGVO gehören: „Unsere Segmentdaten beruhen nicht zum Beispiel auf Gesundheitsdaten, wie etwa medizinischen Diagnosen, Einkaufsdaten zu Medikamenten, sondern auf das jeweiligen Surf-Verhalten, das ein allgemeines Interesse zu bestimmten Themen abbildet.“
Adsquare wiederum schreibt auf unsere Frage, ein Segment namens „Multicultural Families“ basierte lediglich „auf ortsbezogenen Daten von Drittanbietern“ und sei nicht mehr im Angebot. Zu einem Segment namens „Viagra – Unhealthy Place Visits“ sagt Adsquare, der Name der Segmente sei von Kunden frei wählbar und müsse „nicht notwendigerweise mit dem Inhalt des Segments übereinstimmen. Er kann sich auch auf das beworbene Produkt beziehen oder ein Code-Name für ein Projekt sein.“ Grundsätzlich erklärt das Unternehmen, „dass Adsquare keine Segmente mit Bezug zum Gesundheitszustand oder Medikamenten oder Ähnlichem von Personen im Angebot hat.“
Tilman Herbrich hält diese Argumentation für problematisch und verweist auf eine Entscheidung des Europäischen Gerichtshofes (EuGH). „Es reichen Angaben in einem Formular, aus denen sich Ableitungen über die sexuelle Orientierung entnehmen lassen, um in den Anwendungsbereich von Artikel 9 zu kommen“, so Herbrich. Der EuGH verdeutliche damit, dass bereits Ableitungen als Resultat eines Denkvorgangs ausreichend seien, um eine Verarbeitung über besondere Kategorien personenbezogener Daten anzunehmen. Für Werbeplattformen folge hieraus, dass Segmentbildungen mit Bezügen zur sexuellen Orientierung, Religion, politischen Überzeugung, Gewerkschaftszugehörigkeit oder Gesundheit nur mit ausdrücklicher Einwilligung zulässig sind.
Politische Lösungen sind nicht in Sicht
„Der wichtigste Trick im Datenhandel ist die Behauptung aller Beteiligten, man wäre nur im Auftrag von anderen tätig und diese anderen wären verantwortlich“, konstatiert Aktivist und Forscher Wolfie Christl. „Jede Verantwortlichkeit verschwindet ins Nirvana. Das ist natürlich lächerlich, aber trägt dazu bei, die Durchsetzung der DSGVO zu verzögern.“ Dieser gordische Knoten könne nur durchschlagen werden, „wenn die Aufsichtsbehörden einen systemischen Blick auf den gesamten Echtzeit-Datenhandel werfen.“
Dass das bislang noch nicht geschehen ist, liegt auch an einem Konstruktionsproblem der Datenschutzaufsicht. Die Behörden werden in der Regel dann aktiv, wenn es Beschwerden von Bürger:innen gibt. Doch über Firmen, die man nicht kennt, kann man sich schlecht beschweren. „Die geringe Anzahl an Beschwerden zu der Thematik verweist auch auf die Intransparenz des Geschäfts der Datenhändler“, erklärt deshalb die Berliner Datenschutzbeauftragte Meike Kamp. Ihr Haus lege den Fokus bisher eher auf Websites, die ungültige Einwilligungen einholen, als auf die Firmen im Hintergrund.
Wolfie Christl hat deshalb einen dringenden Appell für die Aufsichtsbehörden: „Die Öffentlichkeit weiß zwar jetzt mehr als zuvor, aber ich vermute, auf den Servern dieser Firmen schlummern noch viel mehr Belege für möglicherweise illegale Datenpraktiken“, vermutet er. An solche Informationen kämen nur die Aufsichtsbehörden ran. „Die Firmen, die alles über uns wissen wollen, berufen sich auf ihre Geschäftsgeheimnisse. Die deutschen Datenschutzbehörden müssen endlich aktiv werden und diese unverantwortlichen Datenpraktiken effektiv beenden.“
Die Berliner Datenschutzbeauftragte Meike Kamp sieht bei dem Thema auch politischen Handlungsbedarf. „Die geschilderten Beispiele zeigen, dass über flankierende gesetzliche Maßnahmen nachgedacht werden sollte, um ein gesetzliches Umfeld zu schaffen, in dem die Einwilligung auch tatsächlich Wirkung entfalten kann.“ Zum Beispiel könnten der Grad an Individualisierung der angesprochenen Personen und Gruppen sowie die Anzahl der erlaubten Datenkategorien eingeschränkt werden.
Die Datenschutzprobleme des wohl wichtigsten Internet-Geschäftsmodells sind seit langem bekannt. Politische Lösungen, wie sie Meike Kamp fordert, sind jedoch nicht in Sicht. Eine Initative von EU-Abgeordneten, „Überwachungswerbung“ grundsätzlich zu verbieten, ist im letzten Jahr gescheitert.
Dabei machen die Kritiker des Targeted Advertising immer wieder deutlich: Es gibt Alternativen. Kontextbasierte Werbung zum Beispiel. Sie ist nicht auf das Profil der Nutzer:innen zugeschnitten, sondern auf das Umfeld, in dem sie erscheint. Besucht jemand eine Website mit einem Ratgebertext zu Autoreifen, bekommt er entsprechende Anzeigen ausgespielt. Das würde nicht nur dem Datenschutz helfen, sondern auch die Umweltbilanz von digitaler Werbung verbessern: Weniger Daten bedeutet weniger benötigte Rechenkapazität und somit weniger Stromverbrauch.
Doch ein freiwilliger Paradigmenwechsel scheint in der Branche nicht in Sicht. Das alles, was wir im Internet tun, aufgezeichnet und ausgewertet wird, bleibt vorerst Standard. Nutzer:innen bleiben nur zwei Dinge: Einerseits Selbstschutz durch Maßnahmen wie das Löschen von Cookies. Andererseits Datenauskunftsanfragen an Datenhändler, um Grundlagen für Beschwerden bei Aufsichtsbehörden zu schaffen. Wie das geht, erklären wir in einem Tutorial: „So findest du heraus, was Datenhändler über dich gespeichert haben“
……
Weißt du mehr über fragwürdige Datenpraktiken in der Marketing-/Adtech-Industrie? Wir würden uns freuen, von dir zu hören. Auf folgendem Weg kannst du uns sicher kontaktieren: ingo.dachwitz@netzpolitik.org / Signal-Kontakt auf Anfrage. Bitte nicht vom Dienstrechner/-telefon oder dienstlichem Account schreiben.“
……
Mitarbeit: Anne-Lena Schmierer und Jan Lutz.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel

Author: Ingo Dachwitz

Dieses bild teilen :. Zur quelle wechseln. Meirelles defende que lula apoie ilan goldfajn na presidência do bid | visÃo cnn clip bids.