Europa-Vergleich: Wie eng uns Datenhändler auf die Pelle rücken

Da sind Menschen in Italien, die ein Kind adoptieren wollen. Da sind Frauen auf dem Land in Frankreich, die ihren Ehemann verloren haben. Da sind Haushalte in Deutschland, die mit 1.000 Euro monatlich über die Runden kommen müssen. Sie alle haben etwas gemeinsam: Datenhändler wissen über sie Bescheid. Ihre persönlichen Eigenschaften helfen der Werbeindustrie beim Geldverdienen.

Das und mehr haben wir herausgefunden, als wir ein internes Dokument der Werbeindustrie systematisch ausgewertet haben. Es besteht aus Hunderttausenden Einträgen und liefert ein bislang einzigartiges Bild davon, wie eng uns Datenhändler in Europa auf die Pelle rücken.

Die Werbeindustrie teilt die Menschheit in Segmente auf, zum Beispiel „Witwen auf dem Land“. Möchte eine Firma Anzeigen schalten, kann sie sagen: Meine Werbung sollen nur Leute in diesem Segment sehen. Oder auch: Die Leute in diesem Segment sollen meine Werbung nicht sehen. Weitere Segmente heißen zum Beispiel: „Überdurchschnittlicher Alkohol-Konsum“. Oder auch: „Geringverdiener ohne Orientierung“.

Die Akte Xandr

Damit Datenhändler solche Segmente überhaupt erstellen können, müssen sie von uns Informationen bekommen. Hier kommen Cookie-Banner in Spiel, die uns die Erlaubnis zum Datensammeln abringen wollen. Viele Apps und Websites untersuchen unser Verhalten und ziehen daraus Schlüsse. Erfasst werden dabei keine Klarnamen, sondern Kenn-Nummern wie IP-Adressen oder Werbe-IDs. Die Hersteller von Betriebssystemen verpassen unseren Handys eine solche Werbe-ID. Es gibt sie, damit uns Werbetreibende über Websites und Apps hinweg verfolgen können.  Oft ist es diese Nummer, die entscheidet, welche personalisierte Werbung wir serviert bekommen.

Einer der wichtigsten Akteure dieser Industrie ist der Datenmarktplatz Xandr. Unternehmen können auf den Plattformen des Unternehmens aussuchen, an welche Zielgruppe sie ihre Werbung verteilen wollen. Dafür wählen sie Segmente aus, die ihnen zusagen und bezahlen Xandr dafür. Vergangenes Jahr wurde Xandr Teil des mächtigen Microsoft-Konzerns; der Name „Xandr“ soll in Zukunft verschwinden. Vor der Übernahme hatte Xandr ein riesiges Dokument mit den Namen von rund 650.000 Segmenten öffentlich ins Netz gestellt – nach eigenen Angaben „versehentlich“. Damit erlaubt das Dokument einen beispiellosen Blick hinter die Kulissen einer Industrie, die sonst im Verborgenen bleibt.

Die erste, ausführliche Analyse der Xandr-Tabelle haben wir hier im Juni veröffentlicht. Es ging darum, wie Xandr und seine Datenhändler möglicherweise gegen den Datenschutz verstoßen und wie deutsche Firmen in das Geschäft verstrickt sind . Die Recherche war eine Kooperation mit dem US-Medium The Markup, das parallel einen Artikel mit US-Bezug veröffentlicht hat.

1.900 bedenkliche Segmente entdeckt

Jetzt legen wir erstmals eine ausführliche Datenanalyse für die gesamte Europäische Union vor. Die Recherche zeigt, wie intensiv Datenhändler Menschen in Europa ausforschen. Über mehrere Wochen haben wir Hunderttausende Segmente weiter ausgewertet. Wir fanden Zehntausende Segmente über die Eigenschaften und das Verhalten von EU-Bürger*innen und haben sie auf besonders heikle Fälle heruntergedampft. Übrig geblieben sind 1.900 Segmente, die wir für äußerst bedenklich halten.

Sie alle lassen sich anhand ihres Namens mit hoher Wahrscheinlichkeit einem von 15 EU-Ländern zuordnen, und sie alle beziehen sich auf persönliche Eigenschaften, etwa Gesundheit, Religion und politische Ansichten. Sie beschäftigen sich zum Beispiel damit, ob jemand leicht zu manipulieren ist und viel oder wenig Geld hat. Die Recherche macht erstmals anschaulich, wie gründlich die Werbeindustrie Menschen auf diesem Kontinent durchleuchtet.

Fachleute aus den Bereichen Datenschutz und Bürgerrechte bezeichnen die Ergebnisse als „sehr brisant“. Der Wiener Forscher und Aktivist Wolfie Christl schreibt: „Es ist ein Skandal, dass dieser unkontrollierte Handel mit digitalen Profilen über persönliche Eigenschaften und Verhaltensweisen in Europa immer noch stattfindet.“ Er hatte das Xandr-Dokument im Netz entdeckt und uns darauf aufmerksam gemacht.

Unisono fordern er und andere Expert*innen härteres Durchgreifen. Nachdem im Juni bereits deutsche Datenschutzbehörden mitgeteilt hatten, die Datei und beteiligte Firmen untersuchen zu wollen, möchten nun auch mehrere Datenschutzbehörden aus anderen EU-Ländern Hinweise prüfen.

Mehrfach hat unsere Redaktion Xandr und Microsoft mit den Ergebnissen der Recherchen konfrontiert. Während wir im Juni keine Antwort erhielten, teilt uns die Microsoft-Pressestelle nun mit: Man nehme „diese Angelegenheiten ernst“ und halte sich an alle Gesetze. Unternehmen wie etwa The Adex und Adsquare haben uns erklärt, gesammelte Daten würden nach rund 90 Tagen gelöscht. Oracle – mit rund 232.000 Segmenten der größte Datenhändler in der Xandr-Tabelle – schrieb: Man habe „nichts zu kommentieren“.

Die Ergebnisse der Datenrecherche präsentieren wir auf sechs interaktiven Europa-Karten. Wer mit der Maus über ein Land fährt, kann sich beispielhaft bedenkliche Werbesegmente von dort anschauen. Die Karten machen die Geschäfte einer Industrie sichtbar, die gerne selbst im Verborgenen bleibt, während sie uns sehr genau durchleuchtet.

Übersicht

• Gesundheit
• Finanzstärke
• Persönliche Schwächen
• Religion
• Kinder
• Politische Ansichten
• So reagieren die Datenhändler
• Das sind die Grenzen der Datenrecherche
• Das sagen ehemalige Angestellte
• Das sagen Expert*innen
• So reagieren Datenschutzbehörden
• Viele extreme Segmente ohne Länderbezug

Gesundheit: Hörgeräte und Fruchtbarkeit

Tausende Segmente in der Xandr-Tabelle handeln von Gesundheit. In unserer EU-Analyse haben wir dieser Kategorie bedenkliche 54 Segmente aus acht EU-Ländern zugeordnet. Segmente zu hohem Alkohol-Konsum fanden wir etwa aus Österreich, Deutschland, Dänemark, Schweden, Finnland und Spanien. Ob die betroffenen Nutzer*innen wissen, dass sie auf dem Werbemarkt als Vieltrinker*innen gehandelt werden?

Auch zum Wunsch, abzunehmen, fanden wir mehrere Segmente, etwa aus Deutschland, Frankreich, Italien und Spanien. Ob die betroffenen Nutzer*innen wissen, dass ihr persönlicher Wunsch nach weniger Gewicht für die Werbeindustrie Geld wert ist? In Italien fanden wir ein Segment über Menschen, die „vorhaben“ ein Kind zu adoptieren. Weiß die Werbeindustrie über ihren Wunsch früher Bescheid als die eigene Familie?

Zu Deutschland gehörte ein Segment über den Besuch beim Hörgeräte-Hersteller Amplifon. Dessen Pressestelle hat unsere Anfrage nicht beantwortet.

Wer personenbezogene Daten für Werbung nutzen will, braucht dafür eine informierte Einwilligung der Betroffenen. Das verlangt die Datenschutzgrundverordnung (DSGVO), daran lassen auch Aufsichtsbehörden und Gerichte keine Zweifel. Besonders hoch sind die Anforderungen an die Einwilligung, wenn es sich um sensible Daten handelt – dazu zählen nach Artikel 9 der DSGVO auch Gesundheitsdaten. Das heißt aber nicht automatisch, dass die von uns entdeckten Segmente darunterfallen, einige Datenhändler bestreiten das auf Anfrage. Datenschützer*innen sind anderer Meinung, im Zweifel müssten das Gerichte entscheiden.

Die Firma Weborama, ein Datenhändler mit Sitz in Frankreich, ist der Auffassung: Ihre Segmente zum Thema Gesundheit sind nicht sensibel. Und mehr noch: „Wir möchten unmissverständlich festhalten, dass wir keine sensiblen Daten verarbeiten“, teilt die Firma auf unsere Anfrage mit. Als Beispiel nennt Weborama das Segment „Maternity“, Mutterschaft. Nutzer*innen in diesem Segment hätten bloß Seiten mit Begriffen wie „Mutterschaftsurlaub, Säuglinge, Hebamme, Kinderzimmer“ besucht. Aber ob eine Person ein Baby bekommen hat, verrate das Segment nicht. Der Datenhändler „The Weather Company“ schreibt uns, seine Segmente zu Asthma, Migräne oder Arthritis beziehen sich „allein auf Postleitzahlen“.

Beide Fälle zeigen den gewagten Spagat der Werbeindustrie. Wenn es um Datenschutz geht, betonen viele Datenhändler: Ihre Daten sind gar nicht so genau. Wenn es dagegen um Kunden-Akquise geht, betonen viele Datenhändler: Ihre Daten sind durchaus genau. Und zwar genau genug, um die gewünschte Zielgruppe mit personalisierter Werbung zu erreichen. Immerhin verdient die Industrie damit Milliarden.

Finanzstärke: „Elite“ und „Geringverdiener“

Der Wert eines Menschen definiert sich nicht durch sein Geld. Aber Geld definiert Tausende Segmente auf dem Werbemarkt. Kaum etwas scheint die Werbeindustrie mehr zu interessieren als die Frage, wie viel Kund*innen in der Tasche haben. Davon handelt knapp die Hälfte der Segmente, die wir in unserer EU-Analyse entdeckt haben: 940 Segmente aus neun EU-Ländern.

Die Namen der Segmente sind teils schonungslos. In Deutschland gibt es etwa die Segmente „Problemzonen: Sozialwohnungen und gewöhnliche Mehrfamilienhäuser“ und „Geringverdiener ohne Orientierung“. Für reiche Menschen gibt es Segmente wie „Haushaltseinkommen: Elite“ oder: „Interesse: Luxusautos“. Teils wird das Einkommen detailliert aufgeschlüsselt: 1.000 bis 1.250 Euro im Monat; 1.250 bis 1.750 Euro, und so weiter.

Der Wiener Jurist Marco Blocher arbeitet für die Organisation noyb („none of your business“), die sich für Datenschutz in der EU einsetzt. „Daten zur vermeintlichen Finanzstärke sind sehr brisant“, sagt er mit Blick auf die Recherche-Ergebnisse. „Vielleicht bekomme ich Werbung für billige Produkte gar nicht angezeigt, weil ich – aus einem für mich nicht nachvollziehbaren Grund – als zahlungskräftiger Kunde gelte.“

Der Wiener Forscher und Datenschutzaktivist Wolfie Christl findet: „Die flächendeckende Nutzung von Daten über Menschen in ökonomisch schwierigen Lebenslagen für die Online-Werbung ist eine Katastrophe.“ Werbetreibende könnten Menschen gezielt mit manipulativen oder gar betrügerischen Angeboten eindecken. „Ich wäre dafür, Daten über die sozioökonomische Situation einer Person besonders zu schützen“, fordert Christl. Anders als etwa Gesundheitsdaten fallen Angaben zur Finanzstärke nicht unter den besonderen Schutz von Artikel 9 der DSGVO.

Persönliche Schwächen: Leicht zu beeinflussen

Nicht nur Geldnot kann Menschen besonders angreifbar machen. Bei unserer Analyse der Segmente mit klarem Bezug zu EU-Ländern haben wir elf bedenkliche Segmente mit Verweisen auf persönliche Schwächen gefunden. Insgesamt enthält die Tabelle Hunderte solcher Segmente, viele ohne Länder-Zuordnung oder mit Verweis auf die USA.

Das Segment „geschieden“ haben wir bei vier EU-Ländern entdeckt: Offenbar lassen sich damit Menschen ins Visier nehmen, deren Ehe in die Brüche gegangen ist. Manche Menschen haben nach einer Scheidung das Gefühl, ihr gesamtes Leben steht auf dem Kopf – und offenbar kann die Krise sogar in der Online-Werbung widerhallen.

Ein anderes Segment beschreibt den Besuch des französischen Sexshops „Sexy Center“, im Angebot sind etwa Vibratoren und Analspreizer. So etwas sollte zwar keinem unangenehm sein müssen – in manchen Kreisen ist es das aber.

Schon bevor es das Internet gab, haben lautere und unlautere Geschäftsleute nach Menschen gesucht, die sich leicht übern Tisch ziehen lassen. Für den Enkeltrick grasen zum Beispiel Kriminelle das Telefonbuch nach alt klingenden Vornamen ab. Weniger Streuverluste versprechen Segmente der Werbeindustrie, die den Eindruck erwecken: Bei diesen Menschen sitzt das Geld besonders locker. Sie heißen: „Unsicherheit und unnötige Ausgaben“, „Oft durch Werbung beeinflusst“, „Unerfahrene Kreditkarten-Kund*innen“. Wofür die Segmente tatsächlich eingesetzt werden, geht aus der Xandr-Tabelle allerdings nicht hervor.

Marco Blocher kritisiert es, wenn Leute als besonders beeinflussbar eingestuft werden. „Das spielt letztlich auf deren Intellekt an und versucht gezielt, leicht beeinflussbare Menschen zum Kauf zu verleiten.“

Religion: Die Gretchenfrage

Auch Daten zu religiösen Überzeugungen sind durch die DSGVO besonders geschützt. In sechs EU-Ländern fanden wir 17 Segmente mit Bezug zur Religion, etwa „griechisch orthodox“ oder „Christentum“ in Portugal.

Zum deutschen Datenhändler The Adex, eine Tochter von ProSiebenSat1, gehört ein Segment namens „Religion und Spiritualität“. Auf Anfrage sät das Unternehmen Zweifel, ob hinter dem Segment wirklich religiöse Menschen stecken. Eine Pressesprecherin erklärt uns, Segmente würden ausschließlich die Art einer besuchten Website widerspiegeln. Wer etwa einen SPIEGEL-Bericht über Ferraris lese, könne dem Segment Sportautos zugeordnet werden – ohne selbst ein Sportauto zu haben.

Das zeigt einmal mehr den Spagat der Werbeindustrie: Es kann durchaus sein, dass auch Atheist*innen im Segment „Religion und Spiritualität“ landen. Andererseits stellt sich die Frage: Wenn ein Segment angeblich nichts über Menschen aussagt – warum wird es dann auf einem Marktplatz der Werbeindustrie gehandelt?

Kinder: Wie alt und wie viele

Datenhändler sind wie besessen von Familien mit Kindern. Mit 800 Segmenten ist das die zweithäufigste Kategorie unserer EU-Recherche, insgesamt finden sich in der Xandr-Tabelle Hunderte Segmente zu diesem Thema. Manche Menschen würden einem Fremden vielleicht nicht so gerne verraten, ob sie Kinder haben, wie viele genau, ob sie noch klein sind. Die Werbeindustrie will genau das wissen.

Mama und Papa wohnen nicht zusammen? Auch hieraus schlägt die Werbeindustrie Kapital: Einige Segmente handeln von Alleinerziehenden. Für Deutschland fanden wir etwa Segmente zu „Single-Eltern mit Erwachsenen Kindern“, „Single-Eltern mit Teenagern“ und „Jungen Single-Eltern“.

Die meisten von uns untersuchten Segmente erwecken nicht den Eindruck, dass dahinter Minderjährige selbst stecken; im Visier sind ihre Bezugspersonen. Dazu passt, dass die DSGVO Daten von Minderjährigen besonders schützt: Verarbeitet werden dürfen demnach nur Daten von Menschen ab 16 Jahren – und das nur, wenn die Erziehungsberechtigten zustimmen.

Aus der Reihe fallen dabei Segmente aus sechs EU-Ländern, in denen von „13- bis 18-Jährigen“ die Rede ist. Sie beziehen sich auf die auch bei Jugendlichen beliebte Frage-Anwort-Seite ask.fm. Mehr dazu haben wir hier berichtet.

Politische Ansichten: Von konservativ bis umweltbewusst

Werbung kann das Wahlverhalten beeinflussen, vor allem wenn sie auf Gruppen mit bestimmten politischen Meinungen abzielt. Wie gefährlich das sein kann, zeigte spätestens der Facebook-Skandal im Jahr 2018. Damals ging es um das britische Datenanalyse-Unternehmen Cambdrige Analytica. Es soll den damaligen US-Präsidentschaftskandidaten Donald Trump mit manipulativer Werbung unterstützt haben.

In den Xandr-Daten haben wir 84 Segmente aus sieben EU-Mitgliedstaaten entdeckt, die unserer Ansicht nach einen Bezug zu politischen Meinungen haben. Zum Beispiel: „konservative Werte“, „ländliche Traditionelle“, „liberales, intellektuelles Milieu“, „umweltbewusst“.

Auch Weborama – der Firma, die „keine sensiblen“ Daten verarbeitet –, haben wir hier ein Segment zugeordnet. Es heißt: „Soziale und ökologische Nachhaltigkeit“. Das Unternehmen teilt mit: Dieses Segment „ist keine politische Meinung“. Menschen hinter diesem Segment hätten nur Wörter wie „CO2-Fußabdruck“ im Netz gelesen. Generell würden Weborama-Segmente nur beschreiben, ob Menschen beim Lesen von Artikeln „Wortwolken ausgesetzt“ waren, also bestimmten Wortgruppen.

Da ist er wieder: der Spagat der Werbeindustrie. Einerseits ist es üblich, dass Marktforscher*innen Kategorien entwickeln, um die verschiedenen Gruppen in der Gesellschaft zu beschreiben. Sie interessieren sich vor allem dafür, was Leute kaufen – nicht, wen sie wählen. Andererseits braucht nicht allzu viel Fantasie, um zu schlussfolgern: Vielleicht wählen Menschen mit „konservativen Werten“ nicht nur konservative Produkte, sondern auch konservative Parteien.

Bekommen die Menschen in einem Segment wie „umweltbewusst“ zum Beispiel nur Werbung für Hafermilch gezeigt – oder auch mal rechte Propaganda, die Zweifel an der Wählbarkeit grüner Parteien stiftet?

Die französische Datenschutzbehörde (CNIL) kritisiert personalisierte, politische Werbung. Sie könne Menschen „unzulässig beeinflussen, wenn es um politische Debatte und freie Wahlen geht“, schreibt ein Sprecher auf unsere Anfrage.

Sebastian Becker arbeitet bei der Organisation EDRi (European Digital Rights), die sich für digitale Grundrechte stark macht. Er warnt vor den gesellschaftlichen Folgen von Werbung, die unter anderem persönliche Einstellungen ins Visier nimmt: „Es verstärkt diskriminierende Stereotypen, polarisiert politische Meinungen und beeinflusst die politische Anteilnahme von Hunderten Millionen Menschen“, schreibt er auf Englisch zu unserer Recherche.

Von beleidigt bis herzlich: So reagieren die Datenhändler

Längst sitzen Datenhändler nicht mehr ausschließlich in den USA, auch deutsche, französische, spanische oder italienische Firmen boten ihre Daten bei Xandr zur Nutzung an. Hinter den EU-Segmenten, die wir in dieser Recherche untersucht haben, stecken Dutzende Datenhändler. Rund 20 von ihnen haben wir eine Liste der Segmente geschickt, in denen der Name ihrer Firma auftaucht. Wir wollten unter anderem wissen, wie sie personenbezogene Daten schützen, und haben gefragt: „Glauben Sie, die betroffenen Personen wissen, dass Sie diese Art von sensiblen Daten über sie verarbeiten?“

Einige haben empfindlich reagiert. Das Privacy-Team von Weborama schrieb, es sei „für sie als Einzelpersonen schwer, diese Art von Anschuldigung zu lesen“. Man halte sich an alle Vorschriften. Eine Pressesprecherin von „The Adex“ versuchte es mit einem Gegenangriff. Sie legte nahe, dass ein Autor dieses Textes unehrlich und unglaubwürdig sei, weil er selbst eine kostenlose Website bei WordPress.com habe. Auf solchen Seiten gibt es Tracking-Werbung.

Mit Umarmungstaktik reagierte Nordic Data Resources. „Wir schätzen die Arbeit von Datenjournalisten wie Ihnen sehr“, schmeichelte uns der Datenschutzbeauftragte Ulrik Larsen auf Englisch. Selbstbewusst teilte er den Link zu den Werbesegmenten seiner Firma, darunter ein PDF für den deutschen Markt. Die Segmente kreisen etwa um die Haltung zur Kirche, ums Einkommen oder um die Persönlichkeit – zum Beispiel „selbstbezogen und passiv“.  Larsen schreibt: „Wir glauben, die Leute wissen, dass über sie Interessenprofile erstellt werden, wenn sie Cookies und Datenweitergabe zustimmen.“

Nordic Data Resources rühmt sich mit einer weißen Weste: „Wir erfassen, speichern und besitzen keine Cookies oder Kenn-Nummern“, schreibt Larsen auf Englisch. Sein Unternehmen nehme bloß Gruppen von mindestens 15 Haushalten in Visier, sortiert nach Postleitzahlen.

Die Sache hat aber einen Haken. Um die Menschen letztlich mit Werbung zu erreichen, kommen trotzdem Cookies und Kenn-Nummern zum Einsatz. Mit denen hantiert allerdings ein anderes Unternehmen, wie Larsen erklärt, und zwar unter anderem Eyeota. Das heißt im Klartext: Wenn sich jemand die Finger schmutzig macht, dann andere. Dabei kann es Probleme geben, wie Larsen zugibt. Mit einem Anbieter aus der Xandr-Liste, Oracle, arbeite man seit 2019 nicht mehr zusammen. Er habe die Zustimmung der Nutzer*innen nach DSGVO nicht garantieren können.

Wolfie Christl warnt: „Der wichtigste Trick im Datenhandel ist die Behauptung aller Beteiligten, man wäre nur im Auftrag von anderen tätig und diese anderen wären verantwortlich“. So verschwinde jede Verantwortlichkeit „ins Nirvana“

Das sind die Grenzen der Datenrecherche

Diese Recherche kann nur ein Schlaglicht werfen. Schon die Datengrundlage – die Tabelle des Datenhändlers Xandr mit mehr als 650.000 Segmenten – ist nur ein Ausschnitt des weltweiten Datenhandels, wenn auch der bislang größte. Die Liste ist auf Mai 2021 datiert, bildet also die jüngere Vergangenheit ab. Um uns daraus ein Bild über die EU machen zu können, haben wir großzügig Segmente aussortiert.

Zuerst haben wir in den rund 650.000 Segmenten nach Ländernamen und -kürzeln von EU-Mitgliedstaaten gesucht. Übrig geblieben sind etwa 44.000 Segmente. In diesem reduzierten Datensatz haben wir mithilfe von Stichworten nach Segmenten gesucht, die potenziell persönliche Eigenschaften von Menschen beschreiben. Hierzu haben wir eine Liste von rund 300 Begriffen erstellt, beispielsweise „LGBTQ“ oder „religion“. Die Treffer haben wir per 4-Augen-Prinzip händisch überprüft. Weniger bedenkliche Segmente haben wir aussortiert, die übrigen in Gruppen eingeteilt. Unser genaues Vorgehen und alle Ergebnisse haben wir auf GitHub dokumentiert.

Um möglichst stichhaltige Ergebnisse zu erzielen haben wir in Kauf genommen, dass uns einiges entgeht. Wahrscheinlich verbergen sich in dem Datensatz also weitere Segmente, die einen Bezug zur EU und zu persönlichen Eigenschaften haben. Zum Beispiel liefert ein Großteil der Segmente keine Hinweise auf konkrete Länder. Ob dahinter also weitere Daten von EU-Nutzer*innen stecken, lässt sich nicht ablesen. Andere Segmente wiederum geben durch ihren Namen keine Hinweise auf ihren Inhalt. Das Ziel der Recherche ist keine Vollerhebung, sondern ein Mindestmaß an Transparenz.

Nicht alle Unternehmen hinter den 1.900 Segmenten hantieren mit eindeutigen Kenn-Nummern von Nutzer*innen. Manche Segmente unserer Recherche könnten sich etwa auch auf kontextuelle Werbung beziehen. So nennt man es, wenn Werbetreibende nicht darauf schauen, wer eine Seite besucht, sondern stattdessen die Seite selbst in den Blick nehmen. Auf einem Eltern-Blog lässt es sich zum Beispiel gut für Kinder-Produkte werben. Das ist deutlich weniger invasiv.

Der Name eines Segments liefert also nur Hinweise über seinen potentiell sensiblen Inhalt, aber keine Gewissheit. Es lässt sich außerdem nicht ablesen, ob hinter einem Segment etwa 100 oder eine Millionen Menschen stecken. Selbst beim Herunterdampfen auf 1.900 Segmente bleibt eine Unschärfe.

Diese Unschärfe ist wohl kein Zufall: Sie ist im Interesse der Konzerne, die sich lieber nicht in die Karten schauen lassen. Das schützt vor ungemütlichen Fragen.

Das sagen ehemalige Angestellte

Wir haben mit zwei Insider*innen über die Recherche gesprochen. Beide haben als Data Scientists für ein Unternehmen gearbeitet, das in unseren Daten auftaucht. Über ihren ehemaligen Arbeitgeber möchten sie nicht öffentlich mit Klarnamen sprechen. Wir geben ihnen deshalb Pseudonyme: Biscuit und Scone.

Biscuit zeigt sich von der Recherche wenig beeindruckt. Betroffene Nutzer*innen hätten sich einverstanden erklärt, dass Firmen ihre Daten verarbeiten, sagt sie. Wer etwa die Websites eines Fahrradladens besuche und auf „Cookies akzeptieren“ klicke, könne eben in einem Segment für Fahrrad-Interessierte landen. Daran sei nichts „shady“. In der Industrie habe sich „viel verändert“, um sich an die Wünsche von Nutzer*innen anzupassen.

Scone sieht das kritischer: „Ich würde auf jeden Fall in Frage stellen, ob Nutzer*innen überhaupt eine informierte Einwilligung erteilen können.“ Realistisch betrachtet könne niemand überprüfen, welche Art von Verarbeitung man zustimmt. „Auf so vielen Websites gibt es elend lange Listen von wenig aussagekräftigen Firmennamen“, sagt Scone.

Scone beschreibt, wie wenig Einblick selbst die Datenhändler in ihre Geschäfte haben. Demnach lassen sich Händler die Segmente von anderen Unternehmen zusammenstellen. Ob hinter einem Segment wie „überdurchschnittlicher Tabak-Konsum“ also wirklich Nikotin-Fans stecken, das sei eine Frage des „Vertrauens“, wie Scone erklärt. Statistisch überprüfen könne man das kaum.

„Ich kann dir aus eigener Erfahrung sagen: Manche Leute, die mit Datenhändlern arbeiten, interessieren sich für ethisch vertretbare Datenverarbeitung“, sagt Scone. „Aber es gibt auch Leute, denen das anscheinend völlig egal ist.“ Scone habe den Eindruck, dass sich Menschen außerhalb der Werbebranche entweder gar nicht mit dem Thema befassen – oder es stark aufbauschen.

„Übergriffige“ Werbebranche: Das sagen Expert*innen

Wir haben die Ergebnisse unserer Recherche auch mit Fachleuten geteilt und um Einschätzung geben. „Die Recherche ist sehr brisant“, sagt Datenschutzjurist Marco Blocher im Gespräch mit netzpolitik.org. „Sie zeigt, wie kaputt das System ist. Man muss mehrere Wochen Recherche reinstecken, um halbwegs zu verstehen, was passiert. Als normaler Konsument hat man davon keine Ahnung.“

Die DSGVO will, dass Nutzer*innen in die Verarbeitung ihrer Daten informiert einwilligen. Aber von „informiert“ kann keine Rede sein, wie Blocher erklärt. „Das Hauptproblem ist, dass sich die Daten explosionsartig verbreiten“, sagt er. Eine Website könne Daten an Hunderte Werbepartner weitergeben, und die geben die Daten dann wieder an Hunderte Unternehmen – und so weiter. „Informationelle Selbstbestimmung ist so unmöglich.“

Der Wiener Forscher und Datenschutzaktivist Wolfie Christl sieht das auch so: „Aus meiner Sicht kann es keine informierte Einwilligung in den Verkauf von Daten über unser Alltagsverhalten an Tausende Firmen geben“, schreibt er. „Niemand weiß genau, welche Wege diese Daten genau gehen und was damit gemacht wird. Ich vermute, nicht einmal die Datenhandelsfirmen selbst wissen das genau.“ So ähnlich klang es bei Insider*in Scone, als sie beschrieb, wie das Geschäft der Datenhändler auf Vertrauen basiert.

Sebastian Becker von EDRi kritisiert die Undurchsichtigkeit der Werbe-Branche scharf. „Die Ergebnisse der Recherche bestätigen die übergriffige Art und mangelnde Achtung der Grundrechte durch die Werbebranche“. Nicht nur das Recht auf Datenschutz und Privatsphäre würden „eklatant verletzt“, sondern auch das Recht auf Freiheit vor Diskriminierung.

„Frage der Ressourcen“: So reagieren Datenschutzbehörden

Alle drei Expert*innen sehen den Staat in der Pflicht. „Datenschutzbehörden sollten aus der Recherche Konsequenzen ziehen und sich die Mühe machen, das Ganze aufzuarbeiten“, fordert Blocher. „Sie sollten prüfen, ob Datenhändler gegen Gesetze verstoßen, und ihnen in diesem Fall die Verarbeitung verbieten.“

Wolfie Christl wünscht sich von den Behörden ein ähnlich strenges Vorgehen wie bei „Steuerhinterziehung, Geldwäsche oder Betrug“. Datenschutzjurist Blocher dämpft die Erwartungen: „Wir sehen, dass Behörden sehr zurückhaltend sind. Teils fehlen ihnen Kapazitäten, teils das Interesse.“

Eher zurückhaltend haben auch die Datenschutzbehörden aus 14 EU-Ländern reagiert, die wir für die Recherche kontaktiert haben. Wir haben ihnen die Segmente vorgelegt, die sich ihrem Land zuordnen lassen. Zum Beispiel schreibt die Behörde in Schweden, sie haben noch nicht entschieden, ob sie zu dem Thema eine Untersuchung einleitet. „Das ist unter anderem eine Frage der Ressourcen“. Behörden aus vier EU-Staaten haben unsere Anfrage bislang nicht beantwortet.

Das System kann weg

Die Behörde in Österreich weist daraufhin, dass keines der Unternehmen aus der Recherche einen Sitz in Österreich habe. Sie werde die Recherche deshalb zum Anlass nehmen, die Aufsichtsbehörden in den entsprechenden EU-Ländern zu kontaktieren. Die Behörde in Frankreich schreibt, sie untersuche bereits Beschwerden im Zusammenhang mit Xandr. Die Behörden in Belgien, Rumänien und Griechenland teilen mit, sie würden die Hinweise prüfen. In Deutschland haben bereits nach unserer Recherche im Juni vier Datenschutzbehörden angekündigt, Fälle zu prüfen.

Auch wenn Aufsichtsbehörden teils jahrelang ohne erkennbare Wirkung vor sich hinwursteln – manchmal ändert sich doch etwas. Zum Beispiel in Norwegen, einem Land, das sich der DSGVO unterwirft, obwohl es kein EU-Mitglied ist. So hat die norwegische Datenschutzaufsicht jüngst personalisierte Werbung auf Facebook und Instagram verboten, zunächst für drei Monate.

Ein Internet ohne personenbezogene Werbung ist also möglich, es gibt Alternativen. Für passende Anzeigen muss man nicht die persönlichen und intimen Eigenschaften von Abermillionen Menschen ausforschen. Es genügt, wenn Anzeigen schlicht zum Inhalt einer Website passen. Dass sich mit dieser kontextuellen Werbung ebenso gutes Geld verdienen lässt, zeigt ein Test des niederländischen Rundfunks. Solche Fälle sind aber nur eine Ausnahme – von allein wird eine Zeitenwende der Internet-Werbung kaum passieren.

Viele extreme Segmente ohne Länderbezug

Außerhalb der EU, wo noch weniger strenge Datenschutz-Gesetze gelten, ist der Handel mit Daten noch invasiver, wie die Xandr-Daten zeigen. Unsere punktuelle Suche in Segmenten mit US-Bezug offenbart eine Fülle teils sehr bedenklicher Segmente: über chronische Krankheiten wie Diabetes und Rheuma, über politische Einstellungen wie „hardcore“ Republikaner*innen oder „überzeugungsfähige“ Demokrat*innen. Gezielt mit Werbung ansprechen lassen sich auch zum Beispiel Personen mit „hohen“ Schulden, Asian oder Native Americans, Muslim*innen und Jüd*innen.

Am Ende der Recherche bleibt ein großes Dunkelfeld: Bei zahlreichen Segmenten haben wir keinen klaren Bezug zu einem Land festgestellt. Darunter sind Tausende weitere potentiell bedenkliche Segmente, die persönliche Eigenschaften beschreiben. Die Segmente handeln etwa von Leukämie, Hautkrebs, Unfruchtbarkeit, ADHS, Depressionen und Drogensucht. Von Homosexuellen, LGBT-Aktivist*innen, Gewerkschaftsmitgliedern, Klimaleugner*innen und Rechtsextremen. Wessen Kenn-Nummern in diesen Segmenten stecken, das bleibt wohl ein Geheimnis der Werbeindustrie.