Vor einer Woche haben wir mit einer großen Recherche Licht in das Geschäft vom Datenhandel für Werbezwecke gebracht. Wir berichteten über die mehr als 650.000 Zielgruppensegmente, die dutzende Unternehmen bei dem Datenmarktplatz Xandr angeboten haben. Die Kategorien reichen von simplen Beschreibungen wie „Männer über 40“ und „Einkommen: arm“ über kreative Bezeichnungen wie „Fragile Senioren“ oder „Moms who shop like crazy“ bis hin zu sensiblen Bezeichnungen wie „Depression“, „LGBT“, „Spielsucht“ oder „Politische Entscheidungsträger“.
Werbetreibende können diese Daten über Plattformen wie Xandr nutzen, um zielgerichtete Werbung auszuspielen. Xandr ist eine der wichtigsten Infrastrukturen im Ökosystem des Programmatic Advertising. 2022 wurde das Unternehmen von Microsoft übernommen, die von uns und dem US-Medium The Markup analysierte Angebotsliste stammt aus dem Jahr 2021.
Unsere Recherche hat gezeigt: Wer heute eine App nutzt oder eine Website besucht, mit Kreditkarte zahlt, an einem Bonusprogramm oder einer Umfrage teilnimmt, landet mit großer Wahrscheinlichkeit in solchen Kategorien. Was bisher kaum bekannt war: Davon sind nicht nur Millionen Deutsche betroffen, sondern es sind auch zahlreiche deutsche Firmen an diesem Geschäft beteiligt. Sieben deutschen Datenhändler haben ihre Zielgruppen bei Xandr feilgeboten, darunter Tochterunternehmen der Milliardenkonzerne Deutsche Telekom und ProSiebenSat1. Zahlreiche weitere deutsche Firmen und Websites sind als Datenquellen erkennbar.
In Reaktion auf die Recherche fordern Politik und Zivilgesellschaft jetzt Konsequenzen für das intransparente Geschäft mit Daten und Werbung. Mehrere Datenschutzaufsichtsbehörden kündigen an, die Branche und die von uns genannten Unternehmen genau prüfen zu wollen.
Zimmermann: „Nahezu vollständig fehlende Transparenz“
„Von informierten und vor allem selbstbestimmten Verbraucher:innen sind wir leider weit entfernt“, sagt Tabea Rößner, die Vorsitzende des Digitalausschusses des Deutschen Bundestages. Immer noch träfen Verbraucher:innen mit jedem Klick im Internet permanent weitreichende Datenentscheidungen und hinterließen etliche Spuren. „Die Recherche zeigt einmal mehr, dass im Bereich Werbetracking das letzte Wort noch nicht gesprochen sein kann“, konstatiert die Grünen-Politikerin. Das System des Werbetrackings sei undurchschaubar und lasse Schlupflöcher für Missbrauch und Profiling. Profilbildung wiederum begünstige Diskriminierung und Manipulation sowie die Verbreitung von Desinformation und schädlichen Inhalten.
Der Sozialdemokrat Jens Zimmermann sagt, er habe erhebliche Zweifel, „ob und inwieweit diese Datenerhebung und Datenweitergabe zum Zwecke der Online-Werbung mit den europäischen Vorgaben vereinbar ist.“ Insbesondere die Einwilligung als Rechtsgrundlage für den Datenhandel sieht der digitalpolitische Sprecher der SPD-Bundestagsfraktion skeptisch: „Angesichts der nahezu vollständig fehlenden Transparenz, welche Daten genau erhoben und an wen weitergegeben werden, erscheint eine solche freiwillige und informierte Einwilligung schlichtweg unmöglich“, so Zimmermann.
Auch der digitalpolitische Sprecher der Fraktion von CDU und CSU, Reinhard Brandl, zeigt sich von der Recherche alarmiert. „Sensible Daten gehören geschützt“, sagt der Unionspolitiker. „Auch ich bin aus rechtlicher Sicht skeptisch, ob und in welcher Form die Einwilligungen die Anforderungen der Datenschutzgrundverordnung und des Europäischen Gerichtshofs an die Informiertheit und Freiwilligkeit erfüllen.“ Für ihn sei klar, so Brandl weiter, dass wir „transparente Strukturen und eine rechtliche Verbindlichkeit für Verbraucherinnen und Verbraucher“ benötigen.
„Ernsthafte Bedenken“ hat angesichts der „alarmierenden Detailtiefe und Invasivität der Datensammlung und -verwendung durch Unternehmen wie Xandr“ auch der digitalpolitische Sprecher der FDP im Bundestag, Maximilian Funke-Kaiser. Selbst wenn ein Internetnutzer beim Cookie-Banner auf „akzeptieren“ klicke, sei es unwahrscheinlich, dass er oder sie vollständig verstehe, wie umfassend die Profile sind, die die Werbeindustrie erstellt. „Obwohl die Werbebranche ein berechtigtes Interesse an individualisierter Werbung hat, überschreitet die Erstellung von Profilen, die sensible Daten wie Gesundheitsinformationen, sexuelle Orientierung und politische Ansichten enthalten, deutlich die Grenzen des Akzeptablen“, so Funke-Kaiser.
Nicht nur die Berliner Datenschutzaufsicht ist skeptisch
Sowohl Tabea Rößner von den Grünen als auch Sozialdemokrat Zimmermann sehen die Datenschutzbehörden in der Pflicht, die von netzpolitik.org aufgedeckte Praxis des Datenhandels genau zu untersuchen. „Ich gehe davon aus, dass die Datenschutz-Aufsichtsbehörden diese Fälle sehr genau prüfen“, sagt Zimmermann zu netzpolitik.org. Rößner pflichtet bei, diese müssten „stringent und schlagkräftig sein, damit sie konsequent Verstöße aufspüren und ahnden“.
Und tatsächlich sagen mehrere Datenschutzbehörden auf Anfrage, dass sie die Recherche zum Anlass für genaue Untersuchungen nehmen. Wir haben in Berlin, Hamburg, Bayern, Baden-Württemberg und Nordrhein-Westfalen nachgefragt, wo die meisten der von uns untersuchten Firmen ihren Sitz haben. Außer der Aufsichtsbehörde von NRW, von der wir keine Antwort erhalten haben, kündigen alle genannten Behörden entsprechende Prüfungen an.
So etwa das Landesamt für Datenschutzaufsicht Bayern, von dem es heißt: „Ihre Berichterstattung ist Anlass für uns, entsprechende Prüfungen einzuleiten.“ In München haben unter anderem der Datenhändler DataXTrade und Microsoft, zu dem der Datenmarktplatz Xandr gehört, ihren Sitz. Eine konkrete rechtliche Bewertung könne man zu diesem Zeitpunkt noch nicht übermitteln, so das Landesamt, hier müsse man die Prüfung abwarten.
Gleich drei der von uns untersuchten Unternehmen haben ihren Sitz in Berlin, darunter der Location-Datenhändler Adsquare. Schon im Rahmen unserer Recherche hatte die Berliner Datenschutzbeauftragte Meike Kamp mitgeteilt, dass sie skeptisch ist, dass Firmen sich bei derart umfassenden und intransparenten Datensammlungen auf die Einwilligung der Betroffenen berufen können. Dies sei „aufgrund ihrer Komplexität und der großen Anzahl an Beteiligten kaum möglich“.
Die Bewertung der Rechtmäßigkeit von Geschäftspraktiken einzelner Unternehmen könne „indes erst nach einer Prüfung des jeweils konkreten Vorgehens einer verantwortlichen Stelle erfolgen“. Welche Vorgänge und Unternehmen in Berlin hierbei „in welchem Umfang einer solchen Einzelfallprüfung von Amts wegen unterzogen werden können, wird derzeit geprüft.“
Auch besonders geschützte Daten betroffen
In Hamburg haben zwei der von uns untersuchten Datenhändler ihren Sitz, darunter die Telekom-Tochter Emetriq. Eine Sprecherin der hanseatischen Datenschutzbehörde betont auf Anfrage, dass die Verarbeitung von Profilen von Einzelpersonen nicht generell gegen die Datenschutzgrundverordnung (DSGVO) verstoße. Jedoch würden die hohen Anforderungen an gültige Einwilligungen oft nicht erfüllt. „Daran, dass diese Standards hier eingehalten wurden, lassen die Unterlagen jedenfalls Zweifel aufkommen.“ Insbesondere, da es sich teilweise um mutmaßlich sensible Daten handele, die von der DSGVO besonders geschützt sind.
Insgesamt sei es unwahrscheinlich, „dass bei den gesetzlichen Anforderungen genügenden Einwilligungsmechanismen ein ähnlich großer und aussagekräftiger Datenschatz hätte entstehen können“, so die Sprecherin des Hamburger Datenschutzbeauftragten. Allerdings: Über die Hamburger Datenhändler seien bislang keine Bürgerbeschwerden bei der Behörde eingegangen. Man prüfe nun Handlungsoptionen auf Grundlage der Berichterstattung.
Auch in Baden-Württemberg sind einige der von uns untersuchten Firmen niedergelassen, darunter die ProSiebenSat1-Tochter Virtual Minds/The ADEX. Jan Wacke, der leitende Beamte beim dortigen Landesbeauftragten für Datenschutz sagt: „Der Leak zeigt, dass im Bereich der Online-Werbung sehr detaillierte Informationen über betroffene Personen gesammelt werden, die teilweise auch besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO wie Gesundheitsdaten darstellen.“ Es sei fraglich, so Wacke, ob jeweils eine wirksame Einwilligung oder eine andere Rechtsgrundlage vorliege. Seine Behörde werde prüfen, ob diese Geschäftspraktiken überhaupt mit der DSGVO vereinbar seien. „Aufgrund der Komplexität der Vorgänge wird diese Prüfung einige Zeit in Anspruch nehmen.“
In der Zwischenzeit rät der Datenschützer den Menschen, von ihrem Auskunftsrecht Gebrauch zu machen. „Die Verantwortlichen, also die datenverarbeitenden Unternehmen vom Anbieter der Webseite oder der App selbst bis hin zu den beteiligten Werbedienstleistern, müssen genaue Auskunft darüber geben, welche Daten sie über betreffende Personen verarbeiten, an wen diese weitergeben werden oder woher sie kommen.“ Darüber hinaus müssten diese auch eine Kopie der Daten bereitstellen. Wie genau sich dieses Recht einfordern lässt, haben wir bei netzpolitik.org in einem Tutorial beschrieben.
„Das ist der Atommüll der Digitalisierung“
Dass die Problematik des Datenhandels zu Werbezwecken nicht mit individuellem Datenschutz oder mit der Prüfung einzelner Unternehmen allein behoben werden kann, darauf weisen nach unserer Recherche Vertreter:innen der Zivilgesellschaft hin.
„Diese Recherche ist der Snowden-Moment der Online-Werbebranche“, sagt etwa Florian Glatzner vom Verbraucherzentrale Bundesverband. „Jetzt zeigt sich, dass die jahrelangen Warnungen vieler Forscher und zivilgesellschaftlicher Organisationen nicht unbegründet waren, sondern dass die gelebte Praxis sogar noch viel ungeheuerlicher ist.“ Es sollte in unserer Gesellschaft nicht akzeptabel sein, „Menschen nach ihren Schwächen in Klassen wie ‚fragile Senioren‘ einzuordnen und zu versuchen, sie dementsprechend zu beeinflussen“, so Glatzner. Das Beispiel zeige zudem, dass es zu kurz greife, das Problem der Online-Werbung auf „sensible Daten“ wie Gesundheitsdaten zu reduzieren. Vielmehr müsse jegliches Tracking und jegliche Profilbildung zu Werbezwecken verboten werden.
Überwachungsbasierte Werbung sei „kein netter Service, der uns allen nur die Werbung ausspielt, die uns wirklich interessiert“, kommentiert Rena Tangens vom Verein Digitalcourage. Die Recherche habe „sehr eindrücklich ein System entblößt, das zur Manipulation dient, indem es die Schwächen von Menschen gezielt ausnutzt und uns da packt, wo wir am verletzlichsten sind“. Den meisten Menschen sei nicht klar, dass ihre Daten an hunderte Firmen gesendet werden, wenn sie eine Website besuchen. Wer Tracker in seine Dienste einbaue, liefere seine Nutzer:innen diesem System aus.
„Diese Datenberge sind der Atommüll der Digitalisierung“, findet Benjamin Wolf vom Vorstand des Vereins Digitale Gesellschaft. Selbst wenn die Daten rechtmäßig verarbeitet und nicht missbraucht würden, „können Staaten und Unternehmen diese Daten noch Jahre später gegen uns einsetzen“, so Wolf. Die Systeme müssten deshalb „von Gerichten und Aufsichtsbehörden eingestampft und die Daten gelöscht werden“. Sowohl Wolf als auch Tangens fordern ein gänzliches Verbot von überwachungsbasierter Werbung.
Auch CDU-Politiker Reinhard Brandl und die Vorsitzende des Digitalausschusses Tabea Rößner bringen politische Lösungen ins Spiel. Brandl verweist auf die Verordnung über die Transparenz von politischer Werbung, über die die EU derzeit verhandelt. Sie ziele in Teilen auf den Schutz von vulnerablen Informationen und könne „somit eine Blaupause und ein Baustein für weitere politische Entwicklungen sein“.
Rößner wiederum verweist auf den Digital Services Act der EU, der Fortschritte wie das Verbot von personalisierter Werbung in Bezug auf Minderjährige oder sensible Daten bringe. Letztlich werde jedoch nur ein gänzliches „Verbot von Profilbildung das Problem an der Wurzel packen“, so Rößner. Gleichzeitig müsse sich der Werbemarkt weiterentwickeln und sich vom invasiven Tracking für zielgerichtete Werbung verabschieden. Stattdessen sollte er sich auf kontextbasierte Werbung ausrichten, bei der Anzeigen auf das Werbeumfeld zugeschnitten werden statt auf persönliche Profile – also etwa Werbung für Sportartikel auf Sportwebsites.
—-
Update am 20.06.2023: Statement des Verbraucherzentrale Bundesverband ergänzt.
Wird eh nichts passieren, weil die ordentlich Kohle haben.
Das nenne ich mal erfolgreichen Journalismus!
Den Datenschutzbehörden wünsche ich viel Erfolg in der Sache und gute mediale Begleitung.
Von der Politik wünschte ich mir, dass sie nun endlich ihr Hinterteil in die Höhe bewegen!
Die Zeit ist reif für Klagen gegen einzelne Werbetracker.
Fangen wir mit der Beweissicherung an!
Ich habe den Eindruck, dass viele große Medien nicht allzu kritisch über diese Themen berichten, weil sie auf ihren Webportalen selbst zu den eifrigsten Datensammlern gehören bzw. eng mit den Kraken und Werbetreibenden zusammenarbeiten.
Ich verweise in dem Zusammenhang auch auf die Studien von Prof. Leith:
https://www.scss.tcd.ie/doug.leith/pubs/apple_google2.pdf
https://www.scss.tcd.ie/doug.leith/Android_privacy_report.pdf
https://www.scss.tcd.ie/doug.leith/privacyofdialerandsmsapps.pdf
https://www.scss.tcd.ie/Doug.Leith/pubs/wisecfp034-liu.pdf
Ich frage mich, ob die dort beschriebenen Funktionalitäten der DSGVO entsprechen.
Selbst Schuld, wenn jemand an diesen Gewinnspielen teilnimmt. Auch dann, was sind die Daten Wert, ne Spam Mail?
Nezpolitik.org hat mit meinem Click auf diesen Artikel wertvollere Daten eingesammelt. Deswegen blocke ich jetzt Nezpolitik.org bei mir im Feed, bevor sie mich im Feed zuspammen ;-)
Mit deinem Kommentar hast du eindrücklich bewiesen das du absolut nichts verstanden hast.
Oder hast du sehr wohl verstanden und betreibst gezielte Desinformation um zu verharmlosen? Die Opfer sind mal wieder selber Schuld und das Problem sind nur Gewinnspiele und sonst nichts.
Also sag schon: Bist du doof oder bösartig? Glaubst du wirklich was du da sagst oder lügst du.