Die Werbebranche weist Menschen Kategorien zu, um ihnen personenbezogene Werbung anzuzeigen. Ein bedeutender Akteur in diesem Markt ist Xandr, eine Plattform von Microsoft für Online-Werbung, die inzwischen einen anderen Namen hat. Im vergangenen Jahr enthüllte netzpolitik.org, welche Schubladen sich im Portfolio von Xandr befanden – von „Black Lives Matters Supporter“ bis „Moms who shop like crazy“. Auch das US-Medium „The Markup“ berichtete.
Datenschutzbehörden waren von der Recherche alarmiert und hatten angekündigt, die Tätigkeiten von Xandr und vieler weiterer Unternehmen zu prüfen. Die Datenschutzorganisation noyb nahm unsere Recherche zum Anlass für eigene Untersuchungen. Nun macht sie weiter Druck und hat bei der italienischen Datenschutzbehörde eine Beschwerde eingereicht.
Noyb kritisiert vor allem: Auch wenn die Werbekonzerne viel über uns zu wissen glauben, sie selbst geben nur ungern etwas über ihre Praktiken preis. So versuchte der italienische Beschwerdeführer, eine Auskunft von Xandr über die zu ihm gespeicherten Daten zu erhalten und diese löschen zu lassen. Das steht ihm nach den Artikeln 15 und 17 der Datenschutzgrundverordnung zu.
Keine Auskunft, keine Löschung
Aber Xandr lehnte die Auskunfts- und Löschersuchen ab, und das ist offenbar kein Einzelfall. Wie das Unternehmen selbst auf einer Website verzeichnet, hat es 2022 alle 1294 von 1294 Auskunftsersuchen abgelehnt. Ebenso wie alle 660 Löschanträge. Xandrs Begründung: Man habe die Identität der Antragstellenden nicht verifizieren können.
Noyb hält das für vorgeschoben. Der Anwalt Massimiliano Gelmi sagt dazu: „Xandrs Geschäft basiert offensichtlich darauf, die Daten von Millionen Europäer:innen zu speichern und sie gezielt anzusprechen.“ Dennoch gebe man zu, keinerlei Auskunfts- und Löschanfragen zu beantworten. Gelmi findet es „erstaunlich“, dass Xandr öffentlich zugänglich demonstriere, wie es gegen die DSGVO verstoße.
Das sind 650.000 Kategorien, in die uns die Online-Werbeindustrie einsortiert
Über einen Datenzulieferer von Xandr bekam der Beschwerdeführer dann aber doch eine Ahnung, in welchen Kategorien er einsortiert wurde. Nach langwierigen Anfragen bei rund 90 Partnern von Xandr erhielt er eine aussagekräftige Antwort: eine Liste mit 200 Werbe-Segmenten, in denen er gelandet war. Und die waren überraschend widersprüchlich: Er wurde unter anderem ebenso als männlich und weiblich eingestuft, als Student, arbeitssuchend und erwerbstätig.
Was erhofft sich noyb vom Ausgang der Beschwerde? Dass die italienische Datenschutzbehörde Xandr anweist, „seine Prozesse mit den Grundsätzen der Datenminimierung und -richtigkeit in Einklang zu bringen“. Außerdem schlägt noyb der Behörde vor, eine „wirksame, verhältnismäßige und abschreckende Geldbuße von bis zu 4 Prozent des Jahresumsatzes von Xandr zu verhängen“.
Bis sich zeigt, ob die Beschwerde erfolgreich ist, wird noch einige Zeit vergehen. Standardmäßig hat die Datenschutzbehörde nun neun Monate Zeit, den Fall zu prüfen und zu entscheiden.
„Werbedatenplattform Xandr wollten Datenschutzbehörden deren Praktiken untersuchen“
Und wie verhält sich das, wenn sich nun unter der gleichen Online-Kennung auf einer Seite registriert, wo alle persönliche Daten stehen?
Wer hat alles Zugriff auf solche Listen, lässt sich das nachvollziehen?
Es gibt ja etliche Werbeplattformen, die genauso arbeiten und viel sammeln.
Ich bin gespannt, was dabei rumkommt. Erschreckend.
„Und wie verhält sich das, wenn sich nun unter der gleichen Online-Kennung auf einer Seite registriert, wo alle persönliche Daten stehen? “
Was heißt das?
Nachtrag:
Ich möchte nochmal hinzufügen, dass auch das Verhalten der Geschlechter nachvollzogen werden kann! Das wird nicht mehr nur für Werbezwecke genutzt, sondern in falsche Hände gelangt, werden auch Konzepte erarbeitet, die auf primitive Triebe der Menschen, Frauen wie Männer, anspringen. Vor allem aber auch immer mehr Frauen.
> Xandr verweigert jede Datenauskunft
Die Firma gilt als gelöscht. Wie kann man da eine Antwort erwarten?
„Xandrs Begründung: Man habe die Identität der Antragstellenden nicht verifizieren können.“
Ein weiteres „modernes“ Dilemma. Aufgelöst wurde bisher zumeißt so: Postgeheimnis und Freiheitsrechte NEIN, Unternehmen machen irgendwas [Strategisches, gegen uns als Gesellschaft und Staatsform Gerichtetes] mit Daten JA LASSEN WIR SIE MAL MACHEN.
So fühlt sich das an
„Aber XXX lehnte die Auskunfts- und Löschersuchen ab, und das ist offenbar kein Einzelfall.“
ACH? KEIN Einzelfall. Das kann auf so ziemlich viele Unternehmen angewendet werden. Selbst wenn man als Anwender Logdateien und Rohdaten extrahiert die eindeutig belegen welche Daten abgezogen werden an jeweilige Firma mit Auskunftsgesuch/Löschung schickt verweigern egal ob einzelne Entwickler oder Großkonzerne die Auskunft. Es ist auch egal, ob es Datenschutzrichtlinien auf einer Webseite zu lesen oder Kontaktinformationen gibt. Kunden werden nachweislich im großen Stil belogen wenn es um Daten geht, es wird vertuscht, gedroht, diskreditiert und sich dumm gestellt. Anfragen ignoriert.
Kurz: DSGVO ist ein zahnloser Papiertiger der nicht ernst genommen wird. Wozu auch? Die meisten Unternehmen haben ihren Sitz außerhalb der EU und selbst wenn sie sich innerhalb befinden sollten, ist es keine Seltenheit. Konsequenzen? Gibt es keine Nennenswerten.
Das ist leider die Realität