Werbe-TrackingSchicken deutsche Medien Daten von Nutzer:innen nach Russland?

Zwei Jahre nach Beginn des russischen Angriffskrieges auf die Ukraine listen hunderte deutscher Nachrichtenseiten Yandex als Werbepartner, vom Business Insider über RTL bis zur Frankfurter Rundschau. Der Tech-Konzern, einst als „Google Russlands“ gefeiert, steht inzwischen unter der Kontrolle des Kreml.

Ein Smartphone vor blau schimmerndem Hintergrund, darauf das Logo des Yandex-Konzerns
Hunderte deutscher Medien listen den russischen Tech-Konzern Yandex als Werbepartner – Alle Rechte vorbehalten Imago / SOPA Images

Haben deutsche Medienseiten Werbedaten ihrer Nutzer:innen an ein kremlnahes Konsortium geschickt? Das russische Tech-Unternehmen Yandex war bis vor kurzem als „Reseller“ bei zahlreichen deutschen Medien gelistet – eine Rolle, in der das Unternehmen theoretisch Zugriff auf Werbeflächen und auf sensible Daten der Nutzer:innen gehabt haben könnte. In Kooperation mit der Schweizer Journalistin Adrienne Fichter und dem tech-journalistischen Blog dnip.ch haben wir recherchiert, was an den Vorwürfen dran ist.

Yandex ist 1997 als Suchmaschine gestartet und galt lange als das Google Russlands. Wie beim großen Konkurrenten aus den USA kamen nach und nach immer mehr Geschäftszweige hinzu: ein Browser, E-Mail-Dienste, Navigation, Musik-Streaming, Cloud-Dienstleistungen und eine Taxi-App. Yandex ist ohne Frage der größte Tech-Konzern Russlands – und seit Beginn des russischen Angriffskrieges auf die Ukraine immer stärker unter die Kontrolle des Kremls geraten.

Schon seit einigen Jahren zeigt die Nachrichtensuche Yandex.News entsprechend staatlicher Vorgaben nur noch kremltreue Medien an, Suchanfragen werden laut Medienberichten zensiert. Schon 2019 gab die Kommunikationsaufsicht Roskomnadsor bekannt, dass der russische Geheimdienst FSB Zugriff auf verschlüsselte Kommunikation von Yandex-Nutzer:innen erhält. Nach dem russischen Einmarsch in die Ostukraine verboten mehrere östliche EU-Länder die Transport-App Yandex Taxi aus Sorge vor Spionage.

Zwar gehörte Unternehmensgründer Arkadi Wolosch zu den wenigen öffentlichen Kritikern der „Militärischen Spezialoperation“, wie der Ukrainekrieg in Russland genannt werden muss. Schon nach der völkerrechtswidrigen Annexion der Krim 2014 zog Wolosch nach Israel, die Mutterholding von Yandex hatte ihren Sitz lange in Amsterdam. Doch kürzlich musste er die Kontrolle über den Großteil seines Unternehmens aufgeben. Im Zuge einer erzwungenen Aufspaltung hat ein kremlnahes Konsortium das Kerngeschäft von Yandex übernommen. Geführt wird der Konzern nun vom ehemaligen russischen Finanzminister Alexej Kudrin.

Von Springer bis zum Neuen Deutschland

Wie Google macht auch Yandex den Großteil seiner Einnahmen mit Online-Werbung. Lange war der Konzern fest in das internationale Adtech-Ökosystem integriert, das änderte der Krieg. Eigentlich. Denn wie der Schweizer Experte für Online-Werbe-Betrug Michael Maurantonio herausgefunden hat, führen tausende Websites, darunter auch zahlreiche deutsche Medien-Websites, Yandex weiter als Vermarktungspartner, darunter reichweitenstarke Medien wie der zu Springer gehörende Business Insider, die Frankfurter Rundschau, der Stern, RTL, die Berliner Zeitung oder das Philosophie Magazin. Die Medien decken das gesamte politische Spektrum ab, vom linken „nd“ bis zum rechtspopulistischen Blogger Boris Reitschuster.

Zu finden ist die Information über die Werbepartnerschaft in den ads.txt-Dateien der Nachrichtenseiten. Dies ist ein Branchenstandard für spezielle Infoseiten, die viele Websites veröffentlichen, um im undurchsichtigen Ökosystem der Online-Werbung Klarheit über Vermarktungspartnerschaften zu schaffen und Werbebetrug zu unterbinden. Hier geben sie maschinenlesbar an, wer berechtigt ist, ihre Werbeflächen zu verkaufen. Wer hier nicht gelistet ist, darf keine Werbeplätze für die Seite vermarkten – wer gelistet ist, eigentlich schon.

Wie so eine ads.txt-Datei aussieht, kann man sich am Beispiel des Philosophie Magazins ansehen: Auf philomag.de/ads.txt wird Yandex auch Wochen nach unserer Presseanfrage noch als direkter Werbepartner aufgeführt. Bei vielen anderen deutschen Medien ist Yandex bis zu unserer Presseanfrage als sogenannter Reseller gelistet. Das sind spezialisierte Werbedienstleister, die keine direkte Geschäftsbeziehung zu den Websites haben, sondern deren Werbeinventar, also die Werbeflächen auf der Website, bei anderen Anbietern einkaufen und weitervermarkten. Reseller haben nicht nur Zugriff auf die Werbeflächen auf den Websites, sondern auch auf die Daten von Nutzer:innen.

Onlinewerbung als Goldgrube für Geheimdienste

Schon seit geraumer Zeit warnen Forscher:innen und Aktivist:innen davor, dass die ausufernden Datensammlungen des digitalen Werbeökosystems eine Goldgrube für Geheimdienste sind. Denn damit Werbeanzeigen auf Zielgruppen zugeschnitten werden können, sammeln die beteiligten Firmen riesige Mengen Daten über die Online- und Offline-Aktivität von Menschen und schicken Informationen an ein undurchsichtiges Netzerk tausender Unternehmen.

Wann immer eine Person eine Website oder App nutzt, die Targeted Advertising ermöglicht, findet eine automatisierte Auktion statt, das sogenannte Real-Time-Bidding (RTB). Innerhalb weniger Millisekunden werden in einem Zusammenspiel mehrerer Plattformen die Nutzer:innen von Websites und Apps erkannt und anhand ihrer Eigenschaften als Zielgruppe ausgewiesen. Noch bevor die Website oder App geladen hat, wird der Werbeplatz unter allen Firmen versteigert, die diesen Personen eine Anzeige ausspielen wollen. Bei jeder Auktion werden RTB-Daten der Nutzer:innen an tausende Firmen übertragen. Dazu zählen etwa Kenn-Nummern, Aufenthaltsorte und Uhrzeiten.

Auch wenn dabei keine Klarnamen oder direkt identifizierenden Informationen gehandelt werden, sind dies Daten, die es Geheimdiensten ermöglichen können, die Personen zu identifizieren. Möglich ist das Ausnutzen von Online-Werbung, weil es kaum Kontrollen gibt, wohin die Daten fließen und wer an den Auktionen teilnimmt. Auch Google als wichtige Schnittstelle des digitalen Werbeökosystems steht deshalb in der Kritik. Dass die Nutzung solcher Daten durch den Sicherheitsapparat nicht nur Theorie ist, zeigten zuletzt mehrere Recherchen über die Advertising-Intelligence-Branche.

Laut eigenen Angaben erstellte etwa die israelische Firma ISA Security mit ihrem Werkzeug Patternz in den letzten fünf Jahren mithilfe von RTB-Daten fünf Milliarden Nutzer:innenprofile. Die Datensätze würden unter anderem die GPS-Daten der Zielpersonen und sogar Informationen über ihre Kinder enthalten, berichtete etwa 404Media. Zuvor hatte die israelische Zeitung Haaretz in einem umfassenden Insider-Bericht ($) aus der Branche aufgedeckt, dass einige Akteure das Ökosystem der Online-Werbung bereits lange infiltriert haben. Der Zeitung zufolge nutzen sie es nicht nur für das Ausspionieren von Zielpersonen sondern auch für das Ausspielen von Schadsoftware.

“Zu keinem Zeitpunkt Daten übermittelt“

Es verwundert deshalb, dass mehr als zwei Jahre nach Beginn des russischen Angriffskrieges auf die Ukraine zahlreiche reichweitenstarke Medien weiterhin einen Tech-Konzern unter Kontrolle des Kreml als Werbepartner listen. Auf unsere Nachfrage verweisen mehrere Medien auf einen Fehler, den sie in der Zwischenzeit behoben haben wollen. Schuld seien demnach Dienstleister, mit denen sie bei der Vermarktung ihrer Werbeflächen zusammenarbeiten.

Eine Sprecherin des Axel-Springer-Verlages, dessen Seite Business Insider Deutschland Yandex gelistet hatte, betont, man arbeite bei der Werbevermarktung „mit renommierten Partnern“ zusammen, die in Absprache mit dem Konzern koordinieren würden, wer Zugriffe auf Werbeflächen erhalte. „Natürlich gibt es strikte Kriterien, die eingehalten werden müssen und diese prüfen wir regelmäßig im Austausch mit den Partnern.“ Warum Yandex 2024 dann immer noch als Reseller gelistet war? Darauf erhalten wir keine Antwort. Aber die Zusicherung: „Zu keinem Zeitpunkt wurde Werbeinventar von Business Insider Deutschland durch Yandex vermarktet oder Daten übermittelt.“

„Wir selbst haben nie direkt mit Yandex zusammengearbeitet“, sagt auch ein Sprecher der zum Verlagshaus Ippen gehörenden Frankfurter Rundschau. Es habe in der Vergangenheit allerdings einen „Kunden unseres Werbevermarkters“ gegeben, der mit Yandex zusammengearbeitet habe, deshalb sei dieses für RTB-Auktionen freigeschaltet worden. „Es ist aber nie zu aktiven Geboten gekommen und im Rahmen des Angriffs Russlands auf die Ukraine hat der Kunde unseres Vermarkters dann die Zusammenarbeit mit Yandex ganz eingestellt.“ Die Aktualisierung des ads-txt-Eintrages habe man vergessen.

Auch ein Sprecher von Funke Medien, dessen Medium futurezone.de Yandex als Reseller gelistet hatte, verweist auf einen Dienstleister als Schuldigen: „Yandex ist durch den Einsatz des Tools APESTER in unsere Ads.txt aufgenommen worden. Bei der Integration von Apester handelt es sich um ein Gamifikation Tools zur Durchführung von Quizzes und Umfragen. Die Vermarktung innerhalb des Tools kommt durch Apester und auf diesem Wege stellt der Anbieter ihre notwendigen Einträge in die ads.txt zur Verfügung.“ Eine Zusammenarbeit von Apester mit Yandex sei aber nie realisiert worden. „Demnach hat via Yandex auch keinerlei Datenkommunikation via Apester auf das Intenvar der FUNKE Mediengruppe stattgefunden.“

Schweizer Medien sendeten monatelang Tracking-Daten nach Russland

Auch zahlreiche Medien aus der zum Bertelsmann gehörenden RTL-Gruppe hatten Yandex als Reseller gelistet, etwa stern.de, geo.de, rtl2.de oder capital.de. „Bei einem unserer Partner war Yandex bisher noch als möglicher Dritt-Partner gelistet, wodurch der Eintrag in der ads.txt entstanden ist“, erklärt eine RTL-Sprecherin. „Nach Rücksprache mit dem Partner hat dieser bestätigt, dass eine Anbindung/Aktivierung von Yandex niemals erfolgt ist. Dementsprechend wurden über diesen Weg weder Erlöse erzielt noch Traffic in Richtung von Yandex geschickt.“

Die RTL-Sprecherin weist zudem darauf hin, dass die Branchenorganisation IAB Yandex bereits im März 2022 aus der Liste der Werbehändler entfernt habe, die mit Branchenstandard TCF arbeiten können. „Damit sind sie grundsätzlich kein Vendor, der im Rahmen eines unter dem TCF erhobenen Consents personenbezogene Daten verarbeiten darf.“

Dass das kein Grund zur Entwarnung sein muss, hatte allerdings die Tech-Journalistin Adrienne Fichter kürzlich mit Blick auf Schweizer Medien vorgeführt: Diese hatten das TCF-Update mit großer Verzögerung ausgespielt und deshalb monatelang Daten ihrer Leser:innen an Yandex übermittelt.

Die RTL-Sprecherin betont allerdings, dass das Unternehmen im Februar und März 2022 auch eigenständig die Vendorenliste auf Unternehmen Verbindungen zum russischen Staat untersucht habe. „Bereits zu diesem Zeitpunkt war Yandex bei uns kein registrierter Vendor. Demnach gab es bei uns für Yandex zu keiner Zeit eine Freigabe zur Verarbeitung personenbezogener Daten im Rahmen des RTB.“

Verlage sollten besser aufräumen

Also alles gut? Einfach nur ein Eintrag in einer Liste, der nicht aktualisiert wurde und bei dem keine Daten geflossen sind? Dass versichern jedenfalls die Medien, die uns geantwortet haben. Keine Antwort erhielten wir von der Berliner Zeitung und vom Philosophie Magazin.

Der AdTech-Experte Zech Edwards warnt jedoch davor, das Thema auf die leichte Schulter zu nehmen. Edwards findet in einer eigenen Analyse sogar knapp 1.000 deutsche Websites, die Yandex als Reseller listen. Und er betont: Yandex‘ Desintegration aus dem internationalen Ökosystem der Online-Werbung sei kein Prozess, der allein vom Westen ausgegangen ist. „Yandex selbst hat seine Partnerlisten in den letzten Jahren bereinigt und scheint seine Liste nach dem Verkauf an russische Interessen weiter verfeinert zu haben.“

Dass deutsche Medien derzeit keine Daten und Profite in Richtung Russland schicken, liege vor allem daran, dass Yandex die ehemaligen Partner von seiner Sellers.json-Liste entfernt habe. In der Sellers.json-Datei von Yandex gebe es derzeit nur noch 177 Publisher, früher seien es Zehntausende gewesen. „Aber zu irgendeinem Zeitpunkt in der Zukunft, wenn Yandex die accountIDs der ehemaligen Partner wieder in ihre Datei hinzufügt, ist es wahrscheinlich, dass einige der früheren Ad-Tech-Ströme wieder angeschaltet werden. Yandex würde dann beginnen, Daten und Geld von den gleichen Websites zu erhalten.“

Der AdTech-Experte hat deshalb eine klare Forderung: „Alle Publisher, die über nicht mehr gültige AccountIDs verfügen, sollten diese aus ihren ads.txt-Datensätzen entfernen, vor allem, wenn diese AccountIDs einem Unternehmen wie Yandex gehören, das einen Eigentümerwechsel hin zu russischen Interessen, die Putin nahe stehen, vollzogen hat und dem man heute weniger vertrauen kann als je zuvor.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

20 Ergänzungen

  1. Yandex genießt in gewissen Kreisen noch immer höheres Vertrauen als andere Dienstleister. Ob es schlicht Dummheit ist oder welches Kalkül dahinter steckt, wäre im Einzelfall zu betrachten.

    Betriebswirtschaftliche Kosten/Nutzen-Rechnungen sind jedoch meist von einer bräsigen Ignoranz und moralischer Absenz geprägt, die ein Denken über die Portokasse hinaus schlicht verhindert.

    1. Pragmatisch wäre vielleicht der Ansatz, sich daran zu orientieren, wer was zensiert bzw. blockiert wird und jew. was automatisiert verfolgt wird. So könnte man in gewissen Kontexten darauf kommen, eine bestimmte Maschine bei bestimmten Themen (mit) zu benutzen. Einiges an Propaganda lässt sich mitunter filtern, wenn wehgetan werden soll, im günstigen Falle mit Fakten, die hier irgendwie nicht durch den Filter kommen. Ich glaube da speziell bei den Russen nicht dran, die haben auch nicht auf Informieren der Welt gesetzt, sondern massiv auf Manipulation. Also wonach würde ich da suchen? Vielleicht nach Milbloggern?

  2. Auch ohne Russland und China dürfte es genügend Bestrebungen nach Überwachung, Tracking und Verwertung der gesammelten Daten geben. Beispiele:

    1. Smartphone-Tracking: Wie Daten von kommerziellen Apps an den Staat gelangen
    https://netzpolitik.org/2020/smartphone-tracking-wie-daten-von-kommerziellen-apps-an-den-staat-gelangen/

    2. Schleppnetz-Anfragen: US-Behörden wollen immer mehr Standortdaten von Google
    https://netzpolitik.org/2021/schleppnetz-anfragen-us-behoerden-wollen-immer-mehr-standortdaten-von-google/#comments

    3. Web Environment Integrity
    Googles Generalangriff auf das freie Internet
    Google hat mit „Web Environment Integrity” (WEI) eine Art Browserkontrolle vorgeschlagen und sofort in Chrome/Chromium eingebaut.
    https://digitalcourage.de/blog/2023/google-web-environment-integrity

    Erläuterungen hier:

    Sicher surfen ohne Tracking und Werbung
    Beim Surfen sind wir nie allein. Unzählige Tracker schauen uns permanent über die Schulter. Hier erfahren Sie was Tracking ist und wie Sie es unterbinden.
    https://digitalcourage.de/digitale-selbstverteidigung/sicher-surfen-ohne-tracking

  3. Da braucht es doch mal auch gesetzliche Regeln durch die EU. Also das keine Werbe und Tracking Daten an Diktatorische Regimes wie Russland, China oder dem Iran übertragen werden dürfen. Mit hohen Strafandrohungen. Anders werden es manche Website und kommerz APP Betreiber nicht verstehen.

    Da haben wir diese Bürrokratische DSGVO aber die schützt uns nicht davor von Diktaturen ausspioniert zu werden. Das ist alles so absurd irgendwie das man es kaum glauben will.

    1. Mit »freiwilliger« Zustimmung lässt sich die DSGVO weitgehend aushebeln. Und die Benutzer:innen sind ja jahrelang konditioniert worden, Cookiebannern zuzustimmen.

  4. Gäbe es keine Werbung im Internet hätten wir ein paar Probleme weniger.

    Hoch lebe die digitale Selbstverteidigung,
    denn sie wirkt nicht erst, wenn andere vielleicht etwas erreicht haben.

      1. Als anerkannter Gutachter bestätige ich hiermit, dass die Datei https://netzpolitik.org/ads.txt am 21.05.2024 um 21:13 CEST mit folgendem Inhalt abrufbar war:

        amazon-adsystem.com, 3030, DIRECT
        appnexus.com, 3661, DIRECT
        google.com, pub-4177862836555934, DIRECT
        google.com, pub-9542126426993714, DIRECT
        indexexchange.com, 184733, DIRECT
        liveintent.com, 130, DIRECT
        openx.com, 537145107, DIRECT
        openx.com, 539936340, DIRECT
        openx.com, 539052954, DIRECT
        openx.com, 544071378, DIRECT, 6a698e2ec38604c6
        rubiconproject.com, 12330, DIRECT
        rubiconproject.com, 17470, DIRECT
        triplelift.com, 746, DIRECT
        pubmatic.com, 158573, DIRECT, 5d62403b186f2ace
        pubmatic.com, 158945, DIRECT, 5d62403b186f2ace
        pubmatic.com, 163427, DIRECT, 5d62403b186f2ace
        media.net, 8CU2553YN, DIRECT
        media.net, 8CU83M88N, DIRECT
        Media.net, 8CU4XCJ1B, DIRECT #OB
        yahoo.com, 55861, DIRECT, e1a5b5b6e3255540
        google.com, pub-1793726897772453, DIRECT, f08c47fec0942fa0
        aps.amazon.com, 3030, DIRECT
        indexexchange.com, 196165, DIRECT, 50b1c356f2c5c8fc
        indexexchange.com, 205938, DIRECT, 50b1c356f2c5c8fc
        adswizz.com, nytimes, DIRECT
        triplelift.com, 746-EB, DIRECT, 6c33edb13117fd86
        liveintent.com, 74445, DIRECT

        Falls erforderlich werde ich dies bei der nächsten NP-Konferenz unter Eid bestätigen.

        Und nun die „Blogger-Ehre“ betreffend bezügl. Hinweisen „in eigener Sache“:

        Der Einzeiler „Ich wüsste nicht, dass es das gibt?!“ ist nach dem Verschwinden der Datei ein Versuch der Vernebelung, mit dem Nebeneffekt den/die Hinweisgeber:in zu diskreditieren, anstatt sich gebührlich zu bedanken und zu erklären, dass man die Datei nun entfernt hat.

        1. Also: Hier hat weder jemand eine ads.txt für netzpolitik.org angelegt, noch gelöscht. Auf netzpolitik.org gibt es seit ca. 10 Jahren keine Werbung und das bisschen Werbung, das hier damals geschaltet wurde, wurde händisch gebucht, nicht programmatisch. Was auch immer du gesehen hast: Es war keine ads.txt von dieser Seite. Wenn du dich überzeugen möchtest, hier ein Blick ins Archiv: https://web.archive.org/web/20210517234158/https://netzpolitik.org/ads.txt

  5. Folgende sites haben „yandex“ in ihrer /ads.txt Datei:

    http://www.tutorialspoint.com
    augengeradeaus.net
    http://www.haaretz.com
    securityconference.org
    tier-im-garten.de
    dictionary.cambridge.org
    towardsdatascience.com
    http://www.sqlitetutorial.net
    http://www.tutorialsteacher.com
    yle.fi
    http://www.thenationalnews.com
    http://www.geeksforgeeks.org
    http://www.dw.com
    de.wiktionary.org
    http://www.pythontutorial.net
    http://www.w3schools.com
    http://www.postgresqltutorial.com
    http://www.bsdforen.de
    thediplomat.com
    http://www.rki.de
    de.wikipedia.org

  6. Hab mir mal ein paar ads.txt von gängigen sites angesehen. Die größten Exemplare waren bis zu 137K groß. Gleich drei von den größten waren identisch, und zwar von:

    http://www.zdf.de
    lamscience.com
    http://www.understandingwar.org

    Diese drei haben auch den identischen Fehler (fehlendes Komma hinter ‚.com‘) in der 5. Zeile:
    5:indexexchange.com194527,reseller,50b1c356f2c5c8fc

    Die domain names in ads.txt lassen sich prima zur Erstellung von DNS-Blocking-Listen verwenden.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.