Spionierende Werbung: Datei mit 650.000 Zielgruppen-Segmenten aufgetaucht

Eine fast 25 Megabyte ausmachende Excel-Datei, die auf einem öffentlichen Webserver lagerte, ermöglicht einen tiefen Einblick in den globalen Datenhandel für Online-Werbung und in die Praktiken der AdTech-Branche. Es handelt sich dabei um eine Angebotsliste des US-Werbenetzwerks Xandr, das Microsoft Anfang 2022 für angeblich rund eine Milliarde US-Dollar gekauft hat. Das Dokument von einem der größten Datenmarktplätze der Werbewelt umfasst über 650.000 Zeilen und darin beschriebene Zielgruppensegmente, die eine personalisierte Ansprache von Online-Nutzern zulassen sollen.

Tausende von Zeilen in dem Dokument weisen auf brisante Zielgruppenbeschreibungen hin. In ihnen enthalten sind quasi alle Kategorien, die laut der Datenschutz-Grundverordnung (DSGVO) als besonders sensibel gelten. Also etwa Informationen über medizin- und gesundheitsbezogene Themen, ethnische Zugehörigkeit, politische Überzeugungen und psychologische Profile. Beispielsweise können Werbetreibende etwa gezielt Personen ansprechen, die oft Kits für Schwangerschaftstest kaufen, sich für Gehirntumoren interessieren, anfällig für Depressionen sind, bestimmte Gotteshäuser besuchen oder sich "leicht entmutigt" fühlen.

Auch sensible Daten enthalten

Entdeckt hat die Liste der Leiter des unabhängigen Wiener Forschungsinstituts Cracked Labs, Wolfie Christl. Er hat sie dem Portal Netzpolitik.org sowie dem US-Magazin "The Markup" zur Verfügung gestellt. Renommierte Milliardenkonzerne und kleine Firmen auch aus Deutschland "durchleuchten heimlich unser Alltagsverhalten, sortieren uns in tausend Kategorien und bieten die Daten über eine US-Datenhandelsfirma an, die nun zu Microsoft gehört", fasst der Experte selbst seine Erkenntnisse zusammen. Es sei ein Skandal, dass dieser unkontrollierte Handel mit Informationen über persönliche Eigenschaften und Verhaltensweisen fünf Jahre nach dem Greifen der DSGVO immer noch stattfinde.

Xandr habe offenbar "nicht die geringsten Maßnahmen ergriffen, um zumindest die sensibelsten Daten von seinem Marktplatz auszuschließen", moniert der Österreicher. "Kein Mensch kann damit rechnen, dass alle Informationen über das eigene Verhalten bei hunderten Firmen landen." Christl spricht von einer "Verletzung der kontextuellen Integrität" und einem Verlust der informationellen Selbstbestimmung. Werbefirmen nutzten das Wissen über die Nutzer, "um uns zu manipulieren und unser Verhalten zu formen".

Dokument inzwischen entfernt

Jedes der hunderttausenden Segmente enthält eine separate Liste mit digitalen Identifikationscodes, denen bestimmte Eigenschaften zugeschrieben werden. Dazu gehören etwa demografische Merkmale, Interessen, Konsumverhalten oder Charaktereigenschaften. Auch Informationen darüber, welche Apps und Webseiten Menschen nutzen, welche Orte sie besuchen oder Einschätzungen ihrer sexuellen Orientierung landen in den Beschreibungen. Auch Hinweise für die gezielte Ansprache von Minderjährigen finden sich in der Datei. Die Microsoft-Tochter hat das auf Mai 2021 datierte Dokument inzwischen von ihrer Webseite entfernt. Über das Internet Archive findet sich aber noch eine dort eingelagerte Version der Seite und der Datei.

Angaben zu einzelnen Verbrauchern enthält die Liste nicht, aber etwa eine Anbieter- und eine Segment-ID. Einige der Zielgruppenbeschreibungen enthalten Anweisungen, sie nur bis zu einem bestimmten Datum oder etwa nicht in US-Staaten mit restriktiven Datenschutzgesetzen zu verwenden. Angeführt sind 93 Datenlieferanten, darunter bekannte IT-Konzerne wie Oracle, der mit mehr als 200.000 Segmenten auftaucht und nach eigenen Angaben Daten über mehr als fünf Milliarden Personen gesammelt hat, der Standortdatenhändler Foursquare (Factual) und der Datendienstleister "Acxiom". Aus Deutschland sind die Online-Werbefirmen Adsquare, Emtriq und die ProSiebenSat.1-Tochter "The Adex" vertreten. Berichten zufolge arbeiten unter anderem Axel Springer und Burda mit Xandr.

Das Bundeskartellamt beschrieb "Programmatic Advertising"gerade als weitgehend undurchsichtiges, hochkomplexes "System des automatisierten Handels mit Online-Werbeplätzen". Die Behörde warnt vorm "gläsernen Internetnutzer". Personalisierte Werbung im Netz verstoße "gegen praktisch alle geltenden Datenschutzprinzipien", meint auch der frühere Kontrolleur Thilo Weichert. Bei den Verhandlungen über den Digital Services Act (DSA) drängten etwa eine fraktionsübergreifende Koalition von EU-Abgeordneten und Bürgerrechtler auf ein weitgehendes Verbot von "spionierender Werbung" mit Microtargeting. So weit gingen die Gesetzgeber zwar nicht. Sie untersagten aber die Profilbildung zu Zwecken gezielter Werbung auf Basis besonders sensibler Daten auf Plattformen mit Nutzerinhalten. Informationen über Minderjährige dürfen nicht mehr für personalisierte Reklame verwendet werden.

(mack)