Über personalisierte Werbung auf 37C3: Container mit Ansichten von Personen

Die AdTech-Branche hat sich nicht nur zu einer 650 Milliarden US-Dollar schweren Industrie entwickelt, sondern auch zu einer "unsichtbaren Macht", meinen die Datenjournalisten Ingo Dachwitz und Sebastian Meineck vom Portal Netzpolitik.org. Die Unternehmen der Online-Werbebranche setzten technische Standards, beeinflussten die Gestaltung von Nachrichtenseiten und sozialen Netzwerken und prägten die Sicht vieler Nutzer auf die Welt. Zu diesem Urteil kamen die beiden, nachdem sie eine fast 25 Megabyte große Excel-Datei des seit 2022 zu Microsoft gehörenden US-Werbenetzwerks Xandr analysiert hatten.

Über das "verteilte Überwachungssystem" werde "jede kleine Regung", jeder "Charakterzug von uns in vermarktbare Form" gebracht, erklärte Dachwitz am Mittwoch auf dem 37. Chaos Communication Congress (37C3) in Hamburg. Betreiber von Apps, Webseiten, aller smarten Geräte, Bonusprogrammen, Kreditkarten- und Zahlungsdienste wie Mastercard sowie Anbieter von Umfragen und Gewinnspielen lieferten personenbezogene Daten inklusive Cookie-IDs und einer mobilen Anzeigenkennung (MAID) an Data Broker. Diese legten "große Container für Menschen" an, "die gleiche Eigenschaften haben" Daraus erstellten sie einzelne Segmente, die Werbekunden etwa über Auktionsplattformen mit Real Time Bidding nutzen und gezielte Anzeigen buchen könnten.

Die mittlerweile zusammen mit weiterem Recherchematerial auf Github veröffentlichte Xandr-Liste enthält über 650.000 Zeilen und darin beschriebene Zielgruppensegmente. Als "Lieblings-Kategorien" bezeichnete Meineck etwa "Mütter, die wie verrückt shoppen", "leidenschaftliche Liebhaber", vermutliche "Loser" mit der Grundhaltung: "Ich komme immer zu kurz" oder "fragile Senioren". Um die Liste greifbarer zu machen, sind diese nach EU-Länderkürzeln und Stichworten wie LGBTQ gefiltert worden. Herausgekommen seien "rund 1900 äußerst bedenkliche Segmente", etwa mit Bezug auf Religion, Kinder, persönliche Schwächen, Gesundheit, politische Ansichten und Finanzstärke.

Leicht aktivierbare Käufer

Die angeschriebenen Datenbroker haben laut Meineck erklärt, dass die Segmente nicht personenbezogen seien, sämtliche Anschuldigungen über potenzielle Datenschutzverstöße würden zurückgewiesen, Microsoft selbst habe erst nach Wochen erklärt, dass die Datei veraltet sei und keine aktuellen Rückschlüsse zulasse. Gegenüber Werbekunden stellten die Netzwerkbetreiber dagegen auf eine "personalisierte Werbung mit Riesendatenbanken im Hintergrund", präzise Zielgruppe und so leicht aktivierbare Käufer ab.

Die Branche betreibe ein "vielschichtiges Hütchenspiel", erläuterte Meineck. Angeblich würden Daten mit der Zeit gelöscht, gleichzeitig kämen über die Partner ständig neue rein. Broker wechselten ihre Namen und Besitzer, sodass kaum ein Beobachter mehr durchblicken könne. Bekannt ist Dachwitz zufolge, dass neben den Google und Meta auch deutsche Firmen wie Adsquare, The Adex (ProSiebenSat.1), Emetriq (Deutsche Telekom) und Zeotap eine wichtige Rolle spielten. Bei den Zulieferern weise etwa allein wetteronline.de auf seiner Datenschutzseite inzwischen 1472 Einträge belieferter Datenhändler aus. Wie genau sich ein Segment zusammensetze und welche Informationen direkt einflössen, habe noch keiner der Broker ausgeführt.

Dachwitz sieht im AdTech-System einen informationellen Kontrollverlust, es würden Schwächen etwa von Spielsüchtigen ausgenutzt oder Menschen etwa bei Jobanzeigen diskriminiert. Auch die Gefahr politischer Manipulation sei groß, was unmittelbar auch die IT-Security oder die nationale Sicherheit gefährden könnte. Berichten zufolge diene gezielte Werbung als "Super-Honeypot" für Polizei, Militär und Geheimdienste. Über Werbebanner würden sogar Staatstrojaner ausgespielt.

Informierte Einwilligung kaum möglich

Die Berliner Datenschutzbeauftragte Meike Kamp beklagt, dass beim Sammeln von Informationen für personalisierte Reklame die Auswirkungen der individuellen Entscheidungen oft nicht abschätzbar seien. Die von der Datenschutz-Grundverordnung (DSGVO) geforderte tatsächlich selbstbestimmte und informierte Einwilligung werde so praktisch unmöglich. Den Werbenetzwerken zufolge seien die Zulieferer dafür zuständig.

Der Branche ließen sich etwa über Auskunftsanfragen nach Artikel 15 DSGVO, den Einsatz von Adblockern in Browsern oder das Zurücksetzen der MAID zwar "Nadelstiche" zufügen, erläuterte Dachwitz. Mehrere Datenschutzbeauftragte führten zudem Kontrollen durch. Letztlich sei das System als Ganzes aber "durch und durch kaputt". Seine Forderung lautet daher: "Targeted Advertising muss weg." Als Alternative biete sich kontextbasierte Werbung etwa über die Ansprache von Lesern von Sportnachrichten an, was viele Jahrzehnte gut funktioniert habe. Bei den Verhandlungen über den Digital Services Act (DSA) drängten eine fraktionsübergreifende Koalition von EU-Abgeordneten und Bürgerrechtler auf ein Verbot von "spionierender Werbung" mit Microtargeting. So weit gingen die Gesetzgeber dann aber nicht.

(mack)