Was die Werbeindustrie über unsere Krankheiten weiß
Umfang und Detailtiefe dieser Datensammlung sind erschreckend. Es gibt kaum eine menschliche Eigenschaft, die Werbetreibende nicht für Werbung ausnutzen wollen“, schreibt netzpolitik.org. Es sei kein Problem, Menschen aus Dänemark, die kürzlich einen Toyota gekauft haben, gezielt anzusprechen. Oder Menschen, die gerade finanzielle Probleme oder keine Krankenversicherung haben. Oder beides. Ob minderjährige Schwangere, Homosexuelle oder depressive PolitikerInnen – sie alle ließen sich einwandfrei identifizieren, um ihnen gezielt Werbung anzuzeigen. Da sind sich die Experten nach Sichtung jener Datei sicher, die der Wiener Tracking-Forscher Wolfie Christl im Internet gefunden und ihnen zur Verfügung gestellt hat.
Diese knapp zwei Jahre alte Datei stammt vom Datenmarktplatzanbieter Xandr, der mittlerweile von Microsoft gekauft wurde. Sie zeigt, dass NutzerInnen beziehungsweise deren anonymisierte, einmalige Werbe-IDs mit mehr als 650.000 Segmenten in Verbindung gebracht werden können, die die Lebensumstände, die Persönlichkeit, Verhaltensweisen und Interessen sehr detailliert beschreiben. Die Daten, auf denen diese Kategorisierung fußt, basieren auf dem Nutzungsverhalten von Apps und Smart-TVs, der Kredit- und Bonuskartennutzung, dem Surfverhalten im Internet sowie den Daten aus Sprachassistenten, Smartwatches und Bewegungsdaten.
Wir sehen, was du googelst, surfst und kaufst ...
Die Datei bildet dabei den Stand von Mai 2021 ab und erlaubt es laut Bericht, die damals möglichen Werbepraktiken nachzuvollziehen – die nach Einschätzung von zurate gezogenen Juristen strukturell unvereinbar sind mit den geltenden Datenschutzanforderungen. Wie netzpolitik.org und The Markup weiter schreiben, wollten sie sich von Xandr gerne erklären lassen, ob das Unternehmen zu einem anderen Schluss kommt. Doch auf mehrere Presseanfragen hat der Werberiese nicht reagiert. Stattdessen war die Datei nach der Anfrage an ihrem Ursprungsort nicht mehr online verfügbar.
Die Datenschutzexperten vermuten, dass die gefundene Datei dazu gedacht war, das breite Spektrum an Datenquellen zu präsentieren, die auf dem Xandr-Marktplatz verfügbar sind. Nach Christls Ansicht zeigt die Liste, dass Xandr zumindest im Jahr 2021 große Mengen sensibler Daten von einer Vielzahl von Datenbrokern aus der ganzen Welt weiterverkauft hat. 93 Firmen seien in der Datei als Anbieter gelistet. Zwar stamme der Großteil der Firmen aus den USA, doch sieben Datenhändler kämen aus Deutschland. Und zahlreiche weitere deutsche Firmen seien als ursprüngliche Quelle für die Daten ersichtlich. Dabei enthält die Kategorisierung laut Berichten viele medizinische und gesundheitsbezogene Segmente, darunter vermutete Diagnosen und Medikamente. Diese Segmente reichen von „A“ wie Asthma, Arthritis oder ADHS bis zu Schlagworten wie „Unfruchtbarkeit“, „Vorhofflimmern“ oder „Viagra“.
Darüber hinaus gab es „zahlreiche Profile, die sich mit den Gefühlen und der Psychologie der Menschen befassten und den Werbetreibenden eine Auswahl an Verbrauchern boten, die nach Stimmung und psychischer Gesundheit gruppiert waren“, schreibt das US-Portal The Markup. Und zitiert Adam Schwartz, einen der leitenden Anwälte der US-Nichtregierungsorganisation Electronic Frontier Foundation (EFF), die sich für informationelle Selbstbestimmung einsetzt. Der sieht in den Bemühungen der Online-Werbebranche, Menschen derart gezielt anzusprechen „eine der größten Bedrohungen für den Datenschutz“.
... und dabei ignorieren wir den Datenschutz
Microsoft kauft sich in Multimillionen-Dollar-Markt ein
Xandr ist eine 2018 gegründete Online-Werbeplattform, die zum Juni 2022 von Microsoft übernommen wurde. Branchengerüchten zufolge lag der Kaufpreis bei knapp einer Milliarde US-Dollar. Heute bietet die Werbe- und Analysetochter des Unternehmens eine Online-Plattform sowie eine Community für Programmatic Advertising. So lautet der Fachbegriff für den vollautomatischen und individualisierten Ein- und Verkauf von Werbeflächen in Echtzeit – auf der Basis vorliegender Nutzerdaten.
Xandr gilt nach Einschätzung von netzpolitik.org als eine der ersten Adressen für alle Unternehmen, die sich bei der Onlinewerbung nicht vollständig den geschlossenen Systemen von Google, Meta und Amazon ausliefern wollen. Mit dem Zukauf wurde Microsoft zu einem Big Player in dem lukrativen Markt des Programmatic Advertising, dessen weltweiter Umsatz kontinuerlich wächst und Medienberichten zufolge 2022 geschätzt fast 500 Milliarden US-Dollar betrug.
Besonders alarmierend sei, so Schwartz, dass die Datenbroker auch Informationen über reproduktive Gesundheit sammeln – die nach der Entscheidung des Obersten Gerichtshofs der USA, das Recht auf Schwangerschaftsabbruch zu kippen, justiziabel sind. Nach dem Urteil hatte eine Vielzahl von Bundesstaaten den Zugang zu Abtreibungsmedikamenten erschwert oder Schwangerschaftsabbrüche ganz verboten.
Deutsche Behörden schalten sich ein
Vom Vorgehen des Datenmarktplatzes Xandr sind nicht nur Millionen Deutsche betroffen, sondern es sind auch zahlreiche deutsche Firmen an dem Geschäft mit den Daten beteiligt. „Sieben deutsche Datenhändler haben ihre Zielgruppen bei Xandr feilgeboten, darunter Tochterunternehmen der Milliardenkonzerne Deutsche Telekom und ProSiebenSat1“, schreibt netzpolitik.org. Zudem seien zahlreiche weitere deutsche Firmen und Websites als Datenquellen erkennbar. Als Reaktion auf die Recherche stellten darum die Datenschutzbehörden in Berlin, Hamburg, Bayern und Baden-Württemberg in Aussicht, die Branche und die in den Berichten genannten Unternehmen genau prüfen zu wollen.
Es sei fraglich, ob die Verarbeitung derart detaillierter wie sensibler Daten nach der Datenschutz-Grundverordnung (DSGVO) zulässig sei und ob die betreffenden Unternehmen eine wirksame Einwilligung bei den Betroffenen eingeholt hätten. Aufgrund der Komplexität der Vorgänge werde diese Prüfung einige Zeit in Anspruch nehmen, hieß es von den Behörden. In der Zwischenzeit raten die Datenschützer den Menschen, von ihrem Auskunftsrecht Gebrauch zu machen. Wie sich dieses Recht ganz konkret einfordern lässt, beschreibt das Portal netzpolitik.org für alle in der Datei enthaltenen Datenhändler in einem ausführlichen Tutorial.
Immerhin: Im Anschluss an die Entscheidung des Supreme Courts haben 2023 mehrere US-Bundesstaaten versucht, gesundheitsspezifische Datenschutzgesetze zu verabschieden. Die sollen die Erhebung, die Weitergabe und den Verkauf personenbezogener Gesundheitsdaten, die nicht den bisherigen Regeln für vertrauliche Gesundheitsdaten unterliegen, einschränken. Zum jetzigen Zeitpunkt haben drei Bundesstaaten – Washington, Nevada und Connecticut – derartige Gesetze verabschiedet, die Gesundheitsdaten von Verbrauchern weit fassen und eine Opt-in-Einwilligung des Verbrauchers erfordern, bevor Unternehmen diese erheben oder weitergeben dürfen.
Außerdem sehen alle drei Gesetze einen strengeren Standard für die Einwilligung vor dem Verkauf dieser Daten vor und verlangen, dass betroffene Unternehmen eine schriftliche und unterschriebene Einwilligung des Verbrauchers einholen. Die Gesetze enthalten auch Verbote, ab einem Umkreis von 50 Metern um Gesundheitseinrichtungen herum – einschließlich Krankenhäusern und Kliniken – die Technik des sogenannten Geofencing zu verwenden. Das bedeutet, dass die Werbetreibenden hier nicht mehr die Smartphone-Standortdaten in Echtzeit für gezielte Werbemaßnahmen verwenden dürfen.