Datenschutzeinwilligungen lauern uns gerade überall auf. Kürzlich auch wieder bei der Zahnärztin. Ich habe wie immer verweigert. Die Ärztin zuckte gelassen mit der Schulter und meinte: „Ja, ich habe ein paar Leute, die wollen das nicht, zum Beispiel die aus dem Marketing.“ Datenschutz ist oft keine Frage der Haltung, sondern des Wissens. Wer einmal verstanden hat, was unter der Haube dieser ganzen Datenschutzzettelchen und Einwilligungsbanner passiert, der entscheidet sich lieber dagegen. Mal sehen, wie Sie sich nach diesem Artikel entscheiden.

Eine Einwilligung ist immer die Spitze eines ganzen Eisbergs von Datenverarbeitungen und ein gutes Zeichen für unnötige Verhaltensanalysen. Zwei Gesetze haben unterschiedlich streng definiert, dass unnötige Datenverarbeitungen eine Einwilligung brauchen: 2018 die DSGVO und 2021 das etwas weniger bekannte TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz). Mehr als vage Details erfährt man leider selten in den Einwilligungsdialogen. Bei der Zahnärztin hieß es: „mögliche Einholung einer Information bei einer Auskunftei zur Prüfung meiner Bonität“. Das ist ungefähr so hilfreich wie ein Preisschild im Supermarkt mit „billig“. Der Zettel beim Arzt ist aber nichts gegen die komplizierten Datenverarbeitungen, die uns beim Lesen einer Webseite begegnen. Warum so viel Aufwand zum Lesen einer Seite? Es ist vor allem die personalisierte Werbung, die hochkomplex ist und viele Daten von uns benötigt. 

Werbung wird heute fast immer in einer Echtzeitauktion verkauft, weil das höhere Werbeeinnahmen bringt. Geboten wird dabei aber weniger auf den Kontext einer App, sondern fast ausschließlich auf ein Verhaltensprofil. Ja, auf Ihr Verhaltensprofil!

Das läuft in den Millisekunden ab, in denen sich eine Werbung aufbaut – sei es beim Laden eines YouTube-Videos oder beim Scrollen in einer App. Damit das funktioniert, gibt es weltweit hunderte Unternehmen, die unterschiedliche Funktionen in diesem Bereich übernehmen. Bereits bei einem Seitenaufruf können 20 bis 30 externe Werbefirmen beteiligt sein. Die Verhaltensdaten, die dabei den Wert bestimmen, sind ganz unterschiedlicher Natur. Das beginnt mit grundlegenden Datenpunkten wie Geschlecht, Sprache, Wohnort und Gerätespezifikationen (iPhone oder Huawei?). Aber auch viele Ereignisse werden aufgezeichnet: Sie haben auf einer Seite etwas in den Warenkorb gelegt und nicht gekauft. Sie haben eine Probefahrt vereinbart oder bei Google gesucht. Sie lassen sich (unbemerkt?) von einer App per GPS orten. Sie haben einen Artikel zu Kreuzfahrten bei einer Onlinezeitung gelesen oder mal besonders lange in einer App gespielt: Auch Nutzungsdauer und -häufigkeit von Apps sind sehr wertvolle Verhaltensdaten.

Diese Daten werden nicht anonym erfasst, denn sonst wären sie nahezu wertlos. Sie werden mit IDs verknüpft, die mit Ihnen verbunden sind. Die bekanntesten IDs sind Cookies. Auf dem Smartphone gibt es außerdem feste Werbe-IDs, die meist für das gesamte Leben des Smartphones gleich bleiben. Aber auch die IP-Adresse wird verwendet. Besonders hinterhältig, aber nicht so häufig, sind Kombinationen zahlreicher Gerätebesonderheiten wie Auflösung, Rechengeschwindigkeit oder installierte Schriftarten. Diese oft einmalige Kombination kann ein einzelnes Gerät identifizieren. Die App TikTok hat lange Zeit solche „hardware fingerprints“ eingesetzt. Die meisten IDs sind pseudonym: Sie enthalten also keine persönlichen Daten von Ihnen, sondern bestehen aus zufällig generierten, langen Buchstaben-Zahlen-Kombinationen. Das ist für personalisierte Werbung viel praktischer als ein echter Name, der doppelt vorkommen kann. 

Bei diesen ständigen blitzschnellen Werbeversteigerungen sind zwei große Seiten beteiligt: Die Buy-Side ersteigert die Anzeigenplätze; im Wesentlichen sind das Markenunternehmen und Shops. Und die Sell-Side bietet freie Anzeigenplätze an, sie besteht aus Seiten- oder Appbetreibern (auch „Publisher“). Das können klassische Medienverlage sein, aber auch Wetterseiten, Foren oder Spiele-Apps. Weil das technisch so komplex ist, lagern beide Seiten den Vorgang an Ad-Tech-Unternehmen aus: Ein Shop hat also meist eine Werbeagentur, die Zielgruppen aus eigenen oder hinzugekauften Daten erstellt. Und die Zeitung hat einen Partner, der die Versteigerung technisch ermöglicht. Beide Seiten treffen dann auf einem Marktplatz zusammen: Der mit Abstand größte ist Google Authorized Buyers, daneben gibt es kleinere wie OpenX oder den auf Mobilwerbung spezialisierten, indischen Giganten Inmobi. 

Wenn sich nun also eine Seite in einer App oder Website aufbaut, senden die Publisher die ID der betrachtenden Person sowie einigen Basisinformationen von ihr (Alter, Geschlecht, Interessen) an den Marktplatz. Die aktuell eingestellten Kampagnen der Buy-Side suchen dann darin ihre Zielgruppe. Dafür ist ein weiterer Dienst notwendig, der oft extern erledigt wird: das ID-Matching. 

Die Person, die im Shop etwas in den Warenkorb gelegt hat, hat bei der Zeitung vielleicht ein anderes Cookie von einem anderen Anbieter. Oder sogar ein anderes Gerät. ID-Provider versuchen beständig, eine lange Liste zusammengehöriger IDs mit vielen anderen Unternehmen der Branche abzugleichen. So entsteht eine Art gigantisches ID-Adressbuch, in dem praktisch die ganze Online-Weltbevölkerung umfangreiche Einträge bei verschiedenen Unternehmen hat, die miteinander verknüpft werden können. Und hier kommen nun erstmals die echten E-Mail-Adressen und Mobilnummern von Personen ins Spiel: Auch die können als ID genutzt werden, und das hat in den letzten Jahren stark zugenommen. Sie werden bei Registrierung, Login oder Vertragsabschluss erhoben. Manchmal auch offline, wenn man achtlos eine trickreich getarnte Datenschutzeinwilligung unterschreibt. Zum Beispiel während man einen Handyvertrag abschließt, ein Hotel bezahlt oder sein Auto in die Werkstatt bringt. Handynummer oder E-Mail-Adresse landen dann bei Kundendatenspezialisten wie Salesforce und später bei ID-Providern wie Zeotap oder Liveramp. Beide IDs bleiben über Jahre stabil und verknüpfen fortan Verhaltensdaten mit echten Personen. 

Manche ID-Provider versuchen auch, ganze Haushalte über die IP-Adresse konstant zu erkennen. Da kann dann die Mama noch so datenschutzsicher in ihrem Browser „anonym“ surfen, wenn der Sohn bei Discord in die IP-Analyse und das Login-Tracking eingewilligt hat. Auch viele große Medienhäuser wie Spiegel Online nutzen diese Identitätsprovider, um Publikum ohne Login und ohne Cookies zu erkennen (Eberl 2021) [1] . Das sind übrigens auch schlechte Nachrichten für alle, die meinen, sie müssen nur ihre Cookies löschen, um langlebige Profilbildung zu verhindern. 

Dieses Werbe-Ökosystem hat sich seit 2007 rasant entwickelt und steht seit einigen Jahren massiv in der Kritik. Die Bayerische Landeszentrale für Medien wies in einer Studie (Hans 2016) [2] auf die Gefahr hin, dass die gigantischen Monopole einen Informationsvorsprung besitzen, der zu unfairem Wettbewerb führt. Das Werbe-Duopoly aus Facebook und Google beherrscht über 70 Prozent des Online-Werbemarktes, muss kaum Steuern zahlen und wird von der irischen Datenschutzbehörde in Ruhe gelassen. Von Datenschutzseite kommt die Kritik, dass Real-Time Bidding der größte Datenschutzverstoß der Geschichte sei (Ryan 2019) [3] . Kein Individuum kann in dieser undurchschaubaren Verflechtung von ständig wechselnden Unternehmen jemals seine Rechte durchsetzen. Die Verlage sind in diesem Spiel ebenfalls große Verlierer, da sie massiv an Werbeeinnahmen verloren haben und nun gezwungen sind, dieses „race to the bottom“ der verhaltensbasierten Werbung nach den Regeln des Silicon Valley mitzuspielen. Jeder betrügt jeden und am Ende gewinnt das Unternehmen, das die meisten Daten sammelt und die meisten Regeln bricht. Kartell- und Datenschutzbehörden haben das Problem erkannt, arbeiten aber finanziell schlecht ausgestattet in nationalen oder subnationalen Zuständigkeiten und können mit ihrer traditionellen Bürokratie nicht annähernd so schnell und global agieren wie die Start-ups. 

Wer vor einer Einwilligung steht, muss sich also klar sein: In diesem extrem intransparenten, unregulierten und komplexen Markt kann Datenschutz vorkommen, aber wahrscheinlich ist es nicht. Wenn auch bei den Glaskugelfähigkeiten der Branche gern übertrieben wird: Es können damit Schwächen von Menschen gezielt erkannt und ausgenutzt werden, darunter problematisches Spielverhalten oder geringes Körper-Selbstbewusstsein. 

Tritt man einen Schritt zurück, erkennt man ein viel größeres Problem: Mit diesen Daten können Wahlen manipuliert und Wirtschaftszweige dominiert oder in Abhängigkeiten gebracht werden. Wenn die Daten aus der Werbung dann noch den Geheimdiensten zufließen, eröffnet sich die berüchtigte Variante des Überwachungskapitalismus (Zuboff 2018) [4] . Bereits jetzt kaufen US-amerikanische Behörden zum Beispiel Standortdaten direkt bei den Werbeunternehmen ein – eine lückenlose parlamentarische Kontrolle über solche Entnahmen ist bei dem weltweiten Markt nicht vorstellbar. Wenn man gegenüber diesen Schäden bedenkt, dass der personalisierte Werbemarkt einfach nur angetreten ist, Werbung „interessanter“ zu machen, dann stellt sich nachvollziehbar die Frage nach einem generellen Verbot personalisierter Werbung. Das würde dann auch die massive Regulierungslücke schließen. 

Eberl, M. 2022: Wie wir jeden Tag ersteigert werden, ohne es zu wissen. Im Rahmen des Projektes Digitales Deutschland. Online verfügbar: https://digid.jff.de/magazin/daten/datenkapitalismus/.