NZZ-Tochterfirma bietet Nutzerdaten auf Werbe-Marktplatz an
Eine Excel-Datei gibt einen raren Einblick ins Geschäft mit den Daten unserer Internet-Nutzung. Die Angebotsliste des Datenmarktplatzes Xandr wurde vor wenigen Wochen durch das Online-Magazin netzpolitik.org und den Wiener Tracking-Forscher Wolfie Christl ausgewertet und im Detail erklärt. Xandr gehört Microsoft und ist einer der grössten Datenmarktplätze für Onlinewerbung.
Xandr ist nicht der einzige Marktplatz dafür. Auch Google, Facebook oder Amazon betreiben vergleichbare Geschäfte. Aber die Xandr-Liste zeigt erstmals detailliert, wie umfassend die Datensammlung und -kategorisierung sein kann. Und welche internationalen Unternehmen bei diesem globalisierten Geschäft mitmachen.
Die Liste nennt zahlreiche Namen von Schweizer Firmen. Der Detailhändler Coop, der Milchverarbeiter Emmi oder die Versicherung Sympany wollten darüber Schweizer Kundinnen und Kunden erreichen. Oder auch das wachsende Anlageberatungsunternehmen «Vermögenszentrum» (VZ). «Unser Werbebanner sollte auf Schweizer Webseiten erscheinen, die gerne von Schweizerinnen und Schweizern genutzt werden, die älter sind als 50 und ein Eigenheim haben», schreibt das Unternehmen auf Infosperber-Anfrage. Diese Dienstleistung habe es 2021 bei zwei Schweizer Digitalmarketing-Agenturen eingekauft.
Datenfirmen werten unsere Internetnutzung aus und erstellen Nutzungsprofile. Diese wiederum nutzen Werbefirmen zur Anzeige von möglichst zielgerichteter Online-Werbung. Dafür bezahlen sie Geld. Die Firmen beteuern, dass das Geschäft datenschutzkonform ablaufe. Die Profile seien anonymisiert und würden nicht einer Person zugeordnet.
Das Geschäft ist durch den Cambridge-Analytica-Skandal von Facebook bekannt geworden. Dabei wurden Userprofile für politische Werbung benutzt. Doch nicht nur Social-Media-Firmen versprechen zielgenaues Targeting auf der eigenen Plattform. Das Geschäft findet längst im offenen Web statt und floriert. 2022 setzte die Online-Werbebranche weltweit über 550 Milliarden Dollar um.
Globales Werbegeschäft mit Personendaten
Doch das zentrale Versprechen, nämlich die zielgenaue Ansprache präzise definierter Zielgruppen, ist rechtlich problematisch. Denn die Nutzer müssten über Erhebung und Verwendung der eigenen Daten angemessen informiert werden – und unter Umständen das Recht haben, beides abzulehnen. Dies gilt in der Schweiz wie in der EU, wo seit fünf Jahren die Datenschutzgrundverordnung in Kraft ist.
So bezeichnet es Tracking-Forscher Wolfie Christl auf netzpolitik.org als Skandal, dass «dieser unkontrollierte Handel mit Daten über persönliche Eigenschaften und Verhaltensweisen in Deutschland fünf Jahre nach der Datenschutzgrundverordnung immer noch stattfindet».
Die Liste umfasst über 650’000 unterschiedliche Kategorien, in welche die Industrie Menschen zum Zweck gezielter Werbeanzeigen einteilt. Ein Schwerpunkt liegt dabei auf den USA, es lassen sich Gruppen nach sexueller Orientierung, Gesundheits- oder Suchtproblemen oder nach Nähe des Aufenthalts zu Militärbasen ansprechen. Aber auch bekannte und unbekannte deutsche Firmen machen gemäss Recherche im grossen Stil mit.
Auch die gelisteten Datenanbieter sind vor allem in den USA beheimatet, aber global tätig. Einer der grössten Datenanbieter, das US-Unternehmen Oracle, hat auch einen Sitz in der Schweiz. Datensegmente mit ausdrücklich Schweizer Kundschaft wurden in der Xandr-Liste vom Mai 2021 auch von Oracle-Tochtergesellschaften oder dem Unternehmen Lotame angeboten. Wie viele Profile sich in den entsprechenden Segmenten befinden und welche Daten sie beinhalten, ist jedoch nicht bekannt. Microsoft wollte netzpolitik.org auf entsprechende Fragen keine Auskunft geben.
NZZ-Tochter stellt Daten weiterhin zur Verfügung
Der erwähnte Datensatz mit Bezeichnung des «Vermögenszentrums» wurde von der US-Firma Roq.Ad mit Sitz in Berlin zur Nutzung angeboten. Auf Anfrage schreibt das VZ, es habe selber nichts zu tun mit den verwendeten Daten, sondern habe bloss eine gezielte Werbekampagne in Auftrag gegeben. «Für die eingekaufte Dienstleistung werden selbstverständlich keine Kundendaten oder andere Datensegmente verwendet – wir geben keine Kundendaten an Dritte weiter», schreibt das Vermögenszentrum. Die beauftragte Marketingagentur würde den Auftrag des VZ mit spezialisierten Firmen umsetzen, damit die Werbebanner auf den gewünschten Seiten in durch diese Firmen bestimmter Frequenz erschienen.
Auch Goldbach Media, ein Unternehmen der TX-Group, bot 2018 via Roq.Ad Datensegmente – also Gruppen von Userdaten, die bestimmten Kriterien entsprechen – auf Xandr an. Dies sei aber nur ein Test gewesen. Die entsprechenden Segmente seien seither inaktiv und würden keine Daten mehr beinhalten. «Sämtliche Segmente, welche wir besitzen, werden nur von Goldbach und ausschliesslich in Kombination mit unseren Produkten verwendet», beteuerte die Firma auf Infosperber-Anfrage.
Erfolgreicher mit Xandr ist anscheinend die Audienzz AG. Die Tochterfirma der NZZ ist auf Expansionskurs und baut das Geschäft mit Online-Werbung stetig aus. Sie stellt die Datensegmente auf Xandr offen zur Verfügung. Die Liste sei seither gar «geringfügig» erweitert worden. Dabei handelt es sich allem Anschein nach um Interessensattribute. Ein Datensegment lautet zum Beispiel «AUDIENZZ_SWITZERLAND_INTEREST_FAMILY_HEAVY». Gemäss NZZ sind darin beispielsweise «Nutzergruppen, welche mit hoher Häufigkeit Artikel oder Webseiten mit relevantem Kontext zu Familien-Themen aufrufen».
Auf der eigenen Website verspricht das Unternehmen potenziellen Kunden aber eine präzisere Segmentierung durch weitere Datenpunkte – auch demografische Personendaten: «Alter, Geschlecht oder Einkommen sind nur einige der demographischen Kriterien, nach denen wir deine Werbung ausspielen können.»
Hierzu sagt das Unternehmen NZZ auf Infosperber-Anfrage: «Auch im Rahmen der soziodemographischen Segmentierung verwenden wir probabilistische Ansätze, unter anderem ebenfalls obengenanntes Nutzerverhalten basierend auf Artikeln und Seitenbesuchen. Machine-Learning-Prozesse und Look-alike-Modelle im Abgleich mit Kontrolldaten ermöglichen es uns, die Genauigkeit solcher Segmente in ihrer Qualität zu optimieren, ohne auf persönliche Nutzerdaten zuzugreifen.»
Angela Müller von Algorithmwatch Schweiz hat sich nicht konkret mit der Xandr-Datei auseinandergesetzt. Sie findet aber: «Auch wenn gesagt wird, dass keine persönlichen Daten direkt verwendet werden, ist über die Daten zum Nutzungsverhalten bereits ein Profiling möglich, das aus mehreren Perspektiven problematisch sein kann. Den Usern ist es zudem nicht möglich, ihr Nutzungsverhalten zu ‹überwinden› – diese Daten sind immer vergangenheitsbasiert. Sie widerspiegeln, wie wir uns verhalten (bzw. welche statistische Ähnlichkeit wir mit anderen aufweisen, die sich auch so verhalten) – und nicht notwendigerweise, wer wir sein möchten.»
Unklar ist zudem, ob diese Daten nur für Werbezwecke eingesetzt werden. Wolfie Christl sagte netzpolitik.org: «Niemand weiss genau, welche Wege diese Daten genau nehmen und was damit gemacht wird. Ich vermute, nicht einmal die Datenhandelsfirmen selbst wissen das genau.»
Zuger Unternehmen bietet Lohnvergleich gegen Daten für Werbung
Auf der Xandr-Liste sind auch Einträge der Matto Group mit Sitz in Zug zu finden. Mitinhaber Tobias Egli sagt Infosperber, man habe die Datensegmente nur kurze Zeit und als Test genutzt. «Wir haben damit kein Geld verdient.» Für Egli ist das Geschäft mit der Datenanalyse des Nutzerverhaltens im Web – das Tracking mittels sogenannter Cookies – ohnehin bald tot. Bald wird auch der Browser Google Chrome nicht mehr unterstützen, dass Nutzer mittels sogenannter Third-Party-Cookies über mehrere Websites hin getrackt werden können.
Das Unternehmen verspricht aber trotzdem «einzigartige Werbedaten» und einen «hohen Individualisierungsgrad». Die Firma stellt die Daten auch über die Website Lohncheck.ch zusammen, wo Internet-User ihren Lohn eingeben und diesen vergleichen können. Dabei steht beim Unternehmen jedoch nicht diese kostenlose Vergleichsdienstleistung, sondern die Datensammlung im Vordergrund. Menschen, die auf Lohncheck.ch ihren Lohn vergleichen möchten, würden bis zu 24 Datenpunkte eingeben, um ein akkurates Ergebnis zu erhalten, sagen die Unternehmer in einem Video. Gemäss Egli nutzt Matto Group zudem Daten von Drittanbietern, die auf Marktplätzen wie Xandr erhältlich sind.
«Wir erhalten so Daten wie Alter, Einkommen, Funktion, die Branche, Ausbildung, Erfahrung, Familienstand, Verantwortung und viele mehr.» Pflicht ist auch die Angabe einer E-Mail-Adresse. Ein Abgleich dieser Daten mit den Kundendaten von Werbeauftraggebenden sei datenschutzrechtlich völlig unproblematisch, heisst es im Video. Die Datensätze würden nämlich verschlüsselt mit einer Technologie, die auch Banken und Staaten verwenden würden. Die Matto Group würde die eigenen Daten auf keinen Fall weitergeben, beteuert Tobias Egli auf Anfrage.
Auf der eigenen Website schreibt das Unternehmen: «Uns stehen exklusiv 1,4 Millionen Schweizer Profile mit jeweils 15 Datenpunkten sowie 1 Million Cookie-Datensätzen über Lohn und Funktion zur Verfügung. Monatlich kommen über 300’000 neue Benutzerdaten hinzu.» Diese Daten für Werbung zu verwenden, sei vollkommen unproblematisch. Die Userinnen und User würden sie ja selber angeben.
Wer mittels Lohncheck.ch seinen Lohn vergleichen will, sieht jedoch nicht direkt, dass seine Daten einem Geschäft mit personalisierter Werbung dienen. Er muss aber angeben, die Datenschutzerklärung gelesen zu haben. Nur darin schreibt das Unternehmen, dass die Daten zu Werbezwecken verwendet werden. Immerhin: Wer sie wieder gelöscht haben will, kann dies direkt über einen Link in den Datenschutzbestimmungen tun.
Matto-Mitinhaber Tobias Egli beschreibt das eigene Geschäft als lokale Alternative zu global orientierten Anbietern wie Google: «Wenn wir Daten einsetzen, tragen wir dazu bei, dass dies nicht nur innerhalb des Werbeökosystems von Google möglich ist. Dies ist insbesondere für lokale Publisher wichtig, da die Werbeausspielung ohne ein solches Targeting nur einen Bruchteil in der Vermarktung einbringt und sonst die gesamten Werbegelder zu Google gehen würden.»
Datenschutz hinkt hinterher
Ob mit oder ohne Tracking via Cookies: Wie datenschutzkonform die komplexe datengetriebene Online-Werbung funktioniert, ist weiterhin unklar. Und so ist die Branche mit einem grossen Widerspruch konfrontiert. Netzpolitik.org beschreibt ihn so: «Einerseits sollen die Daten so genau sein, dass sie perfektes Targeting garantieren, andererseits sollen die Daten so allgemein sein, dass es keine Probleme mit dem Datenschutz gibt.»
In Deutschland hat die Recherche von netzpolitik.org bereits verschiedene Datenschutzbehörden auf den Plan gerufen. In der Schweiz könnte das Büro des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Klarheit schaffen und sich genauer anschauen, ob die Geschäfte der hier beheimateten Firmen datenschutzkonform sind. Letztes Jahr liess das Büro auf eine Infosperber-Anfrage zum Thema jedoch verlauten, man würde vorerst die Entwicklung in der EU verfolgen. «Der EDÖB setzt seine begrenzten Ressourcen in diesem sehr komplexen und technischen Bereich der Online-Werbebranche (Adtech) gezielt ein.»
Themenbezogene Interessenbindung der Autorin/des Autors
Keine
_____________________
Meinungen in Beiträgen auf Infosperber entsprechen jeweils den persönlichen Einschätzungen der Autorin oder des Autors.
Die IT-Infrastruktur der NZZ-Medien wurde Ende März von der cyberkriminellen Gruppe «Play» angegriffen. Dabei wurden auch Daten von CH Media (die mit der IT der NZZ verbandelt ist) gestohlen und im Darknet veröffentlicht. Betroffen sind Kunden, Dienstleister und Mitarbeitende von CH Media. Inhaltlich bedeutet dies: Namen, Kontaktdaten, Kontonummern, Lohn- und Auftragsabrechnungen sowie Verträge. CH Media bedauert und betont eine superprovisorische Verfügung, welche das Herunterladen, Bearbeiten und Weiterverbreiten dieser Daten untersagt. Angesichts der im Artikel beschriebenen Strategien der Auswertung und Verwendung von Informationen aus dem Nutzerverhalten (auch von der NZZ-Tochter Audienzz AG) erscheint der Hinweis auf «Persönlichkeitsverletzung» in dieser superprovisorischen Verfügung als ziemlich scheinheilig. Aber natürlich: Diebstahl ist illegal, Sammelwut und Profiling dagegen legal.