Vor einem Monat habe ich über das Missbrauchspotenzial bei „Programmatic Advertising“ geschrieben. Dabei zeigte ich wie sich Propaganda- und Desinformations-Webseiten mit Namen prominenter und etablierter Advertising Tech-Firmen schmücken, die entweder nichts davon wissen oder dies nur mangelhaft überprüfen.
Nun beleuchte ich im zweiten Teil das Missbrauchs- und Schadenspotenzial auf der Nutzer:innen-Seite und damit die Seite der Bürger:innen. Denn der tägliche Datenhandel – sobald jemand ohne AdBlocker Webseiten wie watson.ch, NZZ.ch oder Blick.ch besucht – ist nicht nur a) ein einträgliches Geschäft für die Verlage, sondern hat b) Konsequenzen für jede Leserin. Ihre Daten werden kreuz und quer verteilt. Dies liegt vor allem an der Natur des Programmatic Advertising.
Die dafür genutzten Echtzeitauktionen – das sogenannte Real-Time-Bidding RTB– sorgen dafür, dass nicht nur die spezifische Werbebörse (AdExchange) sowie die Vermarktungs- und Nachfragefirma an einem erfolgreichen Werbeabschluss bei der einzelnen Userin mitverdienen. Sondern dass literally ALLE mitbietenden Teilnehmer:innen der jeweiligen Transaktionen (Mitbietende, Vermarkter und Börsen) sich an den Daten der Leserin bereichern können (und das nur weil sie eine Webseite aufruft)!
Also konkret: Eine Leserin besucht ein Medienportal von Ringier, TX Media oder der NZZ-Mediengruppe. Ihre Daten (Geräteinformationen, Geo-Informationen, Mobile Advertising ID, Zielgruppe: weiblich, Alter: 30-49) werden – sofern sie nicht selbst Gegenmassnahmen wie Blocker oder Deaktivierungen vorgenommen hat – kreuz und quer an alle Teilnehmerinnen des Tauschgeschäfts verschickt. Und alle die Daten der Leserin werden potenziell permanent gespeichert in Datenbanken, von denen sie nie erfahren wird. Datenbanken, die für alle offen stehen, weil sie nicht hinreichend reguliert sind. Auch für Kriminelle, Geheimdienste und Terroristen.
Hier nochmals zur Erinnerung eine Darstellung aus dem ersten Artikel, wie Real-Time-Bidding und die Echtzeitauktionen ablaufen:
Quelle: Christl & Ryan
Doch von welcher Dimension sprechen wir konkret bei diesem Datenhandel?
Inhalte
ToggleMissbrauchspotenzial bei den Internetnutzerinnen
Die Titel und Zwischentitel des Reports klingen dramatisch, wie zum Beispiel „Biggest.Data.Breach.Ever“. Sie sind jedoch nicht übertrieben.
Der Privacy-Forscher und AdTech-Experte Wolfie Christl und sein Co-Autor Johnny Ryan schrieben im Auftrag der NGO Irish Council of Civil Liberties einen aufschlussreichen Bericht über die dramatischen Folgen der täglich verschickten Echtzeitauktionsdaten. Sie zeigen auf, wie der simple Aufruf einer Webseite einen unkontrollierten Datenhandel auslöst, der zu einer veritablen Sicherheitskrise für Europa ausgeartet ist.
Die RTB-Daten (also: Real-Time-Bidding oder eben Echtzeitauktionsdaten) einer Person enthalten eine Unmenge an Informationen: Standorte von Leser:innen, was sie lesen, was sie schauen, persönliche Probleme wie Angstzustände etc. Die technischen Informationen wie Gerätedaten oder der Zeitstempel machen es einfacher dies einer konkreten Person zuzuordnen. Die Autoren kritisieren in ihrem Report die Standards der ganzen Online-Werbebranche, in der unkontrolliert und uneingeschränkt Informationen an 1000e von Firmen fliessen und belegen dies auch mit konkreten Zahlen.
300 Mal pro Tag werden zum Beispiel die Daten (den Standort und Online-Aktivität) einer Schweizer Nutzerin an Adtech-Firmen und Datenhändler verschickt.
Quelle: Christl & Ryan
Google bestätigt dass die Daten jeder Webseitenbesucherin mit 1102 AdTech-Firmen geteilt werden, dasselbe gilt für Microsoft mit 1647 Firmen. Auch bei deren Werbebörsen und Marktplätzen werden Daten an alle angeschlossenen Demand Side-Plattformen (DSP; siehe unten) und Supply Side-Plattformen (SSP) verschickt in einer „Free for All“-Kultur.
Zur Erinnerung: Die DSPs untersuchen, ob das Profil der Leserin zu ihrem Werbekunden passt und offerieren je nachdem mit bei der Online-Auktion. Die SSPs vermarkten die Webseite des Publishers bzw. deren zur Verfügung stehende leeren Werbebanner-Slots.
Google teilt die Daten von uns User:innen auch mit russischen und chinesischen Firmen, die ebenfalls Teil des Google-Werbeökosystems sind. Auch hier spielen US- oder EU-Sanktionen offenbar keine Rolle.
Überwachungsfirmen bieten DSPs an und gelangen so direkt an unsere Daten
Zudem bestehen keine Regeln und auch keine Kontrolle darüber, wer überhaupt als DSP fungieren darf. So hat eine Überwachungsfirma namens Rayzone laut Bericht von Christl & Ryan einen solchen DSP im Angebot. Dafür muss die Firma theoretisch bei keiner einzigen Auktion mitspielen. Es reicht dabei bereits an den Werbebörsen von Google und Microsoft angeschlossen zu sein, eine Prüfung nach dubiosen Geschäftsmodellen findet somit nicht statt. Eine andere Firma namens Near Intelligence gelangte ebenfalls dank des AdTech-Ökosystems an die Daten von 152 Millionen Europäer:innen, inklusive Angaben über „Zuhause“, „Arbeitsplatz“ und „oft besuchte Orte“.
Für Cyberkriminelle und Geheimdienste aus aller Welt ist es ein Leichtes bei allen diesen DSPs oder auch Data Brokern direkt einzukaufen. Für viele Furore sorgten Medienberichte des techjournalistischen Investigativmagazins 404 Media zu „Patternz“, einem Überwachungstool. Gemäss Werbematerial soll Patternz über Profilen von mehr als 5 Milliarden Geräten verfügen, extrahiert aus Apps wie 9gag und Kik.
Patternz warb sogar damit, dass Malware – verkleidet als Werbebanner – gezielt auf das Gerät einer einzelne Person ausgespielt werden kann, sofern diese auf ein infiziertes Werbebanner klickt. Dies bestätigt einen neuen Überwachungstrend der dubiose Spyware-Firmen, was auch die israelische Zeitung Haaretz enthüllte: die AdTech-Branche wird so (unwissentlich) zum neuen Staatstrojaner-Gehilfen. Handys von Zielpersonen können so direkt gehackt werden, weil die Angreifer:innen die Zielgruppe genügend klein eingrenzen können.
Doch wie klein genau? Christl und Ryan illustrieren dies in einem anderen Screenshot des Datenhändlers Dun and Bradstreet. Es können damit gezielt Personen identifiziert, angegriffen und ausspioniert werden, die hochrangige staatliche Positionen (Militär, Sicherheit, Finanzen) bekleiden. Damit bekommt der legendäre Ausspruch „we kill based on metadata“ nochmals eine ganz neue Dimension!
Der Ausschnitt zeigt bei einer einzelnen Person die spezifische Werbe-ID von Google und Microsoft (Xandr/AppNexus). Wir erinnern uns aus Teil 1: Die AppNexus IDs werden auch von audienzz und Goldbach für die Vermarktung genutzt.
Journalist:innen des niederländischen Radiosenders BNR haben dank des Erwerbs eines Datensatzes beim Berliner Datenhändler Datarade.ai Personen identifizieren können, die Zugang zu Militärdepots mit Nuklearwaffen in den Niederlanden hatten. Mehr als 80 Gigabyte an Standortdaten erhielten die Medienschaffenden von BNR.
Wie aber gelangte nun der Berliner Datenhändler Datarade.ai an jene Informationen?
Durch eingekaufte Standortangaben von Fitness- oder Navigationsapps die von joggenden Personen, u.a. eben von Militärs genutzt worden sind. Die Nutzer:innen haben ihre Lokalisierung während ihrer Trainingsrouten offenbar freigegeben. Einen ähnlichen Fall gab es bereits in den USA (Fitnesstracker Strava). Auch wenn beim Datensatz „nur“ die Mobile Advertising ID von Datarade.ai verkauft wird, die nicht direkt auf einen persönlichen Namen schliessen lassen: Durch geschickte Verknüpfung mit Arbeitsortangaben auf LinkedIn lässt sich offenbar leicht die einzelne Person eruieren, wie die Medienschaffenden von BNR erklärten.
Für den Security-Researcher Wolfie Christl, der seit Jahren zu diesem Thema forscht, und auch seinem Co-Autoren Johnny Ryan ist klar: „RTB-Daten (also Echtzeitauktionsdaten) sind Goldminen“. Damit können auch alle persönlichen Schwächen ausgenutzt werden.
„Wenn ich über Wochen hinweg jeden Tag eine Anzeige sehe, wie mir mit Depressionen geholfen werden kann, ist das stigmatisierend und kann meine Selbstwahrnehmung verändern“.
Wolfie Christl gegenüber Golem.de
Warum die Gesetze alleine nicht vor überwachungsintensiver Online-Werbung schützen
Wie ist nun die rechtliche Lage zum Thema Datenhandel und Programmatic Advertising?
Um es kurz zu sagen: leider ziemlich unbefriedigend (Golem.de bietet eine relativ gute Übersicht dazu). Der Grund dafür: Die politischen Entscheidungsträger:innen wagen sich nicht an das heisse Eisen ran: ein Verbot von invasiver, datengetriebener, überwachungsintensiver Online-Werbung. Die Politik wollte den Datenkapitalismus bisher nicht beenden, zu mächtig sind die Medienverlage. Dies zeigt sich auch Beispiel der gescheiterten ePrivacy-Verordnung. Damit wollten die Gesetzgeber die DSGVO konkretisieren und Vorgaben für die EU-Digitalwirtschaft bezüglich Tracking machen. Doch die EU-Staaten konnten sich bis heute auf keinen Gesetzestext einigen, vor allem was die Cookie-Problematik betrifft.
Der neu in Kraft getretene „Digital Services Act“ der EU adressiert zwar die Problematik, aber nur aus Plattform-Sicht. Das bedeutet: das Gesetz verbietet dem amerikanischen Konzern Meta beispielsweise dass europäische User:innen auf den Plattformen selbst nach sexueller Orientierung, politischer Gesinnung und Religion kategorisiert werden dürfen.
Ebenso existiert eine Verschärfung der EU bezüglich der politischen Werbung. Auch diese Verordnung adressiert die Probleme von Meta, aber betrifft nur am Rande den Werbegiganten Google mit seinen weitverästelten Armen im Ökosystem (und alle AdTech-Firmen).
Eigentlich würde die Datenschutz-Grundverordnung (DSGVO) greifen, weil personenbezogene Daten verarbeitet werden. Doch die europäischen Aufsichts- und Datenschutzbehörden verfolgten das Thema lange Zeit mit angezogener Handbremse, wie Wolfie Christl gegenüber Golem.de sagte. Ein Grund liege darin, dass sie die Auseinandersetzung mit den Medien scheuen würden, die sich mit Online-Werbung refinanzieren. Und auch weil die Prozesse im ganzen Werbeökosystem zu komplex sind, um sie vor Gericht rechtlich dingfest zu machen.
In der Schweiz gibt es nicht einmal eine Cookie-Banner oder Opt In-Pflicht. Es reicht die Möglichkeit des Opt-Outs. Und egal ob Opt-In oder Opt-Out: In der Schweiz würde sich ein Verbot von derart invasiver überwachungsintensiver Werbung ebenfalls niemals im Parlament durchsetzen. Zu mächtig sind auch hierzulande die Medienverlage und vor allem Werbebranche (und zu unwissend die Parlamentarier:innen…).
Das EuGH-Urteil und was es bedeutet
Interessant ist deswegen was gerade in Belgien passiert: Dort geht es um das Schicksal der IAB, also des IAB (Interactive Advertising Bureau). Dies ist die massgebende Branchenorganisation, welche die Standards für das Programmatic Advertising global setzt. Sie ist auch verantwortlich für das omnipräsente Transparency & Consent Framework (TCF), den zentralen Standard hinter all den Cookie-Bannern.
Die Banner tauchen überall auf, auch bei watson.ch und beim tagi.ch, wo beteuert wird: „Ihre Privatsphäre ist uns wichtig“. Und weiter: „Unsere Daten werden dann mit unseren 8xx Partnern geteilt“ (AdTech-Firmen, Google AdExchange, Data Broker, SSP und DSPs). Es ist das Banner, das man genervt mit „alles akzeptieren“ abnickt, wenn keine Zeit für die Durchklickerei bei Dark Patterns bleibt (Dark Patterns sind irreführende visuelle Nutzerführungen, die uns dazu verleiten, gegen unsere Präferenzen zu klicken).
„Sobald ein Nutzer bei einem Cookie-Banner auf „Akzeptieren“ klicken, wird ein sogenannter TC-String erzeugt und an alle Partner geschickt. Auf Basis dieser Zeichenkombination werden unter Einbezug eines Cookies und der IP-Adresse Nutzerprofile erstellt, die als Grundlage für Echtzeit-Werbeauktionen dienen“ erklärt heise.de den Sachverhalt.
Die belgische Datenschutzbehörde wollte nun diesem entfesselten Datenhandel einen Riegel schieben und verhängte ein Bussgeld gegen IAB. Das TFC-Framework sei in keinster Weise mit der DSGVO vereinbar. IAB wollte das natürlich nicht hinnehmen, und klagte vor dem Appellationshof in Brüssel. Dieses legte zur Klärung des Sachverhalts weitere Fragen an den europäischen Gerichtshof in Luxemburg vor.
Die Luxemburger Richter:innen hielten nun fest: Der TC-String enthält in der Tat Informationen über einen identifizierbaren Nutzer und ist somit ein personenbezogenes Datum im Sinne der DSGVO. Das Gericht hat ausserdem festgestellt, dass IAB Europe als „gemeinsam Verantwortlicher“ im Sinne der DSGVO anzusehen ist (was für die NPO-Organisation vielleicht sogar ruinöse Folgen haben kann). Der Ball für die finale Entscheidung – was nun mit IAB und dem TC-Standard geschieht- liegt jetzt wieder beim belgischen Appellationsgericht.
Das bedeutet zwar noch keinen Todesstoss für die personalisierte datengetriebene Online-Werbung, aber könnte den Datenhandel massiv einschränken.
„Die Einordnung des TC-Strings als personenbezogenen Datensatz ist absolut nachvollziehbar und konsequent„ sagt AdTech-Experte Michael Maurantonio. Er ordnet das Urteil folgendermassen ein:
„In Brüssel muss nun entschieden werden, was in diesem Consent String erhoben werden und was an alle DSPs weitergegeben werden kann. GEO-Location braucht man u.a. deshalb um die länderspezifische bzw. regionale Aussteuerung zu garantieren (IP Adresse). Die Kombination zwischen Geo-Daten und anderen Signalen wie Device und Browser ID, Interessen usw. ist dann datenschutztechnisch relevant, weil man daraus ermitteln könnte, wer der User ist. Ohne IP bzw. GEO-Location kann man mit programmatic advertising wenig anfangen.“
Michael Maurantonio, AdTech-Experte
Es ist erfreulich, dass nun nach jahrelanger Ohnmacht gegenüber den omnipräsenten Cookie-Bannern immerhin durch die gerichtliche Rechtsprechung endlich Fakten geschaffen werden (die irische Datenschutzbehörde untersucht ebenfalls schon seit Jahren die Werbepraxis von Google zu Real-Time-Bidding).
Nebst der Judikative gibt es aber auch die Selbstregulierung. Immer mehr Browser verbannen die 3rd-party-Cookies. Sogar Google „säubert“ nun den eigenen Browser Chrome und bietet alternative Möglichkeiten (was Googles Monopolstellung stärken wird, weil der Datenkuchen dann einfach alleine Google gehört). Meine Kollegen Patrick und Marcel haben beim Winterkongress darüber referiert, ein Folge-Artikel auf dnip.ch erscheint noch dazu.
Wieviel verdienen die Schweizer Medien überhaupt mit der kommerzialisierten Internet-Überwachung?
Zu guter Letzt wollte ich von den Schweizer Medienverlagen wissen, ob sich dieser tägliche Datenhandel überhaupt rechnet. Ob das grosszügige „liebevoll“ angepriesene Datensharing mit circa 860 Partnern sich dann wirklich auch in Cash auszahlt.
Die Reaktionen auf diese provokante Frage überraschten nicht: Kein Medienverlag wollte sich hier in die Karten blicken lassen.
Alle verwiesen auf ihre Jahresberichte wie etwa die TX Group (dort gibt es Zahlen zur Werbung allgemein, Print/Online nicht getrennt). Ringier schickte mir einen Ausschnitt aus dem Jahresbericht 2022.
Interessanter war der Jahresbericht der NZZ. Dort steht zwar ebenfalls in der konsolidierten Erfolgsrechnung nur eine allgemeine Zahl zum Werbemarkt.
Doch die eigene Werbeabteilung hält selber im Jahresbericht fest, dass 3rd-party-Cookies aufdringlich seien und man stattdessen auf „kontextbezogene“ Anzeigen setzen möchte. Die Werbung soll nach dem zu lesenden Artikel ausgerichtet sein. Eine eigene KI wird hier die nötigen Informationen rausextrahieren und in Werbeinformationen für das Ökosystem umwandeln.
„Mit semantIQ hat audienzz mit Hilfe der künstlichen Intelligenz von OpenAI eine
Nora Chapero, Director Advertising Products audienzz, im Geschäftsbericht 2023
Technologie entwickelt, die eine präzise Platzierung von Anzeigen erlaubt. Im Gegensatz
zu herkömmlichen Lösungen für kontextbezogene Werbung analysiert semantIQ ganze
Artikelabschnitte. Die Technologie führt eine automatische Sentimentanalyse durch, um
sowohl den inhaltlichen Standpunkt als auch die emotionale Stimmung zu erkennen.
Diese intelligente Verknüpfung garantiert, dass Leserinnen und Leser nur Anzeigen
sehen, die zu ihren persönlichen Interessen passen. Gleichzeitig können Werbetreibende
darauf vertrauen, dass ihre Marken in einem relevanten und markenstärkenden Umfeld
platziert sind.„
Ich habe bei der NZZ-Mediengruppe nachgefragt ab welchem Zeitpunkt bei nzz.ch nur noch kontextbezogene Anzeigen eingebettet werden. Die Antwort werde ich noch nachführen.
Auch CH Media schreibt: „Die einzelnen Buchungen unserer Kundschaft kennen wir, jedoch weisen wir keine detaillierten Segmente aus„.
Eines der Medienhaus antwortete zuerst, dass man beim programmatischen Buchen die Einnahmen nicht genau beziffern könne, weil diese Cookies über die Ad Server der grossen Big Tech-Konzerne laufen würde. Und man nicht wisse, wie viel Umsatz beim Wegfall der jeweiligen 3rd-party-Cookies verloren gehen würde.
Doch das stimme sicher nicht, wie AdTech-Experte Michael Maurantonio ausführt:
„Mittels einer Supply Chain Analyse kann jeder herausfinden, wer was abbekommt. Zudem erhalten die Medienhäuser das Geld direkt von den SSPs bei programmatischen Kampagnen, die nicht direkt implementiert werden. Also wissen die Verlage genau, wie viel sie am Schluss einkassieren„.
AdTech-Experte Michael Maurantonio
Last but not least: Wie Sie sich selber vor dem kommerziellen Datenhandel weitgehend schützen können: Auch dazu haben wir natürlich einen DNIP.ch-Text verfasst.
3 Antworten
Vielen Dank für die Infos. Ich fände es gut, wenn wieder vermehrt das Analoge genutzt wird, da, wp es noch möglich ist. Und alle, die Cookies verwenden, von der Politik dazu gezwungen werden, die Möflichkeit „Ablehnen“ anzubieten. Was die Schweiz betrifft, so ist es wieder einmal ganz typisch für die hiesige Politik, dass sie keine griffigen Regeln gegenvdiesen Datenhandel ergreift. Schliesslich steht ja die freie Marktwirtschaft über allen anderen Freiheitten, und das soll so bleiben nach der bürgerlichen Sicht.
Hallo Aga,
wie du an den Artikeln der letzten Monate zu dem Thema hier auf DNIP siehst, tun sich CH-Anbieter damit schwer und haben z.T. sogar für Schweizer schlechteren Privatsphäreschutz als für Ausländer. Leider bleibt dir damit vorerst nichts anderes übrig, als dich selbst zu schützen durch Browserwahl bzw. Plugins. Ist recht einfach, aber halt immer ein händischer Schritt.
Diese Datenlecks sind nicht nur für uns als Individuen und unsere (informationelle) Selbstbestimmung ein Desaster. Sie bedeuten auch, dass Informationen, welche für die Sicherheit der Schweiz und ihrer Wirtschaft wichtig sind, auf dem Silbertablett an fremde Geheimdienste und Konkurrenten ausgehändigt werden.
Organisationen wie die Digitale Gesellschaft arbeiten daran. Aber sie (und andere) können jede Hilfe gebrauchen, um das Problem der Politik regelmässig wieder vor Augen zu führen.