Werbetracking: Wie deutsche Firmen am Geschäft mit unseren Daten verdienen

Marc* ist junger Unternehmer. Er verkauft schöne Dinge an Menschen, die es sich leisten können. Und er würde gerne noch mehr verkaufen. Daten sollen ihm dabei helfen. Er wendet sich an eine Berliner Firma namens Adsquare. Denn Marc will mehr darüber wissen, wer seine Kund:innen sind und möchte sie mit zielgenauer Werbung ansprechen. Am besten Leute mit viel Geld und solche, die bei der Konkurrenz einkaufen oder in der Nähe seines Geschäfts unterwegs sind.

Marc berichtet uns von seinem Verkaufsgespräch mit einer Sales-Managerin von Adsquare. Ihre Botschaft: Was er sich vorstelle, sei alles kein Problem. „Möglich ist da echt viel“, habe sie gesagt und dabei gelacht. Um Datenschutz müsse er sich keine Gedanken machen, erinnert sich Marc.

Adsquare ist eine Firma, die wohl kaum jemand kennt und die doch viel über uns weiß. Vermeintliche Charaktereigenschaften, Interessen, Einkommen, Einkaufsverhalten, besuchte Orte. Solche Informationen sammeln Adsquares Datenpartner über Millionen Menschen und sortieren sie in entsprechende Kategorien. Adsquare bietet Unternehmen die Nutzung dieser Daten für Einblicke in Zielgruppen und zielgerichtete Werbung an, sogenanntes Targeting.

Im Angebot hatte das Unternehmen im Jahr 2021 offenbar zum Beispiel Targeting von mutmaßlich Schwangeren und Geschiedenen, von Glücksspielern, „Fragilen Senioren“ und „Familien in Schwierigkeiten“. Auch von Personen, die an Geldautomaten der Berliner Sparkasse waren oder die in bestimmten Geschäften eingekauft haben. Das geht aus einer Angebotsliste aus dem Mai 2021 von Xandr hervor, über die wir heute in Kooperation mit The Markup berichten. Xandr ist einer der wichtigsten Umschlagplätze für Daten im globalen System der Online-Werbung.

Insgesamt enthält die Liste die Metadaten zu mehr als 650.000 verschiedenen Audience-Segmenten. Das sind Kategorien, mit denen Werbetreibende ihre Zielgruppe für digitale Werbung maßschneidern können. Die Segmente repräsentieren die Datenbestände von Firmen wie Adsquare, die sie Werbekunden über Plattformen wie Xandr zur Nutzung für zielgerichtete Werbung anbieten. Die Liste zeigt nicht nur, wie umfassend und kleinteilig die Kategorien sind, in die uns Datenhändler einsortieren, sondern auch, wie sehr deutsche Firmen inzwischen in ihre Netzwerke eingebunden sind. Unsere ausführliche Analyse der Datei findet ihr in unserem Artikel „Das sind 650.000 Kategorien, in die uns die Online-Werbeindustrie einsortiert“

Pseudonym, aber überall auffindbar

Wie Adsquares Daten seinem Geschäft helfen können, das wollte Jungunternehmer Marc von der Sales-Managerin wissen. Er erinnert sich: „Wenn Sie uns die Mobile Advertising IDs ihrer Kund:innen liefern, können wir ihnen erklären, was diese sonst so machen“, habe die Adsquare-Mitarbeiterin gesagt. Diese sogenannten Audience Insights würden Unternehmen helfen, ihre Zielgruppe besser zu verstehen. Was verdient die Gruppe im Schnitt? An welchen Orten ist sie unterwegs? Was sind ihre Hobbies und Shopping-Vorlieben? Anhand vorgefertigter Kategorien liefere Adsquare solche Einblicke auf einer allgemeinen Ebene.

Da Marcs Unternehmen bislang selbst keine Werbe-IDs von Kund:innen sammelt, kommt dieses Produkt für ihn nicht in Frage. Dann könne er Adsquares Targeting-Angebote nutzen, erklärt die Verkäuferin. Dafür brauche er keine eigenen Daten, sondern könne sich ganz auf die des Unternehmens verlassen. Hierbei kommen unter anderem die besagten Audience Segmente zum Einsatz. Man muss sie sich als riesige Container für Gruppen von Menschen vorstellen.

Jedes Segment enthält eine Liste mit digitalen IDs von Menschen, denen bestimmte Eigenschaften zugeschrieben werden. In der Angebotsliste von Xandr tragen sie Bezeichnungen wie „Income: 4000 €+“, „Place Visit: Casinos” oder „Moms who shop like crazy“. Oft versprechen die Segmente Auskunft über intime Details, manchmal sogar zu Krankheiten, politischen Überzeugungen oder der sexuellen Orientierung. Die Anbieter solcher Segmente betonen gerne, dass die Listen keine Namen von Menschen enthalten, sondern lediglich pseudonyme IDs.

Dennoch dienen sie als Identifikationsnummern, mit denen spezielle Datenplattformen die Menschen überall im digitalen Werbe-System auffinden können, um ihnen innerhalb Millisekunden die passende Werbung zu zeigen, wenn sie eine App oder Website öffnen. Mithilfe der IDs können spezielle Datenplattformen die Menschen überall im digitalen Werbe-System auffinden und ihnen die passende Werbung zeigen, sobald sie eine App oder Website öffnen. Solche IDs können beispielsweise IP-Adressen sein, Cookie-Nummern oder individuelle Mobile Advertising IDs, die zu Geräten wie Smartphones, Tablets oder vernetzten Fernsehern gehören.

Einige der von uns angefragten deutschen Datenhandelsfirmen betonen, dass bei ihnen keine individuelle Profilbildung stattfindet. Das heißt: Sortiert sind die IDs nicht nach einzelnen Personen, sondern nach den zugeschriebenen Eigenschaften. Man verfolge keinen „User-Centric Approach“, sagt etwa Adsquare. Das Unternehmen sei „nicht am Profil eines einzelnen Nutzers interessiert und unterhält daher keine Datenbank mit allen IDs und den jeweiligen Attributen dazu.“ Die eingangs genannten Segmente zu „Fragilen Senioren“ und „Familien in Schwierigkeiten“ seien heute zudem nicht mehr im Angebot.

Daten über fünf Milliarden Menschen

In den globalen Handel mit solchen Segmenten bietet die Angebotsliste von Xandr einen einmaligen Einblick. Die Firma gilt in diesem Geschäft als wichtige Infrastruktur, im Jahr 2022 kaufte Microsoft das Unternehmen von AT&T. Die Liste enthält für jedes der 651.463 Segmente eine Zeile. Darin finden sich unter anderem die Namen der einzelnen Segmente und Informationen darüber, wer sie auf dem Marktplatz angeboten hat.

93 Firmen sind in der Datei als Anbieter gelistet. Der Großteil der Firmen stammt aus den USA, doch sieben Datenhändler kommen aus Deutschland. Zahlreiche weitere deutsche Firmen sind als ursprüngliche Quelle für die Daten ersichtlich. Keine Angaben enthält die Liste dazu, wie groß einzelne Segmente sind, also wie viele IDs sich jeweils darin befinden. Bekannt ist jedoch, dass einzelne Segmente hunderttausende oder gar Millionen IDs enthalten können. Allein Oracle – laut Liste der größte Anbieter auf Xandr 2021 – behauptet selbst, Daten über mehr als fünf Milliarden Menschen im Angebot zu haben.

Die Liste war bis vor kurzem offen im Internet abrufbar, vergraben auf einer Dokumentationsseite von Xandr für Kunden. Aufgestöbert hat sie der Wiener Tracking-Forscher Wolfie Christl. Er hat die Datei mit netzpolitik.org und The Markup geteilt. Das US-Medium berichtet heute unter anderem über die zahlreichen sensiblen Daten und macht sie mit einem interaktiven Tool einfach durchsuchbar. Mehrere Presseanfragen an Xandr der beiden Redaktionen blieben bislang unbeantwortet. Inzwischen ist die Datei offline. Beim Internet Archive findet man jedoch sowohl eine archivierte Version der Website als auch der Datei [Achtung: Download-Größe 23 MB].

„Renommierte deutsche Milliardenkonzerne und kleine deutsche Firmen durchleuchten heimlich unser Alltagsverhalten, sortieren uns in tausend Kategorien und bieten die Daten über eine US-Datenhandelsfirma an, die nun zu Microsoft gehört“, fasst Wolfie Christl die Erkenntnisse aus der Datei zusammen. Es sei ein Skandal, „dass dieser unkontrollierte Handel mit Daten über persönliche Eigenschaften und Verhaltensweisen in Deutschland fünf Jahre nach der Datenschutzgrundverordnung immer noch stattfindet.“

25.000 Segmente von deutschen Anbietern

Die Händler erhalten ihre Daten aus zahlreichen Quellen. Dazu zählen Kreditkartenfirmen, Marktforschungsunternehmen und zahlreiche Apps und Websites, die Daten ihrer Nutzer:inen weitergeben. Außerdem andere Datenhändler, die ihre Bestände weiterverkaufen oder zur Nutzung anbieten. Viele von ihnen betonen auf Anfrage, dass ihre Datenpartner die Einwilligung der Betroffenen eingeholt haben, dass ihre Daten weitergegeben und für Werbung genutzt werden dürfen.

Die deutschen Datenhändler tragen technisch klingende Namen. Die Firmen sind kaum bekannt, auch wenn sie vermutlich Daten über viele von uns im Angebot haben. In der Xandr-Datei waren mehr als 25.000 Segmente der deutschen Händler gelistet:

• Adsquare: 15.246 Segmente
• Zeotap: 5.367 Segmente
• The ADEX/ProsiebenSat1: 2.628 Segmente
• Semasio: 1.396 Segmente
• Roq.ad: 1.279 Segmente
• Emetriq/Deutsche Telekom: 804 Segmente
• DataXTrade: 84 Segmente

Wir haben bei allen sieben nachgefragt. Die Firma roq.ad teilt uns mit, im Jahr 2021 eigentlich keine Daten über Xandr mehr vertrieben zu haben. Nach einem kurzen Testlauf habe man bereits vor mehreren Jahren entschieden, nicht mit der Plattform zu arbeiten. Eine schlüssige Erklärung, warum die Segmente trotzdem im Mai 2021 gelistet wurden, habe man nicht. Möglicherweise nutze ein Kunde die roq.ad-Segmente über Xandr oder die Liste enthalte alte Daten. DataXTrade hat auf unsere Presseanfragen nicht reagiert. Die anderen fünf Firmen haben die Geschäftsbeziehung mit Xandr bestätigt.

Einen expliziten Bezug zu Menschen in Deutschland und anderen EU-Ländern hatten laut ihrer Bezeichnung mehr als zehntausend Segmente. Sowohl deutsche als auch US-Händler hatten sie im Angebot. Im Angebot, das ist an dieser Stelle wichtig, heißt nicht notwendigerweise, dass sie den Werbekunden die Daten direkt überlassen. In der Regel erhalten Werbetreibende selbst keinen Zugriff auf die IDs, sondern bezahlen dafür, die Daten für ihre Zwecke nutzen zu können. Werbekunden können so über spezielle Datenplattformen gegen Entgelt zielgerichtet Menschen mit bestimmten Eigenschaften oder Verhaltensweisen erreichen.

Auch die Telekom und ProSieben mischen mit

Weltweit hat die Branche 2022 über 600 Milliarden Dollar umgesetzt. Dass dieses Geschäft lange von US-Firmen dominiert war, hat die deutsche Wirtschaft schon lange gewurmt. Deshalb haben sich kleine und große Unternehmen schon vor Jahren auf den Weg gemacht, um ihr Stück vom Werbekuchen zu erobern.

Hinter zwei der sieben deutschen Anbieter stehen große Namen. Einer von ihnen ist die Deutsche Telekom, Eigentümerin des Datenhändlers Emetriq. Laut Angebotsliste hat die Firma im Mai 2021 rund 800 Segmente bei Xandr angeboten. Wir haben Emetriq gefragt, wie viele Segmente die Firma heute anbietet und wie viele IDs diese enthalten. Das Unternehmen hat diese Fragen nicht beantwortet.

Auch das Medienunternehmen ProSiebenSat1 mischt inzwischen groß im Datengeschäft mit. Über die Tochtergesellschaft Virtual Minds ist der Fernsehsender Eigentümerin von The ADEX. Mit gut 2.600 Segmenten stellte The ADEX 2021 die drittgrößte deutsche Anbieterin auf dem Xandr Marketplace dar. Auf Nachfrage bestätigt uns Virtual Minds, damals diese Segmente bei Xandr angeboten zu haben. Heute biete The ADEX insgesamt knapp 11.000 unterschiedliche Segmente über eine eigene Plattform und 17 weitere Partnerplattformen an. Bei Xandr biete das Unternehmen aktuell etwa 3.900 Segmente an. Wie viele Geräte oder Personen in den Segmenten erfasst sind, hat das Unternehmen uns nicht beantwortet.

Arbeitslos und übergewichtig

Wer durch die lange Liste der Segmente scrollt, die die deutschen Firmen anboten, staunt unweigerlich über die Kleinteiligkeit und vermeintliche Genauigkeit der Kategorien, in die sie Menschen einsortieren. Es finden sich Gehaltsklassen, Anzahl der Autos, bevorzugte Lebensmittel, favorisierte Marken und besuchte Geschäfte. Auch nach Jobs, Interessen, Hobbys, Persönlichkeitsmerkmalen und psychologischen Eigenschaften können Werbetreibende auswählen.

Unweigerlich stolpert man über zahlreiche Zielgruppenkategorien, die große Fragen aufwerfen. Man kann Glücksspieler ebenso adressieren wie Minderjährige und Menschen, die Vorlieben für Alkohol haben oder in die Kategorie „arm“ einsortiert sind.

Vielfältig ist zum Beispiel die Bandbreite der Segmente, die The ADEX anbot. Das Unternehmen vermarktete Listen von Arbeitslosen, übergewichtigen Frauen, Eltern mit Kleinkindern und Menschen mit Interesse für „Dating“ oder für „spekulative Geldanlagen“. Dazu kamen Listen mit Menschen, die weniger als 500 Euro monatlich verdienen, „höchste“ Zahlungsausfallwahrscheinlichkeit aufweisen oder eine Eigentumswohnung besitzen. Oder denen diese Eigenschaften zumindest zugeschrieben wurden. In der Datei sieht das dann so aus:

• The ADEX GmbH | 2245 | 3540268 | Custom Segments > emetriq family and relationships: dating
• The ADEX GmbH | 2245 | 9751721 | Custom Segments > emetriq income: < 500 €
• The ADEX GmbH | 2245 | 9751725 | Custom Segments > emetriq job: unemployed
• The ADEX GmbH | 2245 | 11209896 | Custom Segments > AdSchober X – Style & Fashion – Clothing – Size Plus – Real Data from Internet Portals
• The ADEX GmbH | 2245 | 21135731 | Custom Segments > OSdatasolutions > 118410 > Demographic > Psychographic > Persona > Oversized Women | D1 | BL O
• The ADEX GmbH | 2245 | 22136977 | Custom Segments > OSdatasolutions > 114057 > Demographic > Education & Occupation > Employment Status > Unemployed / Job Seeker | D4
• The ADEX GmbH | 2245 | 15217144 | Custom Segments > adality – microm – payment index – Zahlungsausfallwahrscheinlichkeit – am höchsten
• The ADEX GmbH | 2245 | 15217130 | Custom Segments > adality – psychographics – microm – finance – spekulative Geldanlage

Welche dieser Segmente heute noch angeboten werden, wissen wir nicht. Laut The Adex unterliegen sie „einer laufenden Veränderung“. Informationen zu den Segmenten würden Verschwiegenheitsverabredungen mit den Datenpartnern unterliegen.

Heikle Segmente: Erotik, Schlafstörungen, Politiker:innen?

Einige Segmente der deutschen Datenhändler scheinen besonders heikel. Zeoptap etwa hatte unter anderem ein Segment mit dem Namen „Interest: LGBT“ und dem Länderkürzel „ES“ für Spanien im Angebot. Auf Nachfrage sagt das Unternehmen: „Zeotap hat auf Grundlage von Einwilligungen Nutzungsdaten in diesem Fall unter anderem von verschiedenen Dating-Apps ohne spezifischen LGBT-Bezug gesammelt.“ Tatsächliche Informationen zu LGBT-Interessen habe das Segment nicht enthalten, die Bezeichnung sei deshalb irreführend. Sie sei nur einmal verwendet worden und man habe Vorkehrungen getroffen, dass dies künftig nicht mehr geschehen würde. Außerdem sagt Zeotap: „Soweit wir es nachverfolgen können, wurden die fraglichen Segmente auch nicht von Werbetreibenden erworben und haben deshalb auch keinen Umsatz generiert.“

Die Telekom-Tochter Emetriq hatte laut Liste ein Segment mit dem Namen „Hobbies and Interests: erotic“ im Angebot. Ebenso Segmente, die auf Impfungen oder Schwangerschaften verwiesen. Außerdem ein Segment, das mutmaßlich auf politische Entscheidungsträger:innen abzielte. Es hieß „IQDX Policy Makers“. IQDX ist eine Investmentfirma aus den USA. Wir wollten von Emetriq wissen, ob die adressierten politischen Entscheider:innen in den USA oder in Deutschland sitzen. Das Unternehmen hat unsere Fragen zu konkreten Segmenten nicht beantwortet.

Auch die Firma DataXTrade bot mit einem Segment namens „pub_law_govt_politics“ mutmaßlich das Targeting von Entscheidungsträger:innen in den Bereichen Politik, Regierung und Recht an. DataXTrade hat auf mehrere Presseanfragen nicht reagiert.

Nicht alle Segmente in der Liste des Xandr Marketplace scheinen für jeden Kunden gedacht zu sein. Xandr unterscheidet in öffentliche Segmente und sogenannte Custom Segmente. Letztere sind laut einer Xandr-Dokumentationsseite eigentlich nicht öffentlich gelistet und können von Werbekunden nicht ohne weiteres genutzt werden, sondern müssen vom Datenanbieter für sie freigeschaltet werden. Wir haben Xandr gefragt, ob diese Segmente aus Versehen öffentlich einsehbar waren, aber haben keine Antwort erhalten.

Im Segmentnamen als „Custom“ gekennzeichnet waren beispielsweise alle Kategorien von The ADEX. Dazu zählten diverse Segmente, die sich auf Gesundheitsthemen beziehen. In der Liste finden sich etwa die Custom Segmente „Menopause“, „Corona Virus“ oder „Schlafstörungen“. Auch ein Segment, das laut Namen die Führungskräfte von Kirchen und religiösen Gruppen enthält, hatte das Tochterunternehmen von ProSiebenSat1 im Angebot. Wie sich diese Segmente im Einzelnen zusammensetzten und woher die Daten stammten, beantwortet The ADEX auf Anfrage nicht.

Die Quellen der Datenhändler

Mit heiklen Segmenten möchte Jungunternehmer Marc lieber nichts zu tun haben. Für seine Zwecke reicht ein Targeting mit Einkommen, Interessen und Geodaten. Da ist er bei Adsquare an der richtigen Adresse, Location-Targeting ist Adsquares Spezialität. Mit mehr als 15.000 Segmenten war das Berliner Unternehmen 2021 mit Abstand der größte deutsche Datenanbieter auf dem Xandr Marktplatz.

Wir haben Adsquare gefragt, wie viele der 15.000 Segmente es heute noch im Angebot hat. Die meisten der bei Xandr gelisteten Segmente seien inzwischen „nicht mehr aktiv oder beinhalten keine IDs mehr“, lautet die Antwort. Heute biete man für unterschiedliche Länder je etwa 1.000 bis 5.000 Segmente an, die Gesamtzahl der Segmente bleibt damit unklar. Auch konkrete Informationen dazu, wie viele IDs diese Segmente enthalten, nennt Adsquare auf Anfrage nicht.

Das Targeting mit Zielgruppensegmenten nennt Adsquare schlicht Audience Targeting. Marc erinnert sich: Die dafür notwendigen Informationen bekomme das Unternehmen von unterschiedlichen Datenpartnern, habe die Sales-Mitarbeiterin erklärt. Dazu zähle zum Beispiel Mastercard. In der Angebotsliste liest es sich so, als würde die Kreditkartenfirma mehreren Datenhändlern Informationen über Einkäufe und daraus abgeleitet über besuchte Orte und Interessen zur Verfügung stellen. Zum Beispiel der US-Firma Eyeota:

• Eyeota – DE Mastercard – Top Spending Geography – Casino and Gambling Activities
• Eyeota – DE Mastercard – Top Spending Geography – Children’s Apparel
• Eyeota – DE Mastercard – Top Spending Geography – College or University Education
• Eyeota – DE Mastercard – Top Spending Geography – Communications, Telecommunications and Cable Services
• Eyeota – DE Mastercard – Top Spending Geography – Computer and Software Stores

Wir haben Mastercard gefragt, welche Daten das Unternehmen an Werbefirmen weitergibt. Die Antwort: „Einige der Dienstleistungen, die wir anbieten, beruhen auf der Erstellung aggregierter, geografischer Einblicke in die Ausgaben aus anonymen Transaktionsdaten.“ Hierbei gebe es „keine direkte Ansicht oder Verbindung zu einer Person“. Das bedeutet offenbar, Mastercard verarbeitet die Daten nicht in Zusammenhang mit Namen, sondern mit den Kreditkartennummern. Auch Informationen über gekaufte Produkte verarbeite Mastercard nicht, sondern lediglich den Preis und das Datum, den Ort des Einkaufs und den Namen des Händlers sowie einen Code für eine Händlerkategorie.

Auf unsere Frage, wie genau die Daten mit Bezug zu Mastercard-Transaktionen in der Segmentliste von Xandr landen, antwortete Mastercard nicht. Auch zur Kooperation mit Adsquare äußert sich Mastercard nicht. Auf unsere Frage, ob Mastercards Kunden wissen, dass die Kreditkartenfirma Daten über sie an Werbefirmen weitergibt, sagt das Unternehmen, die Transaktionsdaten seien „anonym“. Zudem seien „diese Einblicke mit allen geltenden Datenschutzregelungen, einschließlich DSGVO, konform und stehen im Einklang mit Mastercards Datenschutzverpflichtungen.“ Kund:innen hätten zudem die Möglichkeit, „die Anonymisierung persönlicher Daten abzulehnen“.

Standortdaten aus Wetter-Apps

Marc erinnert sich an weitere Datenquellen, die die Adsquare-Mitarbeiterin genannt habe. Standortdaten zum Beispiel würde Adsquare auch von Apps erhalten. „Zum Beispiel eine Wetter-App, die uns regelmäßig den Standort des Nutzers zusammen mit der Mobile Advertising ID schickt“, habe die Mitarbeiterin erklärt.

Wer sich auf die Suche begibt, findet Adsquare zum Beispiel in der Datenschutzerklärung des beliebten Dienstes WetterOnline. Nutzer:innen des Dienstes müssen ihre Einwilligung zum Tracking geben oder 1,99 Euro monatlich zahlen. Wir wollten von dem Unternehmen wissen, wie häufig und in welcher Formen es Geodaten von Nutzer:innen weitergibt. Auf diese Frage erhielten wir keine Antwort. Stattdessen reagierte WetterOnline mit einem allgemeinen Statement: „Bei der Vermarktung unserer Anwendungen kooperieren wir mit einer Vielzahl an Werbepartnern und Dienstleistern.“ Das Unternehmen betont, dass es dabei alle datenschutzrechtlichen Anforderungen achte und befolge und verweist auf seine Datenschutzbestimmungen. Dort sind derzeit mehr als 1.000 Firmen aus aller Welt gelistet, an die WetterOnline Daten weitergibt.

In der Liste findet sich ebenfalls The ADEX. Laut Xandr-Segmentliste erhält die ProsiebenSat1-Tochter auch Daten vom ebenfalls beliebten Angebot Wetter.com. Die Seite reagierte nicht auf unsere Presseanfrage. In der Angebotsliste sehen die Segmente mit Quelle wetter.com so aus:

• The ADEX GmbH | 2245 | 25251237 | Custom Segments > wettercom_travelintent_hamburg
• The ADEX GmbH | 2245 | 25251238 | Custom Segments > wettercom_travelintent_berlin
• The ADEX GmbH | 2245 | 25251239 | Custom Segments > wettercom_travelintent_muenchen

Adsquare bietet auch Segmente an, die auf Besuche bei Geldautomaten bestimmter Banken verweisen. Wir haben bei der Berliner Sparkasse und der Berliner Volksbank angefragt, ob auch sie die Quelle für diese Informationen sind. Die Banken sagen: Nein. Adsquare selbst will auf Anfrage nicht sagen, woher die Segmente stammen. Doch eine Pressesprecherin der Berliner Volksbank hat eine Vermutung: „Ein Blick auf den Webauftritt der Adsquare als Anbieter von Geo-Daten lässt uns folgendes Szenario denkbar erscheinen: Bewegungsdaten (z. B. von Mobilfunkprovidern oder Apps die Standortdaten teilen) werden mit öffentlichen Kartendaten (frei verfügbare Standortdaten unserer Filialen und SB Geräte) kombiniert, um ein Dataset zu erzeugen, wie Sie es scheinbar online gefunden haben.“ Dies wäre ohne konkrete Nutzungsdaten aus dem Geldautomatensystem der Bank möglich.

Die Pressesprecherin ergänzt: „Ob und inwieweit das so zutrifft und rechtlich legitim ist, können wir nicht beurteilen.“ Adsquare selbst sagt auf unsere Nachfrage, dass das Unternehmen mittlerweile keine Segmente mehr anbiete, die auf die Automaten einzelner Banken verweisen. „In Bezug auf Geldautomaten haben wir keine Segmente mehr für einzelne Banken, sondern nur allgemein für Geldautomaten über alle Banken hinweg im Angebot.“

Websites und Haushaltsbefragungen als Datenquelle

Bisweilen fungieren auch einzelne Websites als Datenquellen für die Datenhandelsfirmen. Adsquare zum Beispiel hatte laut Xandr-Liste 2021 zahlreiche Segmente im Angebot, deren Quelle die Website ask.fm war. Der Dienst war eine Weile bei Jugendlichen sehr beliebt, man konnte sich anonym Fragen stellen. Viele dieser Segmente enthielten laut Segmentname die IDs von Minderjährigen aus EU-Ländern unter 16 Jahren:

• Adsquare (Data Provider) 2711 13712993 ask.fm > AT > Demographics > Age > 13-18 years (adsquare)
• Adsquare (Data Provider) 2711 13713032 ask.fm > DE > Demographics > Age > 13-18 years (adsquare)
• Adsquare (Data Provider) 2711 13713072 ask.fm > DK > 13-18 years (adsquare)
• Adsquare (Data Provider) 2711 13713113 ask.fm > FI > 13-18 years (adsquare)
• Adsquare (Data Provider) 2711 13713164 ask.fm > ES > Demographics > Age > 13-18 years (adsquare)
• Adsquare (Data Provider) 2711 13713202 ask.fm > FR > Demographics > Age > 13-18 years (adsquare)

Auf Anfrage sagt Adsquare, ask.fm sei heute kein Datenlieferant mehr. Außerdem biete Adsqure „schon seit längerem in keinem europäischen Land Daten von Minderjährigen an – auch nicht zwischen 16-18 Jahren.“

Auch die in Deutschland beliebte Ratgeber-Seite gutefrage.net, auf der Menschen Fragen zu allen erdenklichen Themen stellen und von anderen Nutzer:innen Antworten erhalten können, taucht in der Xandr-Datei häufig auf. Es sind Segmente, die kleinteilig Auskunft über Interessen der Nutzer:innen geben. Wer sich für Bücher und Literatur interessiert zum Beispiel, wer für die Zubereitung von Desserts, wer für Motorräder, wer für Autos allgemein und wer für Autoteile. Auch die Interessen „Alternative Medizin“ und „Abnehmen“ finden sich in der Liste, mit gutefrage.net als Quelle. Auf Nachfrage bestätigt das Unternehmen, seit 2019 mit The ADEX zusammenzuarbeiten.

Laut Marc spricht die Adsquare-Sales-Managerin im Verkaufsgespräch auch von Haushaltebefragungen als Datenquelle. „Wenn jemand in einer Telefonumfrage angibt, dass er gerne Golf spielt, erhalten wir diese Information.“ Wie genau Informationen aus diesen Umfragen in Segmenten landen, können wir nicht nachvollziehen. Aber es gibt Dienstleister, die darauf spezialisiert sind, unterschiedliche Identifikationscodes zu „matchen“, also etwa E-Mail-Adressen und Telefonnummern mit Geräte-IDs zu verknüpfen.

Zahlreiche Segmentnamen in der Xandr-Datei verweisen zudem auf traditionsreiche deutsche Datenhändler als Quelle. Die Firma Schober aus Baden-Württemberg beispielsweise ist schon seit Jahrzehnten im Datenhandel tätig. Früher als sogenannter Adresshändler, heute als Rundum-Versorger mit Daten über Millionen Menschen. Das Angebot nutzen nicht nur deutsche Firmen, auch die Branchengrößen aus den USA nutzen Schober als Datenquelle. Insgesamt taucht Schober für mehr als 650 Segmente auf dem Xandr-Marktplatz als Datenquelle auf.

Ähnliches gilt für die Bertelsmann-Tochter AZ Direct, die schon in analogen Zeiten im Adresshandel tätig war und in der Xandr-Datei in mehr als 800 Segmenten als Quelle auftaucht. Relativ frisch im Geschäft ist der Anbieter OS Data Solutions, der für mehr als 500 Segmente als Quelle auftaucht. Die Firma wurde 2017 vom Versandhandelsriesen Otto und dem ehemals auf Außenwerbung spezialisierten Unternehmen Ströer gegründet. Auch das Marktforschungsunternehmen Gesellschaft für Konsumforschung, GfK, taucht in mehr als 2.000 Segmenten als Datenquelle auf.

Wie unsere Schwächen gezielt ausgenutzt werden

„Firmen, die heimlich massenhaft Standortdaten von Smartphone-Apps absaugen und verkaufen, das kenne ich aus den USA und anderen Regionen der Welt“, kommentiert Wolfie Christl die Erkenntnisse über die deutschen Datenhandelsfirmen. „Ich hätte nicht erwartet, dass solche Firmen ausgerechnet mitten in Deutschland sitzen.“ Sogar der US-Konzern Oracle habe 2020 kurz nach einer Milliardenklage bekanntgegeben, den Handel mit digitalen Profilen in der EU einzustellen. „Es ist absolut unverständlich, dass deutsche Unternehmen nicht spätestens zu diesem Zeitpunkt ebenfalls Abstand davon genommen haben.“

Auch wenn einige Datenhändler sagen, dass sie die Daten nicht in individuellen Profilen speichern: Werbetreibende können unterschiedliche Targeting-Kriterien miteinander kombinieren, um gezielt bestimmte Gruppen zu erreichen. Etwa Leute, die viel Geld haben und gerne teure Autos kaufen. Oder Leute, die gerade geschieden und in finanziellen Schwierigkeiten sind. „Die Werbefirmen nutzen das Wissen über uns, um uns zu manipulieren und unser Verhalten zu formen“, sagt Wolfie Christl. Ganz bewusst würde Online-Werbung auf persönliche Schwächen ausnutzen. Dass verletzliche Gruppen mit zielgerichteter Werbung ausgenutzt werden, etwa Menschen mit Spielsucht, sei an der Tagesordnung.

Viele der Daten seien womöglich fehlerhaft, was „die Sache aber auch nicht besser macht“, wie er sagt. Denn „niemand möchte von irgendwelchen Firmen als zahlungsunfähig oder leicht beeinflussbar eingeschätzt werden, auch nicht für Werbezwecke“.

„Generell führt eine derartige Granularität und auch die explosionsartige Verteilung der Daten an alle möglichen Empfänger zu einem totalen Kontrollverlust für betroffene Personen“, kritisiert auch Marco Blocher von der gemeinnützigen Organisation NOYB – None of Your Business. „Daten kommen von 1.000 Stellen und gehen an 1.000 Stellen.“ Es sei faktisch unmöglich zu verstehen, wo die eigenen Daten sind, und wer diese zu welchen Zwecken wie lange verarbeitet. Auch Wolfie Christl sagt: „Niemand weiß genau, welche Wege diese Daten genau nehmen und was damit gemacht wird. Ich vermute, nicht einmal die Datenhandelsfirmen selbst wissen das genau.“

Die Berliner Datenschutzbeauftrage ist skeptisch

Im Gespräch mit Jungunternehmer Marc ist der Sales-Managerin von Adsquare wichtig, dass die Firma keine Daten im klassischen Sinne verkauft. Kund:innen könnten sie nutzen, aber sie erhalten nicht die Daten. Wer sie nutzen möchte, muss zunächst einen Vertrag mit einer sogenannten Demand Side Platform (DSP) abschließen. Über diese stellt Adsquare die Segmente für die Zielgruppenauswahl zur Verfügung. Marc müsste neben der Gebühr für die DSP einen Tausender-Kontakt-Preis an Adsquare für die Ansprache der gewünschten Zielgruppen zahlen. Zum Beispiel koste es etwa einen Euro, damit Marcs Werbung Tausend Personen aus der Gruppe mit hohem Einkommen in Apps oder auf smarten Fernsehern angezeigt wird.

Wie genau dieses Werbe-System funktioniert, erklären wir in unserem Artikel „Das sind 650.000 Kategorien, in die uns die Online-Werbeindustrie einsortiert“.

Gegen Ende des Gesprächs habe er noch wissen wollen, wie all das mit dem Datenschutz vereinbar ist, erzählt Marc. Die Verkäuferin habe ihm versprochen: „Sie haben da keine Haftung. Und wir auch nicht, glaube ich.“ Man lasse sich von den Datenpartnern zusichern, dass sie datenschutzkonform handeln. Halbjährlich würden stichprobenartige Überprüfungen vorgenommen.

Auf Anfrage erklären die deutschen Datenhändler Adsquare, Emetriq, The ADEX und Zeotap, dass die Rechtsgrundlage für ihre Datenverarbeitungen die Einwilligung der Betroffenen ist. Für das rechtmäßige Einholen der Einwilligungen seien die jeweiligen Datenpartner zuständig.

Wir haben unter anderem die Chefin der Berliner Datenschutzaufsicht gefragt, ob das ausreicht. Die Antwort von Meike Kamp: Man müsse natürlich im Einzelfall prüfen, aber sie habe grundsätzliche Zweifel daran, dass die Anforderungen der Datenschutzgrundverordnung an die informierte und freiwillige Einwilligung erfüllt werden: „In solchen Fällen stellt es für den Einzelnen eine Herausforderung dar, die komplexe Struktur der beteiligten Akteure sowie die spezifischen Datenflüsse bei der Erteilung einer Einwilligung nachzuvollziehen.“

Aus diesem Grund seien „die Auswirkungen der individuellen Entscheidungen auf einen selbst oftmals nicht abschätzbar“, so Meike Kamp. Trotzdem werde von den betroffenen Personen erwartet, dass sie ihre Einwilligung zur Datenverarbeitung geben. „Eine tatsächlich selbstbestimmte und informierte Einwilligung wird somit praktisch unmöglich.“

*Name geändert

Mitarbeit: Anna-Lena Schmierer und Jan Lutz.