Jedes Mal, wenn wir im Internet suchen oder surfen, findet hinter den Kulissen eine Auktion um unsere Aufmerksamkeit statt. Das Ganze dauert Millisekunden, nennt sich „Real Time Bidding“ (RTB) und ist eine der Einkommensquellen von Google & Co.

Your Online Attention, Bought in an Instant“ titelte die New York Times bereits 2012. Damals machten die datenbasierten Echtzeitauktionen nur einen kleinen Teil der Online-Anzeigenverkäufe aus. Heute ist daraus ein 117-Milliarden-Dollar-Business geworden, das den finanziellen Erfolg von Google und anderen Unternehmen befeuert.

Klar ist, dass wir vermeintlich kostenlose Dienste mit unseren Daten bezahlen. Aber was bedeutet das konkret? Von wem werden unsere persönlichen Daten weitergereicht? Und wo landen sie? Die Bürgerrechtsorganisation Irish Council for Civil Liberties (ICCL) hat den Umfang von Real Time Bidding jetzt kalkuliert und kommt zu dem Schluss, dass es sich um einen „epischen Datenverstoß“ handelt.

Worum geht’s?

Beim Real Time Bidding ersteigern Werbenetzwerke für ihre Kunden in einer Auktion Anzeigenplätze im Netz. Das Ganze geht in Millisekunden über die Bühne. Die Anzeigen erscheinen sofort im Umfeld des Suchergebnisses.

Über 178 Billionen* Mal pro Jahr passiert ungefähr das Folgende:

  • Ein Werbeplatzanbieter, beispielsweise Google, stellt aus unterschiedlichen Quellen in Echzeit ein Datendossier über die suchende Person und ihre Online-Aktivitäten zusammen. Die Daten enthalten beispielsweise Informationen über das Gerät, über die Suchhistorie, zuvor besuchte Websites und deren Inhalt sowie Details über den Standort.
  • Dieses Dossier sendet der Anbieter an potenzielle Werbetreibende bzw. deren Mittlernetzwerke.
  • Der Meistbietende kann nun auf der ersteigerten Werbefläche mit Hilfe des Datendossiers ganz gezielt die Werbung ausspielen, die besonders gut zum Betrachter oder der Betrachterin passt („targeted behavioural Advertising“).

Die Zahlen sehen laut ICCL-Bericht so aus:

  • Auf europäische Nutzer:innen entfallen jährlich rund 71 Billionen „Datenlecks“.
  • Täglich wird im Rahmen von RTB in Europa 197 Milliarden Mal geteilt, was wir gerade online ansehen und wo wir uns dabei befinden.
  • Dem ICCL zufolge ist Google der größte Erzeuger solcher Datenübertragungen. Allein in Europa überträgt Google rund 42 Milliarden Mal pro Tag persönliche Daten an 1.058 Unternehmen (erstaunlicherweise sind es in den USA „nur“ 31 Milliarden, dafür aber 4.698 Unternehmen).
  • Über das Online-Verhalten deutscher Internetnutzer erzeugt Google pro Minute rund 19,6 Millionen „Data Broadcasts“.

Was heißt das für uns persönlich?

In Europa werden die Daten eines durchschnittlichen europäischen Nutzers 376 Mal am Tag an Drittunternehmen weiterleitet. Sind wir in Deutschland online, werden wir ungefähr einmal pro Minute getrackt.

Was ist so schlimm daran?

Bürgerrechtler vom ICCL und auch einige Datenschutzbehörden argumentieren, dass das Real Time Bidding in seiner jetztigen Form gegen die Datenschutz-Grundverordnung verstößt. Dort ist festgeschrieben, dass personenbezogene Daten rechtmäßig und nach Treu und Glauben zu verarbeiten sind. Die Verarbeitung personenbezogener Daten ist auf ein Minimum zu beschränken. Gegen diese Prinzipien würde beim RTB massiv verstoßen.

Knackpunkte sind zum Beispiel:

  • Unternehmen wie Google und Bing und Betreiber anderer Dienste senden unsere zum Teil sehr persönlichen Daten an Unternehmen rund um den Globus, auch nach Russland und China.
  • Einmal versendet, gibt es keine Möglichkeit, die Verwendung von RTB-Daten einzuschränken oder zu kontrollieren. Es ist unmöglich zu steuern, was die Dritt-Unternehmen mit unseren Daten tun oder an wen sie sie weitergeben. Das wirft Fragen zur Sicherheit und Aufbewahrung dieser Daten auf.
  • Aus den Daten können detaillierte Profile erstellt werden. So nutzten Datenmakler sie beispielsweise, Black-Lives-Matter-Demonstrierenden zu profilieren.
  • Die Weitergabe dieser personenbezogenen Daten an Dritte erfolgt, ohne das Risiko dieser Gegenparteien ordnungsgemäß zu bewerten und zu beseitigen.
  • Und: Kein User hat jemals ausdrücklich in diese Praxis eingewilligt.

Fazit des ICCL: Real Time Bidding sei eine Bedrohung unserer Grundrechte und gefährde unsere Demokratie. „Jeden Tag verfolgt die RTB-Industrie, was Sie sich ansehen, egal wie privat oder sensibel, und zeichnet auf, wohin Sie gehen. Dies ist die größte Datenpanne, die je verzeichnet wurde“, sagt Dr. Johnny Ryan vom ICCL. „Konservative Schätzung: Google macht das Milliarden Mal, jeden Tag.“

 

*(die Zahlen gelten für die USA und Europa; und nein, es ist kein Übersetzungsfehler, es sind tatsächlich „Trillions“ im Original!)

Der Report ist auf der Website des ICCL zu finden. Ganz unten findet Ihr auch ein informatives Video mit Dr. Johnny Ryan.

Lest hier den Wikipedia-Artikel über Real Time Bidding. Weitere Artikel zum ICCL-Bericht findet Ihr zum Beispiel bei der Zeit, T3N, Deutschlandfunk Nova, der BBC und einen sehr lesenswerten Kommentar bei Bloomberg.

Kaum hatte die EU-Kommission ihre Pläne für DMA (Digital Markets Act) und DSA (Digital Services Act) im Dezember 2020 verkündet, setzte Google seine Lobbyisten in Marsch. Unter anderem sollte das auf Tracking, Profiling und Werbung beruhende Geschäftsmodell (Stichworte: Behavioural Targeting, #SurveillanceAdvertising) der Alphabet-Tochter durch die neue Verordnung nicht geschwächt werden.

Ein gern vorgebrachtes Argument der Google-Lobbyisten „pro Tracking“: Die durch individuelles Profiling generierte und mit Microtargeting ausgespielte Werbung sei notwendig für das Überleben kleiner und mittlerer Unternehmen in Europa. Diese würden darauf nicht verzichten wollen.

Das Gegenteil scheint der Fall zu sein, wie eine aktuelle Erhebung unter kleinen und mittleren Unternehmen in Deutschland und Frankreich zeigt. Die befragten Geschäftsinhaber:innen sind mit den Methoden der Tracking-basierten Werbung nicht zufrieden, haben ethische Bedenken und wünschen sich Alternativen.

Die Umfrage fand im Auftrag von Amnesty International und Global Witness statt. Dafür befragte YouGov über 600 Geschäftsinhaber:innen in Deutschland und Frankreich.

Hier ein paar Ergebnisse:

  • Drei Viertel der befragten kleinen und mittleren Unternehmen sind der Meinung, dass Tracking-basierte Werbung das Recht auf Privatheit und andere Menschenrechte verletzt.
  • Tech-Riesen sollten bei der Verwendung personenbezogene Daten für Werbezwecke strengeren Vorschriften unterliegen, sagen knapp 79 Prozent der Befragten.
  • Die Geschäftsinhaber:innen sind mehrheitlich überzeugt, dass ihre Kund:innen sich nicht wohlfühlen, wenn sie gezielte Online-Werbung erhalten auf Basis ihrer ethnischen Zugehörigkeit (62 Prozent), sexuellen Orientierung (66 Prozent), Gesundheit (67 Prozent), religiösen oder politischen Einstellungen (65 Prozent), persönlicher Lebensereignisse wie Schwangerschaft, Trauerfall, Scheidung (62 Prozent) oder ihres Online-Verhaltens (z. B. Suchverlauf, besuchte Websites, getätigte Käufe, 60 Prozent).

Warum die Tracking-basierte Werbung bei Google und Facebook dennoch boomt? Die Unternehmen leiden unter einem Mangel an Alternativen: 69 Prozent der befragten Unternehmer:innen gaben an, dass die Marktdominanz von Facebook und Google ihnen keine Wahl lässt, als auf deren Werbedienste zurückzugreifen.

Ganz klar eine Chance für andere Modelle und Anbieter, die ohne Profiling und Microtargeting arbeiten. Ein Grund mehr, schon jetzt auf nicht-trackende Browser und Suchmaschinen zu setzen und ihnen so mehr Reichweite zu verleihen. – Wir als Open Search Foundation sehen darin eine Bestärkung in unserer Mission, gemeinwohlorientierte Alternativen zu fordern und zu fördern.

 

Die YouGov-Umfrage wurde am Montag (17. Januar 2022) veröffentlicht. Weitere Infos gibt es bei Amnesty International und bei Global Witness. Details im Studienband D und Studienband F.

Samuel Sousa (Graz University of Technology) und Roman Kern (Know-Center GmbH) haben zusammen mit Christian Guetl von der Open Search Foundation (Leiter des CoDiS Labs, TU Graz) einen Artikel über die Herausforderungen und Lösungen des Datenschutzes in der offenen Suche veröffentlicht.

Hier ist die Zusammenfassung:

„Der Schutz der Privatsphäre ist weltweit von Bedeutung für Aktivitäten und Prozesse, die sensible Daten beinhalten. Aus diesem Grund haben viele Länder und Gebiete in letzter Zeit Vorschriften erlassen, die regeln, inwieweit Organisationen die von Menschen bereitgestellten Daten nutzen dürfen. In Bereichen der künstlichen Intelligenz, wie dem maschinellen Lernen und der Verarbeitung natürlicher Sprache, wurden bereits erfolgreich Mechanismen zur Wahrung der Privatsphäre eingesetzt, um den Datenschutz in einer Vielzahl von Anwendungen zu gewährleisten. Das Information Retrieval (IR) ist ebenfalls anfällig für Bedrohungen der Privatsphäre, wie z. B. Angriffe und unbeabsichtigte Offenlegungen von Dokumenten und Suchhistorien, die die Sicherheit der Nutzer beeinträchtigen und durch Datenschutzgesetze geahndet werden können.

Diese Arbeit zielt darauf ab, offene Herausforderungen für den Datenschutz in der neueren IR-Literatur aufzuzeigen und zu diskutieren, wobei der Schwerpunkt auf Aufgaben liegt, die nutzergenerierte Textdaten beinhalten. Wir leisten einen dreifachen Beitrag: Erstens geben wir einen Überblick über die Bedrohungen der Privatsphäre bei IR-Aufgaben; zweitens diskutieren wir anwendbare Mechanismen zur Wahrung der Privatsphäre, die in Lösungen zur Eindämmung der Gefahren für die Privatsphäre eingesetzt werden können; und schließlich geben wir Einblicke in die Kompromisse zwischen der Wahrung der Privatsphäre und der Nutzleistung bei IR-Aufgaben.“

Der Artikel ist auf englisch erschienen.
Autoren: Samuel Sousa, Christian Guetl, Roman Kern

Der vollständige Artikel steht in den arXivLabs zur Verfügung:
https://arxiv.org/abs/2110.10720

Videoaufzeichnungen

Carla Hustedt auf dem #ossym21

Werner Stengg auf dem #ossym21

Video-Aufzeichnungen

Astrid Mager auf dem #ossym21