Unsere persönlichen Daten sind eine wertvolle Ressource, die die Online-Werbeindustrie, den Motor der neuen digitalen Wirtschaft, antreibt. Aber wir sind nicht diejenigen, die von dieser Ressource profitieren. Stattdessen machen Ad-Tech-Unternehmen riesige Gewinne mit dem Verkauf unserer Daten, oft ohne unser Wissen oder unsere Zustimmung, ganz zu schweigen von einer Entschädigung.

Dieser riesige Handel im Wert von einer halben Milliarde Dollar und mit zahlreichen Akteuren auf verschiedenen Ebenen bleibt trotz seines enormen Umfangs jedoch meist im Verborgenen.

Werfen wir einen Blick hinter die Kulissen.

Ihre Daten werden jede Millisekunde versteigert

Fast jede App zeigt Werbung an. Man könnte denken, dass die Werbung, die Sie sehen, zufällig ist und an zufälligen Stellen erscheint, aber das ist nicht der Fall. Wahrscheinlich ist die Werbung speziell auf Sie zugeschnitten. Das bedeutet, dass eine andere Person, die die gleiche App benutzt, eine ganz andere Werbung zu sehen bekommt. Wir erklären Ihnen jetzt, wie die Werbeauswahl im Detail funktioniert.

Stellen Sie sich vor, Sie nutzen eine App, die Platz für Werbung bietet. Dies ist wahrscheinlich der Fall, da mehr als ein Drittel der App-Hersteller ihr Geld mit Werbung verdienen. Die App möchte diesen Platz an den Meistbietenden verkaufen und sendet daher eine Anfrage an eine Plattform, die App-Publisher und Werbetreibende zusammenbringt, wie z. B. Google Ads. Diese Plattform leitet die Anfrage dann an eine andere Plattform weiter, die eine Anzeigenbörse betreibt, wo Anzeigeflächen in Echtzeit versteigert werden. Die Anzeigenbörse leitet die Anfrage dann an viele andere Plattformen weiter, die digitale Werbetreibende vertreten, z. B. Facebook Ads Manager oder Google Display & Video 360. Diese analysieren die Informationen über Ihr Gerät und Ihr Online-Verhalten und entscheiden, wie viel sie für die Möglichkeit, Ihnen Werbung zu zeigen, zu zahlen bereit sind. Dieser gesamte Prozess, Real-Time Bidding (RTB) genannt, läuft innerhalb von Millisekunden ab, und wer gewinnt, erhält die Möglichkeit, die Werbung auf Ihrem Bildschirm zu zeigen.

Der Haken an der Sache: Ihre Daten werden nicht nur von dem Werbetreibenden eingesehen, der die Auktion gewinnt und Ihnen seine Werbung zeigen darf. Wenn Werbetreibende um die Anzeigefläche in der App konkurrieren, erhalten sie alle Zugriff auf Ihre Daten, die Informationen über Ihr Gerät, Ihren Standort, die Nutzung der App und mehr enthalten. Dies ist möglich, weil es keine klaren Regeln oder Standards dafür gibt, wie Bidstream-Daten behandelt oder geschützt werden sollten. Und das bedeutet, dass die Bieter, die die Auktion verlieren, Ihre Daten noch für andere Dinge nutzen können. Was für Dinge? Dazu kommen wir gleich noch.

Google und Facebook sind die dominierenden Akteure auf dem RTB‑Markt. Unsere Daten zeigen, dass die Google Ads-Dienste mehr als 11% aller Erstanzeigenanfragen (Initial Ad Requests) ausmachen, während Facebook Audience Network, der die Gebotsabgabe in mobilen Apps und auf mobilen Websites unterstützt, etwa 10% ausmacht. Initial Requests sind Anfragen, die von der App gesendet werden, um eine Anzeige zu laden, die im Erfolgsfall weitere Anzeigenanfragen auslösen kann. Applovin, ein führendes mobiles In‑App-Echtzeit-Auktionssystem, liegt mit rund 7% aller Anzeigenanfragen an dritter Stelle. Amazon Ad System und das israelische Unternehmen ironSource folgen mit rund 2,4% bzw. 1,3%.

Neben Werbetreibenden und Publishern ist ein weiterer wichtiger Akteur auf dem Anzeigenmarkt der Datenhändler, der ebenfalls Zugang zu den Bidstream-Daten hat. Das Ziel des Datenhändlers besteht nicht darin, Anzeigen zu schalten, sondern diese Daten neu zu verpacken und an seine eigenen Kund:innen zu verkaufen, darunter auch Behörden. Letztere können diese „kommerziell erworbenen“ Daten, bedingungslos, nach Belieben verwenden. Zu den üblichen Verbraucher dieser Daten gehören Polizei und Einwanderungsbehörde, die sie für Überwachung benutzen.

Wie die Gen-Z-App Standortdaten an die US-Regierung übermittelte

Ein Paradebeispiel für diesen Trend ist ein aktueller Bericht des Wall Street Journal. Demzufolge ein Datenhändler namens Near Intelligence sensible Nutzerdaten, auch aus der EU, über „Pass‑Through Entities (Durchlaufgesellschaften)“ „bis Anfang dieses Jahres“ an Auftragnehmer der US-Regierung verkauft hat. Die von Near Intelligence gesammelten Daten sollen in die Hände der DCSA (Defense Counterintelligence and Security Agency), der NSA (National Security Agency), der NGA (National Geospatial-Intelligence Agency), der USAF Cyber Ops (United States Air Force Cyber Operations), des Verteidigungsministeriums und der JCOS (Joint Chiefs of Staff) gelangt sein.

Der Datenhändler zapfte den Datenfluss an, der über mehrere Anzeigenbörsen lief, und obwohl diese Börsen später behaupteten, Near habe gegen ihre Nutzungsbedingungen verstoßen, weil er die Daten weiterverkaufte und für nicht Werbezwecke nutzte, konnte er dies eine Zeit lang tun.

Eine der Apps, die versehentlich Daten an Near Intelligence (und damit an die US-Regierung) übermittelte, war Life360, eine in San Francisco ansässige App, die es Freunden und Familienmitgliedern ermöglicht, mit deren Einverständnis den Standort des jeweils anderen zu verfolgen, und die bei der Generation Z besonders populär ist, da sie als „beliebtestes Back-to-School-Accessoire“ bezeichnet wurde. Die App benötigt viele Berechtigungen, um zu funktionieren, z. B. Zugriff auf Ihren ungefähren Standort, wenn Sie die App nicht verwenden, und Zugriff auf Ihren genauen Standort, wenn Sie die App verwenden. Je mehr Berechtigungen eine App benötigt, desto mehr Daten kann sie an ihre Werbepartner weitergeben und desto wertvoller können diese Daten für die Regierung sein.

Wenn fragwürdige Praktiken von Apps aufgedeckt und in Frage gestellt werden, behaupten sie manchmal, ihre Methoden geändert zu haben. Häufig machen sie jedoch weiter wie bisher oder nehmen nur geringfügige Änderungen vor.

Eine weitere Untersuchung von The Markup bereits im Dezember 2021 ergab, dass Life360 genaue Standortdaten an etwa ein Dutzend Partner verkaufte und damit viel Geld verdiente. Life360 erklärte daraufhin, dass es den Verkauf an Datenhändler einstellen werde, wies aber darauf hin, dass es weiterhin genaue Standortdaten und „aggregierte“ Standortdaten an Analysefirmen verkaufen werde. Und obwohl Life360 erklärte, dass Near durch die Weitergabe von Daten an Regierungsbehörden gegen seine Nutzungsbedingungen verstoße, scheint das Unternehmen keine ausreichenden Maßnahmen ergriffen zu haben, um dies zu verhindern.

Häufiger als man denkt

Die Praxis, dass sich staatliche Stellen auf fragwürdige Weise — ohne Befugnis und rechtliche Kontrolle — sensible Nutzerdaten beschaffen, ist vor allem in Ländern ohne strenge Datenschutzgesetze weit verbreitet. Dies ist im Grunde überall der Fall, vielleicht mit Ausnahme der EU. Datenhändler beteiligen sich skrupellos an diesem Schwarzhandel und sind bereit, jede Rufschädigung in Kauf zu nehmen.

Neben den Anzeigenbörsen ist ein weiterer gängiger Weg für Datenhändler, Daten direkt über Apps zu erhalten. Einige Apps können Ihren genauen Standort übermitteln, andere Ihren Gerätetyp, Ihren Namen oder Ihre Handynummer — die Liste ist endlos. Wichtig ist, dass alle diese Daten mit Ihrer Kennung für mobile Werbung (Mobile Advertising ID) verknüpft sind, d. h. mit einer eindeutigen Kennung, die Ihrem Gerät zugeordnet ist. Nach und nach erfährt ein Datenhändler mehr über Sie, indem er Informationen aus verschiedenen Apps und anderen Online- und Offline-Quellen wie Social-Media-Profilen und öffentlichen Aufzeichnungen sammelt. Schließlich ist der Datenhändler in der Lage, Ihr persönliches Profil zu erstellen.

Einer der Händler, der für das Sammeln von Daten aus Apps berüchtigt ist, ist SafeGraph, über dessen Fall wir letztes Jahr ausführlich berichtet haben. Kurz gesagt, SafeGraph hat sich Zugang zu Standortdaten von Apps verschafft, die sein SDK, ein Software Development Kit, verwenden. SDKs sind Codes, die von App-Entwicklern verwendet werden, um Zeit und Geld zu sparen, indem sie vorgefertigte Funktionen (wie die Standortverfolgung) bereitstellen, damit diese nicht von Grund auf neu entwickelt werden müssen. Entwickler können auch von Datenhändlern dafür bezahlt werden, dass sie die Daten ihrer Nutzer:innen über SDKs zur Verfügung stellen. Der Grund dafür ist, dass, wenn Sie einer Anwendung den Zugriff auf Ihren Standort erlauben, das SDK dieser Anwendung ebenfalls auf diese Daten zugreifen und diese Daten an den Datenhändler senden kann.

Die Praxis der Datenweitergabe oder, sagen wir direkt, des Datenverkaufs ist so allgegenwärtig, dass es an Beispielen nicht mangelt. Hier nur einige davon:

• Im Mai 2022 wurde in einem Bericht festgestellt, dass US‑Regierungsbehörden wie die ICE (Immigration and Customs Enforcement, die Polizei- und Zollbehörde) Milliarden von Datenpunkten von Privatunternehmen ohne jegliche Aufsicht gekauft haben. Und als diese Praxis in Frage gestellt wurde, fand die Regierung einen Weg, die Beschränkungen zu umgehen. Nachdem der Bundesstaat Oregon z. B. die Weitergabe staatlicher Daten an die ICE verboten hatte, verkaufte die Kfz-Zulassungsstelle von Oregon Führerscheindaten an Datenhändler, damit die ICE darauf zugreifen konnte.

• Im März 2021 enthüllte Vice, dass eine US-Militäreinheit, die Drohnenangriffe und Erkundungsmissionen durchführt, Standortdaten von gewöhnlichen Apps über ein Tool namens Locate X kauft, das von einem Datenhändler namens Babel Street entwickelt wurde.

• Im November 2020 wurde bekannt, dass das US-Militär Standortdaten von einer muslimischen Gebets-App gekauft hatte — einer der bemerkenswertesten Fälle bisher.

Kein Geheimnis mehr

Es ist seit Jahren wirklich kein Geheimnis, dass Regierungen, wenn sie Ihre Daten nicht auf legalem Wege beschlagnahmen können, einen Umweg gehen können — sie kaufen sie auf dem Online-Datenmarkt. Diese Praxis ist so gut dokumentiert, dass selbst die US-Regierung den Schein fallen ließ. Im März dieses Jahres gab FBI-Direktor Christopher Wray erstmals zu, dass das FBI US-Telefonstandortdaten von privaten Unternehmen gekauft hat. Er behauptete jedoch, dass die Behörde dies irgendwann eingestellt habe. Es liegt an Ihnen, ob Sie seine Worte für bare Münze nehmen.

Was können Sie tun, um der staatlichen Überwachung durch gezielte Werbung zu entgehen?

Vielleicht fühlen Sie sich machtlos gegenüber dieser Datenverarbeitungs- und Datenverkaufsmaschinerie, die mit allen Mitteln versucht, Ihre Daten zu ihrem eigenen Vorteil zu nutzen. Ohne eine solide Gesetzgebung, die es staatlichen Stellen verbietet, unkontrolliert Daten von privaten Unternehmen zu erwerben, wird diese Praxis wahrscheinlich weitergehen. Erstens, weil es für die Regierung viel einfacher ist, auf diese Weise an Daten zu gelangen, und zweitens, weil sich damit viel Geld verdienen lässt.

Realistischerweise können Sie nur versuchen, die Menge der Spuren, die Sie im Internet hinterlassen, zu reduzieren und die Spuren, die Sie unweigerlich hinterlassen, zu verwischen. Es gibt einige Maßnahmen, die Sie ergreifen können, um Ihre Daten vor Überwachung zu schützen:

• Ihre Advertising ID deaktivieren oder zurücksetzen. Ihre Advertising ID ist eine eindeutige, Ihrem Gerät zugewiesene Nummer, die von Datenhändlern verwendet wird, um Daten über Sie aus verschiedenen Quellen zusammenzuführen. Wenn Sie also Ihre Advertising ID deaktivieren (was nicht immer möglich ist) oder zurücksetzen, wird die Aufgabe der Datenhändler, Ihr Profil zu erstellen, wenn nicht unmöglich, so doch zumindest komplizierter.

• Keine unnötigen Berechtigungen für Ihre Apps erteilen. Viele Apps fragen nach Berechtigungen, die sie nicht wirklich benötigen, z. B. Zugriff auf Ihren Standort, Ihre Kamera, Ihre Kontakte usw. Diese Berechtigungen können dazu verwendet werden, Ihre Daten zu sammeln und an Datenhändler weiterzugeben. Diese können genutzt werden, um Ihre Daten zu sammeln und an Datenhändler weiterzugeben. Sie können die Berechtigungen Ihrer Apps in den Einstellungen Ihres Geräts überprüfen und ändern. Auch wenn eine App von Rechts wegen bestimmte sensible Berechtigungen benötigt (z. B. eine Wetter-App, die Zugriff auf Ihren Standort benötigt), sollten Sie diese mit Bedacht erteilen. Informieren Sie sich vor dem Herunterladen einer App über deren Datenschutzpraktiken, lesen Sie Bewertungen und achten Sie auf Hinweise zur Datenweitergabe.

• Einen Werbeblocker verwenden. Wir werden nicht müde, es immer wieder zu sagen: Jede Anzeigenanfrage — die Anfrage Ihres Browsers zum Laden einer Anzeige — ist auch eine Tracking-Anfrage! Ein Werbeblocker verhindert nicht nur, dass Werbung geladen wird, sondern auch, dass Skripte Ihr Online-Verhalten und Ihre Interessen verfolgen. Anfang dieses Jahres schätzten wir, dass Tracking-Anfragen etwa 19,6% des Internetverkehrs ausmachen, und die meisten dieser Anfragen sind „verborgen“, d. h. sie hängen davon ab, dass die ersten Anzeigenanfragen durchkommen und andere Werbedomains geladen werden.

• Die Nutzung von „kostenlosen“ Diensten einschränken. Denken Sie daran: Wenn Sie nicht bezahlen, sind Sie nicht die Kund:innen, sondern das Produkt.