Es ist schon eine Weile her, dass der Twitter Thread eines Users aus dem Privacy Tech-Sektor viral ging, in welchem er die technischen Hintergründe dafür erläuterte, warum er nach einem Besuch bei seinen Eltern plötzlich Werbung für die Zahnpastamarke seiner Mutter auf seinem Handy erhielt.
Die Antwort auf die stets beliebte Frage „hört Google mit?“ ist laut Twitternutzer Robert Reeve: Das muss Google gar nicht, um alles über uns zu wissen. Wir werden nicht nur in unseren eigenen Accounts über unsere Geräte hinweg getrackt, sondern diese Daten werden offenbar auch mit denen von anderen Personen verbunden, wenn diese zum Beispiel im selben WLAN-Netz angemeldet sind oder sich häufig in unserer Nähe befinden.
Wenn es sich also so anfühlt, als ob wir Werbung für Dinge bekommen, über die wir reden oder auch nur an sie denken, soll das nicht daran liegen, dass unsere Smartphones uns belauschen (oder gar unsere Gedanken lesen), sondern einfach daran, dass Konzerne wie Google oder Meta uns so gut kennen, dass sie unsere Interessen sogar vorhersagen können.
Die Technik hinter dem Tracking
Wie Cookies funktionieren, ist mittlerweile jedem Internet-User wohlbekannt. Auch einige Webtracking-Methoden, mit denen plattformübergreifend das Nutzerverhalten verfolgt wird, können schon fast als alter Hut bezeichnet werden: Ein Facebook Pixel in einem Webshop verrät Facebook, welche Produkte für uns relevant sein könnten und diese werden uns im Rahmen des Retargeting angezeigt. Unsere von Instagram ermittelten werberelevanten Interessen sorgen für die gleichen Werbeanzeigen, egal auf welchem Gerät wir uns anmelden. Letztere Technik ist dem sog. Cross-Device Tracking zuzuordnen.
Es gibt drei verschiedene Varianten dieser Trackingart: Die deterministische Methode orientiert sich an Nutzerkonten, in die die User eingeloggt sind, und ordnet diesen geräteübergreifend Informationen zu – wie im beschriebenen Fall mit dem Instagram-Konto.
Die probabilistische Variante ist weniger zuverlässig aber gleichzeitig sehr viel weitreichender: Hier werden Daten wie IP-Adresse, Endgerät, Betriebssystem, Browserdaten und WLAN-Netzwerk gesammelt und daraus mit Hilfe von Algorithmen Informationen über die möglicherweise dahinterstehende Person (und deren Werbeinteressen) zusammengesetzt.
Schließlich kann – futuristisch angehaucht – auch per Ultraschall getrackt werden: In dieser Variante werden für Menschen unhörbare Tonsignale (sog. Audio Beacons) z. B. in TV-Werbespots integriert und von den Mikrofonen von PC, Smartphone und weiteren Endgeräten aufgenommen, erläutert Wikipedia. Die Information, dass genau dieses Gerät während des Werbespots eingeschaltet und in der Nähe war, kann dann zu Marketingzwecken genutzt werden. Es können mit der Technologie offenbar sogar u. U. Klardaten wie E-Mail-Adresse, IP-Adresse und Telefonnummer ermittelt werden.
Darüber hinaus werden Werbeanzeigen nicht ausschließlich aufgrund unserer demographischen Merkmale oder der ermittelten Verhaltens- und Interessenprofile angezeigt. Auch der über die IP-Adresse ermittelte Standort kann ein Faktor unter vielen für die ausgespielten Werbeanzeigen sein.
Datenschutzrechtliche Perspektive
Klar ist: Personalisierte Werbung bzw. die dafür erforderliche Datenverarbeitung darf nur mit ausdrücklicher Einwilligung der Betroffenen stattfinden – ansonsten ist diese rechtswidrig (wir berichteten). Weil Meta jahrelang keine wirksamen Einwilligungen eingeholt hat, wird nach einer Entscheidung der irischen Datenschutzbehörde nun eine Strafzahlung in Höhe von 390 Millionen € fällig.
Deterministisches Cross-Device Tracking als klassische Verhaltensanalyse mit dem Ziel des Ausspielens personalisierter Werbung unterliegt also zweifellos dem Einwilligungserfordernis.
Bei den über probabilistische Methoden ausgewerteten Datenarten handelt es sich teilweise um Informationen, die standardmäßig beim Besuch einer Website verarbeitet werden, um diese überhaupt technisch zur Verfügung stellen zu können, die Sicherheit zu gewährleisten oder anonyme statistische Auswertungen durchzuführen – alle diese Zwecke erfordern keine Einwilligung, sondern liegen (zumindest bei entsprechender Ausgestaltung der Datenverarbeitung) im berechtigten Interesse des Website-Betreibers. Natürlich dürfen die Daten aber ohne Einwilligung nur für die ursprünglichen Erhebungszwecke verwendet und nicht mit dem Ziel der personalisierten Werbung weiterverarbeitet werden. Sobald zusätzlich Marketingzwecke verfolgt oder die Daten zur Profilerstellung genutzt werden, ist auch hier eine Einwilligung notwendig.
Genauso verhält es sich letztendlich auch mit der Ultraschall-Technologie. Unabhängig davon, wie Werbetreibende an Daten gelangen und wie undurchsichtig die Methoden sein mögen: Die Verarbeitung personenbezogener Daten zu Werbezwecken erfordert immer eine Einwilligung.
Ein Selbsttest muss her
Nach dem genannten Tweet war mein datenschutzrechtliches Interesse geweckt. Werden wir auch in Europa so vollumfänglich getrackt wie es offenbar in den USA der Fall ist? Oder schützt uns die DSGVO hier zumindest teilweise? Und ist das Auftauchen von Werbung für Produkte direkt nachdem wir über diese gesprochen oder an diese gedacht haben, nicht auch manchmal nur eine Frequenzillusion?
Personalisierte Werbung und übergreifendes Tracking habe ich in allen Apps so weit wie möglich deaktiviert, aber trotzdem dauerte es gar nicht lange, bis ich den beschriebenen Effekt auch innerhalb meiner eigenen Social-Media-Accounts beobachten konnte. (Es folgt: anekdotische Evidenz von zweifelhaftem wissenschaftlichem Wert.)
Der Instagram-Algorithmus spült mir neben den präferierten Hundewelpenvideos gelegentlich auch coole Snowboardtricks und Werbung für die Konzerte der Lieblingsband meines Freundes in mein Feed – so weit, so einfach: Wir benutzen zuhause dasselbe WLAN, sodass anhand der IP-Adresse nachvollziehbar ist, dass wir zu einem Haushalt gehören. Die Werbetreibenden hoffen veranschaulicht gesagt, dass ich so z. B. auf die Idee komme, zum nächsten Geburtstag Konzerttickets zu verschenken.
Auch die wiederkehrende Facebook-Werbung für Handtaschen lässt sich schnell erklären: Einmal bei Instagram auf eine Anzeige geklickt und schon wird das Interesse an einer neuen Tasche im übergreifenden Meta-Werbeprofil hinterlegt und ich bekomme auf allen zugehörigen Plattformen immer wieder die gleiche Marke angezeigt. Dass ich personalisierte Werbung eigentlich deaktiviert habe, scheint Mr. Zuckerberg dabei allerdings nicht besonders zu beeindrucken. Hm. (Wenn der Kapitalismus stärker ist als die DSGVO: Eine datenschutzrechtliche Tragödie – demnächst in diesem Kino.)
Etwas verwunderter war ich allerdings, als ich nach einem Büro-Grillabend, bei dem begeistert das regionale Lieblingsbier der Kolleginnen diskutiert wurde, am Folgetag plötzlich Werbung für eben dieses Bier (von dem ich vorher noch nie gehört hatte) in meiner Timeline fand. Hört Meta nicht vielleicht doch zu?!
Eine alternative Erklärung fand sich allerdings relativ schnell: Meta weiß über mein Smartphone, wo ich mich befinde und über die Smartphones der Arbeitskolleginnen, wer in meiner Nähe ist. Hinzu kommt, dass vielleicht mehrere Personen in meiner Nähe auf ihren eigenen Profilen aus regionaler Verbundenheit ihrer Lieblingsbiermarke folgen und möglicherweise auch öfter mit deren Posts interagieren. Der Algorithmus schlussfolgert also: Ich könnte eine geeignete Zielgruppe für dieselbe Sorte Bier sein, die auch die anderen mögen. Etwas kurios an der Sache bleibt aber auch hier, dass ich beispielsweise den Standortzugriff für Facebook überhaupt nicht erteilt habe.
Fazit
Wenn man an der digitalen Welt teilnehmen möchte, ist es mittlerweile fast unmöglich, ein Tracking des eigenen Verhaltens komplett zu verhindern. Komplexe Algorithmen können auch aus zunächst harmlos erscheinenden Daten mit hoher Trefferquote persönliche Eigenschaften berechnen und sind technisch für den Laien kaum noch nachvollziehbar. Von Technologien wie Ultraschall-Beacons, die wir weder wahrnehmen noch rechtlich vollumfänglich greifen können, einmal ganz abgesehen.
Eine Möglichkeit, damit umzugehen: Vor dem nächsten Geburtstag einfach solange das gewünschte Geschenk googlen, bis alle Haushaltsmitglieder Werbung dafür bekommen und dann beim Auspacken ganz überrascht tun – das durchblicken sie nie.
Andere Möglichkeit: Regelmäßig Cookies löschen, Inkognito-Modus oder alternative Browser sowie alternative Suchmaschinen und VPN nutzen, allen Apps so viele Berechtigungen wie möglich entziehen (Mikrofon, Standort) und dem Rat von Robert Reeve folgen: „Block the f*** out of every app’s ads.“