Der Online-Einkauf ist in jeder Hinsicht billig geworden. Schwindeleien gehören zum Geschäft und machen das Vertrauen in die Welt kaputt. Opfer kann jeder werden – auch ich.

Zwischen goldenen Sanddünen steht ein minimalistisch gedeckter Tisch. Die Teller und Kaffeetassen mit ihren quadratischen Untersetzern sind aus trendy Edelstahl und erinnern an das zeitlos sterile Design eines MacBooks.

„1+1 FREE ENDS TODAY“ prangt in Serifen-Schrift über der Instagram-Werbung. Das reicht, um mich auf die offizielle Website des Amsterdamer Tableware-„Ateliers“ zu locken. Hier wandern die ersten Produkte in den Warenkorb. Zur Bestellung kommt es – noch – nicht. Der Preis ist mir trotz des „Kauf eines und erhalte zwei“-Angebots zu hoch.

Am Tag darauf folgt eine Erinnerungs-E-Mail mit persönlicher Ansprache: „Es sieht so aus, als hättest du etwas liegen lassen …“ Und es gibt „exklusive“ 10 Prozent Rabatt obendrauf. Der Sale läuft. Ich beuge mich. Kann der Deal überhaupt besser werden? Einige Wochen später sehe ich die Edelstahl-Tasse mit Quadrat-Untersetzer wieder auf Instagram – bei einem anderen Verkäufer.

Eine generische Internetsuche nach „Edelstahl Tasse Design“ bringt prompt drei weitere Anbieter ans Licht. Alle haben irgendein „Collective“, „Studio“ oder „Atelier“ im Namen, alle verkaufen die Tassen mit Untersetzer, die sie angeblich selbst entworfen haben. Dazu kommt eine Horde Content Creator auf Instagram, die das Produkt mit bezahlter Werbung vermarkten und es teilweise sogar als ihre eigene Kreation ausgeben.

Der perfide Plan der Verkäufer besteht darin, Edelstahl-Massenware an gutgläubige Tableware-Laien wie mich zu verhökern. Mit der schönen heilen Welt der auf den Websites und Instagram-Posts beworbenen „art of socializing“ oder der „magic of shared meals“ hat das nichts zu tun.

Hashtag „kuratiert“

Einmal entlarvt begegnet mir das Muster immer wieder. Airbnb präsentiert mir Unterkünfte als „ein seltenes Fundstück, das normalerweise ausgebucht ist“. Bei der Konkurrenz booking.com ist beim gewünschten Hotel wie zufällig nur noch ein Zimmer frei. Und auf Amazon reihen sich die Artikel mit prominent gekennzeichnetem Rabatt aneinander. Wenn alles reduziert ist, ist nichts reduziert.

Selbst vermeintliche Nischenmarken arbeiten mit diesen Tricks, wie die Edelstahl-Tassen-Verschwörung beweist. Ihre in der Regel kaufstarke Zielgruppe sind Menschen, die auf Hashtags wie #analog, #curated oder #design anspringen. Wir lassen uns mit künstlich klein gehaltenen Auflagen, Countdowns, Wartelisten und Personalisierung ködern.

Persönlicher Rat vom Sprachmodell

Zusätzlich instrumentalisieren die Verkäufer Content Creator, um ihren generischen Produkten den Anschein von Persönlichkeit zu geben. Instagram schlägt mir innerhalb weniger Minuten drei verschiedene Creator vor, die euphorisch verkünden: „Ich glaube das 1+1 Angebot ist heute immer noch verfügbar 😳 😍“

Will ich mir Kaufberatung von sogenannter künstlicher Intelligenz oder anderen Nutzern holen, werde ich nur weiter in die Irre geführt. Suche ich mit ChatGPT nach einem Produkt, etwa den auf Amazon extrem beliebten Überwachungskameras für zuhause, spuckt mir der Chatbot einen gewohnt selbstbewussten Text aus: „Ich würde heute meist zu Hersteller XY greifen. Die Kameras bieten ein sehr gutes Preis-Leistungs-Verhältnis und funktionieren ohne Cloud-Abo.“

Die „Quelle“ der Recherche ist die Seite eines Kameraherstellers, der dort seine eigenen Produkte empfiehlt. Das Sprachmodell antwortet als fiktives „Ich“ und gibt der recycelten Eigenwerbung eine menschliche Note. Einen augenscheinlichen Betrug stellen dagegen die gefälschten Produktrezensionen bei Amazon dar. Manchmal sind sie so achtlos dahinkopiert, dass vor der Rezension noch die Bemerkung des Chatbots steht: „Hier ist eine beispielhafte positive Rezension für einen GPS-Tracker, die du z. B. für Amazon, eBay oder deinen Online-Shop verwenden kannst:“

Der Schwindel trübt den Blick auf die Welt

Wenn sich die Produkte selbst nicht mehr unterscheiden, brauchen Marken und Menschen für Verkauf und Kauf den Schein einer verlockenden Erzählung oder die trügerische Wärme von Empfehlungen, die in Wahrheit blutleere Erzeugnisse von Chatbots und Auftragsrezensenten sind.

Kommerziell lohnt sich das. „Das Schwindeln liegt in der DNA dieser Nation“, schreibt die Autorin Jia Tolentino etwa über die USA, Mutterland von Meta-Chef Mark Zuckerberg, ohne dessen Plattform Instagram ich mir keine Edelstahl-Tasse mit quadratischem Untersetzer gekauft hätte.

Die alltäglichen Täuschungen zwischen Verkäufern und Kunden schleifen am Fundament unserer Beziehungen. Eine Umfrage des US-amerikanischen Instituts für Meinungsforschung Pew aus dem Jahr 2019 zeigt: 71 Prozent der Befragten finden, das Vertrauen untereinander sei gesunken. Knapp 60 Prozent rechnen damit, dass andere sie ausnutzen, sobald sich die Gelegenheit bietet. Zwei Drittel glauben, die Regierung halte ihnen wichtige Informationen bewusst vor.

Ein System, das Schwindelei fördert und belohnt, destabilisiert sich selbst. Hinter der Fassade wächst das Misstrauen und ein vages Gefühl, dass etwas nicht stimmt. Entfremdung ist das Stichwort unserer Gegenwart. Wer es nicht mehr aushält, sehnt sich möglicherweise nach einer Vergangenheit, in der angeblich alles besser und einfacher war. Die Trendforscherin Anu Lingala bezeichnet das als regressive Nostalgie. „Make America Great Again“ ist wohl eine der bekanntesten Formen dieses Phänomens.

Mir wurde die Anwesenheit der Edelstahltasse schließlich unerträglich. Zu groß war die Scham, zu bedrückend die Erkenntnis. Sie endete als Geburtstagsgeschenk, das heute, vom neuen Besitzer ungeliebt und ungenutzt, in einer dunklen Kiste im Berliner Wedding vergammelt. Rund ein Jahr nach meiner verfluchten Bestellung sehen wir uns auf Instagram wieder: Der „1+1 FREE ENDS TODAY“-Sale läuft immer noch.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Werbeindustrie hat den größten Überwachungsapparat der Geschichte geschaffen. Jetzt zeigt unsere neue Recherche: Auch die deutsche Polizei bedient sich daran und unterläuft dabei den Rechtsstaat. So schafft man Unsicherheit im Namen der Sicherheit. Ein Kommentar.

Donald Trumps Abschiebemiliz ICE tut es, ungarische Behörden unter Viktor Orbán taten es und jetzt steht fest: Auch die deutsche Polizei hat Daten aus dem Ökosystem der Online-Werbung für heimliche Überwachung genutzt. Vermutet worden war das schon länger, dank unserer neuen IFG-Recherche mit dem Bayerischen Rundfunk haben wir es erstmals Schwarz auf Weiß: Mindestens in Mecklenburg-Vorpommern ist es passiert. Vielleicht auch in Brandenburg, das dortige Landeskriminalamt will auch auf Nachfrage nicht sagen, auf welche Art kommerzieller Daten von Databrokern es zurückgreift.

Zu den polizeilich genutzten Datensätzen aus der digitalen Werbeindustrie können unter anderem metergenaue Standortdaten von Handys gehören. Sie werden von Tracking-Firmen aus beliebten Apps ohne Wissen der Nutzer:innen abgesaugt und von windigen Databrokern an potenziell alle verkauft, die danach fragen.

Zahlreiche Recherchen zeigen: Dass solche Daten frei verfügbar sind, ist eine Gefahr, etwa für bedrohte Journalist:innen oder queere Menschen, für die nationale Sicherheit oder die der EU. In den USA gibt es Hinweise, dass Standortdaten der Werbeindustrie US-Soldat:innen zur Zielscheibe gemacht haben.

Hinzu kommt, dass die Daten, nach allem, was wir wissen, überwiegend illegal fließen. Von der Erhebung über den Handel bis zur Verwendung dürfte jedes Glied dieser Datenlieferkette gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Mindestens das Landeskriminalamt von Mecklenburg-Vorpommern muss sich den Vorwurf gefallen lassen, dass es auf einem Daten-Schwarzmarkt mitgemischt hat. Ob und wie viel Geld geflossen ist, verrät es nicht.

Wo ein Trog ist, da sammeln sich Schweine

Überhaupt mauern deutsche Behörden bei diesem Thema, wo es nur geht. Nutzt die Polizei wirklich nur in zwei Bundesländern Daten von Databrokern? Neun LKAs verweigerten die Auskunft gleich ganz – unter Verweis auf den Schutz der Polizeiarbeit. Der Verdacht liegt nahe, dass sie etwas zu verbergen haben.

Während US-Behörden ihre Geschäftsbeziehungen zu kommerziellen Datenfirmen wie selbstverständlich offenlegen, können wir hierzulande nicht mal eine Debatte darüber führen, ob und unter welchen Umständen werbebasierte Überwachung zu unserem Verständnis vom Rechtsstaat passt. Auch die Bundesregierung verweigerte dem Parlament im Dezember Informationen zu dem Thema, selbst in eingestufter Form.

Dabei ist der Missbrauch von angeblich nur für Werbezwecke erhobenen Daten durch Polizeibehörden und Geheimdienste nur die neuste Stufe einer längeren Entwicklung: Die vermeintlich harmlose Welt der kommerziellen Datensammlung verschmilzt mit staatlicher Überwachung.

Bereits die Snowden-Leaks hatten gezeigt, dass US-Geheimdienste in großem Stil auf Daten zugreifen, die etwa bei kommerziellen E‑Mail-Anbietern wie Google oder Yahoo anfallen. Heute können staatliche Stellen auf ein wachsendes Netz privater Überwachungskameras zugreifen, mit KI-Gesichtserkennung Menschen auf Fotos in Sozialen Netzwerken aufspüren und mit Hilfe privater Anbieter wie Palantir Verdächtige aus riesigen Datenmengen generieren.

Und jetzt also ADINT, kurz für Advertising-based Intelligence, werbebasierte Aufklärung. Eigentlich keine Überraschung: Die Werbeindustrie hat den größten Überwachungsapparat der Geschichte geschaffen. Es war nur eine Frage der Zeit, bis sich daran auch andere gütlich tun. Wer sich schon länger mit den Begehrlichkeiten von einmal erhobenen Daten beschäftigt, kennt den Spruch: Wo ein Trog ist, sammeln sich Schweine.

Datensparsamkeit nur bei Medienanfragen

Dass deutsche Polizeibehörden darüber lieber nicht sprechen, hat wohl einen Grund: Nach Einschätzung von Jurist:innen fehlt ihnen eine rechtliche Grundlage, um kommerziell erhobene Daten aus der Werbeindustrie zu nutzen. Auf Generalklauseln können sie sich jedenfalls nicht stützen, sagen Datenschutzbehörden.

Das Zusammenwachsen von Überwachungskapitalismus und Überwachungsstaat stellt die Wirksamkeit unseres Rechtsstaats auf die Probe. Wenn sie beispielsweise Menschen mit Funkzellenabfragen orten wollen, brauchen Polizeibehörden dafür eine richterliche Genehmigung. Diesen Umweg, der den Schutz von Grundrechten sicherstellen und Überwachungsexzesse verhindern soll, will sich die Polizei offenbar gerne sparen.

Deshalb müssen wir jetzt nicht nur auf Transparenz und eine politische Debatte drängen, sondern auch auf strenge Regeln. Im besten Fall verbieten wir Behörden die Nutzung von illegal erhobenen Werbedaten.

Man muss sich das vor Augen halten: In den USA jagt ICE Menschen, vermutlich auch mit Hilfe von Werbedaten. Die Regierung von Viktor Orbán könnte sie gegen Oppositionelle genutzt haben. Expert:innen warnen davor, dass feindliche Geheimdienste und Militärs sie gegen die EU einsetzen könnten. Und deutsche Polizist:innen – machen einfach auch mit. Hallo, geht’s noch?

Wir brauchen keine Polizeibehörden, die nur bei ihren Antworten auf Presseanfragen Datensparsamkeit praktizieren, aber bei neuartigen Überwachungsmethoden aus dem Vollen schöpfen wollen. Der Staat sollte uns vor Tracking-Firmen und Datenhändlern schützen, nicht mit ihnen Geschäfte machen.

Korrektur, 2. Juni, 12:00 Uhr: Aus den Antworten des LKA Brandenburg geht nicht klar hervor, ob die von Datenhändlern beschafften kommerziellen Daten aus der Werbe-Industrie stammen oder möglicherweise aus Quellen außerhalb der Werbe-Industrie. Auch auf direkte Nachfrage hat die Behörde das nicht offengelegt. Das war nicht sauber formuliert. Wir haben das korrigiert.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eine populäre deutsche Dating-App hat genaue Handy-Standortdaten an Werbefirmen geschickt, selbst wenn Nutzer*innen nicht eingewilligt haben. Genau solche Daten fanden netzpolitik.org und BR im Angebot von Databrokern – eine große Gefahr für Nutzer*innen.

Eine bekannte Dating-App aus Hamburg verkuppelt Menschen auf Kontaktsuche mit anderen in ihrem Umkreis. Den Nutzer*innen dürfte klar sein, dass die App hierfür ihre Standortdaten verwendet. Den Zugriff darauf erlauben sie sogar bewusst – in der Hoffnung auf spannende Begegnungen. Was Nutzer*innen jedoch nicht wissen konnten: Ihre genauen Standortdaten flossen über die Dating-App offenbar auch dann an Werbefirmen, wenn sie dafür keine Einwilligung erteilt hatten.

So geht es aus dem Jahresbericht der Hamburger Datenschutzbehörde für 2025 hervor. Bei der Anwendung handelt es sich anscheinend um eine von Deutschlands beliebtesten Dating-Apps: Lovoo.

Die Behörde selbst nennt den Namen der App aus verfahrensrechtlichen Gründen nicht. Die Untersuchungen seien noch nicht abgeschlossen, schreibt sie auf Anfrage. Auch die Betreiber-Firma von Lovoo, der Online-Dating-Riese ParshipMeet, schweigt dazu. Auf mehrere Presseanfragen erhielten wir keine Antwort.

Dennoch erlaubt der Jahresbericht der Behörde einen Rückschluss auf Lovoo. Demnach haben die Datenschützer*innen die Dating-App nach der Veröffentlichung der „Databroker Files“ von netzpolitik.org und Bayerischem Rundfunk geprüft. Das sind die seit Februar 2024 andauernden Recherchen zum weitgehend unkontrollierten Handel mit Standortdaten aus der Werbe-Industrie. „Den journalistischen Recherchen war der Hinweis auf die App eines Anbieters mit Sitz in Hamburg zu entnehmen“, so die Behörde. Der Clou: In diesen Recherchen taucht nur eine Dating-App aus Hamburg auf – und zwar Lovoo.

Sie war eine von rund 40.000 Apps in einem Datensatz mit rund 380 Millionen Standortdaten aus 137 Ländern. Das Recherche-Team hat diese Daten von einem US-amerikanischen Databroker als kostenlose Vorschau für ein Abonnement erhalten. Zur Veröffentlichung unserer Recherche im Januar 2025 ließ uns ein Lovoo-Sprecher wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Lovoo verzeichnet allein im Google Play Store mehr als 50 Millionen Downloads.

Datenschutzbehörde macht „besonders schwerwiegende“ Funde

In ihrem Jahresbericht beschreibt die Datenschutzbehörde, wie Mitarbeiter*innen die – nicht näher benannte – Dating-App durchleuchtet haben. Demnach haben sie den Datenverkehr analysiert und die Erkenntnisse mit den Informationen abgeglichen, die Menschen zu sehen bekommen, wenn sie die App installieren und in die Datennutzung einwilligen.

Das Problem: „Soweit entsprechende Informationen erteilt wurden, stimmten diese nicht mit den tatsächlichen Datenflüssen überein.“ In diesen Datenflüssen konnte die Behörde „die Übermittlung von genauen Standortdaten an bestimmte Werbepartner eindeutig“ nachweisen. Wie uns die Behörde auf Anfrage erklärt, flossen die Standortdaten über eingebundene SDKs an Werbepartner. Das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen.

Statt vorgeschriebener datenschutzfreundlicher Voreinstellungen „war die Erlaubnis zur Weitergabe von genauen Standortdaten an Werbedienste standardmäßig aktiviert“, so der Bericht weiter. Mehr noch: „Besonders schwerwiegend ist, dass die App – auch nach Entfernen des zuvor gesetzten Symbols zum ‚Akzeptieren‘ im eingesetzten Einwilligungsdialog – weiterhin genaue Standortdaten an Werbepartner übermittelte.“ Einfach ausgedrückt: Wer mithilfe der Dating-App andere Nutzer*innen im Umkreis gesucht hat, konnte wohl nicht verhindern, dass dabei die eigenen Standortdaten an Werbefirmen abfließen.

Kontrollverlust beim Online-Dating

Wo genau die Standortdaten der Dating-Interessierten gelandet sein könnten, ist kaum zu überblicken. Die Datenschutzbehörde spricht von einer „Komplexität und Vielzahl an beteiligten Akteuren“. Neben der Betreiberfirma der App gehörten dazu „verschiedene Werbepartner- und Netzwerke mit einer undurchschaubaren Menge von Beteiligten“.

Offenbar sind die Daten jedoch beim US-Datenhändler Datastream Group (heute: Datasys) gelandet. Er hatte sie zusammen mit weiteren Datensätzen als Gratis-Kostprobe dem Rechercheteam geschickt. Kontakt zu dem Datenhändler erhielten wir über den in Berlin ansässigen Datenmarktplatz Datarade.

Die Kontrolle über ihre Daten, so die Behörde, sei Nutzer*innen durch das Dating-Unternehmen „erschwert“ worden. Angesichts der laut Behörde „undurchschaubaren“ Menge von Beteiligten läge es jedoch viel näher zu sagen, dass Nutzer*innen die Kontrolle über ihre Daten und Privatsphäre komplett verloren haben.

Inzwischen soll die Dating-App den Hahn der sprudelnden Daten abgedreht haben. „Mit den Prüfergebnissen konfrontiert, hat die Anbieterin der App die Ursache der Weitergabe genauer Standortdaten an Werbepartner zügig identifiziert und mittlerweile unterbunden“, so der Bericht. „Zudem hat sie proaktiv Maßnahmen implementiert, mit welchen sie künftig Datenflüsse in der App überwachen und so den unzulässigen Abfluss an Werbenetzwerke unterbinden kann.“

Ob Daten etwa durch einen Konfigurationsfehler versehentlich abgeflossen sind oder das Unternehmen sich dessen bewusst war, lässt sich von außen nicht nachvollziehen.

Datenhandel gefährdet alle

Die Databroker Files haben gezeigt, wie gefährlich solche Standortdaten aus der Werbe-Industrie sein können. Auf oftmals verschlungenen Wegen fließen sie über Handy-Apps und deren oftmals Hunderte Werbepartner zu Datenhändlern – und von dort in die Hände aller, die bei ihnen einkaufen. Wertvoll sind solche Daten etwa für Geheimdienste und Sicherheitsbehörden, aber potenziell auch für Kriminelle und Stalker*innen.

Achtung, Datenhandel! Lebensgefahr!

Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten verschiedener Datenhändler vor. Allein die Daten aus Deutschland bedecken nahezu jeden Winkel des Landes. Weil die Daten mit einer einzigartigen Werbekennung versehen sind – eine Art Nummernschild fürs Handy – lassen sich daraus eindeutige Bewegungsprofile ablesen.

Solche Bewegungsprofile machen sichtbar, wo eine Person wohnt und zur Arbeit geht, wo sie spazieren geht, in die Kirche, ins Bordell oder ins Krankenhaus. Betroffen sind Privatpersonen ebenso wie Angestellte von Militär, Geheimdiensten und Regierungsbehörden. Mit ein paar Handgriffen können Interessierte jedoch ihre Standortdaten vor dem Zugriff durch Datenhändler weitgehend schützen.

Hier sind alle Veröffentlichungen von netzpolitik.org zu den Databroker Files und hier die auf Basis der Recherchen entstandene ARD-Doku „Gefährliche Apps – Im Netz der Datenhändler“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Einer der wichtigsten Standards des Ökosystems für Online-Werbung verstößt in einer Vielzahl von Punkten gegen die Datenschutzgrundverordnung. Zu diesem Schluss kommt die belgische Datenschutzbehörde APD in einer lange erwarteten Entscheidung zum sogenannten Transparency and Consent Framework (TCF). Das System, mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising einsammeln, entspreche nicht den Grundsätzen von Rechtmäßigkeit und Fairness, teile die Aufsichtsbehörde mit.

Die Entscheidung ist mit den anderen europäischen Datenschutzbehörden abgestimmt und hat Konsequenzen für Cookie-Banner und verhaltensbasierte Online-Werbung in der gesamten EU. Der Werbeverband IAB Europe, der den TCF-Mechanismus entwickelt und betreibt, muss nun die so gesammelten personenbezogenen Daten löschen und eine Strafe von 250.000 Euro zahlen. Weitaus bedeutender sind jedoch die Auflagen, die die APD der Werbebranche macht, damit sie das Transparency and Consent Framework überhaupt weiter nutzen darf.

Tausende Websitebetreiber:innen, fast alle Online-Medien und auch große Werbefirmen wie Google oder Amazon nutzen den Mechanismus, um das vermeintliche Einverständnis von Nutzer:innen in die Verarbeitung ihrer persönlichen Daten zu Werbezwecken weiterzugeben. „Menschen werden eingeladen, ihre Zustimmung zu geben, doch die meisten von ihnen wissen nicht, dass ihre Profile vielfach am Tag verkauft werden, damit sie personalisierter Werbung ausgesetzt werden“, fasst Hielke Hijmans von der APD die Kritik ihrer Behörde zusammen.

Auch wenn die Entscheidung nicht direkt das gesamte Werbesystem im Netz betreffe, werde sie großen Einfluss auf den Schutz der persönlichen Daten von Internetnutzer:innen haben, so Hijmans.

Zentraler Baustein für Targeting und Cookie-Banner illegal

Vereinfach gesagt funktioniert das System von zielgerichteter Werbung im Netz heute so: Jeder Besuch bei einer teilnehmenden Website löst eine Auktion unter den Anbietern von Werbeanzeigen aus. Unter anderem anhand der gewünschten Preise und des Datenprofils der Nutzerin entscheidet sich in Millisekundenschnelle, welche Werbung sie zu sehen bekommt. Damit dieses Real-Time-Bidding (RTB), also das Bieten in Echtzeit, funktioniert, müssen die Werbefirmen wissen, mit wem sie es zu tun haben: Alter, Geschlecht, Interessen, besuchte Websites, Wohnort, Kaufkraft und so weiter sind wichtige Kriterien, nach denen die Zielgruppen für Anzeigen zusammengestellt werden.

Hier kommt das Transparency and Consent Framework von IAB Europe ins Spiel. Wenn Nutzer:innen auf „Cookies akzeptieren“ klicken oder nicht widersprechen, dass die Nutzung ihrer Daten im legitimen Interesse des Anbieters ist, erzeugt das TCF einen sogenannten TC-String. Dieser Identifier bildet die Grundlage für die Erstellung von individuellen Profilen und für die Auktionen, in denen Werbeplätze und mit ihnen die Aufmerksamkeit der gewünschten Zielgruppe versteigert werden, und wird an aberhunderte Partner in dem OpenRTB-System weitergeleitet.

Den belgischen Datenschützer:innen zufolge sind es vor allem zwei Probleme, die das Consent Framework in seiner heutigen Form praktisch unbenutzbar machen. Zum einen hält die Behörde fest, dass bereits die TC-Strings personenbezogene Daten darstellen. Gemeinsam mit der IP-Adresse und den vom TCF gesetzen Cookies ermöglichen sie es nämlich, Nutzer:innen genau zu identifizieren. Zum anderen ist der Werbeverband IAB Europe nach Ansicht der Datenschutzaufsicht für jede Datenverarbeitung über das Framework rechtlich mitverantwortlich.

Bislang hatte der Verband sich als neutraler Anbieter eines technischen Standards inszeniert und eine Rolle als Datenverarbeiter stets von sich gewiesen – und damit auch die Verantwortung dafür, dass die Prozesse auch wirklich DSGVO-konform sind. Dass Werbetreibende sich in ihren Cookie-Bannern auf ein „legitimes Interesse“ an der Datensammlung berufen, statt um Einwilligung zu bitten, müsste das Framework zum Beispiel grundsätzlich untersagen, um rechtskonform zu sein.

Auch darüber hinaus verstoße der TCF-Mechanismus gegen diverse Vorgaben der DSGVO, zum Beispiel gegen die Grundsätze von Privacy by Design und by Default. Die Aufsichtsbehörde gibt IAB Europe zwei Monate Zeit, um einen Aktionsplan vorzulegen, wie es die Mängel beheben will.

IAB Europe prüft rechtliche Schritte

Der Werbeverband widerspricht unterdessen der Darstellung der Datenschutzbehörde in wesentlichen Punkten und kündigt an, die Entscheidung gerichtlich überprüfen lassen zu wollen. Er betont zudem, dass die Behörde das TCF nicht grundsätzlich verboten habe und dass man die Mängel innerhalb von sechs Monaten beheben könne.

Für die Online-Werbeindustrie und auch für viele Medienhäuser ist die Entscheidung ein herber Rückschlag. Das von ihnen genutzte Ökosystem des Targeted Advertising ist an einer entscheidenden Stelle illegal: der Einwilligungen der Nutzer:innen und damit der Rechtmäßigkeit der Datenverarbeitung.

Datenschützer:innen bezweifeln seit langem, dass es überhaupt möglich ist, dass System des Targeted Advertising und des Real-Time-Biddings datenschutzkonform zu betreiben. Die Datenflüsse zwischen den hunderten Playern des Systems sind für Nutzer:innen weder nachvollziehbar, noch können sie sinnvoll intervenieren und Einwilligungen zurückziehen – von den unlauteren Design-Tricks, um sich die Einwilligung zu erschleichen, mal ganz abgesehen.

„Harter Schlag gegen die Datenindustrie“

Entsprechend euphorisch wird die Entscheidung der belgischen Behörde von vielen begrüßt. „Das war ein langer Kampf“, resümiert etwa Johnny Ryan vom Irish Council for Civil Liberties, der das Verfahren zusammen mit anderen NGOs wie der Digitalen Gesellschaft oder Panoptykon aus Polen in Gang gebracht hatte. Die heutige Entscheidung befreit hunderte Millionen Europäer:innen vom Einwilligungs-Spam und der weitreichenden Gefahr, dass Informationen über ihre intimsten Online-Aktivitäten zwischen Tausenden Firmen hin- und hergereicht werden.

Estelle Masse von der Nichtregierungsorganisation Access Now sieht durch die Klarstellung, dass das Framework keine gültige Rechtsgrundlage habe, „seine gesamte Existenz infrage gestellt“. Für Online-Medien, die auf das TCF setzen, hat sie eine dringende Empfehlung: „Verlage sollten so schnell wie möglich damit aufhören, denn sie tragen eine datenschutzrechtliche Mitverantwortung für die Verarbeitung. Dieses Mal trifft die Strafe IAB Europe, doch das dürfte noch nicht das Ende der Geschichte sein.“

„Die Entscheidung der belgischen Datenschutzaufsicht gegen das TCF ist ein harter Schlag gegen die Datenindustrie, die ihrem invasiven digitalen Tracking gerne einen DSGVO-konformen Anstrich verleihen wollten, indem sie uns allen die permanente Auseinandersetzung mit nutzlosen ‚Einwilligungs“-Bannern aufzwingen“, twittert der österreichische Überwachungsforscher Wolfie Christl.

Ebenfalls auf Twitter begrüßte auch der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber die „wichtige Entscheidung zu Einwilligungsbannern durch die belgischen Kollegen und den europäischen Datenschutzausschuss.“

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.