Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Grundzüge personalisierter Online-Werbung

04/2026

1. Die Rolle personalisierter Online-Werbung im digitalen Wirtschaftskreislauf

Der digitale Wirtschaftskreislauf hat personalisierte Online-Werbung zu einem zentralen Element der digitalen Ökonomie heranwachsen lassen und Daten einen monetären Wert verliehen. Die Finanzierung zahlreicher kostenloser digitaler Dienste basiert auf dem Handel von Daten zum Zweck personalisierter Online-Werbung. Soziale Netzwerke, Suchmaschinen und Nachrichtenseiten offerieren ihre Dienstleistungen in der Regel kostenfrei für Nutzer:innen und refinanzieren sich stattdessen über Werbeeinnahmen. Online-Werbung wird insofern personalisiert, als dass sie inhaltlich auf die (vermeidlichen) Interessen der Nutzer:innen zugeschnitten wird. Hierfür müssen diese Interessen jedoch zunächst bekannt sein. Bekannt sein können diese Informationen entweder, weil Nutzer:innen ihre Interessen gegenüber den werbetreibenden Parteien unmittelbar offengelegt haben oder weil diese die Interessen anderweitig „ermitteln“ konnten. Dabei werden Rohdaten wie das Surfverhalten, demografische Angaben oder Standortinformationen in wertvolle Informationen umgewandelt, um so eine präzise Schaltung von Anzeigen sowie eine Effizienzmaximierung derselben zu ermöglichen. Die Funktionsweise personalisierter Online-Werbung basiert auf Analysetechnologien. Algorithmen verarbeiten Nutzer:innendaten, um Profile zu erstellen, die Vorhersagen über individuelle Interessen, Kaufbereitschaft und mögliche Reaktionen auf bestimmte Werbeinhalte erlauben. Das Ziel besteht in der Maximierung der Relevanz der Anzeigen. Die Präsentation von Anzeigen, die für die jeweiligen Nutzer:innen von persönlichem Interesse sind, soll dazu führen, dass die Wahrscheinlichkeit einer Konversion, beispielsweise eines Kaufs, erhöht wird. In der Konsequenz etabliert sich ein Markt, auf dem eine hohe Nachfrage nach Nutzer:innendaten zu verzeichnen ist. Die resultierende Nachfrage führt zu einer weiteren Intensivierung der Datenverarbeitung. Plattformen und digitale Dienste zeigen ein gesteigertes Interesse daran, Nutzer:innen möglichst lange „online“ zu halten, um möglichst viele Daten von ihnen zu erfassen. Die Dauer der Online-Präsenz auf Plattformen sowie das Engagement der Nutzer:innen haben einen unmittelbaren Einfluss auf die Generierung von Daten durch die Plattformen. Dies führt zu einer direkten Korrelation zwischen der Zeit, die Nutzer:innen online verbringen, und der Lukrativität der jeweiligen Plattform. Dieser Zusammenhang wurde unter anderem durch die Facebook-Whistleblowerin Francis Haughen aufgedeckt. Im Gegensatz zu klassischer, sprich kontextualisierter Online- Werbung verspricht personalisierte Online-Werbung diverse Vorteile. Die Effizienz der Werbemaßnahmen soll durch Reduzierung von Streuverlusten und eine gezielte Ansprache potenzieller Interessent:innen gesteigert werden. Obgleich personalisierte Werbung eine wesentliche Einnahmequelle für digitale Dienstleistungen darstellt, ist sie nicht unumstritten. Neben den datenschutzrechtlichen Fragestellungen wird auch diskutiert, ob die Personalisierung von Werbung diskriminierende Folgen mit sich bringen könnte. Ferner wird die Befürchtung geäußert, dass sich durch die erheblichen Datenverarbeitungen einzelner Digitalunternehmen Marktstrukturen etablieren könnten, die wettbewerbsrechtlich bedenklich sind.

2. Begrifflichkeiten im Zusammenhang personalisierter Online-Werbung

Im Bereich der Online-Werbung haben sich viele verschiedene Werbeformen entwickelt. Überall dort, wo Werbung der Finanzierung von digitalen Diensten und Angeboten dient, findet man sie in verschiedenen Erscheinungsformen, beispielsweise auf Suchmaschinen, sozialen Medien oder auf Nischenplattformen. Die Werbeform kann sich anhand der Informationen unterscheiden, die zur Personalisierung der Werbung zur Verfügung stehen. Im Rahmen der suchbasierten Werbung geben Nutzer:innen selbst Informationen preis, die zur Personalisierung verwendet werden können. Man spricht hier auch vom sog. Search Advertising. Nutzer:innen legen dabei durch die eingegebenen Suchbegriffe, z.B. durch Eingabe in eine Suchmaschine wie Google, offen, wofür sie sich interessieren. Die eingegebenen Suchwörter (englisch: Keyword) werden dann verwendet, um hierzu passende Anzeigen in die Suchergebnisse einzubetten. Man spricht deshalb auch von Keyword-Anzeigen. Diese Form der Online-Werbung begegnet einem nicht nur bei den Ergebnissen, die Suchmaschinen fabrizieren. Auch Online-Marktplätze wie Amazon arbeiten damit.

Hiervon zu unterscheiden ist die sog. Display-Werbung. Diese findet typischerweise auf Webseiten oder in Apps statt, wenn Nutzer:innen keine Suchanfrage stellen. Inhaltlich kann sie daher jedenfalls dann nicht unmittelbar aus der Partizipation der Nutzer:innen an deren Interesse angepasst werden. Haben Nutzer:innen ihre Interessen nicht unmittelbar gegenüber dem digitalen Dienst offengelegt, wie sie dies durch die Eingabe von Suchbegriffen tun, ist eine Personalisierung von Anzeigen nur möglich, wenn dem Dienst die Interessen von Nutzer:innen anderweitig vorliegen. Dass diese allen Werbetreibenden dennoch zugänglich sind, wird im Rahmen dieser Arbeit noch zu erörtern sein.

Nicht immer sind suchbasierte Anzeigen und Display-Werbung scharf voneinander zu trennen. Klassischerweise fand Search Advertising bei der Verwendung von Suchmaschinen statt, während Display-Werbung sich in Form von Videos und Bannern im „Rest des Internets“ abspielte. Nutzer:innen wenden Suchmaschinen hingegen immer öfter den Rücken zu. Sie nehmen vermehrt plattform- oder dienstinterne Suchanfragen vor. Statt bei Google nach einer Antwort auf ihr Anliegen zu suchen, wenden Nutzer:innen sich dann direkt der Plattform oder dem Dienst zu, wo sie eine Antwort am ehesten vermuten. Wird beispielsweise eine Videoanleitung gesucht, verwendet man direkt die interne Suchfunktion von YouTube, sucht man eine Bastelanleitung oder Geschenkidee, wendet man sich Pinterest zu, usw. Besonders junge Nutzer:innen, der Generation Z, verwenden digitale Dienste auf diese Weise. Beinahe 40 % dieser Kohorte nutzen für Suchanfragen nicht Google, sondern Social-Media-Plattformen – namentlich TikTok und Instagram.

Egal auf welcher Plattform Werbung ausgespielt wird, in der Regel ist Online-Werbung heute personalisiert. Diese Arbeit spricht in der Folge daher zusammenfassend von personalisierter Online-Werbung. Gemeint ist damit stets Werbung, die den Versuch unternimmt, den Interessen und Vorlieben der Nutzer:innen zu entsprechen, denen sie angezeigt wird. So sollen die Streuverluste, die bei Schaltung von Werbung auf klassische Weise dadurch erzeugt werden, dass die Werbung immer auch Personen angezeigt wird, die kein Interesse an ihrem Inhalt haben, vermieden werden. Die Möglichkeit einer derartigen Personalisierung setzt voraus, dass die Interessen und Vorlieben der Personen, die als Zielgruppe für die Werbung definiert wurden, bekannt sind. Andererseits muss ein Weg existieren, wie diese Zielgruppe isoliert angesprochen werden kann. Diese Herausforderung ist die Werbeindustrie in den letzten Jahrzehnten angegangen und hat ein Verfahren etabliert, welches verspricht personalisierte Werbung in Echtzeit für alle Nutzer:innen und Werbenden schalten zu können. Hierzu wird auf partizipierenden Werbeflächen – wie Webseiten – Werbung geschaltet, die diese Seiten aufrufende:n Nutzer:innen ansprechen soll. Dieser Prozess wird als Real Time Advertising bezeichnet, da die Werbung mit jedem Aufruf einer Webseite in Echtzeit geschaltet wird. Die Schritte, die für diese Art der Werbung erforderlich sind, sind gleichsam komplex wie invasiv. Sie werden in dieser Untersuchung nachstehend ausführlich dargestellt und sodann auf ihre datenschutzrechtliche Zulässigkeit hin überprüft.

3. Zur Bedeutung von politischer Online-Werbung

Bei der Diskussion über personalisierte Online-Werbung wird häufig eine Assoziation zu politischer Werbung hergestellt. Dies lässt sich dadurch erklären, dass personalisierte Online-Werbung erst im Kontext der Rolle von Cambridge Analytica bei der US-amerikanischen Präsidentschaftswahl oder dem Brexit-Referendum in Großbritannien eine breite Wahrnehmung in der Gesellschaft erfahren hat. Dadurch ist diese Form der Werbung untrennbar mit den genannten Beispielen verbunden. Auch gegenwärtig besteht Anlass zur Sorge hinsichtlich des Einflusses personalisierter Online-Werbung mit politischem Inhalt. Gesamtgesellschaftlich viel diskutiert ist beispielsweise die Frage, inwiefern Russland über digitale Dienste Einfluss auf die europäische und insbesondere deutsche Bevölkerung ausübt. Beispielhaft hierfür seien die Nachweise über russische Fake-News-Kampagnen genannt, die mittels Bots und Fake-Accounts in sozialen Medien verbreitet werden. Obgleich politische Online-Werbung als eigenständiges Phänomen oder Risiko diskutiert und sogar vom Gesetzgeber reguliert wird, stellt sie letztlich eine Form der personalisierten Online-Werbung dar. Der Terminus „personalisierte Online-Werbung“ umfasst sämtliche Werbeformen, bei denen die jeweilige Anzeige aufgrund der individuellen Interessen oder Vorlieben der Nutzer:innen ausgespielt wird. Der Inhalt der Anzeige ist dabei von untergeordneter Bedeutung. Unabhängig davon, ob es sich um eine Anzeige für kosmetische Produkte oder eine politische Partei handelt, ist die Art und Weise wie diese Anzeige auf den jeweiligen Endgeräten der Nutzer:innen angezeigt wird die gleiche.

Wenn im Rahmen dieser Arbeit also von personalisiserter Online-Werbung die Rede ist, sind hierunter auch Werbeanzeigen politischen Inhaltes zu verstehen. Aus diesem Grund bedarf es keiner finalen Definition des Begrifft der politischen Werbung. Die Abgrenzung zwischen politischer Werbung und anderen Werbeformen ist ohnehin schwierig. Die Abgrenzung zwischen politischen und unpolitischen Inhalten erweist sich insbesondere bei politisch diskutierten Themen, die per se keine eigene politische Agenda aufweisen als schwierig. Diesbezüglich seien die Klimakrise und Maßnahmen zu ihrer Bekämpfung sowie die Tätigkeit von Nichtregierungsorganisationen angeführt, die sich nur schwer unter den Begriff subsumieren lassen. In Bezug auf personalisierte Online-Werbung mit politischem Inhalt stellt sich jedoch die gleiche Frage wie bei allen personalisierten Werbeanzeigen: Sind die hierfür erforderlichen Datenverarbeitungsprozesse mit dem geltenden Datenschutzrecht vereinbar?

Technische Abläufe

Um die Rechtmäßigkeit personalisierter Online-Werbung beurteilen zu können, ist es unerlässlich, die zugrunde liegenden technischen Prozesse zu verstehen, die im Kontext dieser Datenwirtschaft ablaufen. Im folgenden Kapitel werden daher die relevanten Abläufe dargelegt. Sie unterteilen sich in die Prozesse, die für die Datenerhebung erforderlich sind, in die Technologien, die zur Gewinnung zusätzlicher Daten eingesetzt werden und das sogenannte Real-Time-Bidding-Verfahren, mit welchem die Werbeplätze versteigert werden.

1. Technische Abläufe zur Datenerhebung

Die Verfügbarkeit einer signifikanten Menge an Daten stellt eine grundlegende Voraussetzung für die Schaltung personalisierter Online-Werbung dar. Diese Daten stellen das Fundament dar, auf welchem das Geschäftsmodell der personalisierten Werbung aufgebaut ist. Die Sammlung solcher Daten ermöglicht es Unternehmen der Werbebranche – hierzu gehören soziale Medien, Plattformen, Werbeagenturen etc. –, individuelle Präferenzen und vermutliches zukünftiges Verhalten von Nutzer:innen vorherzusagen und hierauf mit Werbung zu reagieren. Daher existieren sog. Tracking-Technologien, die zum Sammeln von Nutzer:innendaten dienen. Beim Aufrufen einer Website werden nicht lediglich die Inhalte der Seite geladen, welche die Nutzer:innen sehen. Bei Aufrufen der Webseite eines Nachrichtensenders werden beispielsweise nicht nur die neusten Nachrichten als Inhalte der Seite geladen, sondern vermutlich auch eingebettete Werbung und Tracking-Technologien, welche das Nutzungsverhalten der Besucher:innen aufzeichnen. Im Folgenden wird ein Überblick über einige dieser Tracking-Technologien gegeben.

2. Tracking mittels Browser-Cookies

Die im allgemeinen Sprachgebrauch häufig als Cookies bezeichneten Browser-Cookies stellen die am weitesten verbreitete Tracking-Technologie dar. Diese sind nichts anderes als einfache Textdateien, die auf dem Endgerät der Nutzer:innen abgelegt werden, sodass Nutzer:innen wiedererkannt werden können.

Der BGH definiert Cookies als

„Textdateien, die der Anbieter einer Internetseite auf dem Computer des Benutzers speichert und beim erneuten Aufrufen der Webseite wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten abzurufen.“

Genutzt wird also die Speicherfunktion des Endgerätes, um Nutzer:innen wiederzuerkennen. Bei dem Besuch einer Webseite werden durch diese kleine Datenstücke, beispielsweise Spracheinstellungen, Login-Daten oder Nutzer:innen-IDs, an den benutzten Browser übermittelt. Bei einem späteren Besuch der Webseite kann diese die gespeicherten Informationen aus dem Cookie auslesen. Hintergrund dieser Tracking-Technologie ist, dass das Internet-Protokoll „http“ selbst nicht den Austausch von Daten aus unterschiedlichen Serveranfragen ermöglicht. Nachdem eine Serveranfrage abgeschlossen ist, beispielsweise eine Internetseite aufgerufen wurde, „vergisst“ das Internet-Protokoll alle vorherigen Interaktionen. Mittels Browser-Cookies können solche Daten jedoch über mehrere Sitzungen hinweg erinnert werden. Die Technologie wurde für diesen Zweck entwickelt. Sie macht es z.B. möglich, dass auf der Webseite eines Online-Shops durchgehend der Bestand des Warenkorbes angezeigt wird, auch wenn die Seite aktualisiert wird oder weitere Unter-Seiten des Shops aufgerufen werden. Außerdem kann die Internetseite sich an zuvor von Nutzer:innen getroffene Entscheidungen „erinnern“, wie die ausgewählte Ausgabesprache. Neben solchen offensichtlich – auch für Nutzer:innen – nützlichen Vermerken, können Cookies diverse weitere Daten speichern. Es gilt daher klar anhand des Inhalts zu differenzieren. Browser-Cookies die zu vorgenannten Zwecken gesetzt werden, stellen keine „Tracking- Cookies“ nach dem allgemeinen Sprachgebrauch dar.

Browser-Cookies sind mithin nach Anbietern, Speicherdauer und Nutzungszweck zu unterscheiden. Je nach dem von wem Browser-Cookies gesetzt werden, bezeichnet man diesen als First-Party- und Third-Party-Cookies. Erstere sind solche, die von der Domain der Webseite, auf der sich die jeweiligen Nutzer:innen aktuell befinden, gesetzt werden. Um Third-Party-Cookies handelt es sich immer dann, wenn nicht die Domain sie gesetzt hat, die den Nutzer:innen in der URL-Zeile angezeigt wird. Während First-Party-Cookies meistens dazu dienen, Informationen wie Login-Status, Spracheinstellungen und Warenkorbdaten zu speichern und so die Funktionalität der Website zu optimieren, besteht der Hauptzweck von Third-Party-Cookies vorwiegend darin, das Nutzer:innenverhalten über verschiedene Websites hinweg zu verfolgen und zu analysieren.

Cookies werden jedoch nicht ausschließlich zur initialen Datenerhebung verwendet. Die von Cookies gesammelten Nutzer:innendaten können direkt in dem Cookie gespeichert werden. Es handelt sich zumeist um sog. Session Cookies, die nur temporär gesetzt werden und es ermöglichen die Benutzer:innen während ihrer Sitzung zu erkennen und die notwendigen Sitzungsinformationen zu verwalten. Die Speicherung im Cookies selber ermöglicht einen schnellen Zugriff und spart Webserver-Ressourcen. Nachteilhaft ist jedoch, dass die Speicherkapazität begrenzt ist. Sobald eine Sitzung beendet ist oder der Browser geschlossen wird, werden die Session-Cookies daher normalerweise gelöscht. Aus diesem Grund greifen Anbieter:innen vermehrt auf die Möglichkeit zurück, Cookies lediglich eine Laufnummer (Nutzer:innen-IDs) zukommen zu lassen. Diese Persistent-Cookies können über einen längeren Zeitraum bestehen bleiben, bis sie ein programmiertes Ablaufdatum erreichen oder manuell gelöscht werden. Ihre Verwendung erfolgt häufig zur Speicherung von Nutzungspräferenzen und Anmeldeinformationen, sodass der:die Benutzer:in bei zukünftigen Besuchen wiedererkannt wird und so konsistent personalisierte Inhalte präsentiert bekommt. Die Profilinhalte, die dieser Nutzer:innen-ID dann zuzuordnen sind, werden auf einem Webserver gespeichert. So kommt es zur individuellen Profilbildung aller Nutzer:innen.

Cookies kommen im gesamten Kreislauf der digitalen Werbewirtschaft zum Einsatz. Werbetreibende können Cookies beispielsweise wiederum in die von ihnen geschalteten Anzeigen einbetten. Wenn Nutzer:innen eine Webseite besuchen, die solche Anzeigen enthält oder diese anklicken, können diese Cookies auf dem jeweiligen Endgerät platziert werden. Als Third-Party-Cookies ermöglichen diese den Werbetreibenden, das Verhalten der Nutzer:innen auch außerhalb der eigentlichen Website zu verfolgen, auf der die Anzeige geschaltet wurde. Im Laufe dieses Kreislaufs können die Daten mittels des sog. Cookie-Matchings auch ausgetauscht werden, worauf die Untersuchung nachstehend eingehen wird.

Im Kontext personalisierter Online-Werbung werden Cookies häufig als sog. Werbe-Cookies bezeichnet. Diese Eigenschaft ist jedoch kein spezifisches Merkmal dieser Cookies. Vielmehr werden Eigenschaften, die Cookies ohnehin mit sich bringen, von Akteuren genutzt, um an Informationen zu gelangen, die aus marketingtechnischer Perspektive vorteilhaft sind. Als Beispiel kann hier die Retargeting-Funktion angeführt werden. Die Fähigkeit von Cookies, notwendige Informationen zu speichern, wie etwa den Stand eines Warenkorbes in einem Online-Shop, kann auch dafür genutzt werden, zu erkennen, ob Nutzer:innen eine Webseite verlassen haben, ohne einen angefangenen Einkauf abzuschließen. Diese Nutzer:innen können dann mit den im Warenkorb verbliebenen Produkten auf anderen Seiten werbend angesprochen werden.

3. Tracking mittels Fingerprinting

Auch wenn Cookies die bekannteste und meist verbreitetste Tracking-Technologie darstellen, existieren hierneben noch weitere Tracking-Technologien, welche alternativ oder parallel neben Cookies eingesetzt werden, sog. Cookieless-Tracking.

Eine Technologie, die der Kategorie des Cookieless-Trackings unterfällt, ist das sog. Fingerprinting. Hierbei sammelt ein Dienst oder eine Seite kleine Informationen über die Geräte von Nutzer:innen und setzt diese einzelnen Teile zu einem einzigartigen Bild zusammen – einer Art digitalem Fingerabdruck.  Zu unterscheiden ist zwischen dem sog. Browser Fingerprinting und Device Fingerprinting. Fingerprinting ist unter den Methoden, die ohne Cookies auskommen, die am meisten verbreitete. Unter den 10.000 am häufigsten besuchten Webseiten des sog. Alexa-Rankings, nutzen ein Viertel diese Technologie.

Beim Browser Fingerprinting werden Informationen durch und über den Browser der Nutzer:innen gesammelt. Browser dienen Nutzer:innen als Einfallstor für das Internet. Um eine Internetseite abzurufen, sendet der Browser eine Anfrage an den Server der Webseite. Hierbei werden durch den Browser Informationen übermittelt, die notwendig sind, um die Webseite abzurufen, wie die IP-Adresse oder Informationen darüber, welcher Browser genutzt wird. Browser können darüber hinaus noch diverse weitere Daten übermitteln, beispielsweise CPU- oder GPU-Spezifikationen, den Standort des Gerätes, Informationen zur Sprach- oder Zeiteinstellung. Dieser Datenstrang wird, je länger er ist, immer einzigartiger. Es ist somit möglich, einzelne Endgeräte aufgrund der Einzigartigkeit der Einstellungen zu identifizieren.

Das Device Fingerprinting funktioniert ähnlich wie das Browser Fingerprinting. Die übermittelten Informationen beziehen sich jedoch nicht auf den Browser, sondern auf das Endgerät der Nutzer:innen. Browser werden primär durch Endgeräte wie Laptops oder PCs genutzt. Mobile Endgeräte verwenden hingegen vorwiegend Apps. Auch die Apps übermitteln während der Nutzung diverse Informationen. Diese beziehen sich in der Regel auf das jeweils genutzte Endgerät, beispielsweise Seriennummer, MAC-Adresse, IMEI-Nummer u.ä. Hinzu kommt stets die Übermittlung der IP-Adresse. Auch hier gilt: Je länger die Spezifikationsliste, desto unwahrscheinlicher wird es, dass ein weiteres Endgerät mit den gleichen Einstellungen existiert, sodass die Identifikation des Endgerätes möglich wird.

Sowohl beim Browser als auch beim Device Fingerprinting werden grundsätzlich nur Endgeräte identifiziert. Die Technologie selbst ermöglicht es nicht, dass einzelne Nutzer:innen wiedererkannt werden. Selbst wenn die Spezifikationsliste derart einzigartig ist, dass ein Endgerät sicher identifiziert werden kann, so ist dies noch nicht mit der Identifikation von Nutzer:innen gleich zu setzen. Regelmäßig werden Smartphones zwar nur eine:n Endnutzer:in haben. Bei anderen Endgeräten wird dies hingegen nicht stets der Fall sein. So ist es nicht unüblich, dass Haushalte einen Rechner o.ä. teilen.

Die Identifizierung einzelner Nutzer:innen kann im Rahmen des Fingerprintings dennoch vorgenommen werden. Dies wird dadurch ermöglicht, dass die sowieso übermittelten Daten mit anderen Daten gekoppelt werden, die eine Identifizierung erlauben. Beispielhaft hierfür ist die Facebook-ID, die es ermöglicht Nutzer:innen auch auf Familiengeräten zweifelsfrei zu identifizieren. Beim Browser Fingerprinting ist selbiges durch Login-Daten möglich. Das populärste Beispiel hierfür ist der Like-Button von Facebook bzw. dem Mutterkonzern Meta.

Zusammenfassung und Bewertung der Trackingtechnologien

Die meistverbreiteten Tracking-Technologien sind Cookies und das Fingerprinting. Die Technologien unterscheiden sich wesentlich in ihrer Erkennbarkeit. Während Cookies auf den Endgeräten der Nutzer:innen gespeichert werden, hinterlässt Fingerprinting keine Spuren auf dem jeweiligen Gerät. Die Ziele, die durch den Einsatz der Technologien verfolgt werden, unterscheiden sich hingegen nicht. Auch die Möglichkeiten, die die Techniken ermöglichen, sind weitestgehend gleich. Dennoch ist aufgrund der dargestellten Unterscheidung eine weitergehende Differenzierung im Rahmen dieser Arbeit geboten. Durch Technologien, die auf den Endgeräten von Nutzer:innen gespeichert werden, findet ein Eindringen in die Sphäre der Nutzer:innen statt. Gleichzeitig sind diese Technologien für Nutzer:innen ersichtlich. Hinterlassen Tracking-Technologien, wie Cookies, auf Endgeräten Spuren, so ist das Vorgehen gegen dieselben für Nutzer:innen jedenfalls theoretisch möglich. Im Gegensatz hierzu mangelt es Technologien, die keine Speicherung auf Nutzer:innengeräten vornehmen, an Transparenz. Mangelnde Transparenz birgt dabei immer das Risiko der Waffenungleichheit. Nutzer:innen werden sich gegen Technologien immer erst dann zur Wehr setzen können, wenn sie Kenntnis von diesen erlangen. Mithin ist das Kriterium der Erkennbarkeit von Tracking-Technologien bei der Bewertung dieser stets mitzudenken. Diese Erkenntnisse lassen sich auf andere Tracking-Technologien übertragen. Insbesondere wenn neue Tracking-Technologien von Unternehmen eingesetzt werden, kann auf diese Differenzierung zurückgegriffen werden. Das von Google einst angedachte kohortenbasierte Tracking hätte beispielsweise ebenfalls keine Speicherung auf den Endgeräten vorgenommen und somit dem Fingerprinting – auch in der rechtlichen Bewertung – geähnelt.

1. Weitere Ableitung von Daten

Aus Daten, die Nutzer:innen bereit stellen oder die Verantwortliche beobachten, lassen sich weitere Erkenntnisse ableiten. Die zuvor ermittelten Daten „z.B. besuchte Seiten, auf jeder Seite verbrachte Zeit, Anzahl der erneuten Verbindungen zu dieser Seite, Wörter, nach denen Nutzer:innen suchen, Hyperlinks, denen sie folgen, ,Gefällt mir‘-Markierungen, die sie vergeben“ werden beispielsweise dazu verwendet die Interessen von Nutzer:innen zu ermitteln. Die Ableitung kann mithin nur durch die Analyse von Primärdaten erfolgen. Um über die Interessen und Vorlieben von Nutzer:innen bestmöglich informiert zu sein, ist daher ein stetiges Targeting erforderlich. Je länger der Zeitraum der Beobachtung ist, desto besser, das heißt genauer können weitere Daten abgeleitet werden. Diese Prozesse gelingen durch die Nutzung einer Datenanalyse. Hierzu werden häufig Datenanalyseunternehmen beauftragt. Die Daten können aber auch direkt von den Akteuren analysiert werden, die sie erhoben haben. Eine solche Analyse bietet beispielsweise Meta an und kann von Advertisern direkt verwendet werden, um die eigene Werbung entsprechend auszurichten. Die von Facebook aggregierten Informationen werden in Form sog. Zielgruppen-Insights aufbereitet und für zwei unterschiedliche Personengruppen bereitgestellt. Die Zielgruppen-Insights umfassen einerseits die Personen, die mit der Facebook-Seite eines Advertisers verbunden sind, sowie weitere auf Facebook aktive Personen. Zu den bereitgestellten Informationen zählen Daten über die Demografie, darunter Altersgruppe, Geschlecht, Bildungsstand, Beruf, Beziehungsstatus, sowie über Interessen und Hobbys und die jeweiligen Lebensstile. Darüber hinaus kombinieren die Zielgruppen-Insights auch den Beziehungsstatus der jeweiligen Nutzer:innen mit ihrem Standort. Eine ähnliche Datenanalyse bieten auch andere Intermediäre an, beispielsweise LinkedIn. Die Analyse von Daten erfolgt durch Algorithmen. Mithin läuft die Kategorisierung automatisiert ab und ohne dass die Ergebnisse überprüft werden könnten.

Es lässt sich nur erahnen, welche Daten Analysefirmen oder Intermediäre selbst in der Lage sind, aus Rohdaten abzuleiten. Forschenden ist es jedoch gelungen, den Facebook- Algorithmus zu modellieren, der auf der Basis von Rohdaten Nutzer:innenprofile erstellt. Durch die Analyse der Facebook-Likes von 58.000 freiwilligen Teilnehmer:innen einer Studie gelang es den Forscher:innen, latente Merkmale zu modellieren. Die modellierten Merkmale, welche mit einer Übereinstimmungsrate von achtzig bis neunzig Prozent korrelierten, umfassten unter anderem die „sexuelle Orientierung, ethnische Zugehörigkeit, religiöse und politische Ansichten, Persönlichkeitsmerkmale, Intelligenz, Glück, Konsum von Suchtmitteln, Trennung der Eltern, Alter und Geschlecht“. Dabei ist zu beachten, dass der Algorithmus über keine weiteren Informationen zu den genannten Personen oder deren Eigenschaften verfügte. Dennoch konnten in 82 % der Fälle Christ:innen und Muslim:innen korrekt ermittelt werden. Für die Einordnung in Demokrat:innen und Republikaner:innen wurden ähnliche Ergebnisse erzielt (85 %). Die sexuelle Orientierung ließ sich bei Männern (88 %) leichter bestimmen als bei Frauen (75 %). Die Ermittlung weiterer Merkmale auf Basis von Rohdaten stellt zwar ein etabliertes Verfahren dar. Die schiere Menge an Daten, die digital zum Zweck personalisierter Online-Werbung gesammelt werden, ermöglicht jedoch ganz neue Ergebnisse zu erreichen. So können Daten und Erkenntnisse über Nutzer:innen gewonnen werden, die diese freiwillig nie bekannt geben würden. Beispielsweise konnten Forscher:innen bereits Personen identifizieren, die eine hohe Wahrscheinlichkeit für eine Depression aufweisen, bevor hierfür klinische Symptome auftraten.

Die fortlaufende Akquise und Analyse von Daten resultiert in umfassenden Nutzer:innenprofilen, welche Informationen zu den Interessen der Nutzer:innen enthalten, jedoch auch sensible Merkmale wie die Sexualität oder Religion umfassen. Dies ermöglicht es Werbenden, ein detaillierteres Bild von Nutzer:innen zu gewinnen.

Vergabe von Werbeplätzen mittels Real Time Bidding

Die Personalisierung von Online-Werbung erfolgt durch die Anpassung der einzelnen Werbeanzeigen in Echtzeit an die individuellen Nutzer:innen. Zu diesem Zweck wird ein Verfahren eingesetzt, das unter dem Begriff „Real Time Bidding” bekannt ist. Bei dem Verfahren handelt es sich um eine automatisierte Auktion, im Rahmen derer Werbeflächen in Echtzeit versteigert werden. Erahnen lässt sich diese Methode beim Besuch einer Internetseite, etwa einer Tageszeitung, bei der kurz nach dem Laden der Seite Werbeanzeigen eingeblendet werden und die Inhalte sich daraufhin neu sortieren. Obgleich dieses Verfahren im Verborgenen stattfindet und den wenigsten Nutzer:innen bekannt sein wird, ist es ein Kernelement des digitalen Werbemarktes. Es stellt das Rückgrat der gesamten Online-Werbebranche dar. Mithin ist es wichtig, das Verfahren in seinen Grundzügen zu verstehen, um seine datenschutzrechtliche Zulässigkeit beurteilen zu können.

1. Akteure und ihre Rollen

Um den Ablauf des Real Time Biddings zu verstehen, müssen zunächst die Akteure bekannt sein, die in dieser Branche agieren.

Zunächst sind hier die sog. Publisher zu nennen. Publisher sind diejenigen Akteure, welche den Ort für Online-Werbung zur Verfügung stellen. Publisher können somit alle Plattformbetreibenden sein, indem sie Advertisern die Möglichkeit einräumen, einen Platz auf ihrer Plattform zum Schalten von Werbung zu nutzen. Hierzu zählen Webseiten oder Apps von Medienunternehmen, soziale Medien oder Plattformen aber auch die Ergebnisseite von Suchmaschinen. Als Advertiser werden diejenigen Akteure bezeichnet, welche im Internet werben. Theoretisch können alle Unternehmen und natürliche Person zum Advertiser werden, indem sie das Internet als Werbefläche verwenden. In der Branche werden die freien Plätze für mögliche Werbeanzeigen als Inventar bezeichnet. Selbst bei analoger Werbung gestaltet sich der Prozess, für einen Werbeplatz eine geeignete Werbung zu finden, als äußerst komplex. Während um den Preis für die Werbefläche und die Platzierung von Werbung auf einer Litfaßsäule oder in einer Tageszeitung jedoch noch in Person verhandelt werden konnte, ist dies bei personalisierten digitalen Anzeigen nicht mehr möglich. Aus diesem Grund hat sich zwischen Advertisern und Publishern ein hochkomplexes System entwickelt, an welchem diverse Akteure beteiligt sind.

Auf Seiten der Advertiser sind i.d.R. sog. Bidder tätig. Sie werden auf sog. Demand Side Platforms (DSP) gebündelt. Bei DSPs handelt es sich um Einkaufsplattformen. Sie übernehmen den Einkauf, das heißt die Ersteigerung von Werbeplätzen. DSPs nutzen die Daten von Nutzer:innen um die potentiell geeignetste Zielgruppe für die Produkte zu finden, die die jeweiligen Publisher suchen. Teilweise kaufen DSPs zu diesem Zweck externe Datensätze ein.

Publisher bieten ihre Werbeplätze ebenfalls gebündelt an, über sog. Supply Side Platforms (SSP). SSPs stellen Verkaufsplattformen dar, welche mit Hilfe technischer Standards Anfragen für Gebote auf Werbeplätze aussenden. Jede dieser Gebotsanfragen (sog. Bid Requests) enthält eine Vielzahl personenbezogener Informationen über die Person, die die Website oder App lädt.

Zwischen den SSPs und DSPs sind die sog. AdExchange-Plattformen geschaltet. Sie sind vergleichbar mit einem Börsensaal, in dem sich SSPs und DSPs begegnen.

2. Bildung von Nutzer:innenprofilen und Zielgruppen

Die Arbeit hat bereits einen ausführlichen Einblick in die Datenerhebung gegeben. Diese Daten sind ohne weitere Verarbeitungsvorgänge für den RTB-Prozess jedoch nicht nutzbar. Damit die Nutzer:innendaten als Marschrichtung für die Werbeanzeige auf ihrem Weg zu ihrem Werbeplatz der jeweiligen Nutzer:inenn verwendet werden können, müssen sie zuvor in Nutzer:innenprofilen zusammengefügt werden. Hier kommen die sog. Data Management Platforms (DMP) ins Spiel. Sie fungieren als eine Art Aktenschrank, in welchem Informationen über Nutzer:innen gespeichert werden. Cambridge Analytica war beispielsweise eine Datenmanagementplattform. Auch Unternehmen wie Google betreiben jedoch derartige Plattformen. Die Nutzungsdaten und -profile können bei den DMPs im Laufe des RTB- Prozesses abgefragt werden. Ein Werkzeug, welches diese Verknüpfung von Nutzer:innen mit ihren Profilen im RTB-Prozess ermöglicht, ist die sog. Cookie-Synchronisierung. In seiner einfachsten Form bedeutet dies, dass ein Dritter mit einem Cookie (Tracker1) den Browser des:r jeweiligen Nutzer:innen dazu bringt, einen zweiten Dritten (Tracker2) mit einer URL abzufragen, die die Kennung von Tracker1 enthält. Da der Browser von Nutzer:innen Tracker2 abfragt, kann Tracker2 seine eigenen Cookies auf der Website einsehen. Da die Abfrage die Kennung enthält, die Tracker1 gerade in seinen eigenen Cookies gesehen hat, hat dies den Effekt, dass Tracker2 beide Kennungen gleichzeitig besitzt und seine eigene Cookie- Kennung mit der Cookie-Kennung von Tracker1 verknüpft. Die beiden Parteien können dann über einen Rückkanal (sog. Server-zu-Server-Übertragung) Daten austauschen, um die bisher erstellten Profile miteinander zu verbinden. Handelt es sich bei diesen beiden Parteien um Bidder und AdExchange, so können Nutzer:innen im Verlauf des RTB-Prozesses wiedererkannt und mit den über sie bereits vorhandene Daten, in Verbindung gebracht werden. Die verschiedenen Akteure sind auf diese Weise darüber informiert, welche:r Nutzer:in Gegenstand der Auktion ist, d.h. hinter dem versteigerten Profil steht.

Über verschiedene Domains hinweg entsteht sukzessive ein immer detaillierteres Bild der Nutzer:innen, das dann von Advertiser- und Technologie-Unternehmen genutzt werden kann. Um ein noch genaueres Bild von Nutzer:innen zu erlangen, können diese online gewonnen Daten zudem mit offline gewonnenen Daten verknüpft werden, wie z. B. Kundeninformationen, mit Online-Identifikatoren wie E-Mail-Adressen, Telefonnummern oder Postanschriften. In Deutschland am bekanntesten ist das Unternehmen Payback, welches sich auf eben diese Datenverknüpfung spezialisiert hat.

Neben den DMPs als Speicherstätte, gibt es sog. Customer Data Plattforms (CDP). Hierbei handelt es sich um eine Sammlung von Software, die eine dauerhafte, einheitliche Kund:innendatenbank erstellt, auf die andere Systeme zugreifen können. Hierzu werden Daten aus mehreren Quellen gezogen, bereinigt und kombiniert, um ein einziges Kundenprofil zu erstellen. In CDPs sollen vor allem die sog. 1st-Party-Daten gebündelt werden. Hingegen speichern DMPs scheinbar vorwiegend 3rd-Party-Daten. Dennoch werden sowohl auf CDPs als auch auf DMPs hochpersonalisierte Nutzer:innenprofile gebildet. Diese Profile sind ein wesentlicher Bestandteil der digitalen Werbewirtschaft.

3. Ablauf des Real Time Biddings

Im Folgenden soll ein vereinfachter Überblick über den technischen Ablauf des RTB-Prozesses gegeben werden. Dieser kann für diese Untersuchung als Ausgangspunkt der späteren rechtlichen Bewertung der einzelnen Prozesse dienen.

Wenn Nutzer:innen eine App oder Webseite aufrufen, wird hierdurch der Prozess des Real Time Biddings ausgelöst. Vom Publisher gelangt die Meldung, dass Inventar zur Verfügung steht, über die SSPs auf die Ad Exchenge Plattform. Dort können DSPs für ihre Advertiser auf das Inventar bieten. Zu diesem Zweck erhalten die DSPs eine Kopie des Bid Requests als Gebotsanfrage. Diese enthält Informationen über die jeweilige Person, die die Anzeige später sehen wird. Diese Informationen sind je nach Spezifikation leicht unterschiedlich. Im Internet wird der Inhalt dieser „Gebotsanfrage“ durch eine von zwei Spezifikationen bestimmt. Die erste ist Authorized Buyers, eine von Google festgelegte Spezifikation. Die zweite ist OpenRTB/AdCOM, die von der Technologieabteilung des Interactive Advertising Bureau (IAB) gepflegt wird, einer Mitgliederorganisation großer und kleiner Werbefirmen, die von Google, Meta (vormals Facebook) und X (vormals Twitter) bis hin zu kleineren Akteuren reicht.

Auch wenn der Bid Request bereits personenbezogene Daten enthalten kann, ist die Person, die die Werbung später sehen soll, durch ihn allein nicht notwendig identifizierbar. Für Advertiser ist es jedoch wesentlich zu wissen, wer ihre Werbung später sehen wird. Nur so kann es überhaupt zum Ausspielen personalisierter Werbung kommen. Aus diesem Grund leiten die DSPs, den Bid Request an DMPs weiter. Diese stellen eine Art Data Warehouse dar, wo Daten zum einen gespeichert, aber auch sortiert und klassifiziert werden. DMPs speichern vorwiegend die Cookie-IDs und nehmen eine Klassifizierung der Daten vor (z.B. Weinliebhaber:in), sodass auf diese Informationen im Werbeprozess einfach zurückgegriffen werden kann. Im „Idealfall“ gelingt es DSPs die jeweiligen Nutzer:innen anhand der schon vorhandenen Informationen und den Informationen aus dem Bid Request zu identifizieren.

Gelingt dies nicht, kann jedenfalls mit den Informationen gearbeitet werden, die der Bid Request selbst enthält. Einige, für diese Ausarbeitung relevanten Informationen, die im Fall von Authorized Buyers und OpenRTB enthalten sind, sind:

  • Standort
  • URL der besuchten Seite
  • Kategorie oder Thema der Website
  • Gerät
  • Betriebssystem
  • Browser-Software und -Version
  • Gerätehersteller, Modell
  • Mobilfunkanbieter
  • Abmessungen des Bildschirms
  • Benutzer:innen
  • Eindeutige Identifikatoren, die von Verkäufer:in und/oder Käufer:in festgelegt werden
  • Eindeutiger Personenidentifikator der Werbebörse, oft aus dem Cookie der Werbebörse
  • Cookie der Werbebörse
  • Die Benutzer:innenkennung einer nachfrageseitigen Plattform, die oft aus dem Cookie der der Werbebörse entnommen wird, die mit einem Cookie von der Domain der nachfrageseitigen Plattform synchronisiert wurde
  • Geburtsjahr
  • Geschlecht
  • Interessen
  • Metadaten, die über die erteilte Zustimmung berichten
  • Geografie
  • Längengrad und Breitengrad
  • Postleitzahl

In einem weiteren Schritt senden die DSPs Gebotsanfragen an Datenverwaltungsplattformen, die diese anreichern, indem sie versuchen, den:die Nutzer:in in der Anfrage zu identifizieren. Hierzu nutzen sie eine Vielzahl von Datenquellen, wie z.B. vom Werbetreibenden hochgeladene Daten (z.B. Kundenbeziehungsdatenbanken), aus anderen Quellen gesammelte Daten (z.B. eine Liste eines anderen Unternehmens) oder von Datenmaklern gekaufte Daten. Die nachfrageseitige Plattform mit dem höchsten Gebot erhält durch den Zuschlag einerseits das Recht, die Anzeige über die angebotsseitige Plattform an die Person zu liefern. Darüber hinaus ermöglicht der Zuschlag auch, die eigenen Cookies mit der Anzeigenbörse zu synchronisieren, um in Zukunft einfacher Daten verknüpfen und Profile von Nutzer:innen erstellen zu können.

4. Consent Management Plattformen

Seit das Datenschutzrecht den digitalen Raum erreicht hat, erscheinen Nutzer:innen beim Besuch regelmäßig Pop-up-Fenster, die den Zugang zu Internetseiten blockieren. Diese Schaltflächen, auf denen Nutzer:innen einstellen können, welche Daten eine Webseite sammeln und verarbeiten darf, bezeichnet man als Consent Managemet Platforms (CMP). Eine CMP hat die Form eines Pop-up-Fensters, das bei der ersten Verbindung mit einer Website erscheint, um die Zustimmung der Internetnutzer:innen zur Platzierung von Cookies und anderen identifizierenden Informationen einzuholen.

Ein wesentlicher Bestandteil des Eingriffs einer CMP ist die Erzeugung einer Zeichenkette, die aus einer Kombination von Buchstaben, Zahlen und anderen Zeichen besteht. Diese Zeichenfolge wird vom Interactive Advertising Bureau Europe (kurz: IAB Europe), ein internationaler Wirtschaftsverband der Onlinewerbebranche, als „TC String“ bezeichnet, was für „Transparency and Consent String“ steht. Der TC-String dient dazu, die Präferenzen von Nutzer:innnen strukturiert und automatisiert zu erfassen, wenn diese eine Website oder App eines Publishers besuchen, der die CMP integriert hat. Dies betrifft insbesondere die Erfassung der Zustimmung (oder Nicht-Zustimmung) zur Verarbeitung personenbezogener Daten für Marketing- und andere Zwecke, die Frage, ob personenbezogene Daten an Dritte (Adtech-Anbieter) weitergegeben werden sollen oder nicht, und die Ausübung oder Nichtausübung des Widerspruchsrechts.

Die CMP kann die bevorzugten Daten eines Nutzers speichern und jederzeit abrufen und diese Informationen an Adtech-Anbieter weitergeben, die sie benötigen. Die Anbieter entschlüsseln den TC-String, um festzustellen, ob sie über die erforderliche Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der jeweiligen Nutzer:innen für die angegebenen Zwecke verfügen. In ihrer Entscheidung gegen IAB Europe hat die belgische Datenschutzbehörde diesen Prozess in sechs Schritten beschrieben:

  1. Ein:e Internetnutzer:in besucht die Website eines Publishers, z.B. eine Nachrichten- Website.
  2. Der Publisher stellt sicher, dass eine CMP auf seiner Website oder in seiner App aktiviert ist, wenn der:die Benutzer:in ankommt.
  3. Die CMP prüft, ob für diese:n Nutzer:in bereits ein TC-String existiert oder nicht. Hierzu wird auf die Datenbank von IAB Europe zurückgegriffen.
  4. Ergibt der dritte Schritt, dass der TC-String noch nicht existiert oder nicht aktuell ist, zeigt die CMP dem:der Nutzer:in in einem vierten Schritt eine Benutzeroberfläche an, auf der er:sie der Erhebung und Weitergabe seiner personenbezogenen Daten zustimmen kann.
  5. Der:die Internetnutzer:in trifft in der Benutzerschnittstelle eine Auswahl.
  6. Die CMP generiert den TC-String und platziert ein Cookie auf dem Gerät des:der Nutzer:in oder aktualisiert das bestehende Cookie.

5. Zusammenfassung

Mit Real Time Advertising und insbesondere dem Verfahren des Real Time Biddings hat sich ein hochkomplexer und facettenreicher Markt entwickelt. Dieser hat wiederum neue Unternehmen mit eigenen und ebenfalls komplexen Strukturen hervorgebracht. Die Untersuchung hat gezeigt, dass die zunächst erhobenen Daten von Nutzer:innen durch viele Hände wandern, nachdem sie zum Zwecke der Online-Werbung erhoben wurden. Ob und inwieweit diese Verwendung mit datenschutzrechtlichen Vorgaben übereinzubringen ist, wird noch zu untersuchen sein.

Die Risiken personalisierter Werbung

Die Erhebung, Analyse und der Handel von Daten, welcher zum Zweck der personalisierten Online-Werbung erfolgt, sind mit erheblichen Risiken verbunden. Im Rahmen dieser Ausarbeitung ist eine Beleuchtung der mit personalisierter Online-Werbung verbundenen Risiken erforderlich, da diese unmittelbar auf den Schutzgedanken des Datenschutzrechtes zurückzuführen sind. Die DSGVO schützt nicht nur die personenbezogenen Daten, sondern auch die Grundrechte und Grundfreiheiten natürlicher Personen. Mögliche Risiken, wie das Risiko der Diskriminierung marginalisierter Gruppen, müssen daher im Rahmen dieser Ausarbeitung beleuchtet werden, um im weiteren Verlauf Berücksichtigung finden zu können. Dabei ist es das Ziel, die diskutierten Risiken im Kontext personalisierter Online-Werbung objektiv zu analysieren. Dazu werden im Folgenden die Ergebnisse interdisziplinärer Forschung abgebildet.

1. Diskriminierung

Im Zusammenhang von algorithmischen Systemen kommt es immer wieder zum Vorwurf der Diskriminierung. In der Soziologie versteht man unter Diskriminierung die soziale Ungleichbehandlung bzw. Benachteiligung anderer Menschen durch Verhaltensweisen und Einstellungen. Übernehmen algorithmische Systeme Entscheidungen, so ist es möglich, dass sie Unterscheidungen zwischen Menschen vornehmen, die zur Benachteiligung dieser führen. Vieldiskutiert ist dies, wenn algorithmische Systeme hochkomplexe Entscheidungen übernehmen, die einst Menschen trafen. Beispiele hierfür sind die Nutzung solcher Systeme im Strafprozess, bei Personalentscheidungen oder zur Vergabe von Darlehen. Auch bei personalisierter Online-Werbung kommen algorithmische Systeme zum Einsatz, deren Entscheidungen diskriminierende Ergebnisse erzeugen können.

Bereits 2015 ließ sich die Ungleichbehandlung bei zielgerichteter Werbung im Programm Google Mail nachweisen. Lecuyer et al. konnten belegen, dass für die Schaltung personalisierter Werbung auch sensible geschützte Merkmale verwendet werden. Mittels Fallstudien wiesen sie nach, dass beispielsweise die ethnische Zugehörigkeit, der Gesundheitszustand, die religiöse Zugehörigkeit und Interessen, sexuelle Orientierung und eine ernste finanzielle Situation mögliche Kriterien waren, mittels derer Zielpersonen werbend angesprochen werden konnten.

Auch bei anderen Google-Diensten konnte die Ungleichbehandlung bei der Schaltung von Werbung nachgewiesen werden, so hat beispielsweise das Geschlecht von Nutzer:innen Auswirkungen auf die Werbung, mittels derer sie angesprochen werden. Online wird weniger Werbung für hochbezahlte Stellen angezeigt, wenn das Geschlecht in den Profileinstellungen von „männlich“ auf „weiblich“ geändert wurde.

Wie bereits die Ergebnisse der Studie von Lecuyer et al. zeigten, kann auch die ethnische Herkunft ein mögliches Kriterium für die Platzierung personalisierter Werbung sein. Die Ungleichbehandlung nach ethnischer Herkunft bei der Platzierung von Werbung konnte gezielt von Sweeney nachgewiesen werden. Untersucht wurden die per Google AdSense ausgespielte Werbung, wenn Nutzer:innen einen Namen in die Suchmaschine eingeben. Die Autorin untersuchte konkret die Möglichkeit, dass Werbung ausgespielt wurde, welche auf eine Webseite oder einen Onlinedienst verweist, der es ermöglicht, die Vorstrafen einer gesuchten Person abzufragen. Diese sog. „arrest records“ sind in den USA häufig öffentlich einsehbar, sodass inzwischen Suchmaschinen auf dem Markt sind, die digital nach dem Vorstrafenregister einer Person suchen. Sweeney wies nach, dass die Wahrscheinlichkeit, Werbung besagter arrest-records-checking-Dienste angezeigt zu bekommen höher ist, sucht man über eine Suchmaschine einen Namen, der traditionell von Schwarzen getragen wird. Auch wenn Google AdSense Anzeigen als Werbung gekennzeichnet sind, kann hierdurch die Assoziation erweckt werden, dass die Person, deren Namen man soeben gegoogelt hat, eine strafrechtlich relevante Vergangenheit hat. Die auf ethnischen Merkmalen beruhende Differenzierung bei der werbenden Ansprache kann dann unmittelbar zu Diskriminierung gegenüber eben diesen ethnischen Gruppen in der analogen Welt führen.

Auch auf Facebook konnte eine Ungleichbehandlung nach Geschlecht bei der Ausspielung von Werbung nachgewiesen werden. Im Rahmen der der Studie wurden Werbeanzeigen testweise in 191 Ländern geschaltet, welche auf Jobangebote im sog. STEM-Bereich aufmerksam machen sollten. Dabei wurde von den Autorinnen eine Werbeanzeige gestaltet, welche sich durch eine explizite Geschlechtsneutralität auszeichnet. Dennoch wurde Frauen die Anzeige seltener angezeigt als männlichen Nutzern. Die Differenz muss zudem vor dem Hintergrund betrachtet werden, dass Frauen eine höhere click-trough-rate haben als männliche Nutzer, das heißt wenn sie die Anzeige sehen, klicken sie sie eher an. Die Autorinnen verweisen darauf, dass diskriminierenden Erkenntnisse der Studie besorgniserregend sind, da heute immer noch weniger Frauen in STEM-Berufen tätig sind als Männer. Wenn Nutzerinnen zudem seltener Jobanzeigen solcher Berufsgruppen angezeigt werden, könne sich dies auch nicht ändern.

Die Erkenntnisse von Lambrecht und Tucker lassen sich durch andere Studien belegen. Ali et al. untersuchten in ihrer Studie die Ungleichbehandlung nach Geschlecht durch Algorithmen zur Werbeschaltung. Hierfür beobachteten die Autor:innen wem Werbung ausgespielt wird, wenn nicht voreingestellt wird, ob sie männlichen oder weiblichen Nutzer:innen gezeigt werden soll. Die Autor:innen bedienten sich hierfür stereotypischer männlicher oder weiblicher Werbeobjekte, wie Brautsträuße und Baumaschinen. Teilweise waren die Objekte für das menschliche Auge nicht, für einen Bilderkennungsalgorithmus aber sehr wohl, erkennbar. In jedem Fall wurden die Anzeigen der stereotypischen Zielgruppe angezeigt. Hieraus ließ sich schließen, dass der Algorithmus die Bilder analysiert und unabhängig von den Voreinstellungen nach eigenen Kriterien einer Zielgruppe zuordnet. Diese algorithmischen Kriterien können diskriminierend sein.

Neben diesen Beispielen ist denkbar, dass es zu einer aktiven Diskriminierung von Minderheiten bei der Schaltung personalisierter Werbung kommt. Die Tools, mittels derer Werbende die Zielgruppen für ihre Anzeigen bestimmen, können ebenso gut verwandt werden, um einzelne Gruppen von der Ansicht der Anzeigen auszuschließen. So können beispielsweise bei der Schaltung von Stellenanzeigen Adtech-Tools eingesetzt werden, um zu verhindern, dass diese von bestimmten Gruppen wie Frauen, Migrant:innen oder BIPoC gesehen werden. Die Nachrichtenredaktion ProPublica wollte demonstrieren, wie dies funktionieren könnte, indem sie Anzeigen für „zu vermietende Häuser“ auf Facebook kaufte. Sie nutzten dann die Facebook-eigenen Tools, um zu verlangen, dass die Anzeigen bestimmten Nutzer:innenkategorien nicht angezeigt werden, wie Afroamerikaner:innen, Müttern von High-School-Kindern, Menschen, die sich für Rollstuhlrampen interessieren, Personen jüdischen Glaubens, Auswanderer:innen aus Argentinien und Spanisch sprechenden Personen. Alle diese Ausschlüsse sind bereits nach einem bestimmten Teil des US-Wohnungsgesetzes, das Diskriminierung verbietet, unzulässig. Trotz ihrer Rechtswidrigkeit wurden alle diese Anzeigen innerhalb von Minuten von Facebook genehmigt, was ernste Fragen über die Einhaltung der Antidiskriminierungs- und Antivoreingenommenheitsgesetze durch Facebook und das gesamte Adtech-Ökosystem aufwirft.

Obwohl die von ProPublica verwendeten Tools inzwischen von Facebook deaktiviert wurden, haben Forscher:innen herausgefunden, dass Facebooks eigener Algorithmus zur Anzeigenschaltung möglicherweise voreingenommen ist. Eine kürzlich durchgeführte Studie der University of Southern California ergab, dass Facebooks Anzeigenauslieferungssystem Frauen und Männern unterschiedliche Stellenanzeigen anzeigt, obwohl die Stellen dieselben Qualifikationen erfordern. Um zu testen, ob es zu Verzerrungen kommt, gaben die Suchenden Stellenanzeigen auf, die zwar dieselben Qualifikationen erforderten, sich aber in ihrer realen Demografie unterschieden, ohne jedoch eine gewünschte Zielgruppe für die Anzeigen anzugeben. Dies bedeutete, dass die Ausrichtung auf der Grundlage der eigenen algorithmischen Bewertung von Facebook erfolgte, um die besten Ergebnisse für die Anzeige zu erzielen. Es wurde festgestellt, dass die Stellen, die in der realen Welt von Frauen dominiert werden, mehr Frauen angezeigt wurden und umgekehrt.

Im Ergebnis bergen die komplexen technischen Abläufe der personalisierten Online-Werbung das Risiko, diskriminierende Werbung zu erzeugen oder schon bestehende Diskriminierung zu verstärken.

2. Markt-Macht-Spirale

Als Markt-Macht-Spirale wird in dieser Arbeit das Phänomen einer besonders dominanten Marktstellung bezeichnet, welche die jeweiligen Unternehmen mit erheblicher Macht ausstattet, Einfluss auf die gesamte Branche auszuüben. Das Phänomen der Markmacht- Spirale ist kein auf den digitalen Werbemarkt beschränktes Phänomen. In diesem Kontext manifestiert sich das Phänomen jedoch in ausgeprägter Form und führt zu weiteren Problemen. An dieser Stelle soll daher ein kurzer Abriss erfolgen, um eine Verknüpfung mit den nachfolgenden Punkten zu ermöglichen.

Die Marktmacht-Spirale manifestiert sich in besonderem Maße im personalisierten Werbemarkt, da hierbei eine signifikante Menge an Daten akquiriert und generiert wird. Um personalisierte Werbung und die digitale Werbebranche zu ermöglichen, müssen große Mengen an Nutzer:innendaten gesammelt werden. Nutzer:innen geben ihre Daten mehr oder weniger freiwillig für digitale Dienste preis, um eine kostenlose Gegenleistung zu erhalten. Dadurch sind Daten zur Währung im digitalen Raum geworden. Personalisierte Werbung basiert auf der Annahme, dass mehr Daten über Nutzer:innen zu besserer, das heißt personalisierterer, Werbung führen. Deshalb sind Tech-Unternehmen in der digitalen Werbewirtschaft unverzichtbar, da sie große Mengen an Nutzer:innendaten sammeln. Hierzu gehören beispielsweise soziale Netzwerke wie die Plattformen von Meta sowie Suchmaschinen wie Google. Diese Unternehmen nutzen Nutzer:innendaten zur Personalisierung ihrer Angebote. Die Antworten, die die Suchmaschine Google den Nutzer:innen auf ihre Anfrage hin liefert, werden genauer und passender, wenn die Interessen der jeweiligen Nutzer bekannt sind. Gleiches gilt auch für Vorschläge in sozialen Netzwerken. Die Daten können aber auch für die Schaltung personalisierter Werbung genutzt werden. Hierfür sind sie sogar unverzichtbar. Unternehmen, die am digitalen Werbemarkt teilnehmen möchten, jedoch keine eigenen Nutzer:innendaten besitzen, sind auf die gesammelten Daten großer Tech-Unternehmen angewiesen. Diese Abhängigkeit ist der Grund, warum Unternehmen wie Google, Meta oder Amazon zu so erfolgreichen Unternehmen herangewachsen sind. Die gesamte digitale Werbebranche ist auf einige wenige große Unternehmen angewiesen, was diesen Unternehmen eine besonders Marktmacht verleiht. In diesen Fällen besteht immer das Risiko, dass diese Unternehmen ihre Marktmacht nutzen, um Einfluss auf den gesamten Markt zu nehmen und ihre Stellung zu sichern. Eine Situation, die der Gesetzgeber versucht durch das Kartellrecht zu kontrollieren. Im Falle digitaler Unternehmen und insbesondere der digitalen Werbewirtschaft gibt es jedoch Anzeichen dafür, dass diese wettbewerbsrechtliche Regulierung nur eine Symptombekämpfung ist und den besonderen Marktbedingungen nicht gerecht wird.

Das Phänomen der Markt-Macht-Spirale lässt sich anhand der kartellrechtlichen Entscheidung in Sachen Google-Preisvergleich verdeutlichen. Im Jahr 2008 etablierte Google eine Strategie für den von der eigenen Suchmaschine durchgeführten Preisvergleich, welche nicht auf objektiven Kriterien basierte, sondern auf der marktbeherrschenden Stellung von Google im Bereich der allgemeinen Internetsuche. Die EU-Kommission kam in ihrer Untersuchung 2017 daher zu dem Ergebnis, dass Google einerseits den eigenen Preisvergleich systematisch am besten platziert hätte. Die Ergebnisse des Preisvergleichsdiensts von Google würden Nutzer:innen, die einen Begriff suchen, ganz oder sehr weit oben auf der Suchergebnisliste angezeigt werden. Ferner benachteilige Google konkurrierende Preisvergleichsdienste aktiv, indem der am besten platzierte Wettbewerber im Durchschnitt erst auf Seite vier der Suchergebnisse von Google angezeigt werde. Google verschaffe seinem eigenen Preisvergleichsdienst durch dessen Platzierung ganz oben in den Suchergebnissen und durch die schlechtere Platzierung seiner Wettbewerber einen erheblichen Vorteil gegenüber konkurrierenden Diensten.

2017 verhängte die EU-Kommission gegen Google ein Bußgeld i.H.v. 2,42 Milliarden EUR, nachdem 2009 mehrere Beschwerden von Google-Konkurrenten anhängig geworden waren und die EU-Kommission bereits 2010 das Kartellverfahren eröffnet hatte. Erst 2021 kam der Streit vor dem EuG zu einem Ende, der sich weitgehend der rechtlichen Würdigung der EU- Kommission anschloss.

Die Zeitspanne von 13 Jahren ist in der Digitalwirtschaft eine Ewigkeit. Der Gang des Verfahrens verdeutlicht, dass das Kartellrecht gegenüber sehr großen Digitalkonzernen bei der Rechtsdurchsetzung hinterherhinkt.

Die besondere Relevanz von Daten in einer digitalisierten Welt ist einerseits darauf zurückzuführen, dass die digitale Werbebranche die Erhebung und Verarbeitung von Nutzer:innendaten befördert und ermöglicht. Die erhobenen Daten können jedoch für nahezu jede andere Branche relevant sein. Ein Beispiel hierfür sind die Datenmengen, die benötigt werden, um KI-Systeme zu trainieren, von denen sich aktuell jede Branche einen nutzbringenden Einsatz erhofft. Die Marktmacht großer Unternehmen in der digitalen Werbebranche kann sich somit schnell auf andere Branchen ausdehnen. Beispielhaft ist hierfür die angestrebte Einführung eines KI-Systems durch Meta. Der Digitalkonzern strebte an, ein Konkurenzprodukt zum Chat-Bot ChatGPT von OpenAI auf den Markt zu bringen und dieses mit Nutzer:innendaten zu trainieren. Es sollte jedoch nicht erst geprüft werden, ob ihre Marktstellung legitim ist, wenn ihre Marktmacht bereits gefestigt ist. Stattdessen sollte die Rechtmäßigkeit der Datenwirtschaft als Ursache für diese Marktmacht im Fokus der Überprüfung stehen.

Demokratiegefährdende Risiken

Die Datenwirtschaft, welche zum Zweck personalisierter Online-Werbung betrieben wird, fördert und erzeugt darüber hinaus demokratiegefährdende Risiken. Zu diesen Risiken zählen das Microtargeting, Desinformation sowie Sicherheitsbedenken.

1. Microtargeting

Microtargeting meint die gezielte Ansprache von Personen oder Personengruppen mit Inhalten. Geprägt wurde der Begriff und die dahinterstehende Strategie in der Politik.

Losgelöst von digitaler Werbung wurde im politischen Wahlkampf bereits früh versucht, gezielt Wähler:innengruppen anzusprechen, um ihnen ein bestimmtes Bild von Kandidierenden zu präsentieren. Die Digitalisierung ermöglicht es, diese personalisierte Ansprache in den digitalen Raum zu tragen oder Erkenntnisse aus digitalen Daten im analogen Wahlkampf zu nutzen. Bereits im Wahlkampf Barack Obamas 2012 wurde der Versuch unternommen, die Wähler:innen gezielt mit den Themen anzusprechen, die sie vermutlich interessierten. Dafür wurde eine aus dem Markting stammende Datenanalyse verwendet, bei welcher versucht wird, auf der Grundlage bereits vorhandener Daten eine Prognose über das zukünftige Verhalten von Konsument:innen zu treffen. Ein berühmtes Beispiel für ein solches prognosegestütztes Marketing ist der Fall der US-amerikanischen Supermarktkette Target, welche aufgrund des Einkaufsverhaltens einer Teenagerin annahm, diese sei schwanger und ihr hierauf abgestimmte Werbung zukommen ließ. Erst durch diese Werbung erfuhr der Vater von der Schwangerschaft seiner Tochter, was den Schluss zulässt, dass die Datenanalyse eine bessere Kenntnis von den Lebensumständen der werdenden Mutter hatte als nahe Familienangehörige.

Microtargeting muss also nicht immer einen politischen Bezug aufweisen. Durch den Einsatz der Strategie im Rahmen politischer Kampagnen ist der Begriff jedoch erst allgemein bekannt geworden. Vor allem durch den Cambridge-Analytica-Skandal hat die Thematik Einzug in den öffentlichen Diskurs gehalten. Die Datenanalysefirma half sowohl der republikanischen Partei im US-Wahlkampf 2016 als auch den Brexit-Befürworter:innen vor dem Referendum dabei, personalisierte Werbung auf Facebook zu schalten. Um eine derartige Einflussnahme auf die Wahlen des EU-Parlamentes zu verhindern, sollte ursprünglich noch vor den Wahlen im Frühjahr 2024 die Verordnung über die Transparenz und das Targeting politischer Werbung (Targeting-VO) auf den Weg gebracht werden.

Eine gezielte Ansprache mit politischen Botschaften ist jedoch nicht bloß auf Wähler:innen reduziert. Denkbar ist hingegen jegliche Ansprache von Entscheidungsträgern und damit auch eine Einflussnahme auf Entscheidungsprozesse. Mittels Microtargetings können beispielsweise auch Politiker:innen angesprochen werden. Eine derartige Kampagne fand u.a. vor der Abstimmung über den DSA statt. Meta, die CCIA, das IAB und Amazon schalteten Anzeigen, insbesondere auf X (vormals Twitter), in welchen sie die vermeidlichen Vorteile von personalisierter Werbung betonten und insbesondere die hohe Relevanz von personalisierter Werbung für kleinere, lokale Unternehmen betonten. Sie zielten auf ein bestimmtes Publikum ab: entweder auf Personen, die als Akademiker:innen oder politische Entscheidungsträger:innen bezeichnet wurden, oder sie suchten nach Zielgruppen mit ähnlichen Profilen wie die Tech-Politik-Journalist:innen. In Deutschland wurden ähnliche Zielgruppen angesprochen, z.B. Konten, die denen von deutschen Ministerien ähneln.

Wenn durch Microtargeting verschiedene Zielgruppen mit auf diese abgestimmte Informationen versorgt werden, bringt dies das Risiko von Filterblasen mit sich. Filterblasen stellen „eine individuell zusammengestellte und vor allem solchermaßen sortierte Plattform- bzw. Medienseite“ dar, die Nutzer:innen „oftmals keine valide Aussage mehr über die überindividuelle gesellschaftliche Relevanz einer Thematik (,Titelseitenäquivalent‘), sondern nur noch über das eigene vorherige Informations(konsum)muster von (Mehrheits-)Meinungen“ bietet. Nutzer:innen transformierten sich „zu einer endlosen Zeitschleife ihrer selbst, zu ihrem immerwährenden Status quo.“

Wird das Microtargeting zum Bewerben einzelner Politiker:innen eingesetzt, lässt sich argumentieren, dass Wähler:innen keine informierte Entscheidung vor einer Wahl treffen können, wenn sie lediglich ein fragmentiertes Bild der Kandidierenden gezeigt bekommen. Selbes gilt, wenn Microtargeting von Parteien verwendet wird. Im schlimmsten Fall könnte Microtargeting im Kontext von Wahlen dazu führen, dass Wähler:innen nur noch in eine Richtung informiert werden und so den Blick für die gesellschaftliche Pluralität verlieren könnten, welcher für das Prinzip der Öffentlichkeit von Wahlen aus Art. 38 Abs. 1 S. 1 GG i.V.m. Art. 20 Abs. 1 und 2 GG jedoch unabdingbar ist. Denkbar ist dadurch auch, dass Microtargeting den Grundsatz der Freiheit der Wahl aus Art. 38 Abs. 1 GG untergräbt, wenn eine freie Information hierdurch erschwert wird.

Befürworter:innen von Microtargeting argumentieren, dass dies auch positiv verstärkend wirken könne. So sei denkbar, dass durch gezielte Kampagnen die Wahlbeteiligung steige. Würde es gelingen, isoliert Personen zu bewerben, die gewöhnlich kein gesteigertes Interesse an Politik aufweisen und auch ihr Wahlrecht nicht ausüben, könnte dies dazu führen, dass diese Personen von dem Gang zur Wahlurne überzeugt werden könnten. Eine ähnliche Logik steckte hinter dem „I Voted Button“ von Facebook, mit dem Nutzer:innen ihren Kontakten oder der ganzen Welt mitteilen konnten, dass sie gewählt hatten. Die Aktion konnte die Wahlbeteiligung von Facebook-Nutzer:innen tatsächlich steigern. Verwenden Befürworter:innen von Microtargeting dies als Pro-Argument, übersehen sie jedoch das erhebliche Risiko, welches mit dieser potentiellen Möglichkeit einher geht. Über die Möglichkeit einzelne Wähler:innengruppen zu mobilisieren, entscheiden dann letztendlich die sog. Gatekeeper, das heißt Plattformen wie Facebook, Instagram, X (Twitter) oder TikTok. Unabhängig von der Frage, ob die Annahme, Nichtwähler:innen ließen sich durch Microtargeting mobilisieren, zutrifft, ist die Frage zu stellen, ob digitale Plattformen über die Fähigkeit einer solchen partiellen Mobilisierung verfügen sollten. Diese Frage kann im Rahmen dieser Ausarbeitung nicht beantwortet werden und ist vorrangig eine politische, keine juristische. Dass Nutzer:innendaten die Möglichkeit zu Microtargeting bieten und diese Technologie wie zuvor beschrieben genutzt werden und so erhebliche Rsisiken bergen, muss jedoch auch für den Gegenstand dieser Arbeit und die Frage nach der Rechtmäßigkeit von Datenerhebungen zum Zweck personalisierter Werbung mitgedacht werden.

2. Desinformation

Die Funktionsweisen digitaler Dienste, die das Microtargeting ermögliche, stehen im direkten Zusammenhang mit dem Risiko der Desinformation. Die gezielte Ausrichtung von Werbung oder Botschaften an bestimmte Nutzer:innengruppen, birgt die Gefahr der Verbreitung von Desinformation. Durch die Analyse des Nutzer:innenverhaltens und deren Interessen können gezielt Falschinformationen an empfängliche Zielgruppen ausgespielt werden. Microtargeting ermöglicht es, gezielt bestimmte Nutzer:innengruppen mit individuell auf diese zugeschnittenen Botschaften zu erreichen. Durch die Analyse des Nutzer:innenverhaltens auf Social-Media-Plattformen können Profile erstellt und zielgerichtete Werbung oder auch Falschnachrichten ausgespielt werden. Dies birgt die Gefahr, dass Nutzer:innen in ihrer eigenen Filterblase isoliert und nur noch mit Informationen versorgt werden, die ihre bereits vorhandene Meinung bestätigen. Die Rationalität der öffentlichen Debatte wird dadurch abgeschwächt, eine sachliche Auseinandersetzung mit kontroversen Themen wird erschwert.

Insbesondere soziale Medien werden zunehmend für die gezielte Verbreitung von Falschnachrichten und Propaganda genutzt. Ein Beispiel ist die russische Internet Research Agency, die während des US-Wahlkampfs 2016 gezielt polarisierende Botschaften an Trump- Unterstützer auf Facebook adressierte. Auch während der Corona-Pandemie verbreiteten sich viele Falschinformationen und Verschwörungstheorien über Social Media, die gezielt an bestimmte Nutzer:innengruppen adressiert waren.

Die Risiken von Desinformation durch Microtargeting sind vielfältig. Es droht eine Polarisierung der Gesellschaft durch Filterblasen und eine Abschwächung der Rationalität in der öffentlichen Debatte. Auch die Beeinflussung demokratischer Wahlen und Prozesse ist denkbar. So wurde beispielsweise vor den Wahlen des Europäischen Parlaments im Jahr 2019 gezielt Desinformation verbreitet. Da die Europäische Kommission mit sozialen Plattformen zusammenarbeitete, um vor allem äußere Einflüsse zu vermeiden, konnten Beweise gesichert werden, die die Europäische Kommission als anhaltende Desinformationsaktivität durch russische Akteure bezeichnete, um sowohl die Wahlbeteiligung als auch Wahlentscheidungen zu beeinflussen.

Jüngst konnten Forscher:innen zudem nachweisen, dass über Facebook auch sog. Nanotargeting möglich ist, das heißt dass einzelne Personen gezielt angesprochen werden können. Bis 2018 konnten auf Facebook einzelne Zielgruppen aus 20 Personen werbend angesprochen werden. Nach massiver Kritik wurde diese Zahl auf 1.000 erhöht. Diese Größenordnung kann jedoch ganz einfach umgangen werden. Möglich gemacht wird die individuelle Ansprache mittels der Interessen, die Nutzer:innen über Facebook bekannt geben. Die Interessen bilden neben dem Geschlecht, Alter oder Wohnort der Nutzer:innen diejenigen Parameter, welche Werbende dann auswählen können, um zu bestimmen, wem ihre Werbung angezeigt werden soll. Den Forscher:innen gelang es, die Identität von 2.390 Facebook-Nutzer:innen ausschließlich mithilfe dieses Interessenparameters zu bestimmen. Die Identifikation konkreter Nutzer:innen auf Facebook kann bereits durch die Analyse von vier seltenen oder 22 willkürlichen Interessen erfolgen. Die Autor:innen verweisen darauf, dass die Risiken von Nanotargeting psychische Beeinflussung, Nutzer:innenmanipulation oder Erpressung sein können. Wenn nun also bereits das Microtargeting bei Facebook zur Verbreitung von Desinformation und der Beeinflussung von Entscheidungsträger:innen verwendet wird, ist dieses Risiko verstärkt im Rahmen des Nanotargetings vorhanden. So ist denkbar, dass gezielt einzelne Entscheidungsträger:innen mittels Nanotargeting angesprochen und beeinflusst werden. So hat die AfD über soziale Medien beispielsweise die Tätigkeit als Schöff:in bei ihren Anhänger:innen beworben, um sie für dieses Amt zu begeistern und so Einfluss auf gerichtliche Entscheidungen zu nehmen. Man stelle sich vor, die Einflussnahme auf Schöff:innen wäre mittels Nanotargetings während Prozessen noch gezielter möglich. In einigen Konstellationen könnte hierdurch die Gewalt der Judikative ausgehebelt werden, indem die Entscheidungsfreiheit von Richter:innen untergraben würde, welche in Art. 97 GG verfassungsrechtlich zementiert ist.

Sicherheitsbedenken

Die vielfältigen Möglichkeiten, die sich aus der umfassenden Datenwirtschaft sowie der personalisierten Ansprache von Nutzer:innen ergeben, sind mit einem gewissen Missbrauchsrisiko verbunden. Diese Korrelation wird in zwei Berichten der irischen Datenschutzorganisation ICCL aus dem Jahr 2023 evident. Demnach ergeben sich sowohl für die Europäische Union als auch für die USA ernsthafte Sicherheitsbedrohungen aus dem, für die Schaltung personalisierter Werbung notwendigen, Real Time Bidding. In den Berichten deckt ICCL auf, dass der Handel mit Daten, wie er beim RTB-Prozess erfolgt, auch kompromittierende, sensible Daten über Führungskräfte und Militärangehörige der USA und EU mit einschließt. Hierdurch würden diese den Risiken von Erpressung oder Hacking ausgesetzt, was die Sicherheit der jeweiligen Behörden und Staaten untergrabe. Explizit belegen die Berichte, dass Google über den RTB-Prozess gewonnene Daten auch nach Russland oder China übersendet.

Eine jüngst veröffentlichte Recherche von WIRED, dem Bayerischen Rundfunk und Netzpolitik.org verdeutlicht, dass aus den zu Werbezwecken erhobenen Daten detaillierte Profile von in Deutschland stationierten US-Militärs erstellt werden können. So ist beispielsweise die Erstellung von Bewegungsmustern möglich, aus denen die Wohnadresse von Soldat:innen, die Schulen ihrer Kinder, die Standorte von Flugzeugbunkern und Luftwaffenstützpunkten, inklusive solcher, in denen US-Atomwaffen gelagert werden, hervorgehen. Für die Recherche wurde ein Datensatz ausgewertet, der bei einem in den USA ansässigen Databroker erworben werden kann. Der Datensatz umfasst 3,6 Milliarden Standortdaten aus Deutschland von rund 11 Millionen verschiedenen Gerätekennungen, wobei sich diese lediglich auf einen Zeitraum von rund zwei Monaten Ende 2023 beziehen. Zu diesen im Datensatz enthaltenen Geräte gehörten zahlreiche in mutmaßlichen NSA- Überwachungs- oder Signalanalyseeinrichtungen, mehr als tausend Geräte auf einem weitläufigen US-Gelände, auf dem im Jahr 2023 ukrainische Truppen ausgebildet wurden, und fast 2.000 weitere auf einem Luftwaffenstützpunkt, der amerikanische Drohneneinsätze entscheidend unterstützt. Es ist somit nicht übertrieben, wenn kritisiert wird, dass aus dem Datenhandel zum Zwecke personalisierter Online-Werbung ein erhebliches Sicherheitsrisiko resultiert. Basierend auf den vorgenannten Rechercheergebnissen muss befürchtet werden, dass ausländische Regierungen diese Daten nutzen könnten, um Personen mit Zugang zu sensiblen Bereichen zu identifizieren. Terrorist:innen oder Kriminelle könnten entschlüsseln, wann US- Atomwaffen am wenigsten bewacht werden. Spion:innen und andere schädlichen Akteure könnten peinliche Informationen für Erpressungen nutzen.

Bewertung

Die expansive Datenwirtschaft zum Zweck personalisierter Online-Werbung ist folglich mit demokratiegefährdenden Risiken verbunden. Diese Aspekte sind im Rahmen dieser Ausarbeitung zu berücksichtigen. Bereits bei der Datenerhebung sowie der nachfolgenden Verarbeitung ist regelmäßig eine Interessenabwägungen oder Risikobewertungen vorzunehmen. Obgleich Daten häufig zu simplen Werbezwecken, beispielsweise Anzeigen für Konsumgüter von einzelnen Akteuren, erhoben werden, ermöglicht die Werbeindustrie bewusst auch Akteuren aus Drittstaaten sowie politischen Akteuren die Nutzung dieser Daten. Somit stellen Microtargeting, Desinformation und Sicherheitsbedenken keine Risiken dar, die ausschließlich politische Werbung oder lediglich die Regulierung von Intermediären betreffen. Sie müssen vielmehr bei der Beurteilung datenschutzrechtlicher Fragestellungen stets mitgedacht werden.

Zusammenfassende Bewertung der Risiken

Personalisierte Online-Werbung übt einen maßgeblichen Einfluss auf die digitale Ökonomie aus. Dabei hat die Werbestrategie einen Markt für die Nachfrage nach Rohdaten über Nutzer:innen geschaffen. Die erheblichen Mengen an Nutzer:innendaten, die für die Personalisierung von Werbung erforderlich sind, haben zur Etablierung umfangreicher Tracking-Technologien geführt, die in der Lage sind, das digitale Verhalten von Nutzer:innen lückenlos aufzuzeichnen. Für die weiteren Verarbeitungsprozesse hat sich eine digitale Werbebranche etabliert, in welcher diverse Akteure hoch komplexe Verarbeitungsprozesse vornehmen. Umfassende Nutzer:innenprofile werden angelegt, die nicht nur die Daten beinhalten, die Nutzer:innen durch ihr Verhalten offengelegt haben, sondern auch weitere Merkmale über Personen, die mittels hochkomplexer algorithmischer Analyseverfahren aus den Rohdaten abgeleitet werden. Dies erfolgt mit dem Ziel, personalisierte Online-Werbung zu ermöglichen. Im Rahmen der Versteigerung freier Werbeplätze werden diese Nutzer:innenprofile einer unbestimmten Anzahl von Akteuren eines Werbenetzwerkes offengelegt.

Die personalisierte Online-Werbung führt folglich zu einer Akkumulation von erstaunlichen Datenmengen und detaillierten Nutzer:innenprofilen. Des Weiteren eröffnet sie die Möglichkeit, Nutzer:innen individuell anzusprechen. Unter dem Deckmantel der Werbetreibenden kann nahezu jede Botschaft an einen potenziellen Interessentenkreis gebracht werden.

Die extensive Datenwirtschaft, welche hochkomplexe technische Verarbeitungsmethoden umfasst, birgt das Risiko, Diskriminierung zu ermöglichen oder zu fördern. Die hohe Nachfrage nach Rohdaten im personalisierten Werbemarkt hat dazu geführt, dass Unternehmen, die über den ersten und größten Zugriff auf derartige Daten verfügen, eine besonders mächtige Position einnehmen. Hierbei handelt es sich insbesondere um soziale Medien und Plattformen. Daher ist zu befürchten, dass diese Unternehmen ihre Macht missbrauchen könnten, beispielsweise indem sie die Nachfrage nach Daten für andere Märkte nutzen, wie bei der Entwicklung von KI-Systemen. Zudem ermöglicht die Technologie das Microtargeting bestimmter Nutzer:innengruppen und birgt daher das Risiko der Verbreitung von Desinformationen. Die genannten Risiken müssen bereits bei der Datenerhebung berücksichtigt werden, die der Erstellung personalisierter Online-Werbung dient. In diesem Zusammenhang ist zu untersuchen, ob die zuvor beschriebenen Verarbeitungsprozesse den Anforderungen des Datenschutzrechts genügen.

Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.

Mehlan, A. (2026). Hintergründe zur personalisierten Online-Werbung. In: Personalisierte Online-Werbung. Juridicum – Schriften zum Medien-, Informations- und Datenrecht.

Springer, Wiesbaden, 2025

https://doi.org/10.1007/978-3-658-49891-7_2

http://creativecommons.org/licenses/by/4.0/deed.de

Bei der Swiss Infosec AG arbeiten mehr als 50 Fachspezialistinnen und Fachspezialisten eng zusammen und verbinden ihre Kompetenzen zu massgeschneiderten Lösungen. Unsere Kombination von Recht, Technik und Organisation ist dabei einzigartig und neben unserer Erfahrung und Unabhängigkeit ein weiteres Alleinstellungsmerkmal.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12infosec@infosec.ch 

Weitere Datenschutz-Themen
Kategorie: Datenschutz
© Swiss Infosec AG 2026