Illegales Tracking auf Nachrichtenseiten: Hat sich etwas verbessert?

1. Warum Verlage viel über den Zustand beim Datenschutz verratenIllegales Tracking

Die Gewinne durch verhaltensbasierte Werbung sind der Hauptgrund, warum im Internet rechtswidrig getrackt wird. Zahlreiche globale Ad-Tech-Unternehmen sind daran beteiligt, darunter bekannte Namen wie Google und Facebook, aber auch viele unbekannte Riesen wie zum Beispiel Xandr oder The Trade Desk. Eigentlich nur als Vermittler zwischen Käufer und Verkäufer benötigt, bestimmen sie heute das Geschäft und erzielen auch die größten Einnahmen dabei. Die ganze Vermittlungskette ist aber völlig intransparent.

Will man sehen, wie es um den Datenschutz bei der personalisierten Werbung bestellt ist, kann man sich ohne Insiderrecherche nur die zwei Enden dieser Vermittlungskette anschauen: An ihrem einen Ende steht die sogenannte Demand-Side, also z.b. Markenhersteller oder Onlineshops, die für Werbung bezahlen. Das Datenschutzverhalten dieser Seite, die der Anzeigenkäufer, habe ich (Matthias Eberl) bereits untersucht. Am anderen Ende der Vermittlung stehen die Verlage (oder weiter gefasst die „Publisher“), die mit der Werbung Geld verdienen. Im Werbejargon ist das die sogenannte Supply-Side. Das sind nicht nur Nachrichtenseiten, sondern auch Themenportale für z.B. Wetter und viele weitere Spezialseiten wie z.B. Onlineforen. Auch diese Seite habe ich bereits untersucht. Mit der Neuauflage lässt sich nun erkennen, was sich seit 2019 geändert hat. In einem zweiten Teil im Herbst möchte ich dann herausfinden, warum sich die Werbevermarktung nur so langsam in Richtung Rechtmäßigkeit bewegt.

2. Die drei Referenzverstöße: Google, Facebook und das Real Time Bidding

Hunderte Firmen operieren in diesem Bereich, aber drei Tracking-Technologien für personalisierte Werbung werden bei Verlagen besonders häufig eingesetzt und sind auch besonders oft illegal: Facebook Pixel, Google Ad Tech und Real Time Bidding. Beim Beschwerdegenerator tracktor.it führen diese drei Technologie die Beschwerdestatistik im Bereich personalisierter Werbung mit großem Abstand an.

Die Technologien im Detail:

  • Facebook Pixel (mittlerweile in Facebook Business Tools umbenannt) misst die Verhaltensdaten von Personen auf facebook-externen Websites und verknüpft sie mit weiteren profilbezogenen Daten, die dann vor allem der eigenen Zielgruppenvermarktung auf den Plattformen der Facebook Inc. dienen.
  • Mit „Google Ad Tech“ fasse ich diverse Werbe-Tools von Google zusammen, die Verhaltensdaten sammeln, die für die verschiedenen Zielgruppentools von Google die Anzeigen personalisiert. Verlage können mit den Tools von Facebook und Google entweder direkt Einnahmen mit Werbung generieren oder Zielgruppen über Agenturen für Premiumpartner generieren und verkaufen, die sich z.B. für bestimmte Themenfelder interessiert haben. Die Werbung kann dann auch woanders angezeigt werden, der Verlag verkauft nur die Option, Personen mit z.b. einem bestimmten Leseverhalten für das Targeting bei Google zu nutzen.
  • Und schließlich Versteigerungen von Werbung auf Grund persönlicher Verhaltensdaten. Dieses Verfahren fällt unter den Überbegriff des „Real Time Bidding“ und wird als größter Datenschutzverstoß der Geschichte bezeichnet. Bei diesem weit verbreiteten Werbeverfahren wird in den Millisekunden jedes Seitenaufrufs eine Versteigerung gestartet, bei der möglichst viele Verhaltensdaten über die Person hinter dem Bildschirm an zahlreiche Drittanbieter gesendet werden, die dann entscheiden, ob sie auf eine Anzeige bei dieser Person bieten wollen. Auch hier ist Google der größte Anbieter, aber nicht der einzige.

Das Verhältnis zwischen Google, Facebook und den deutschen Zeitungsverlagen war schon immer gespalten: Einerseits bringen die beiden Technologiefirmen viel Traffic, andererseits diktieren sie aber auch den Werbemarkt und nehmen den Publishern nicht nur bei den Werbeerlösen die Butter vom Brot: Sie umkämpfen auch benachbarte Märkte wie Videostreaming, Nachrichtenaufbereitung oder Shopping. Die Förderungen, die Google an alle Zeitungsverlage in Deutschland fließen lässt, sind daher sehr eisige Umarmungen. Google bildet mit Facebook ein Werbe-Duopol, das bei steigender Tendenz über 70% des Online-Werbemarktes beherrscht. Dass beide dafür kaum Steuern zahlen und von der irischen Datenschutzbehörde in Ruhe gelassen werden, macht die Lage nicht besser und die laufenden Kartellverfahren und -strafen sind für die Giganten nur ein Kitzeln unter der Fußsohle.

3. So wurde getestet

Untersucht habe ich wieder die gleichen Publisher wie 2019 (mit zwei Seiten weniger, die es nicht mehr gibt). Die Tabelle der Onlineauftritte klassischer Printzeitungen basiert weiterhin mit wenigen Ausnahmen auf der Wikipedia-Liste deutscher Zeitungen ab einer Druckauflage von 100.000 (Stand 2019). Für die zweite Tabelle (Wochenzeitungen, Zeitschriften und Portale mit redaktionellen Inhalten) wurde ebenfalls wieder auf die Top 45 Websites mit regelmäßigen redaktionellen Inhalten aus der AGOF-Liste „Digital“ vom April 2019 zurückgegriffen. Da die Auswahl gleich geblieben ist, fehlen natürlich einige wichtige Seiten, die erst in den letzten Jahren populär wurden. Die öffentlich-rechtlichen Sender habe ich diesmal ausgespart, da sie bereits im letzten Test ausnahmslos frei von Werbetracking waren.

Bei Facebook wurde nach Einbettungen Ausschau gehalten, die personalisierende Cookies wie „fr“ oder „c_user“ lesen oder schreiben. Zu „Google Ad Tech“ wurden alle Einbettungen gezählt, die über die Domain doubleclick.net das für Werbe-Personalisierung genutzte IDE-Cookie setzen. Und ob personalisierte Versteigerungen von Werbung stattfanden wurde einerseits am Austausch personalisierter Cookie-IDs (sogenanntes „Cookie-Matching“) zwischen Drittanbietern erkannt oder an entsprechenden Javascripts wie prebid.js). Da Real Time Bidding begrifflich auch die Versteigerung von Kontextwerbung meinen kann, wurde besonders darauf geachtet, dass diese Tools mit personalisierten Cookies eingesetzt wurden und es sich daher um eine Versteigerung auf Grund von Verhaltensdaten und nicht auf Grund von Kontextinformationen handelte.

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

Legende

Bezeichner Beschreibung
§ Wird mit Einwilligung eingesetzt, dabei aber fast immer aus anderen Gründen rechtswidrig, z.B. internationaler Datentransfer ohne angemessenes Schutzniveau (Schrems II), Nichterfüllung der DSGVO-Pflichten (Facebook) oder mangelnde Transparenz beim Real Time Bidding
😡 Wird ohne Einwilligung eingesetzt, unbestrittener Rechtsverstoß
Wird nicht eingesetzt

4. Analyse der Tageszeitungen

Name Google Ad-Tech Facebook personalisiertes RTB
Allgäuer Zeitung § §
Allgemeine Zeitung § § §
Augsburger Allgemeine § § §
Bild § § §
B.Z. § §
Badische Neueste Nachrichten § § §
Badische Zeitung § §
Berliner Morgenpost 😡 § 😡
Berliner Zeitung § § §
Braunschweiger Zeitung § 😡 §
Der Westen 😡 § 😡
Express 😡 😡 §
FAZ § § §
Frankfurter Rundschau § §
Freie Presse § § §
Hamburger Abendblatt 😡 § 😡
Handelsblatt 😡 😡 §
Hannoversche Allgemeine Zeitung § § §
HNA § §
Kölner Stadt-Anzeiger § § §
Leipziger Volkszeitung § § §
Lübecker Nachrichten § § §
Main-Post § § §
Mannheimer Morgen 😡 §
Märkische Allgemeine § § §
Mittelbayerische Zeitung §
Münchner Merkur § §
Neue Osnabrücker Zeitung § § §
Neue Ruhr Zeitung § § 😡
Neue Westfälische § §
Nordwest-Zeitung § § §
Nürnberger Nachrichten § §
Ostsee-Zeitung § § §
Ostthüringer Zeitung 😡 😡 😡
Passauer Neue Presse § §
Rhein-Zeitung 😡 §
Rheinpfalz 😡 §
RP Online § § §
Ruhr Nachrichten 😡 § §
Saarbrücker Zeitung 😡 § §
Sächsische Zeitung 😡 §
Schwäbische Zeitung § § §
Schwarzwälder Bote § §
Süddeutsche Zeitung § §
Südkurier § § §
Südwest Presse 😡 😡 §
Tagesspiegel 😡 😡 §
Thüringer Allgemeine 😡 😡 😡
taz § §
tz § §
Volksstimme § §
Welt § § §
Weser-Kurier § § §
Westfalen-Blatt 😡 §
Westfalenpost 😡 😡 §
Westfälische Nachrichten 😡 §
Westfälische Rundschau 😡 😡 😡
Westfälischer Anzeiger § §
WAZ 😡 😡 😡

Stand: August 2021

5. Analyse der Wochenzeitungen, Zeitschriften und Portale mit redaktionellen Inhalten

Name Google Ad-Tech Facebook personalisiertes RTB
Apotheken Umschau 😡 §
Auto Bild 😡 😡 §
Auto Motor Sport 😡 §
berlin.de
Brigitte 😡 😡 §
Bunte 😡 § §
Business Insider § § §
Chefkoch § §
Chip § §
Computerbild 😡 §
desired 😡 §
Eltern § § §
Entertainweb 😡 😡
essen & trinken 😡 😡 §
finanzen.net 😡 §
Finanzen100 😡 😡
fit for fun 😡 § §
Focus 😡 😡
Freenet 😡 §
Gala 😡 😡 §
Gamestar § §
GIGA 😡 § §
GMX § §
gofeminin § § §
Heise § § §
Kicker 😡 😡
Kino.de 😡 § 😡
Lecker 😡 😡 😡
mein schöner Garten 😡 § 😡
Moviepilot § §
Netdoktor 😡 😡
Netmoms 😡 😡
news.de 😡 😡
Spiegel § § §
Stern 😡 😡 §
T-Online § §
Transfermarkt 😡 §
TV Movie 😡 😡
TV Spielfilm 😡 😡
web.de § §
wetter.de 😡 😡
wetter.com 😡 😡
Watson 😡 😡 😡
Wunderweib 😡 §
Zeit Online § §

Stand: August 2021

6. Fazit

Welche Entwicklungen gab es also in den zwei Jahren in diesem problematischen Markt? Bei dem Test 2019 hatte ich mir nur angeschaut, welche Seiten Facebook-Tracking verwenden. Hier gibt es eine sehr positive Entwicklung: Während 2019 noch ganze 81 Prozent illegales Facebook-Tracking einsetzten, reduzierte sich dieser Verstoß auf nur noch 16 Prozent. Diese Änderung geht zum größeren Teil darauf zurück, dass Seiten komplett auf Facebook-Tracking verzichten (48%) und zum kleineren Teil darauf, dass sie vorher um Einwilligung fragen (35% – ich erkläre später, warum man das aus anderen Gründen auch als rechtswidrig einordnen muss).

In der Kategorie „Google Ad Tech“ zeigte sich Googles Marktmacht: Wenn man das teilweise kommunal finanzierte berlin.de aus der Liste streicht, kommt keine der 103 Nachrichtenseiten ohne die verschiedenen Tools für personalisierte Werbung von Google aus. Eine absolute Abhängigkeit bzw. Monopolstellung bei der Nachrichtenfinanzierung und – wenn man von den tapferen Personen absieht, die nicht einwilligen – eine nahezu komplette Überwachung des bundesdeutschen Nachrichtenkonsums durch den IT-Giganten.

Ähnlich dominant ist die Verwendung von personalisiertem Real Time Bidding. Die Mittelbayerische Zeitung war neben berlin.de die einzige Seite, die selbst mit Blanko-Einwilligung beim Cookie-Banner keine Versteigerung von Verhaltensprofilen an Werbetreibende durchführte. Auch beim Real Time Bidding ist Google dominant, wobei viele Seiten auch das unabhängige Prebid nutzen, bei dem die Versteigerung auch auf den kleineren Auktionsplätzen von beispielsweise OpenX oder AppNexus durchgeführt wird.

Die Hälfte aller untersuchten Nachrichtenseiten holt für mindestens eine der beiden Technologiesparten (Real Time Bidding und Google Ad Tech) keine Einwilligung ein. Das ist ein klarer und unbestrittener Rechtsverstoß und eine enorme Ungerechtigkeit für legal operierende Verlage und Millionen von Seitenbesuchern. Hier zeigt sich auch bei gutmütiger und konservativer Auslegung der DSGVO ein enormes Vollzugsdefizit bei den deutschen Datenschutzbehörden, die bereits seit 2019 auf rechtskonforme Seiten hinwirken, aber dabei viel zu oft nur mit Wattebäuschen werfen. Dieses Defizit werde ich daher in einem zweiten Teil noch genauer beleuchten. An dieser Stelle bleibt zum Trost, dass für das umstrittene Real Time Bidding immerhin viel öfter eine Einwilligung geholt wird als für das durch Google personalisierte Ad Tech ohne Versteigerung.

Aber selbst wenn die Hälfte der Seiten eine ordentliche Einwilligung einholen würden, wären die Seiten mit einiger Wahrscheinlichkeit vor Gericht nicht rechtskonform: Bei einer Verwendung von Google Ad Tech kommt es regelmäßig zu Problemen mit dem Schrems-II-Urteil. Das heißt, dass für diese Datentransfers möglicherweise nicht ausreichend von den Seitenbetreibern geprüft wurde, ob ein angemessenes Schutzniveau vorliegt. Ich konnte bei meiner Untersuchung weder die komplexe Rechtslage noch die exakten Datenübertragungen beim Einsatz von Googles Ad Tech nachprüfen, sodass die Bewertung hier einfach als Graubereich eingestuft wird.

Bei Facebook liegt dagegen auch bei Einwilligung regelmäßig eine Nichterfüllung der DSGVO-Pflichten vor: Die übertragenen Daten können bekanntermaßen bei Facebook weder abgefragt noch gelöscht werden. Und auch beim Real Time Bidding kommen Rechtsgutachten zu der Überzeugung, dass DSGVO-Konformität auch mit Einwilligung nahezu unmöglich ist. Ursache ist unter anderem die mangelnde Transparenz beim Bietvorgang und die Datenübertragungen an zu viele und ständig wechselnde Drittanbieter.

Und wenn man diesem illegalen Wilde-Werbe-Westen schon lange zugeschaut hat, muss man also, drei Jahre nach Beginn der DSGVO, von einem Fortschritt sprechen, dass man auf sagenhaften 49% der untersuchten Seiten wie vom Gesetz gefordert nicht mit Werbetracking oder personalisierter Werbung konfrontiert wird, wenn man dem nicht zugestimmt hat. Sondern eben „nur“ mit anderen DSGVO-Verstößen zu tun hat.

7. Ausblick: Erste Schritte von der Trashwerbung zur Kontextwerbung

Und zum Schluss noch ein interessantes Detail: Nachfolgend eine dreifache Trashwerbung, die bei der Süddeutschen Zeitung eingeblendet wird, wenn für personalisierte Werbung keine Erlaubnis gegeben wird.

Trashwerbung Outbrain

Insbesondere 2021 hat sich durch den Bedarf an einwilligungsfreier Werbung ein Bedarf für nichtpersonalisierte Werbung gebildet. Auf den 49% der untersuchten Seiten, die die Einwilligungen wie vorgeschrieben beachten, wird diese sehr oft technisch von zwei deutschen Anbietern umgesetzt: Yieldlab und Adition (beide aus der Pro7-/Sat1-Gruppe). Das ist im Prinzip eine erfreuliche, weil datenschutzfreundliche Entwicklung der Werbefinanzierung und ein Beleg für die neuen unternehmerischen Chancen, die sich durch den Datenschutz bieten. Schade nur, dass der thematische Kontext auf den Seiten noch viel zu selten zum Zug kommt und teilweise hochwertige journalistische Beiträge mit generischer Trashwerbung aus dem Themenfeld Nagelpilz, Panzerspiel und Ohrenschmalz gefüllt werden. Da könnte man mehr rausholen. Die Chance für eine bessere Entwicklung wäre sicher größer, wenn alle Publisher dazu gezwungen wären, ihr Werbegeld nur noch mit legalen Zielgruppen auszuspielen.

Bildquellen:

Newspaper: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Eberl

Matthias Eberl

Matthias Eberl ist freiberuflicher Multimedia-Journalist und schreibt außerdem für verschiedene Publikationen über Datenschutz-Themen. Für Journalisten gibt er auch Kurse im Bereich Informantenschutz. Er ist als Datenschutzbeauftragter von der IHK zertifiziert.

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion
HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.