Der Werbevermittler Xandr (eine Microsoft-Tochter) sammelt und teilt die persönlichen Daten von Millionen Europäer:innen zum Zwecke der zielgerichteten Werbung. Das ermöglicht Xandr die Versteigerung von Online-Werbeflächen an Tausende Anzeigenkunden. Das Problem: Obwohl die User:innen letztlich nur eine Anzeige zu sehen bekommen, werden ihre persönlichen Daten an alle Werbetreibenden geschickt. Darunter befinden sich Details zur Gesundheit, Sexualität oder zu politischen Ansichten. Hinzu kommt, dass Xandr über teils widersprüchliche Informationen verfügt: Der Beschwerdeführer ist offenbar sowohl Mann als auch Frau, berufstätig und gleichzeitig arbeitslos. Dabei verkauft Xandr seinen Dienst als “personalisiert”. Als wäre das nicht genug, kommt Xandr keinem einzigen Auskunftsersuchen nach. noyb hat nun eine DSGVO-Beschwerde eingebracht.
Hintergrund: zielgerichtete Werbung. Wollen Firmen ihre Produkte oder Dienstleistungen mithilfe personalisierter Werbung vermarkten, müssen sie sogenannte Real Time Bidding (RTB) Plattformen nutzen. Eine solche Plattform wird von der Microsoft-Tochter Xandr betrieben. Diese ermöglicht Werbetreibenden den vollautomatischen Kauf von Werbeplätzen auf Webseiten oder in Apps. Das funktioniert so: Sobald Nutzer:innen eine Website besuchen, findet eine algorithmische Auktion statt. Diese entscheidet, welches Unternehmen eine Anzeige schalten darf. Das Interesse der Firmen selbst hängt außerdem von den Interessen und Eigenschaften der Nutzer:innen ab. Xandr sammelt und teilt deshalb eine große Menge persönlicher Daten, um ein Nutzerprofil für das "targeting" zu erstellen. Ein Großteil dieser Daten wird von Drittunternehmen wie emetriq (eine Tochter der deutschen Telekom) zugekauft.
Schwanger? Jüdisch? LGBT? Bisherige Untersuchungen haben gezeigt, dass Xandr hunderte Profile europäischer Nutzer:innen sammelt. Diese beinhalten Informationen zu ihrer Gesundheit, ihrem Sexualleben oder ihrer sexuellen Orientierung, ihrer politischen oder philosophischen Ansichten, religiösen Überzeugungen oder ihrem finanziellen Status. Zu den spezifischen Segmenten gehören Dinge wie “french_disability”, “pregnant”, “lgbt”, “gender_equality” und “jewishfrench”.
0% Einhaltung der DSGVO-Anforderungen. Gemäß der DSGVO haben alle Betroffenen das Recht, Zugang zu ihren Daten zu erhalten. Dennoch meldet Xandr für das Jahr 2022 eine atemberaubende Antwortquote von 0 % auf Auskunfts- und Löschanfragen. Xandr veröffentlicht diese internen Statistiken sogar auf einer versteckten, aber öffentlich einsehbaren Website. Der Beschwerdeführer kennt diese Vorgehensweise aus erster Hand: Nachdem er Zugang zu seinen Daten beantragte, behauptete Xandr ihn nicht identifizieren zu können – und lehnte seinen Antrag auf Zugang und Löschung ab. In Wirklichkeit verfügt das Unternehmen über alle notwendigen Informationen, um konkrete Personen herauszufiltern. Immerhin handelt es sich dabei um Xandrs Kerngeschäft.
Massimiliano Gelmi, Datenschutzjurist bei noyb: “Xandrs Geschäft basiert offensichtlich darauf, die Daten von Millionen Europäer:innen zu speichern und sie gezielt anzusprechen. Dennoch gibt das Unternehmen zu, eine Antwortquote von 0 % auf Auskunfts- und Löschanfragen zu haben. Es ist erstaunlich, dass Xandr sogar öffentlich demonstriert, wie es gegen die DSGVO verstößt.”
(Un)gezielte Werbung. Die DSGVO verlangt auch, dass die Daten von Personen “korrekt” sind. Die verfügbaren Informationen legen jedoch nahe, dass Xandrs System tonnenweise falsche Informationen über Nutzer:innen verwendet. Damit scheint Xandr die Idee der personalisierten Werbung selbst aus geschäftlicher Sicht ins Lächerliche zu ziehen. Dank einer erfolgreichen Auskunftsanfrage beim Datenbroker (und Xandr-Lieferanten) emetriq wissen wir, dass zumindest ein Teil der Xandr-Datenbank aus ungenauen und widersprüchlichen Personendaten besteht.
Willkürliche Kategorisierung. Laut emetriq ist der Beschwerdeführer sowohl männlich als auch weiblich und hat ein geschätztes Alter zwischen 16-19, 20-29, 30-39, 40-49, 50-59 und 60+. Er hat außerdem ein Einkommen zwischen 500 € - 1.500 €, 1.500 € - 2.500 € und 2.500 € - 4.000 €. Außerdem ist dieselbe Person arbeitssuchend, erwerbstätig, Student, Schüler und arbeitet in einem Unternehmen. Dieses Unternehmen wiederum beschäftigt gleichzeitig 1-10, 1.000+ und 1.100 - 5.000 Personen. Es ist kaum vorstellbar, wie diese Datenkategorien für ein genaues Werbe-Targeting verwendet werden können. Obwohl emetriq nicht Xandrs einziger Datenlieferant ist, muss man davon ausgehen, dass diese Informationen für das Werbetargeting verwendet werden.
Massimiliano Gelmi, Datenschutzjurist bei noyb: “Ein Teil der Werbeindustrie scheint sich nicht mal darum zu kümmern, den Anzeigenkunden genaue Informationen zu liefern. Xandrs Datensatz enthält eine chaotische Vielfalt an widersprüchlichen Informationen. Davon können Unternehmen wie Xandr potenziell profitieren, weil sie dieselben Nutzer:innen als jung und alt an verschiedene Geschäftspartner verkaufen können.”
Beschwerde in Italien eingereicht. noyb hat nun eine Beschwerde bei der italienischen Datenschutzbehörde eingereicht. Xandr scheint zumindest gegen Artikel 5(1)(c) und (d), Artikel 12(2), Artikel 15 und Artikel 17 der DSGVO zu verstoßen. Wir fordern die Behörde daher auf, Xandrs Datenverarbeitung zu untersuchen und das Unternehmen anzuweisen, dem Auskunfts- und Löschungsantrag des Beschwerdeführers nachzukommen. Im Hinblick auf alle Betroffenen sollte die Behörde Xandr außerdem anweisen, seine Prozesse mit den Grundsätzen der Datenminimierung und -richtigkeit in Einklang zu bringen. Nicht zuletzt schlagen wir der Behörde vor, eine wirksame, verhältnismäßige und abschreckende Geldbuße von bis zu 4 % des Jahresumsatzes von Xandr zu verhängen.