„Europa hat eine versteckte Sicherheitskrise“
Der Bericht der irischen Nichtregierungsorganisation ICCL (Irish Council for Civil Liberties) liefert neue Erkenntnisse zu einem lange bekannten Fakt: Fast jedes Mal, wenn eine Person eine Website besucht oder App nutzt, bestimmt das Ergebnis einer Echtzeit-Auktion (Real-Time Bidding, kurz RTB), welche Reklame auf einem Werbeplatz ausgespielt wird. Diese RTB-Auktionen werden von sogenannten Ad-Exchange-Unternehmen wie Google durchgeführt, die über massenhaft Daten zum bisherigen Nutzungsverhalten der Person verfügen und dieses in Profilen verwalten. Damit die Werbetreibenden (Demand Side Platforms, kurz DSPs) entscheiden können, ob sie sich an der Auktion beteiligen, um der Person Werbung ihrer Kunden anzuzeigen, bekommen sie vom Ad-Exchange-Unternehmen das digitale Profil des Nutzers zugesendet, der die Website oder App aufgerufen hat.
Das Problem: Dieser Austausch geschieht ungeschützt gegen den Zugriff Dritter – und das massenhaft. Die Datenschützer schreiben, dass jeweils zur Abwicklung einer einzelnen Auktion für einen einzelnen Werbeplatz das Nutzerprofil an Tausende DSPs versendet wird. Allein von Google erhalten demnach 1.102 Werbetreibende pro Auktion Daten, bei Microsoft sind es 1.647, zeigt der Bericht. In der gesamten EU komme es pro Jahr so zu 71 Billionen derartigen Datenaustauschen. Mindestens, denn Angaben für Ad-Exchange-Unternehmen Amazon, Meta Platforms (Facebook, Instagram, WhatsApp) oder X – früher Twitter) liegen den Datenschützern nicht vor. Auch gebe es keine Möglichkeit, zu überprüfen, was nach dem Versand mit den Profildaten passiert.
Daten fließen auch nach China und Russland
Laut ICCL birgt das RTB-Sicherheitsproblem auch die Gefahr, dass ausländische Staaten und nichtstaatliche Akteure im Ausland sensible Daten von politischen Führungskräften sowie Funktionsträgern in kritischer Infrastrukturen oder Militärs sammeln. „Dies setze gezielte Personen und ihre Organisationen schwerwiegenden Sicherheitsrisiken aus“, heißt es in dem Bericht, der zeigt, dass zu Beispiel Google europäische RTB-Daten auch an viele Unternehmen in China und Russland überträgt, wo die nationalen Gesetzgebungen den Geheimdiensten umfangreiche Zugriffsrechte einräumen.
Die Detailtiefe der Profildaten hat es in sich, wie bereits im Sommer eine Recherche der Experten von netzpolitik.org offenbarte (zm berichtete). Aus den Profilen lassen sich nicht nur Konsum- und Informationsgewohnheiten ablesen, sondern auch politische und sexuelle Präferenzen, aber auch Rückschlüsse zur physische und psychische Gesundheit und die Finanzsituation des Einzelnen ziehen. Einige Dienstleister kategorisieren sogar Segmente, die die Wahrscheinlichkeit beschreiben, ob der Nutzer schon einmal sexuellen Missbrauch erlebt hat. Andere bieten neben dem aktuellen Standort der Zielperson auch historische Bewegungsprofile über mehrere Monate inklusive Angaben zu kontaktierten Personen und Kindern der Betroffenen.
Die aktuelle Praxis, personenbezogene Daten in den RTB-Profilen zu verarbeiten, mache es technisch kundigen Dritten einfach, die Daten realen Personen zuzuordnen und eine gezielte Person zu identifizieren, schreibt die ICCL. Sie fordert darum, die Europäische Kommission sollte beantragen, dass der europäische Datenschutzausschuss die RTB-Sicherheitskrise untersucht. Die Datenschutzbehörden sollten das DSGVO-„Sicherheitsprinzip“ durchsetzen, um die Branchen-Standards so zu verändern, dass Google und andere keine personenbezogenen Daten mehr in den Profilen speichern. Im selben Schritt müssten alle identifizierenden und verknüpfbaren Daten aus bestehenden Profilen entfernt werden. Parallel dazu solle die EU-Agentur für Cybersicherheit (ENISA) eine Warnung an alle Mitgliedstaaten ausgeben.
Ein zweiter Bericht der ICCL zeigte vergleichbare Probleme für die USA auf, wo bereits 2021 die US-amerikanische Sicherheitsbehörde für Cybersicherheit und Infrastruktur alle Bundesbehörden empfahl, Online-Anzeigen zu blockieren, um das „Risiko der Datenerfassung durch Dritte“ zu verringern.