Microsofts #Xandr beantwortet 0 Prozent der erhaltenen Auskunftsanfragen und Löschanfragen
Wien, 9. Juli 2024
Der Werbevermittler Xandr (eine #Microsoft Tochter) sammelt und teilt die persönlichen Daten von Millionen Europäer zum Zwecke der zielgerichteten Werbung. Das ermöglicht Xandr die Versteigerung von Online Werbeflächen an Tausende Anzeigenkunden. Das Problem: Obwohl die User:innen letztlich nur eine Anzeige zu sehen bekommen, werden ihre persönlichen Daten an alle Werbetreibenden geschickt. Darunter befinden sich Details zur #Gesundheit, #Sexualität oder zu politischen Ansichten. Hinzu kommt, dass Xandr über teils widersprüchliche Informationen verfügt: Der Beschwerdeführer ist offenbar sowohl Mann als auch Frau, berufstätig und gleichzeitig arbeitslos. Dabei verkauft Xandr seinen Dienst als »personalisiert«- Als wäre das nicht genug, kommt Xandr keinem einzigen Auskunftsersuchen nach. Noyb hat nun eine #DSGVO Beschwerde eingebracht.
Hintergrund: zielgerichtete #Werbung
Wollen Firmen ihre Produkte oder Dienstleistungen mithilfe personalisierter Werbung vermarkten, müssen sie sogenannte Real Time Bidding (RTB) Plattformen nutzen. Eine solche Plattform wird von der Microsoft Tochter Xandr betrieben. Diese ermöglicht Werbetreibenden den vollautomatischen Kauf von Werbeplätzen auf Webseiten oder in Apps. Das funktioniert so: Sobald Nutzer:innen eine Website besuchen, findet eine algorithmische Auktion statt. Diese entscheidet, welches Unternehmen eine Anzeige schalten darf. Das Interesse der Firmen selbst hängt außerdem von den Interessen und Eigenschaften der Nutzer:innen ab. Xandr sammelt und teilt deshalb eine große Menge persönlicher Daten, um ein Nutzerprofil für das »Targeting« zu erstellen. Ein Großteil dieser Daten wird von Drittunternehmen wie emetriq (eine Tochter der deutschen Telekom) zugekauft.
Schwanger? Jüdisch? LGBT?
Bisherige Untersuchungen haben gezeigt, dass Xandr hunderte Profile europäischer Nutzer:innen sammelt. Diese beinhalten Informationen zu ihrer Gesundheit, ihrem Sexualleben oder ihrer sexuellen Orientierung, ihrer politischen oder philosophischen Ansichten, religiösen Überzeugungen oder ihrem finanziellen Status. Zu den spezifischen Segmenten gehören Dinge wie »french_disability«, »pregnant«, »lgbt«, »gender_equality« und »jewishfrench«.
0 Prozent Einhaltung der DSGVO Anforderungen
Gemäß der DSGVO haben alle Betroffenen das Recht, Zugang zu ihren Daten zu erhalten. Dennoch meldet Xandr für das Jahr 2022 eine atemberaubende Antwortquote von 0 Prozent auf Auskunfts und Löschanfragen. Xandr veröffentlicht diese internen Statistiken sogar auf einer versteckten, aber öffentlich einsehbaren Website. Der Beschwerdeführer kennt diese Vorgehensweise aus erster Hand: Nachdem er Zugang zu seinen Daten beantragte, behauptete Xandr ihn nicht identifizieren zu können – und lehnte seinen Antrag auf Zugang und Löschung ab. In Wirklichkeit verfügt das Unternehmen über alle notwendigen Informationen, um konkrete Personen herauszufiltern. Immerhin handelt es sich dabei um Xandrs Kerngeschäft.
Massimiliano Gelmi, Datenschutzjurist bei Noyb: »Xandrs Geschäft basiert offensichtlich darauf, die Daten von Millionen Europäer zu speichern und sie gezielt anzusprechen. Dennoch gibt das Unternehmen zu, eine Antwortquote von 0 Prozent auf Auskunftsanfragen und Löschanfragen zu haben. Es ist erstaunlich, dass Xandr sogar öffentlich demonstriert, wie es gegen die DSGVO verstößt.«
(Un)gezielte Werbung
Die DSGVO verlangt auch, dass die Daten von Personen »korrekt« sind. Die verfügbaren Informationen legen jedoch nahe, dass Xandrs System tonnenweise falsche Informationen über Nutzer verwendet. Damit scheint Xandr die Idee der personalisierten Werbung selbst aus geschäftlicher Sicht ins Lächerliche zu ziehen. Dank einer erfolgreichen Auskunftsanfrage beim Datenbroker (und Xandr Lieferanten) emetriq wissen wir, dass zumindest ein Teil der Xandr Datenbank aus ungenauen und widersprüchlichen Personendaten besteht.
Willkürliche Kategorisierung
Laut emetriq ist der Beschwerdeführer sowohl männlich als auch weiblich und hat ein geschätztes Alter zwischen 16 19, 20 29, 30 39, 40 49, 50 59 und 60 Plus. Er hat außerdem ein Einkommen zwischen 500 bis 1.500 Euro, 1.500 bis 2.500 Euro und 2.500 bis 4.000 Euro. Außerdem ist dieselbe Person arbeitssuchend, erwerbstätig, Student, #Schüler und arbeitet in einem Unternehmen. Dieses Unternehmen wiederum beschäftigt gleichzeitig 1 bis 10, 1.000 Plus und 1.100 bis 5.000 Personen. Es ist kaum vorstellbar, wie diese Datenkategorien für ein genaues Werbe Targeting verwendet werden können. Obwohl emetriq nicht Xandrs einziger Datenlieferant ist, muss man davon ausgehen, dass diese Informationen für das Werbetargeting verwendet werden.
Massimiliano Gelmi, Datenschutzjurist bei Noyb: »Ein Teil der Werbeindustrie scheint sich nicht mal darum zu kümmern, den Anzeigenkunden genaue Informationen zu liefern. Xandrs Datensatz enthält eine chaotische Vielfalt an widersprüchlichen Informationen. Davon können Unternehmen wie Xandr potenziell profitieren, weil sie dieselben Nutzer als jung und alt an verschiedene Geschäftspartner verkaufen können.«
Beschwerde in Italien eingereicht
Noyb hat nun eine Beschwerde bei der italienischen Datenschutzbehörde eingereicht. Xandr scheint zumindest gegen Artikel 5(1)(c) und (d), Artikel 12(2), Artikel 15 und Artikel 17 der DSGVO zu verstoßen. Wir fordern die Behörde daher auf, Xandrs Datenverarbeitung zu untersuchen und das Unternehmen anzuweisen, dem Auskunfts und Löschungsantrag des Beschwerdeführers nachzukommen. Im Hinblick auf alle Betroffenen sollte die Behörde Xandr außerdem anweisen, seine Prozesse mit den Grundsätzen der Datenminimierung und richtigkeit in Einklang zu bringen. Nicht zuletzt schlagen wir der Behörde vor, eine wirksame, verhältnismäßige und abschreckende Geldbuße von bis zu 4 Prozent des Jahresumsatzes von Xandr zu verhängen.
Foto: Georg Molterer, Informationen zu Creative Commons (CC) Lizenzen
Gütsel Webcard, mehr …
Noyb, European Center for Digital Rights
Goldschlagstraße 172/4/2
1140 Wien, Austria
E-Mail info@noyb.eu
www.noyb.eu