Die illegale Suche nach Datenzwillingen
Die Schweiz steckt im Abstimmungskampf. Facebook verdient gutes Geld damit. Und täglich wird dabei gegen das Schweizer Datenschutzgesetz verstossen. Zum Beispiel vom Komitee «Nein zum Sendeschluss» der No-Billag-Gegner.
Von Adrienne Fichter und Thomas Preusse, 22.02.2018
Sie interessieren sich für Finanzen, sind zwischen 35 und 64 Jahre alt und wohnen in der Stadt Zürich oder zumindest in der Nähe? Dann dürfte Ihnen Susanne Brunner auf Facebook bereits begegnet sein. Die SVP-Kandidatin für den Zürcher Stadtrat wirbt auf Facebook – so wie fast alle, die gewählt werden oder politisch etwas bewegen wollen.
Der Facebook-Werbeapparat läuft auf Hochtouren. Grund ist der 4. März. Dann wird nicht nur in der Stadt Zürich die Regierung und das Parlament neu gewählt, sondern auch in vielen Kantonen abgestimmt. Auf nationaler Ebene fällt die Entscheidung über No Billag ganz besonders ins Gewicht.
Millionen von Franken fliessen dafür in Werbung – für Plakate, Inserate, Flyer, Give-aways. Oder eben Facebook-Werbeanzeigen.
Anzeigen bei Facebook haben den Vorteil, dass Werbebotschaften mit wenig Streuverlusten an spezifische Zielgruppen adressiert werden können. Die Befürworter von No Billag zielen zum Beispiel auf Facebook-User ab, die sich für private Medien wie «20 Minuten» interessieren. Die Gegner von No Billag dagegen weibeln um Personen, die in Familienhaushalten leben – weil da die Gebührenlast von 451 Franken für Radio- und TV leichter zu tragen ist.
Mikro-Targeting nennt sich das, also zielgruppenspezifische Werbung. Sie basiert auf Daten, die Facebook über uns als seine Nutzer gespeichert hat.
So weit nichts Neues.
Neu ist allerdings, dass sich einige Komitees nicht nur aus dem Facebook-Datenkosmos bedienen. Sie markieren die Userinnen beim Besuch ihrer Kampagnen-Websites, verfolgen ihr Surfverhalten im Internet. Oder greifen sogar auf externe Datenquellen zurück, um die Werbemaschinerie zu füttern.
Und verstossen damit gegen das Schweizer Datenschutzgesetz.
Wer surft, wird geoutet
871 politische Werbeanzeigen haben wir mit dem «Political Ad Collector» und der Hilfe unserer Verlegerinnen und Verleger in den letzten dreieinhalb Monaten erfasst und systematisch ausgewertet. Dabei sind wir häufig auf eine neue Werbeform von Facebook gestossen: die «Lookalike Audiences».
Sie gelten im Online-Marketing als Revolution, weil sie treffsicherer sind als die oft noch schwammigen Daten-Kategorien von Facebook. Nur weil jemand im sozialen Netzwerk gegen den Kapitalismus wettert und deshalb von Facebook als «interessiert an Finanzen» kategorisiert wird, bedeutet das noch keine Stimme für SVP-Kandidatin Susanne Brunner.
Anders als beim herkömmlichen Mikro-Targeting greift «Lookalike Audiences» nicht nur auf die Daten bei Facebook zurück, sondern auch auf Daten, die ausserhalb von Facebook abgegriffen werden.
Das Ziel: Datenzwillinge finden.
Der Werbetreibende kann mit den «Lookalike Audiences» vom riesigen Facebook-Datenschatz profitieren. Zuerst wird das Facebook-Profil der Besucherinnen seiner Website ermittelt. Und dann werden seine Anzeigen auf Facebook an alle ausgespielt, die dieselben Hobbys pflegen, Serien «geliket» oder Arbeitsplatz haben.
Das Prinzip dahinter ist einfach und bestechend: Personen mit ähnlichen Interessen und Lebensläufen sind empfänglich für dieselben Kaufangebote. Oder eben – die gleichen politischen Botschaften.
Ausspionierte No-Billag-Gegner
Das Komitee «Nein zum Sendeschluss» der No-Billag-Gegner, das derzeit eine der professionellsten Online-Kampagnen führt, hat über die letzten drei Monate insgesamt 128 verschiedene Werbeanzeigen geschaltet – und dabei besonders oft auf die Zielgruppen-Funktion «Lookalike Audiences» gesetzt.
Die Empfängerinnen der Anzeigen sind in folgendes Raster gefallen:
Die Kategorisierung wirft Fragen auf: Woher weiss Facebook, dass die Empfängerinnen dieser Werbeanzeige den «Kunden» von «Nein zum Sendeschluss» ähneln? Und wer genau diese «Kunden» sind?
Dank der Installation eines Facebook-Pixels auf der Website, wie Diego Yanez, Vorstandsmitglied und Sprecher von «Nein zum Sendeschluss», auf Nachfrage der Republik bestätigt. Wer sich auf der Website sendeschluss-nein.ch bewegte und gleichzeitig bei Facebook eingeloggt war, oder sich wie die fast 1600 Botschafterinnen mit einem Testimonial gegen die No-Billag-Initiative positionierte, ist an Facebook verraten worden. Unfreiwillig.
Facebook wertet das Profil der Website-Besucherin sofort aus und sucht in den eigenen Daten deren Datenzwillinge. Damit kann das Komitee «Nein zum Sendeschluss» potenzielle No-Billag-Gegnerinnen aufspüren und auf Facebook gezielt mit entsprechenden Abstimmungsparolen beliefern.
Interessiert sich die Besucherin für «Gewerkschaften»? Dann werden Unia-Fans bei Facebook zur neuen Werbezielscheibe der No-Billag-Gegner. Folgt sie der Fanseite des Aargauer SP-Nationalrats Cédric Wermuth? Also werden die Newsfeeds von Wermuth-Fans bald mit Pro-SRG-Werbung geflutet.
Blankovollmacht für Facebook
Nicht nur das Komitee «Nein zum Sendeschluss» hat auf seiner Website den Facebook-Pixel installiert, sondern auch das Komitee gegen Internet-Zensur, das Unterschriften für ihr Referendum gegen das Geldspielgesetz sammelte. Und beide Komitees klärten ihre Besucherinnen nicht darüber auf.
«Wie in den Datenschutzbestimmungen dargelegt, verwenden wir auf der Website Cookies. Diese Cookies ermöglichen es, auf Facebook User nochmals (Retargeting) oder ähnliche User anzusprechen (Lookalike Audience)», schreibt Diego Yanez von «Nein zum Sendeschluss».
Der Schönheitsfehler: Die Datenweitergabe an Facebook war in den «Datenschutzbestimmungen» mit keinem Wort erwähnt.
Die Unterstützer der Kampagne «Nein zum Sendeschluss» hatten also keine Ahnung, dass sie mit ihrem Bekenntnis zur SRG auch einen Vertrag mit Facebook unterschrieben haben. Einen Vertrag, mit dem sie Facebook eine Blankovollmacht zur Ausleuchtung ihres Facebook-Profils gewähren.
Das Komitee gegen Internet-Zensur schrieb auf seiner Website sogar, dass Dritten «keine Daten zugänglich gemacht» werden, es sei denn, dass dies von «geltendem Recht oder der zuständigen Strafverfolgungsbehörde» gefordert wird. Eine glatte Irreführung.
Komitees passen Datenschutz an
Damit verletzten die beiden Komitees nicht nur das Datenschutzgesetz –sondern auch die Bestimmungen von Facebook. Facebook-Sprecher Klaus Gorny weist auf Anfrage der Republik darauf hin, dass jeder Werbetreibende selbst verantwortlich sei für eine verständliche und klare Deklaration des Pixels. In den Richtlinien von Facebook steht sogar, dass den Userinnen auf der Website ein Recht auf Widerspruch eingeräumt werden muss.
Vorher, nachher: So viel länger wurden die Datenschutzbestimmungen auf den Kampagnen-Websites nach den Erkundigungen der Republik.
Beide Komitees haben ihre Bestimmungen nach der Anfrage von Republik am 12. und am 14. Februar angepasst. Neu wird jetzt auch auf «Facebook-Retargeting» hingewiesen.
Doch das allein genügt immer noch nicht. Jeder Website-Besucher muss ausdrücklich seine Zustimmung zur Datenweitergabe an Facebook äussern können. Am besten mit einem gesonderten Häkchen, welches angekreuzt werden muss. «Die blosse Information über das Einfügen eines Pixels ohne Opt-in-Funktion gilt nicht als ausdrücklich», sagt Silvia Böhlen, Sprecherin des Eidgenössischen Datenschützers (EDÖB) auf Anfrage der Republik.
Wer wirbt alles?
Auch wenn die No-Billag-Initiative im laufenden Abstimmungskampf alles dominiert: Anzeigen für oder gegen Gebühren und SRG sind nicht die einzigen Werbebotschaften, die derzeit auf Facebook kursieren. Vermutlich ist die Nein-Kampagne in der Stichprobe des «Political Ad Collector» jedoch übervertreten, weil derzeit keine andere Kampagne auf Facebook so aktiv ist. Ebenso wie die SP, weil die SVP auf ein Engagement für No Billag verzichtet.
Trotzdem sind auch Werbeanzeigen vom bürgerlichen und konservativen Lager erfasst worden: 62 verschiedene Anzeigen von Susanne Brunner (SVP), 26 des Schweizerischen Gewerbeverbands (Ja zur No-Billag-Initiative), 11 vom Komitee «Ja zur Abschaffung der Billag-Gebühren», 7 von Thomas Matter (SVP) und 4 der «Kampagne 19». Bei keiner dieser Kampagnen haben wir die Funktion «Lookalike Audiences» vorgefunden.
Politische Inserenten auf Facebook
Die SP-Datenspende an Facebook
Dafür sind wir auf einen noch problematischeren Fall von Datenweitergabe an Facebook gestossen – bei der SP Kanton Luzern. Sie bewarb ihre Volksinitiative für Prämienverbilligungen auf Facebook. Wer die Anzeige anklickte, erhielt folgende Begründung dafür, zur Zielgruppe zu gehören:
Die SP Luzern bediente sich dabei einer weiteren Werbefunktion von Facebook: «Custom Audiences». Damit kann aus einer «Kundendatei» das Zielpublikum einer Anzeige massgeschneidert werden. Alles, was die SP-Kantonalpartei dafür tun muss: eine schmucklose Excel-Datei im CSV- oder Textformat in den Facebook-Werbeanzeigen-Manager laden. Das können Daten ihrer Mitglieder, Sympathisantinnen oder einfach nur Abonnenten des Newsletters sein.
Video: So funktioniert Facebooks «Custom Audiences».
Danach folgt ein Abgleich durch Facebook. Stimmt eine E-Mail-Adresse, Telefonnummer, ein Familienname, die Postadresse oder das Geburtsdatum überein, ergibt das einen «Match». Und die SP Kanton Luzern kann ihre Mitglieder, Sympathisanten oder Newsletter-Abonnenten ab sofort gezielt auf Facebook ansprechen und zum Beispiel für Unterschriftensammlungen mobilisieren.
Dieses Verfahren ist hoch problematisch. Denn die SP-Unterstützer werden dabei ohne ihr Wissen gegenüber Facebook geoutet – als Unterstützer der SP.
Zwar werden die Daten mittels eines ausgefeilten Anonymisierungsvorgangs miteinander abgeglichen. Kommt es aber zum «Match», wird die Verbindung – also die Kopplung zwischen dem Facebook-Profil der Person, der Excel-Datei und des Werbetreibenden, in diesem Fall der SP Kanton Luzern – bei Facebook permanent abgespeichert.
Besonders schützenswert
Daten zur politischen Einstellung gehören – ebenso wie zur Gesundheit oder sexuellen Orientierung – zu den besonders schützenswerten Daten. In der Schweiz ist die unbewilligte Weitergabe dieser Daten verboten. IT-Anwalt Simon Schlauri von der Digitalen Gesellschaft Schweiz sagt: «Für die Weitergabe von besonders schützenswerten Personendaten an Dritte muss nach Artikel 4 Absatz 5 des Datenschutzgesetzes eine ausdrückliche Einwilligung vorliegen, wenn diese Dritten die Daten für eigene Zwecke nutzen.»
Womit also hat die SP Luzern den Werbeanzeigen-Manager gefüttert? Und wurden die betroffenen Personen darüber informiert?
Sebastian Dissler, Sekretär und Geschäftsleitungsmitglied der SP Kanton Luzern, sagt auf Anfrage der Republik: «Mitgliederdaten wurden keine verwendet. Es war ein Test mit relativ wenigen E-Mail-Adressen. Der Erfolg war mässig, und deshalb ist fraglich, ob wir dieses Mittel erneut einsetzen.»
Die 200 Betroffenen hätten eingewilligt, bei einer Sensibilisierungskampagne mitzumachen und «auf dem Laufenden gehalten» zu werden. Allerdings sei dabei nicht spezifisch auf die Weiterverwendung für Facebook hingewiesen worden, räumt der Luzerner SP-Kantonalpräsident David Roth ein.
Eine explizite Information und explizite Zustimmung beim Hochladen von Daten bei Drittanbietern sei zwingend, sagt EDÖB-Sprecherin Silvia Böhlen.
Die SP Kanton Luzern hat mit ihrem Vorgehen auch gegen Bestimmungen von Facebook verstossen. Denn auch hier hat sich der Technologiekonzern abgesichert: mit den «Custom-Audience-Nutzungsbedingungen». Für die Datenweitergabe sind einzig und allein die Werbekunden verantwortlich. Jede Person, deren Daten in dieser Excel-Tabelle hinterlegt sind, müsste also ihre Einwilligung zur Datenspende an Facebook geben. Fraglich, ob das jemand wirklich tun würde.
Der Einsatz von Facebook ist verlockend: In den USA hat das Donald Trump damit in der frühen Wahlkampfphase 240 Millionen Dollar eingespielt. Facebook hat die Persönlichkeiten von Trumps bisherigen Spendern durchleuchtet. Die Plattform durchforstete dafür dank hinaufgeladenen Listen die Profile seiner Gönnerinnen. Brad Parscale, Trumps Digitalchef, eruierte die Datenzwillinge. Seine Fundraising-Kampagne war ein Erfolg.
Die EU hilft uns
Der unsichtbare Datenhandel ist Realität. Verstösse gegen Schweizer Gesetz – unwissend oder in Kauf nehmend – werden täglich begangen. Bisher ohne Folgen. Denn wo kein Kläger ist, da ist auch keine Richterin. Jede und jeder von uns hat bereits hundertfach Datenschutzrechte an Facebook abgetreten – ohne es zu wissen, ohne je davon zu erfahren.
Dazu gibt es jetzt ein gute und eine schlechte Nachricht.
Zuerst die gute Nachricht: Spätestens im Herbst 2018 – wenn in der Schweiz voraussichtlich das neue Datenschutzgesetz in Kraft tritt – sollte Schluss sein mit unfreiwilligen Blankovollmachten zur Datenweitergabe. In der laufenden Datenschutzgesetz-Revision – das heutige Gesetz stammt noch aus dem Jahr 1993 – sind weite Teile des neuen EU-Rechts (DSGVO) übernommen worden. Die Stellung des Eidgenössischen Datenschutzbeauftragten wird damit gestärkt, er erhält mehr Befugnisse, um Rechtsverstösse zu ahnden.
Ausserdem werden die Grundsätze «Privacy by Default» und «Privacy by Design» (Artikel 6 E-DSG) gesetzlich verankert. Jede und jeder soll eine Dienstleistung beziehen können, ohne dass die Daten direkt an Facebook oder andere Drittplattformen weitergegeben werden. Die Voreinstellung jeder Software und jeder Plattform muss neu standardmässig auf privat eingestellt sein. Das bedeutet: Privatsphäre soll damit zur Regel werden. Und nicht mehr die Ausnahme sein.
Die schlechte Nachricht: Verhalten sich nach Herbst 2018 Werbekunden von sozialen Netzwerken intransparent, so hat dies trotz des neuen Gesetzes auch weiterhin keine rechtlichen Konsequenzen. Der Bundesrat verzichtet auf ein gänzliches Kopplungsverbot, wie es in der europäischen DSGVO vorgesehen ist. Und wie es auch die Grünen in ihrer Vernehmlassungsantwort verlangten. Die Regierung schont damit die Unternehmen – und die Parteien.
Sanktionen bei Verstössen gibt es also keine. Strafprozesse im Bereich Datenschutz sind ohnehin wirkungslos, wie der Zürcher Datenschützer Bruno Baeriswyl sagt: «Bis ein Prozess wegen einer bestimmten IT-Anwendung durchgeführt ist, wird diese oft nicht mehr eingesetzt.»
Besser sei die öffentliche Kritik. Durch Institutionen wie die Datenschützer. Oder durch den Medienpranger.
Debatte: Wie weit dürfen Parteien bei Onlinekampagnen gehen?
Parteien und Komitees bedienen sich bei Facebook-Kampagnen längst nicht mehr nur im Datenkosmos des sozialen Netzwerks. Sie wollen Datenzwillinge ihrer bestehenden Wählerinnen und Unterstützer auf Facebook finden, um diese gezielt mit politischer Werbung zu beliefern. Ist das in Ordnung? Diskutieren Sie mit Autorin Adrienne Fichter und Autor Thomas Preusse – hier gehts zur Debatte.