„Werden auf Facebook homosexuelle Nutzer geoutet?” So titelt die Schlagzeile eines CNN-Aufmachers, in dem darüber berichtet wird, dass unser Forschungsteam herausgefunden hat, dass Werbekunden auf Facebook erfahren, dass Nutzer homosexuell sind, und zwar selbst dann, wenn diese Angabe von den Nutzern als vertraulich gekennzeichnet wurde. Unsere Enthüllung sorgte in der Medienbranche für enormen Aufruhr, über den nicht nur CNN berichtete, sondern auch die New York Times, MSNBC, die Washington Post, Fox News, National Public Radio und viele andere (Abb. 1).

Zu dieser Verletzung der Privatsphäre führte das Werbeprogramm auf Facebook. Facebook ermöglicht es seinen Werbekunden, seine Nutzer im Rahmen einer breiten Palette demografischer Daten und Interessen gezielt anzusprechen. Bei den demografischen Daten handelt es sich um die Angaben, die Nutzer üblicherweise in ihr Nutzerprofil einstellen: Geschlecht, Alter, Standort, Familienstand (ledig, verheiratet) und sexuelle Vorlieben. Werbekunden können auf diese demografischen Daten selbst dann zugreifen, wenn die Nutzer sie als vertraulich gekennzeichnet haben. Die Vertraulichkeit geht dann verloren, wenn ein Nutzer eine Anzeige anklickt. Die Anzeige des Werbekunden richtet sich z. B. an Homosexuelle. Wenn der Nutzer die Anzeige anklickt, wird er auf die Internetseite des Werbekunden weitergeleitet. Jetzt weiß der Werbekunde, dass der Nutzer homosexuell ist. Wenn der Nutzer persönliche Kenndaten (Personally Identifying Information (PII)) zur Verfügung stellt, wird der Homosexuelle identifiziert.

Genau das haben wir bei unserer Verhaltensstudie zur Zielgruppenausrichtung auf Facebook festgestellt [1]. Unsere Studie zielte nicht per se darauf ab, Verletzungen der Privatsphäre festzustellen, sondern darauf, die Art und den Umfang der von Facebook-Werbekunden genutzten Zielgruppenausrichtung zu erfassen. Dass es zur Aufdeckung der Verletzung der Privatsphäre kam, war nur ein glücklicher Zufall. Für die Studie legten wir folgende methodische Herangehensweise zugrunde: Wir richteten Gruppen von drei erfundenen Nutzern ein. Zwei der Nutzer, unsere Kontrollpersonen, haben identische Profile. Der dritte Nutzer, unsere Testperson, unterscheidet sich lediglich durch eine einzige demografische Eigenschaft (Geschlecht, Alter usw.). Wir werten dann die Ähnlichkeit zwischen den beiden Kontrollpersonen gezeigten Anzeigen aus und die Ähnlichkeit zwischen den der Testperson und einer Kontrollperson gezeigten Anzeigen. Wenn wir eine hohe Ähnlichkeit bei den beiden Kontrollpersonen feststellen, aber nur eine geringe Ähnlichkeit bei der Testperson und einer Kontrollperson, folgern wir daraus, dass diese demografische Eigenschaft ganz gezielt angesprochen wurde. Wenn die Auswertung in Bezug auf die Ähnlichkeit mehr oder weniger bei allen drei zu gleichen Ergebnissen führt, folgern wir daraus, dass die Eigenschaft nicht gezielt angesprochen wurde.

Bei dem Versuch, der die Verletzung der Privatsphäre aufdeckte, waren alle drei Nutzer männlich. Unsere beiden Kontrollpersonen wählten vorzugsweise Frauen (hatten also eine heterosexuelle Ausrichtung), während die Testperson Männer vorzog (also eine homosexuelle Ausrichtung hatte). Wir stellten tatsächlich fest, dass die Werbung der Werbekunden massiv auf Homosexuelle ausgerichtet war, was nicht verwunderlich ist. Dies war selbst dann der Fall, wenn die Angabe des Attributs der sexuellen Vorliebe als vertraulich gekennzeichnet wurde. Viele der Anzeigen entsprachen den Erwartungen: Anzeigen für Partnervermittlungsagenturen für Homosexuelle und Bars für Homosexuelle. Was uns überrascht und beunruhigt hat, war, dass in etwa der Hälfte der Anzeigen für Produkte oder Dienstleistungen geworben wurde, die nichts mit der sexuellen Vorliebe zu tun hatten. In einer solchen Anzeige wurde z. B. für eine Krankenpflegeschule in Florida geworben. Um sicherzustellen, dass diese Anzeigen sich tatsächlich an Homosexuelle richteten, haben wir nur Anzeigen berücksichtigt, die dem homosexuellen Nutzer 50-mal gezeigt wurden, den heterosexuellen Nutzern jedoch überhaupt nicht. Die Wahrscheinlichkeit dafür, dass dies zufällig passiert, ist astronomisch gering.

Wenn ein Nutzer auf eine dieser Anzeigen klickt, weiß der Werbekunde, dass der Nutzer homosexuell ist. Das ist nicht so schlimm, wenn ein Nutzer auf eine eindeutig an Homosexuelle gerichtete Anzeige klickt (also z. B. die Partnervermittlung für Homosexuelle). Man kann davon ausgehen, dass jemand, der an einer Partnervermittlung für Homosexuelle interessiert ist, homosexuell ist; also weiß der Nutzer, dass er damit seine sexuelle Vorliebe preisgibt. Wenn sich die Anzeige aber nicht ausdrücklich an Homosexuelle richtet, ist sich der Nutzer nicht bewusst, dass er damit seine sexuelle Vorliebe preisgibt. Im Falle der Krankenpflegeschule in Florida könnte es darauf hinauslaufen, dass der Nutzer diese Schule besucht und die ganze Zeit nicht weiß, dass er seine sexuelle Vorliebe preisgegeben hat.

Der Zweck unseres Forschungsprogramms bestand nicht darin, Verletzungen der Privatsphäre aufzudecken. Vielmehr haben wir Technologien entwickelt, damit bei der Internetwerbung die Privatsphäre stärker gewahrt wird. Die Hauptakteure im Werbewesen sind folgende:

• Der Werbekunde: Dies ist die Firma, die Anzeigen für ihre Produkte und Dienstleistungen schalten möchte.
• Der Herausgeber: Dies ist die Internetseite, auf der die Anzeigen erscheinen.
• Der Vermittler: Dies ist eine Firma wie Google oder Facebook, die Werbekunden und Herausgeber zusammenführt.

Bei unseren Untersuchungen konzentrierten wir uns zunächst auf den Schutz der Privatsphäre der Nutzer gegenüber dem Vermittler. Wir haben unter der Bezeichnung Privad eine Architektur sowie Protokolle entwickelt, die genau dies gewährleisten. Privad befindet sich jetzt in der Testphase. Über diese Arbeit wurde im Jahrbuch 2010 der Max-Planck-Gesellschaft berichtet. Vor kurzem haben wir angefangen, das Problem des Schutzes der Privatsphäre der Nutzer gegenüber dem Werbekunden anzugehen. Die beiden Probleme unterscheiden sich ganz wesentlich voneinander. Der Vermittler verfügt über weitreichende Kenntnisse im Hinblick auf jeden Nutzer. Google weiß, welche Internetseiten die Nutzer besuchen und welche Suchabfragen sie durchführen. Facebook kennt persönliche Daten der Nutzer und weiß, wer ihre Freunde sind. Andererseits sind Firmen wie Google und Facebook als relativ vertrauenswürdige Unternehmen einzustufen. Obschon sie leider so viele Nutzerdaten sammeln, teilen sie bereitwillig mit, welche Daten sie sammeln und wie sie mit diesen Angaben verfahren. Auch wenn sie gelegentlich Fehler machen, so sind wir doch davon überzeugt, dass sie sich ernstlich bemühen, Nutzerdaten zu schützen.

Die Werbekunden erfahren hingegen weniger über die Nutzer, können aber äußerst unredlich sein. Jeder kann Werbekunde werden, und es hat sich herausgestellt, dass es Werbekunden gibt, die Viren verbreiten und Phishing-Angriffe über Werbeanzeigen starten. Unser Ziel ist es zu verhindern, dass Werbekunden durch Zielgruppenwerbung an vertrauliche Nutzerdaten gelangen.

Ein Ansatz könnte darin bestehen, Zielgruppenwerbung gesetzlich zu verbieten, aber vom unternehmerischen Standpunkt aus betrachtet ist dies eine Schnapsidee. Ein weniger drakonischer Ansatz bestünde darin, auf sensible Bereiche abzielende Werbung, wie gesundheitliche Probleme, sexuelle Vorlieben und politische Ansichten, gesetzlich zu verbieten. Wenngleich es vernünftig sein mag, so vorzugehen, so suchten wir doch nach technischen Lösungen, die die Notwendigkeit von gesetzgebenden Maßnahmen umgehen, welche immer auch Einschränkungen für Unternehmen bedeuten. Es wäre z. B. bedauerlich, Partnervermittlungen für Homosexuelle im Internet davon abzuhalten, Werbung zu nutzen, um Kunden zu gewinnen, oder Pharmaunternehmen davon abzuhalten, Werbung für neue Behandlungsverfahren zu machen.

Ein anderer Ansatz besteht darin zu versuchen, den Nutzer gegenüber dem Werbekunden auszublenden, wenn der Nutzer die Werbung anklickt. Dies könnte z. B. durch Einfügen eines Proxys zwischen dem Nutzer und dem Werbekunden geschehen. Webproxys können dies in der Tat heute schon leisten, wenngleich ihre Nutzung Geld kostet und die meisten Nutzer keine hinlängliche Veranlassung sehen, Proxys einzusetzen. Dies ist jedoch eine vollumfängliche Lösung, denn in vielen Fällen müssen Nutzer letztendlich ihre persönlichen Kenndaten (PII) doch an den Werbekunden übermitteln. Wenn der Nutzer z. B. ein Produkt kauft, wird er seinen Namen, seine Kreditkartennummer, seine Anschrift usw. angeben.

Anstelle der oben ausgeführten Wege verfolgen wir einen ganz neuen Ansatz, den wir „kenndatenneutrale Werbung“ nennen. Dahinter steckt die Idee, dass der Werbekunde nichts über die Nutzer erfahren sollte, was er nicht sowieso dadurch erfahren würde, dass der Nutzer die Werbung anklickt. Wenn ein Nutzer z. B. eine Anzeige für Tennisschuhe anklickt, kann der Werbekunde daraus schließen, dass sich der Nutzer für Tennis interessiert. Wenn ein Nutzer die Anzeige eines Pizzarestaurants anklickt, kann der Werbekunde daraus schließen, dass der Nutzer im näheren Umkreis wohnt. Wenn ein Nutzer die Internetseite einer Partnervermittlung für Homosexuelle anklickt, kann der Werbekunde daraus schließen, dass der Nutzer homosexuell ist. Wenn ein Nutzer jedoch, wie dies im Facebook-Fall geschehen ist, die Anzeige einer Krankenpflegeschule anklickt, sollte es dem Werbekunden nicht möglich sein, daraus zu schließen, dass der Nutzer homosexuell ist.

Eine Möglichkeit, dies zu bewerkstelligen, besteht darin, den Vermittler zu veranlassen, eher Einfluss auf die Zielgruppenausrichtung zu nehmen als auf den Werbekunden. Bei diesem Modell bringt der Werbekunde keine Schlüsselwörter oder demografische Nutzerdaten mit der Anzeige in Verbindung. Der Werbekunde stellt dem Vermittler einfach seine Anzeige und die „Landing Page“ zur Verfügung. Die „Landing Page“ ist die Webseite, auf die der Nutzer gelangt, wenn er eine Anzeige anklickt. Der Vermittler nutzt die Angaben in der Anzeige und die Landing Page, um die Anzeige zielgruppengerecht zu schalten. Wie diese Zielgruppenausrichtung erfolgt, wird dem Werbekunden gegenüber nicht offengelegt. Außerdem stellt der Vermittler, nicht der Werbekunde, die Verbindung zur Landing Page her, wenn der Nutzer die Anzeige anklickt. So wird sichergestellt, dass der Nutzer nach dem Anklicken alle Informationen gesehen hat, die der Werbekunde zur „Ausrichtung“ auf den Nutzer eingesetzt hat.

Um zu erläutern, wie kenndatenneutrale Werbung funktioniert, greifen wir noch einmal das Beispiel der Krankenpflegeschule aus Florida auf, die ihre Werbung auf Facebook schaltet. Die Krankenpflegeschule würde ihre Anzeige und die Landing Page an Facebook übermitteln. Der Text der Anzeige könnte etwa so lauten: „Attraktive Berufschancen in der Krankenpflege“, und in der Anzeige könnten ein Krankenpfleger und eine Krankenpflegerin zu sehen sein. Auf der Landing Page könnten weiterführende Informationen stehen – Standort der Schule, nähere Angaben zum Ausbildungsprogramm, positive Rückmeldungen zufriedener Absolventen und ein Link zum Anklicken, um sich anzumelden oder weitere Informationen anzufordern. Facebook könnte sich zunächst darauf konzentrieren, die Anzeige ledigen und geschiedenen Frauen in der Altersklasse zwischen 23 und 40 nahezubringen, könnte die Anzeige aber auch einem breiten Publikum mit anderen demografischen Daten zeigen. Nach einer Reihe von Klicks könnte Facebook feststellen, dass übermäßig viele homosexuelle Männer die Anzeige anklicken. Das könnte dazu führen, dass Facebook die Anzeige dann immer mehr homosexuellen Männern zeigt. Die Krankenpflegeschule wüsste hiervon jedoch nichts. Demzufolge wüsste die Krankenpflegeschule nicht, ob ein Nutzer, der sich zur Webseite der Krankenpflegeschule hindurchgeklickt hat, um sich dort anzumelden, homosexuell ist, und zwar auch dann nicht, wenn die Anzeige zielgruppenspezifisch so ausgerichtet wurde.

Dies ist jedoch kein narrensicherer Ansatz, und es gilt noch eine Reihe technischer Herausforderungen zu überwinden. Der Vermittler wäre nicht in der Lage, Anzeigen manuell auf bestimmte Zielgruppen auszurichten – es müsste eine Möglichkeit geben, mit der Anzeigen automatisch zielgruppenspezifisch ausgerichtet werden können. Die Qualität dieser Zielgruppenausrichtung müsste mindestens so gut sein, wie der Werbekunde dies mit eigenen Mitteln sicherstellen könnte. Der Werbekunde kann versuchen, versteckte Werbebotschaften für bestimmte Zielgruppen zu übermitteln, z. B. durch Bilder, die eher eine bestimmte demografische Gruppe ansprechen. Der Vermittler könnte dem entgegenwirken, indem er feststellt, wann eine Anzeige unverhältnismäßig viele Nutzer mit sensiblen Eigenschaften, wie Gesundheit oder sexuelle Vorliebe, anspricht, und er könnte diese Anzeigen dann für eine manuelle Überprüfung kennzeichnen. Trotz dieser Herausforderungen sind wir der festen Auffassung, dass uns die kenndatenneutrale Werbung einen Schritt voranbringen kann, wenn es darum geht, das fortwährende Gezerre um die Privatsphäre im Netz zu beenden.