«Blick», TX Group und NZZ schickten Leserdaten nach Moskau

Seit das neue Datenschutz­gesetz am 1. September in Kraft ist, ist einiges gegangen: Sämtliche Schweizer Unternehmen haben ihre Datenschutz­erklärungen aktualisiert und intern Verantwortliche benannt.

So auch die Schweizer Medien. NZZ.ch, Tagesanzeiger.ch, 20Minuten.ch und Blick.ch verarbeiten Daten von Website-Besucherinnen und lassen diese von eingebauten digitalen «Börsen» in einem Echtzeit­auktions­verfahren an Werbe­kunden verkaufen. Diese können ihre Banner im Gegenzug auf den News­portalen platzieren. Die neuen Datenschutz­regeln zwingen die Medien­häuser nun dazu, die Vermittlungs­dienste und deren Cookies sichtbar zu machen.

Cookies sind Text­dateien, die Ihrem Browser und Ihrem genutzten Gerät eine eindeutige ID zuweisen und Sie damit identifizierbar machen für diese Werbe­börsen. Diese wissen dadurch zum Beispiel, dass Sie gestern bei einer Shopping­plattform eingekauft haben und heute auf einem Boulevard-Newsportal surfen. Die Werbe­börse erfährt zudem, welche Artikel Sie gerade lesen und welche Produkte Sie sich angeschaut haben.

Seit dem 1. September erhält nun, wer auf einem Notebook oder Smartphone durch die Medien­portale surft, von Gesetzes wegen ein Cookie-Banner vorangestellt. Die meisten Leserinnen werden dieses genervt (oder mittlerweile bereits automatisch) wegklicken, indem sie die «Alles akzeptieren»-Option drücken – weil diese prominent hervor­gehoben wird (was man im Fach­jargon ein Dark Pattern nennt).

Dabei lohnt sich ein genauerer Blick: Denn die Medien verarbeiten nicht weniger Daten seit dem 1. September. Sie müssen es einfach transparenter machen.

Und wer die Banner genauer liest und auf die Links gelisteter Cookie-Anbieter für Marketing­zwecke klickt, stellt fest: Es fliessen Daten ab zu Diktaturen und an autoritäre Länder.

IP-Adressen jahrelang weitergeleitet

Zum Beispiel bei Ringier. Bis vor kurzem schickte Ringier – dank ebenjener Cookies – die IP-Adressen von «Blick»-Leserinnen an das russische Tech-Unternehmen Yandex. Und das bis zu 10 Jahre lang ab dem ersten Besuch von Blick.ch. Was damit bei Yandex genau passiert, bleibt intransparent.

Yandex gilt als russisches Äquivalent zu Google, Youtube, Uber, Spotify – alles in einem. Der Internet­gigant ist vor allem in Russland tätig, aber auch in Märkten Europas, im Kaukasus und im Nahen Osten. Seit ein paar Jahren muss der Konzern mit Sitz in Moskau wegen restriktiver Internet­gesetze eng mit dem Kreml kooperieren. Mitgründer Arkadi Volozh wurde deswegen von der EU mit Sanktionen belegt, er verliess das Unternehmen Ende 2022. Der russische Geheimdienst FSB verlangt regelmässig die Herausgabe von Daten des Konzerns. Zwar braucht es dafür einen richterlichen Beschluss, doch die Gerichte Russlands sind bekanntlich nicht unabhängig.

Der Konzern legte vor drei Jahren offen, dass er von Januar bis Juni 2020 15’000 Anfragen von der russischen Regierung erhalten habe. Yandex gab einer grossen Mehrheit der Behörden­begehren statt, 84 Prozent aller Anfragen. Der russische Konzern erklärt zwar öffentlich, dass er niemals Personen­daten von ausländischen Nutzerinnen an Russlands Behörden weitergeben würde. Dennoch sperrte Finnland den Dienst Yango Taxi, der Liefer­dienste via Yandex-App vermittelt.

Wie rechtfertigen die Medien­häuser die Daten­schieberei nach Moskau? Ringier schreibt auf Anfrage: Die Daten, die allen Cookie­anbietern mitgeliefert würden, seien «standard­mässige, pseudonymisierte Daten (IP, Cookies …), die benötigt werden, um Werbung auszuspielen». Damit stapelt der Medien­konzern etwas gar tief, was die Bedeutung dieser Angaben betrifft. Eine IP-Adresse ist nämlich kein Pseudonym, sondern eine personen­bezogene Information, wie es der Europäische Gerichtshof in einem Urteil festgelegt hat: Sie gilt als «Hausnummer des Internets». Auch Geräte­informationen sind eindeutige Informationen, die einen bestimmten Nutzer identifizieren können.

Haben Ringier und die TX Group das Update verschlafen?

Ringier sieht sich bei dem Thema nicht in der Verantwortung. Schuld daran sei die Plattform des europäischen Interactive Advertising Bureau, eines Wirtschafts­verbands der Online-Werbe­branche. Alle Ringier-Medientitel würden diese Plattform für die Werbe­vermarktung nutzen, auf der die verwendeten Cookies vom Interactive Advertising Bureau (IAB) geprüft werden. Diese liste Yandex als zertifizierte Werbe­firma auf. Erst in der neusten Version werde die russische Firma ausgeschlossen. Dieses Update geschehe ab Ende November 2023, teilt Ringier mit.

Auch bei «20 Minuten» ist Yandex gelistet. Das Gratis-Newsportal der TX Group arbeitet ebenfalls mit der Plattform des Interactive Advertising Bureau. «20 Minuten»-Sprecherin Eliane Loum begründet die Integration des russischen Konzerns mit den «Standards, die vom IAB verifiziert werden». Bei «20 Minuten» würden «Cookies, welche diesem Standard entsprechen, per Default aktiviert».

Doch das scheint nicht die Wahrheit zu sein. Die Republik fragte beim europäischen Player Interactive Advertising Bureau nach, warum Yandex nach der russischen Invasion 2022 nicht früher ausgeschlossen worden sei. Die Antwort überrascht: Yandex sei seit dem 3. März 2022 aus dem Anbieter­stamm gelöscht, teilt der Wirtschafts­verband mit – und liefert auch den technischen Nachweis dazu.

Vermutlich haben die TX Group und Ringier dieses Update – ob bewusst oder nicht – einfach nicht vollzogen.

Auch die NZZ schickte Daten in den Osten. Das Traditions­unternehmen an der Falken­strasse hat Dutzende von Trackern integriert, darunter ebenfalls von Yandex und auch von Rutarget, einem Werbe­unternehmen, das der russischen Sberbank gehört, vollständig staatlich kontrolliert ist und auf der Sanktions­liste der USA steht. Dies erstaunt angesichts der publizistisch klaren Positionierung der NZZ beim Krieg in der Ukraine, bei der das Traditions­haus eine klar russland­kritische Linie verfolgt. Auch Tracker von chinesischen Big-Tech-Giganten wie Tencent sind auf der NZZ-Website integriert.

Auf Anfrage antwortete die NZZ zuerst kryptisch: «Das Yandex-Cookie ist nicht offiziell auf der Website eingebunden. Die NZZ hat Yandex bereits als Vendor deaktiviert.» Auf die Nachfrage, was denn genau eine «nicht offizielle Einbindung» bedeute, wenn die Cookies von Yandex doch eindeutig angezeigt würden, präzisierte die NZZ: «Dieses Cookie wird zwar in der Cookie-Liste des Content-Managers aufgeführt, ist jedoch nicht aktiv.» Einen Daten­fluss in Richtung Moskau gebe es nur dann, wenn jemand eine Browser-Erweiterung von Yandex installiert habe.

Diese Begründung ist fragwürdig – und erinnert an die Argumentation der SBB. Auch das Bahn­unternehmen hatte Yandex-Tracker auf seiner Website und in der App eingebunden und genau gleich argumentiert, nämlich sinngemäss: Der Tracker sei zwar da, aber blockiert. IT-Anwalt Martin Steiger – der den Tracker entdeckt hatte – fand das unglaubwürdig. Denn warum, fragte er auf seinem Blog, sollten Unternehmen «ausdrücklich über die Bearbeitung von Personen­daten von Website-Besuchern durch Yandex informieren und um eine entsprechende Einwilligung ersuchen, wenn eine solche Bearbeitung durch Yandex infolge Sperrung gar nicht stattfinden soll»?

Nach einem Wochenende waren alle Tracker entfernt

Aus den Antworten der NZZ geht nicht hervor, zu welchem Zeitpunkt die angebliche Deaktivierung von Yandex genau stattfand, ob vor oder nach der Kontakt­aufnahme durch die Republik. Fakt ist, dass die Sachlage sich nach dem Wochenende vom 14. und 15. Oktober 2023 geändert hat: Die daten­absaugenden Tracker von Yandex sind sowohl bei Ringier als auch bei der NZZ plötzlich nicht mehr auf der Liste der Cookie-Anbieter aufgeführt. Die NZZ hat auch alle weiteren in der Mail­anfrage genannten umstrittenen Firmen aus Russland und China entfernt. Nur die TX Group hält für «20 Minuten» weiterhin unbeirrt an Yandex fest.

Diese Reaktionen zeigen: Die Medien­häuser haben es – anders als in den Stellung­nahmen verlautbart – durchaus in der Hand, die Daten­sauger selber zu verwalten.

Übrigens: Sie schicken die Leserinnen­daten auch in den Westen. Bei allen Medien­häusern inklusive SRF sind die Cookies von zahlreichen amerikanischen Big-Tech-Firmen wie Google und Facebook aufgeführt. NZZ, die TX Group und Ringier betreiben zudem Handel mit amerikanischen data brokers, also Datenhändlern.

Etwa mit dem grössten Player Acxiom oder dem Konzern Liveramp, bei dem konservative US-Bundes­staaten zum Beispiel ohne weiteres Daten über schwangere Frauen einkaufen könnten, die eine Abtreibung durchgeführt haben. Die daten­saugenden Tracker von Liveramp sind etwa bei Menstruations­zyklus-Apps integriert, der Daten­händler verkauft damit an jeden beliebigen Käufer Daten­sätze nach Merkmalen wie «werdende Mütter» oder «gewillt, schwanger zu werden».

Auch haben die drei Medien­häuser den von Microsoft betriebenen Daten­marktplatz Xandr eingebunden. Wie eine Recherche von «Infosperber» zeigt, baut die NZZ das Geschäft mit Online­werbung aus. Via Xandr können Werbe­kunden etwa folgendes Publikum «buchen»: «Nutzer­gruppen, welche mit hoher Häufigkeit Artikel oder Websites mit relevantem Kontext zu Familien­themen aufrufen».

Der Handel mit den Leserdaten scheint eine unverzichtbare Einnahme­quelle für die Verlage darzustellen. Doch Gross­konzerne wie Google experimentieren wegen wachsender Datenschutz­bedenken bereits mit Alternativen zum Cookie-Tracking. Die Schweizer Medien­portale wissen ebenfalls, dass die Zeit des wilden Daten­trackings bald vorbei sein könnte. Deshalb begeben sich die TX Group und Ringier bereits in die Post-Cookie-Ära: Sie verfolgen mit One Log eine neue Strategie: Jede Besucherin muss sich ein One-Log-Benutzer­konto zulegen, das Daten über ihr Lese- und Surf­verhalten sammelt und speichert.

Ob dadurch dem Daten­handel mit Dritt­parteien in den USA, Russland oder China ein Riegel geschoben wird, ist unklar. Auf jeden Fall wird der Leser aber weiterhin «ausgewertet». Den durch One Log entstehenden Daten­kuchen teilen sich die Schweizer Verlage vorerst einfach untereinander auf.