Behavioral Targeting: Verhaltensbezogene Werbung im Internet

Wer im Netz nach Stützstrümpfen sucht, wird voraussichtlich kein Skateboard kaufen. Für Werbende heißt das: Entsprechende Anzeigen laufen ins Leere. Ein solcher Streuverlust verursacht unnötige Kosten. Welche Interessen sich einzelnen Internetnutzern zuordnen lassen, ist somit von zentraler Bedeutung – sowohl für Onlinehändler als auch für Werbedienstleister.

Die Effektivität zielgerichteter Werbung demonstrieren Suchmaschinenanbieter wie Google. Hier dienen Keywords als Indiz für die Nutzerintention. Wer nach Hotels in Barcelona sucht, ist mit hoher Wahrscheinlichkeit auch für entsprechende Werbung empfänglich. Gelingt Onlinehändlern die passgenaue Ausrichtung ihrer Anzeigen, werden diese nicht als störend empfunden. Mitunter lässt sich sogar ein Mehrwert ableiten.

Auch Werbeformen außerhalb der Suchmaschine stützen sich auf Nutzersignale, um die Anzeigenrelevanz für potenzielle Kunden zu erhöhen. Rückt dabei das Verhalten des Nutzers in den Mittelpunkt, spricht man von Behavioral Targeting. Doch dieses ist bei Advertisern genauso beliebt wie bei Datenschützern umstritten.

Was ist Behavioral Targeting?

Fehlt Onlinewerbung die Relevanz, bleiben auch die Klicks aus. Um Streuverluste zu minimieren, setzen Advertiser daher zunehmend auf Targeting (die direkte Zielgruppenansprache). Hier bieten sich verschiedene Möglichkeiten, dem Nutzerinteresse auf die Spur zu kommen.

Die einfachste Form der Zielgruppenansprache stellt das Content Targeting dar. Dabei werden Anzeigen auf das redaktionelle Umfeld abgestimmt. Während Werbung für Steakmesser auf einer Informationsseite zur veganen Ernährung deplatziert erscheint, könnten Advertiser hier mit Anzeigen für Sojagranulat oder Hefeflocken durchaus punkten. Semantisches Targeting geht noch einen Schritt weiter und versucht thematische Unterschiede innerhalb einer Webpräsenz auszuloten, um Werbung treffsicher in der richtigen Rubrik zu platzieren.

Werden Kriterien wie Alter, Geschlecht, Beruf, Einkommen oder berufliche Stellung als Orientierung herangezogen, spricht man von soziodemografischem Targeting. Hingegen nimmt Geotargeting den Standort eines Nutzers ins Visier. Dabei kommen technische Verfahren der Geolokalisierung zum Einsatz. Bei sogenanntem technischen Targeting werten Werbende den digitalen Fingerabdruck eines Webseitenbesuchers aus.

Jeder Internetnutzer hinterlässt Spuren im Netz. Neben der IP-Adresse enthält vor allem der User-Agent-String – eine Kennung, mit der sich jeder Browser im Internet ausweist – zahlreiche Informationen, über die sich Nutzer im Internet identifizieren lassen. Automatisch auslesbar sind der Browsername, die Versionsnummer, das verwendete Betriebssystem sowie Sprach- und Schrifteinstellungen. Darüber hinaus liefern JavaScript und Flash detaillierte Informationen über installierte Plug-ins. Da Internetnutzern nur wenige Mittel zur Verfügung haben, sich gegen technisches Targeting zu schützen, steht dieses Verfahren der Nutzerdatenerfassung bei Verbrauchern und Datenschützern in der Kritik.

Wird der digitale Fingerabdruck eines Nutzers verwendet, um diesen über mehrere Webseiten hinweg zu verfolgen und dessen Verhalten aufzuzeichnen, spricht man von Behavioral Targeting. Dieses muss sich jedoch nicht zwangsläufig auf die Browser-Signatur stützen. Geläufiger ist ein Nutzertracking mittels Cookies. Die kleinen Textdateien werden auf dem Endgerät des Nutzers hinterlegt und ermöglichen ein Behavioral Targeting auch ohne die Auswertung des Browser-Strings. Der Einsatz von Cookies gilt als die „saubere“ Art der Nutzerdatenerfassung, da diese bei Bedarf über die Browser-Einstellungen blockiert werden können.

Wie funktioniert Behavioral Targeting?

Um die Relevanz von Anzeigen zu erhöhen, versuchen Werbetreibende, möglichst viele Informationen über das Verhalten potenzieller Kunden zu sammeln, indem sie deren Interaktionen mit themenrelevanten Websites nachverfolgen. Voraussetzung dafür ist, dass ein Internetnutzer, der einmal eine relevante Website besucht hat, auch bei späteren Besuchen oder auf anderen Websites als derselbe Nutzer identifiziert werden kann. Die Werbewirtschaft setzt dabei in erster Linie auf Cookie-Technologien und anonymisierte Nutzerprofile.

Cookies

Bei Cookies (deutsch: „Plätzchen“) handelt es sich um Textinformationen, die beim Besuch einer Website über den verwendeten Browser auf dem Rechner eines Internetnutzers gespeichert werden. Cookies werden durch den Webserver vergeben oder durch ein Skript auf einer Website erzeugt. Einmal auf dem Rechner des Nutzers hinterlegt, werden Cookie-Informationen bei jedem zukünftigen Besuch vom Browser automatisch an den Webserver übermittelt. Dieser kann den Besucher somit identifizieren und mit einem Nutzerprofil verknüpfen.

Werden Cookies vom Betreiber einer Website selbst vergeben und nur im Rahmen der eigenen Webangebote ausgewertet, spricht man von First-Party-Cookies. In der Regel erfolgt Behavioral Targeting jedoch über mehrere Websites hinweg. Dabei kommen sogenannte Third-Party-Cookies (Cookies von Drittanbietern) zum Einsatz, die von spezialisierten Werbedienstleistern in jede kooperierende Website integriert werden können. Viele Webbrowser unterscheiden in den Privatsphäre-Einstellungen zwischen First- und Third-Party-Cookies und erlauben es Nutzern, ein Tracking durch Drittanbieter separat zu blockieren.

Nutzerprofile

Cookies geben Webseitenbetreibern und Werbedienstleistern detaillierte Informationen darüber, welche Webseiten ein Internetnutzer aufruft und zu welchen Interaktionen es dort kommt. Werden diese Daten an einem zentralen Ort zusammengeführt, spricht man von einem Nutzerprofil. Dieses erlaubt je nach Detailgrad der gesammelten Daten Rückschlüsse auf Produktinteressen, Kaufabsichten und die Freizeitgestaltung – wertvolle Informationen, die Werbetreibenden helfen, Webseitenbesucher konkreten Kundengruppen und maßgeschneiderten Nutzerkanälen zuzuordnen.

Um detaillierte Nutzerprofile zu erstellen, bedienen sich Webseitenbetreiber Analyse-Tools wie Google Analytics, Piwik oder eTracker. Diese werden mittels Tracking-Code in den Quelltext einer Website integriert und ermöglichen so eine umfassende Analyse der Nutzerbewegung. Dem deutschen Datenschutz werden Webanalyse-Tools in der Standardkonfiguration jedoch meistens nicht gerecht. Webseitenbetreiber, die Nutzerprofile datenschutzkonform anlegen möchten, sollten daher sicherstellen, dass sie entweder über eine explizite Genehmigung durch den Nutzer verfügen oder Daten ausschließlich anonymisiert erfassen. Wie sich der Tracking-Code beliebter Analyse-Tools entsprechend anpassen lässt, findet sich im weiterführenden Artikel zum Thema Webanalyse und Datenschutz.

Werbenetzwerke

Im Rahmen von Werbemaßnahmen bleibt Behavioral Targeting selten auf einzelne Websites beschränkt. Um Nutzern passgenaue Anzeigen auszuspielen, schließen Werbevermarkter wie Google diverse Onlineplattformen zu Werbenetzwerken zusammen. Während kleinere Anbieter mit ausgewählten Kooperationspartnern arbeiten, steht das Google-Displaynetzwerk prinzipiell jedem Webseitenbetreiber offen. Es umfasst heute mehr als zwei Millionen Websites und erreicht somit über 90 Prozent der Internetnutzer weltweit.

Werbevermarkter wie Google DoubleClick, Facebook, Ad Pepper, TradeDoubler, Ligatus und viele mehr fungieren als Vermittler zwischen Advertisern und Publishern: Kooperierende Webseitenbetreiber stellen Werbeflächen bereit, die von den Vermarktern je nach Bedarf mit Text- und Bildanzeigen ihrer Werbekunden besetzt werden.

Die Auslieferung der Werbemittel erfolgt zentral durch einen oder mehrere Adserver. Dabei handelt es sich um datenbankbasierte Managementsysteme, die mit der Verwaltung von Werbeflächen im Internet betraut sind. Adserver sind zuständig für die Speicherung und Auslieferung von Werbemitteln und ermöglichen über messbare Größen wie Impressionen und Klicks eine Auswertung des Werbeerfolgs.

Statt Werbebanner inklusive Link zum Anbieter direkt in den HTML-Code einer Website einzubinden, wird die Werbefläche mit einem Script versehen. Dieses veranlasst den Browser des Nutzers, eine Anfrage an den Adserver zu stellen (Adrequest). Dort werden eingehende Anfragen mit bestehenden Nutzerprofilen abgeglichen. Lässt sich der Webseitenbesucher identifizieren, sucht der Adserver eine dem Targeting entsprechende Anzeige aus und sendet ein Antwortpaket an den Browser zurück. Die Auswahl der Werbeanzeige erfolgt somit parallel zum Aufbau der Website und für jeden Besucher individuell. Kommt es zum Klick auf ein Werbebanner, wird der Nutzer zunächst an den Adserver weitergeleitet, dieser protokolliert die Nutzerinteraktion und leitet schließlich an die Website des Werbenden weiter.

Werbenetzwerke erstrecken sich über weite Teile des Internets und liefern so ein umfassendes Bild der Surfgewohnheiten potenzieller Kunden. Daten, die auf einer Partnerseite erfasst wurden, werden über Adserver zentral verwaltet und stehen zur Ausrichtung von Anzeigenkampagnen im ganzen Werbenetzwerk zur Verfügung. Das ermöglicht Werbetreibenden personalisierte Werbestrategien wie das Retargeting, bei dem Internetnutzer gezielt mit Anzeigen zu den Produkten konfrontiert werden, für die sie zuvor Interesse gezeigt haben.

Predictive Behavioral Targeting

Predictive Behavioral Targeting („predictive“ = vorausschauend) ist eine Variante der zielgerichteten Werbung, bei der anonymen Nutzergruppen bestimmte Attribute aufgrund statistischer Prognosen zugeschrieben werden. Dabei kann es sich um soziodemografische Eigenschaften wie Alter, Geschlechterverteilung, Einkommen und Ausbildungsniveau handeln sowie um psychografische Merkmale wie Motive, Einstellungen, Kenntnisse und Interessen. Bei der Erstellung von Vorhersagemodellen stützen sich Werbende auf Informationen zum Surfverhalten, Umfragen oder Daten aus Kundenverwaltungssystemen.

Neben deskriptiver Statistik, Click-Stream-Analysen und multivarianter Verfahren kommen dabei zunehmend auch Data-Mining-Methoden zum Einsatz, um die kontinuierlich anwachsendenden Datenberge nach Trends und Querverbindungen zu durchsuchen. Ziel des Predictive Behavioral Targetings sind statistische Nutzerprofile (sogenannte Personas), nach denen sich Webseitenbesucher klassifizieren lassen.

Welches Ziel verfolgt Behavioral Targeting?

Effektiv ist Werbung nur dann, wenn sie die dafür vorgesehene Zielgruppe erreicht. Hat eine Anzeige keine Relevanz für Internetnutzer, ist es unwahrscheinlich, dass es zum Klick kommt. Die Aussicht auf eine Conversion rückt in weite Ferne. Advertiser sprechen in diesem Zusammenhang von einer Fehlstreuung. Zielgerichtete Werbung hilft, diesen Streuverlust zu reduzieren und somit den Werbeerfolg zu erhöhen. Ziel des Behavioral Targetings ist eine Steigerung der Conversion-Rate als zentrale Kennzahl bei der Bewertung von Online-Werbemaßnahmen.

Der Schlüssel zum Erfolg ist dabei das Interesse des Nutzers. Werbung, die zur richtigen Zeit am richtigen Ort erscheint, bietet einen Mehrwert. Dieser führt zum Klick und im besten Fall zur Conversion. Gelingt dies nicht beim ersten Mal, ist der Kunde nicht verloren. Internetnutzer, die personalisierter Werbung zustimmen (Opt-in) bzw. nicht explizit widersprechen (Opt-out), lassen sich in regelmäßigen Abständen erneut adressieren. Cookies ermöglichen es Werbetreibenden, Kunden durchs Netz zu begleiten und diesen passende Produkte oder Dienstleistungen erneut ins Gedächtnis zu rufen.

Behavioral Targeting unter datenschutzrechtlichen Gesichtspunkten

Verbraucherschützer beobachten das massive Datensammeln durch Konzerne und Werbevermarkter mit Misstrauen. Methoden wie das Behavioral Targeting stehen dabei im Fokus. Kritiker sehen die Gefahr, dass verhaltensbezogene Daten mit personenbezogenen Daten verknüpft werden. Zwar betonen namhafte Größen der Branche kontinuierlich, Personendaten ausschließlich anonymisiert zu erfassen, doch für den Betreiber eines Onlineshops stellt es theoretisch nur einen geringen Mehraufwand dar, die Ergebnisse der Webanalyse mit den Angaben aus Kundendatenbanken abzugleichen.

Das deutsche Datenschutzrecht gibt diesbezüglich klare Regelungen vor: Personenbezogene Nutzerprofile dürfen nur dann angelegt werden, wenn eine ausdrückliche Genehmigung des Nutzers vorliegt. Für die Speicherung und Verarbeitung personenbezogener Daten gilt somit ein Verbot mit Erlaubnisvorbehalt. Ausgenommen davon sind Targeting-Maßnahmen, bei denen die Verbindung zum individuellen Nutzer nicht ohne erheblichen Mehraufwand hergestellt werden kann. Gemäß deutschem Datenschutzrecht sind pseudonymisierte Nutzerprofile im Rahmen von Werbe- oder Marktforschungsmaßnamen oder zur bedarfsgerechten Gestaltung von Webangeboten zulässig, solange der Nutzer vorab über die Datenverarbeitung informiert wird und die Möglichkeit des Widerspruchs besteht.

Was sind personenbezogene Daten?

Kommt Behavioral Targeting ohne Einwilligung des Nutzers zum Einsatz, hängt die datenschutzrechtliche Beurteilung davon ab, ob es sich bei den erhobenen Daten um personenbezogene im datenschutzrechtlichen Sinne handelt. Diese werden im Bundesdatenschutzgesetz § 3 folgendermaßen definiert:

„Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“

Konkretisiert wird diese Definition auf der Website der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfD NRW). Als Beispiele für Einzelangaben über persönliche oder sachliche Verhältnisse finden sich hier:

  • Name, Alter, Familienstand und Geburtsdatum
  • Anschrift, Telefonnummer und E-Mail-Adresse
  • Konto- und Kreditkartennummern
  • Kfz-Kennzeichen und Kraftfahrzeugnummern
  • Personalausweis- und Sozialversicherungsnummern
  • Vorstrafen
  • Krankendaten und genetische Daten
  • Zeugnisse und vergleichbare Werturteile

Als einer bestimmten Person zugehörig sind diese Einzelangaben dann zu betrachten, wenn die Daten in Verbindung mit dem Namen der Person erfasst werden oder sich dieser Zusammenhang aufgrund der Daten unmittelbar herstellen lässt. Dem LfD NRW zufolge gilt eine Person als bestimmbar, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden kann. Einzelangaben zu juristischen Personen (Firmen oder Vereinen) gelten hingegen nicht als personenbezogene Daten. Das Gleiche gilt für rein statistische Daten ohne Bezug zum konkreten Nutzer.

IP-Adressen als personenbezogene Daten

Rechtlich umstritten ist bislang, unter welchen Umständen IP-Adressen als personenbezogene Daten betrachtet werden müssen. Datenschützer sehen die grundsätzliche Bestimmbarkeit der Person hinter einer IP-Adresse (zum Beispiel durch den Internet-Service-Provider) als Indiz für einen Personenbezug und raten daher zur Anonymisierung von IP-Adressen. Bestärkt wird diese Einschätzung vom Generalanwalt des Europäischen Gerichtshofs (EuGH). Dieser rät dem Bundesgerichtshof in einer Stellungnahme vom 12.05.2016, IP-Adressen als personenbezogenes Datum nach § 12 Abs. 1 Telemediengesetz zu betrachten.

EU-Datenschutzrichtlinie für die elektronische Kommunikation

Auch Cookies liefern u. U. Daten, die auf die Identität eines Nutzers schließen lassen. Grund dafür ist deren verknüpfende Eigenschaft. Die EU-Datenschutzrichtlinie für die elektronische Kommunikation 2002/58/EG sowie die als Cookie-Richtlinie bezeichnete Erweiterung 2009/136/EG sehen daher vor, dass Internetnutzer über die Installation von Cookies und den Verarbeitungszweck der erfassten Daten informiert werden müssen. Zudem ist eine Einwilligung erforderlich. Die praktische Umsetzung dieser Vorgabe wird in den Mitgliedsländern jedoch unterschiedlich gehandhabt. Was Webseitenbetreiber und Werbevermarkter hierzulande beachten sollten, ist Thema des weiterführenden Artikels zur Umsetzung der EU-Cookie-Richtlinie in Deutschland.