Eine bedeutende digitale Kommunikationsentwicklung während des letzten Jahrzehnts war der Aufstieg der sozialen Medien. Immer mehr Menschen nutzen soziale Medien, um mit Familie und Freunden in Kontakt zu bleiben, um sich beruflich zu vernetzen oder um sich über gemeinsame Interessen und Ideen zu verbinden. Zu den Hauptmerkmalen sozialer Medien gehört die Möglichkeit für Einzelpersonen, sich zu registrieren, um „Konten“ oder „Profile“ für sich selbst zu erstellen, miteinander zu interagieren, indem sie nutzergenerierte oder andere Inhalte teilen und Verbindungen und Netzwerke mit anderen Nutzern aufbauen.

Targeting auf sozialen Netzwerken

Als Teil ihres Geschäftsmodells bieten viele Social-Media-Anbieter Targeting-Dienste an. Diese ermöglichen es dem „Targeter“, bestimmte Botschaften an die Nutzer sozialer Medien zu übermitteln, um kommerzielle, politische oder andere Interessen zu fördern. Ein kennzeichnendes Merkmal des Targeting ist die wahrgenommene Anpassung zwischen der Person oder Gruppe, auf die abgezielt wird, und der Botschaft, die übermittelt wird. Die zugrundeliegende Annahme ist, dass je besser diese Anpassung ist, desto höher die Empfangsrate (Konversion) und damit die Effektivität der Targeting-Kampagne (Return on Investment) ist.

Die Mechanismen für das Targeting von Social-Media-Nutzern sind im Laufe der Zeit immer ausgefeilter geworden. Organisationen haben nun die Möglichkeit, Personen auf der Basis einer Vielzahl von Kriterien anzusprechen. Solche Kriterien können auf der Grundlage von persönlichen Daten entwickelt worden sein, die Benutzer aktiv zur Verfügung gestellt oder geteilt haben, wie z. B. ihr Beziehungsstatus. Zunehmend werden Targeting-Kriterien jedoch auch auf der Grundlage von personenbezogenen Daten entwickelt, die entweder vom Social-Media-Anbieter oder von Dritten beobachtet oder abgeleitet und von der Plattform oder von anderen Akteuren (z. B. Datenbrokern) gesammelt (aggregiert) wurden, um Ad-Targeting-Optionen zu unterstützen. Mit anderen Worten, das Targeting von Social-Media-Nutzern beinhaltet nicht nur den Akt der „Auswahl“ der Einzelpersonen oder Gruppen von Einzelpersonen, die die beabsichtigten Empfänger einer bestimmten Nachricht sind (das „Zielpublikum“), sondern es beinhaltet einen gesamten Prozess, der von einer Reihe von Akteuren durchgeführt wird und zur Übermittlung bestimmter Nachrichten an Einzelpersonen mit Social-Media-Konten führt.

Die Kombination und Analyse von Daten, die aus verschiedenen Quellen stammen, zusammen mit der potenziell sensiblen Natur personenbezogener Daten, die im Zusammenhang mit sozialen Medien verarbeitet werden, schafft Risiken für die Grundrechte und -freiheiten von Personen. Aus Sicht des Datenschutzes beziehen sich viele Risiken auf den möglichen Mangel an Transparenz und Nutzerkontrolle. Für die betroffenen Personen ist die zugrunde liegende Verarbeitung personenbezogener Daten, die zur Übermittlung einer gezielten Nachricht führt, oft undurchsichtig. Darüber hinaus kann es zu unerwarteten oder unerwünschten Verwendungen personenbezogener Daten kommen, die nicht nur datenschutzrechtliche Fragen aufwerfen, sondern auch in Bezug auf andere Grundrechte und -freiheiten. In letzter Zeit hat das Targeting in sozialen Medien zudem im Zusammenhang mit demokratischen Entscheidungsfindungs- und Wahlprozessen an öffentlichem Interesse und regulatorischer Kontrolle gewonnen.

Leitlinien des EDPB

Vor diesem Hintergrund hat der durch die DSGVO eingerichtete Europäische Datenschutzausschuss (European Data Protection Board – EDPB) am 13. April 2021 Leitlinien zum Targeting von Nutzern sozialer Netzwerke angenommen. Unter Berücksichtigung der Rechtsprechung des EuGH sowie der Bestimmungen der DSGVO in Bezug auf gemeinsam für die Verarbeitung Verantwortlichen und ihrer jeweiligen Rechenschaftspflicht bieten die Leitlinien eine Orientierungshilfe für das Targeting von Social-Media-Nutzern, insbesondere im Hinblick auf die Verantwortlichkeiten von Targeting-Anbietern und Social-Media-Anbietern. Wo eine gemeinsame Verantwortlichkeit besteht, versuchen die Leitlinien anhand von Praxisbeispielen zu klären, wie die Verteilung der Verantwortlichkeiten zwischen Zielpersonen und Social-Media-Anbietern aussehen könnte. Das Hauptziel der Leitlinien ist daher die Klärung der Rollen und Verantwortlichkeiten zwischen dem Social Media-Anbieter und dem Targeter. Zu diesem Zweck werden in den Leitlinien auch die potenziellen Risiken für die Rechte und Freiheiten natürlicher Personen, die Hauptakteure und ihre Rollen identifiziert und die Anwendung der wichtigsten Datenschutzanforderungen (wie Rechtmäßigkeit und Transparenz, Datenschutz-Folgenabschätzung usw.) sowie die Schlüsselelemente der Vereinbarungen zwischen Social-Media-Anbietern und den Zielpersonen behandelt.

Nichtsdestotrotz deckt der Anwendungsbereich dieser Richtlinien die Beziehungen zwischen den registrierten Nutzern eines sozialen Netzwerks, seinen Anbietern sowie den Zielpersonen ab. Eine gründliche Analyse von Szenarien, wie z. B. von Personen, die nicht bei Social-Media-Anbietern registriert sind, fällt nicht in den Anwendungsbereich der vorliegenden Richtlinien.

Die Leitlinien unterstreichen u.a., dass wenn polarisierende oder unwahre (Desinformations-) Botschaften auf bestimmte Personen abzielen, ohne dass diese in einen bestimmten Kontext gestellt werden oder die Personen andere Standpunkte kennenlernen, der Einsatz von Targeting-Mechanismen dazu führen kann, dass der demokratische Wahlprozess untergraben wird – ein Aspekt, der auch in der laufenden Rechtsetzung im Rahmen des Europäischen Aktionsplans für Demokratie besondere Beachtung verdient.