Personalisierte Werbung durch KI: Wenn Algorithmen zu viel wissen

Rund 78 Prozent aller Online-Werbeanzeigen werden heute algorithmisch ausgespielt — und die Systeme dahinter wissen oft mehr über Nutzerinnen und Nutzer, als diesen bewusst ist. Personalisierte Werbung durch Künstliche Intelligenz ist kein Science-Fiction-Szenario mehr, sondern gelebter Alltag in jedem Browser, jeder App, jedem sozialen Netzwerk. Die Frage ist nicht länger, ob KI-Systeme persönliche Daten verarbeiten — sondern wie tief der Eingriff reicht und welche Rechte Verbraucher dagegen haben.

Wie KI-gestütztes Targeting wirklich funktioniert

Hinter dem Begriff „personalisierte Werbung" verbirgt sich ein komplexes technisches Ökosystem. Im Kern steht das sogenannte Programmatic Advertising: Ein automatisiertes Bietersystem, das in dem Moment, in dem eine Nutzerin eine Website aufruft, in Millisekunden eine Auktion unter Werbetreibenden durchführt. Wer das höchste Gebot abgibt und gleichzeitig am besten zur ermittelten Nutzergruppe passt, erhält den Werbeplatz. Dieser gesamte Prozess dauert weniger als eine halbe Sekunde.

Die entscheidende Zutat dabei sind Nutzerdaten. KI-Algorithmen werten aus, welche Websites jemand besucht, wie lange er dort verweilt, auf welche Links er klickt, welche Suchanfragen er stellt, welche Apps er nutzt und zu welchen Tageszeiten er online ist. Aus diesen Signalen errechnen maschinelle Lernsysteme ein Profil — ein sogenanntes Behavioral Segment. Darin stecken nicht nur offensichtliche Interessen wie „Sportschuhe" oder „Reisen", sondern hochsensible Schlussfolgerungen: Gesundheitszustand, politische Überzeugungen, finanzielle Situation, Beziehungsstatus.

Diese Profile entstehen nicht durch direktes Befragen der Nutzer, sondern durch statistische Korrelation. Wer regelmäßig Gesundheitsportale besucht und gleichzeitig nach bestimmten Medikamenten sucht, landet möglicherweise in einem Segment „chronisch Erkrankte" — ohne je einer solchen Kategorisierung zugestimmt zu haben. Wie KI-Algorithmen soziale Netzwerke nutzen, um Feeds zu steuern und das Nutzerverhalten zu beeinflussen, zeigt, dass das Targeting längst über reine Werbung hinausgeht.

Datenpunkte, die Algorithmen sammeln

Die Bandbreite der ausgewerteten Daten überrascht selbst technikaffine Nutzer. Neben klassischen Browserdaten wie Cookies und IP-Adressen setzen moderne Systeme auf deutlich subtilere Methoden. Browser-Fingerprinting etwa identifiziert Geräte anhand ihrer technischen Konfiguration — Bildschirmauflösung, installierte Schriftarten, Zeitzone, Spracheinstellungen — ohne einen einzigen Cookie zu setzen. Selbst wenn Nutzer alle Cookies löschen, bleibt das Fingerprint nahezu konstant.

Dazu kommen Cross-Device-Tracking-Verfahren, die verschiedene Endgeräte einer Person miteinander verknüpfen. Wer auf dem Smartphone eine Produktseite besucht und kurz darauf am Laptop dieselbe Werbung sieht, erlebt diese Verknüpfung in Echtzeit. Plattformbetreiber wie Meta oder Google nutzen zusätzlich ihre Login-Infrastruktur: Da Milliarden Menschen mit ihren Konten auf Drittseiten eingeloggt bleiben, lassen sich Verhaltensdaten plattformübergreifend zusammenführen.

IDC-Analysten weisen darauf hin, dass der Einsatz von sogenannten Large Language Models — also KI-Systemen, die menschliche Sprache verstehen — zunehmend dazu genutzt wird, inhaltliche Bedeutungen aus Texten zu extrahieren. Das bedeutet: Nicht nur was jemand sucht, sondern wie er es formuliert, in welchem emotionalen Kontext und mit welcher Intention, fließt in das Nutzerprofil ein.

Was die DSGVO schützt — und wo ihre Grenzen liegen

Die Datenschutz-Grundverordnung ist seit ihrem Inkrafttreten das wichtigste Regulierungsinstrument für den Umgang mit personenbezogenen Daten in Europa. Sie verpflichtet Unternehmen grundsätzlich dazu, vor der Verarbeitung personenbezogener Daten eine klare Rechtsgrundlage vorweisen zu können. Für Werbezwecke bedeutet das in der Regel: Einwilligung der Nutzerin oder des Nutzers.

In der Praxis zeigt sich jedoch eine erhebliche Diskrepanz zwischen Vorschrift und Realität. Cookie-Banner, die bei jedem Website-Besuch erscheinen, sind das bekannteste Symptom dieser Regulierung — aber nicht unbedingt deren erfolgreiche Umsetzung. Datenschutzorganisationen wie noyb (None of Your Business) haben wiederholt dokumentiert, dass viele Banner so gestaltet sind, dass die Ablehnung von Tracking absichtlich erschwert wird: mehrstufige Menüs, vorausgewählte Häkchen, irreführende Formulierungen.

Hinzu kommt das Konzept des „berechtigten Interesses" (Legitimate Interest), das Unternehmen als Rechtsgrundlage für Datenverarbeitung geltend machen können, ohne explizite Einwilligung einzuholen. Ob und wann dieses Konzept auf Werbe-Targeting anwendbar ist, ist rechtlich umstritten und Gegenstand laufender Verfahren vor europäischen Aufsichtsbehörden.

Sanktionen und Durchsetzung in der Praxis

Die DSGVO sieht Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro vor — je nachdem, welcher Betrag höher ist. Tatsächlich verhängt wurden solche Strafen in spektakulären Fällen: Meta wurde von der irischen Datenschutzbehörde mit einer Strafe von 1,2 Milliarden Euro belegt, Google mit mehreren Hundert Millionen. Doch Datenschutzexperten kritisieren, dass die Durchsetzung uneinheitlich bleibt und kleinere Unternehmen sowie Datenmittler — sogenannte Data Broker — kaum ins Visier der Behörden geraten.

Data Broker sind Unternehmen, deren Geschäftsmodell ausschließlich darin besteht, Nutzerdaten zu sammeln, anzureichern und weiterzuverkaufen. Viele dieser Firmen operieren außerhalb der EU oder nutzen Schlupflöcher in der Regulierung. Bitkom schätzt, dass der europäische Markt für Datenhandel trotz DSGVO weiter wächst. Für Verbraucher ist oft nicht nachvollziehbar, welche Unternehmen ihre Daten besitzen oder verarbeiten.

Die Problematik ist nicht auf Werbung beschränkt. Ähnliche Mechanismen der algorithmischen Entscheidungsfindung auf Basis persönlicher Daten sind auch in anderen Bereichen zu beobachten — etwa wenn KI im Bewerbungsprozess Bewerberprofile analysiert und dabei diskriminierende Muster reproduziert.

Targeting, Manipulation und die Grenze dazwischen

Personalisierte Werbung ist nicht per se problematisch. Dass ein Nutzer, der sich für Bergwandern interessiert, Anzeigen für Trekkingschuhe statt Kinderspielzeug sieht, ist aus Verbraucherperspektive sogar angenehmer als ungezielte Massenreklame. Die ethische und rechtliche Grenze wird dort überschritten, wo Algorithmen nicht mehr auf erklärte Interessen reagieren, sondern psychologische Schwachstellen gezielt ausnutzen.

Sogenanntes Sentiment-Targeting nutzt emotionale Zustände zur Werbeplatzierung. Systeme analysieren, ob eine Nutzerin gerade nach dem Ende einer Beziehung sucht, gesundheitlich besorgt ist oder finanziellen Druck zeigt — und platzieren entsprechend zugeschnittene Angebote im richtigen Moment. Die psychologische Wirksamkeit dieser Methode ist dokumentiert; ob sie zulässig ist, hängt von der Rechtsgrundlage und den genutzten Datenkategorien ab.

Besonders kritisch ist der Einsatz solcher Methoden im Bereich psychischer Gesundheit. Wenn Algorithmen erkennen, dass jemand unter Stress oder Burnout-Symptomen leidet, und dann gezielte Werbung schalten — oder umgekehrt Apps empfehlen — entsteht eine direkte Verbindung zwischen Targeting-Systemen und dem persönlichsten Bereich des Lebens. In welchem Ausmaß KI-Apps im Bereich mentale Gesundheit und Burnout-Prävention mit solchen Datenmodellen arbeiten, ist für Nutzer kaum transparent.

Praktischer Schutz: Was Nutzer tun können

Trotz der komplexen technischen Infrastruktur haben Verbraucher konkrete Handlungsmöglichkeiten. Die DSGVO garantiert mehrere Rechte: das Auskunftsrecht (Artikel 15), das Recht auf Löschung (Artikel 17), das Widerspruchsrecht gegen automatisierte Entscheidungsfindung (Artikel 22) sowie das Recht auf Datenübertragbarkeit. Diese Rechte können gegenüber jedem Unternehmen geltend gemacht werden, das personenbezogene Daten verarbeitet.

Auf technischer Ebene bieten Browser wie Firefox oder Brave standardmäßig stärkere Tracking-Schutzmaßnahmen als marktführende Alternativen. Browser-Erweiterungen wie uBlock Origin blockieren Tracking-Skripte und Werbenetze. VPN-Dienste verschleiern die IP-Adresse, verhindern aber kein Fingerprinting. Für vollständigen Schutz ist eine Kombination mehrerer Maßnahmen notwendig.

Cookie-Banner sollten konsequent abgelehnt werden — was rechtlich in jedem Fall möglich sein muss, auch wenn die Umsetzung oft erschwert wird. Wer die Einwilligung verweigert, darf laut DSGVO nicht vom Zugang zu einer Website ausgeschlossen werden, sofern keine zwingende technische Notwendigkeit besteht. Beschwerden über manipulative Cookie-Banner können bei der zuständigen nationalen Datenschutzbehörde — in Deutschland den Landesbehörden sowie dem Bundesbeauftragten für den Datenschutz — eingereicht werden.

Die Zukunft des Targetings: Weniger Cookies, mehr KI

Die Werbeindustrie befindet sich in einem strukturellen Wandel. Die schrittweise Abkehr von Third-Party-Cookies — also jenen Tracking-Elementen, die über einzelne Websites hinaus funktionieren — zwingt Plattformen zur Entwicklung neuer Methoden. Google hat mit dem sogenannten Privacy Sandbox-Projekt einen Rahmen vorgestellt, der gruppenbasiertes Targeting ohne individuelle Nutzeridentifikation ermöglichen soll. Datenschützer kritisieren jedoch, dass die Kontrolle weiterhin beim Plattformbetreiber verbleibt.

Gleichzeitig gewinnt kontextuelles Targeting an Bedeutung: Dabei wird Werbung nicht auf Basis von Nutzerprofilen, sondern auf Basis des Seiteninhalts platziert. Wer einen Artikel über Elektroautos liest, sieht Anzeigen für Ladetechnik — ohne dass persönliche Daten verarbeitet werden müssen. KI macht diesen Ansatz präziser, weil Sprachmodelle Themen und Stimmungen in Texten mit hoher Genauigkeit erkennen können.

Gartner-Analysten weisen darauf hin, dass KI-gestützte Werbesysteme zunehmend auch mit synthetischen Daten und modellierten Nutzerprofilen arbeiten — also mit statistischen Zwillingen echter Personen, die kein individuelles Tracking erfordern, aber dennoch präzise Zielgruppen abbilden sollen. Ob diese Methode tatsächlich datenschutzkonform ist oder nur die Kontrolle weiter vom Nutzer wegverlagert, wird in Fachkreisen kontrovers diskutiert.

Die Vernetzung verschiedener KI-Systeme macht das Thema zusätzlich komplex. Dieselben Algorithmen, die in der Werbewirtschaft eingesetzt werden, finden sich in anderen Kontexten wieder — etwa wenn KI im Call-Center-Bereich Kundengespräche automatisiert und analysiert oder wenn kriminelle Akteure KI für automatisiertes Phishing und gezielte Angriffe nutzen. Die technologischen Grundlagen sind oft dieselben — der Unterschied liegt im Verwendungszweck und der Regulierung.

Für Verbraucher bedeutet das: Passiver Datenschutz reicht nicht. Die aktive Auseinandersetzung mit Cookie-Einstellungen, die regelmäßige Nutzung von Auskunftsrechten gegenüber Unternehmen und das Bewusstsein für technische Tracking-Methoden jenseits des klassischen Cookies sind notwendige Voraussetzungen, um im Netz nicht zum reinen Datenpunkt zu werden. Die gesetzlichen Instrumente dafür existieren — ihre Nutzung bleibt jedoch bislang einer informierten Minderheit vorbehalten.