Wie kommt es eigentlich, dass so viele Werbebanner im Netz genau den Fernseher oder die Turnschuhe anzeigen, die man kurz zuvor bei einem Onlinehändler angeklickt hat? Die Antwort lautet „Webtracker“ – kleine Programme, die jeden Schritt der Nutzer im Netz protokollieren.
Marketingfirmen bieten sie den Betreibern von Webseiten an, damit diese Informationen über ihre Besucher sammeln können. Wie verbreitet diese Technologien sind und dass viele Anbieter ihre Kunden nur unzureichend über deren Einsatz informieren, zeigt eine exklusive Analyse des Hamburger Datenschutzunternehmens eBlocker für die FUNKE Zentralredaktion in Berlin.
Lücke in Datenschutzerklärungen
Grundsätzlich ist die Nutzung von Webtrackern erlaubt. Nach Angaben des Bayerischen Landesamts für Datenschutzaufsicht müssten Website-Betreiber aber jeden verwendeten Tracker sowie deren Hersteller benennen und jeweils eine Widerspruchsmöglichkeit, „Opt-out“ genannt, anbieten. Die Stichproben der Webseiten Esprit.de, hm.com/de, tchibo.de, conrad.de, cyberport.de und mytoys.de – erhoben im November – zeigen aber: Webtracker werden zwar vielfach genutzt, die jeweilige Nennung und Opt-out-Möglichkeiten sind aber oft lückenhaft.
„Wir wissen, dass im Shoppingbereich auf Webseiten regelmäßig neue Tracker dazukommen und andere rausgenommen werden. Da mag es sicher mal vorkommen, dass die Datenschutzerklärung der Seite nicht auf dem aktuellsten Stand ist. Aber hier ist die Lücke zwischen verwendeten und korrekt deklarierten Webtrackern schon erschreckend“, sagt eBlocker-Gründer Christian Bennefeld.
Am größten war die Diskrepanz laut der Stichprobe bei conrad.de: Von 49 gefundenen Webtrackern sei Bennefeld zufolge nur eine Handvoll korrekt in der Datenschutzerklärung genannt und mit einer funktionierenden Methode zum Widerspruch versehen worden. Auch bei Cyberport, Tchibo, Weltbild und Esprit wies die Analyse teils mehr als 30 Schnüffelprogramme aus – die wenigsten davon korrekt deklariert und mit Widerspruchsmöglichkeit versehen.
Viele Verbraucher bleiben untätig
Eine länderübergreifende Studie für das „Harvard Business Journal“ zeigte im Jahr 2015, dass die Deutschen im internationalen Vergleich zwar am stärksten um ihre Daten besorgt sind, gleichzeitig aber am wenigsten darüber wissen, welche Daten von Websites und sozialen Netzwerken tatsächlich abgeschöpft werden.
Nur wenige Verbraucher nehmen den Schutz ihrer Daten selbst in die Hand: Sie nutzen den Privat- oder Inkognitomodus ihres Browsers, aktivieren außerdem die „Do not Track“-Option, die Webseiten mitteilt, dass man nicht von Webtrackern erfasst werden möchte. Und sie löschen regelmäßig die Cookies auf ihrem Computer.
Gelöschte Cookies erstehen wieder auf
Cookies heißen die kleinen Datenpakete, die Webseiten auf dem Computer von Anwendern hinterlegen. Der Website-Anbieter braucht diese, um Nutzereinstellungen zu speichern oder den Inhalt eines Warenkorbs. Doch auch die auf den Webseiten eingebundenen Webtracker hinterlegen Cookies auf dem Gerät des Nutzers, um das Surfverhalten der Nutzer aufzeichnen zu können. Solche Cookies nennt man Drittanbieter-Cookies – sie können in bestimmten Browsern blockiert oder gelöscht werden.
Privatmodus, blocken, löschen – mit diesen Vorkehrungen wähnen sich Nutzer in Datenschutzbelangen auf der sicheren Seite. Ein Irrtum, so Bennefeld. An die „Do not track“-Vorgabe hielten sich die wenigsten Tracking-Unternehmen. Die Browser-Sperre für Cookies von Drittanbietern wird ausgehebelt, indem Anbieter ihre Cookies einfach als harmlose Website-Cookies tarnen.
Und selbst wenn die kleinen Datenpakete vom Nutzer gelöscht werden, eine Technik namens „Cookie-Respawning“ lässt sie wieder auferstehen, erklärt Bennefeld. „Die Datenpakete werden eben nicht nur an dem vom Browser vorgesehenen Ort gespeichert. Ähnliche Pakete werden meist auch über Browser-Plug-ins wie Flash, Silverlight und andere gespeichert. Bleibt auch nur eines davon unentdeckt, werden die anderen Cockies daraus wieder hergestellt.“
„Fingerprinting“ noch einfacher
Tracking-Anbieter machen aus solchen Methoden keinen Hehl: Das Unternehmen Criteo, dessen Tracker auch in den meisten Stichproben auftauchte, bewirbt auf seiner Website ganz offen, wie „ein kleines Stückchen Programmcode […] einen anonymen und nur schwer zu entdeckenden Browser-Cookie bei jedem User [platziert], der eure Website besucht“.
Das sei nur die Spitze des Eisbergs, sagt Bennefeld. „Man braucht heute gar keine Cookies mehr, um Nutzer wiederzuerkennen. Mit Techniken wie ‚Fingerprinting‘ können Webtracker einen Computer oder ein Smartphone zweifelsfrei identifizieren, ohne dass irgendwelche Daten auf dessen Gerät gespeichert werden müssen.“
Selbst Tor-Browser nicht sicher
Beim sogenannten ‚Canvas Fingerprinting‘ etwa lässt der Webtracker für den Nutzer unsichtbar per Software Schriftzeichen und Formen vom Computer zeichnen. Das Ergebnis wird in einer Bilddatei gespeichert. Diese unterscheidet sich von Rechner zu Rechner minimal, sodass ein Computer immer wiedererkannt werden kann, egal in welchem Browser der Nutzer unterwegs ist. Selbst Nutzer des IP-verschleiernden Tor-Browsers sind nicht sicher.
So können Tracking-Unternehmen die Nutzer geräteübergreifend durchs Netz verfolgen und wissen, was Nutzer wo einkaufen, welche politischen Webseiten sie besuchen, welche Krankheiten sie googlen und welche sexuellen Vorlieben sie haben – eine Goldgrube für Datenhändler.
Deanonymisierung von Daten: Conrad erklärt sich
Selbst die letzte vermeintliche Gewissheit, dass diese Daten nur anonymisiert gehandelt werden dürfen, ist laut Bennefeld wenig wert: „Internationale Datenhändler tauschen ihre Informationen untereinander aus und reichern ihre Datensätze gegenseitig an. Auf diese Weise können etwa die E-Mail-Adresse eines Nutzers aus der einen Quelle mit eigentlich anonymisierten Surfgewohnheiten und Informationen zu Kaufkraft zusammengeführt und so deanonymisiert werden.“
In diesem Licht erscheint die laxe Pflege der Datenschutzseiten bei den untersuchten Webshops alarmierend. Mit den Ergebnissen der eBlocker-Stichprobe konfrontiert, erklärt Conrad, dass eine Nennung und eine damit verbundene Widerspruchsmöglichkeit „nicht in allen Fällen zwingend erforderlich“ sei. Man habe sich über einen „externen Datenschutzbeauftragten mit dem zuständigen Landesamt für Datenschutzaufsicht dahin abgestimmt, dass Tracker auch mittels zentralen Opt-out […] deaktiviert werden können“.
Nutzern bleibt viel Arbeit mit ihrem Datenschutz
Zuständig ist in diesem Fall das Bayerische Landesamt für Datenschutzaufsicht. Und das erklärt auf Nachfrage, dass ein Verweis auf zentrale Opt-out-Listen „nicht ausreichend“ sei, da das Opt-out-Verfahren dort erfahrungsgemäß nicht korrekt umgesetzt werde: „Wir können daher nicht nachvollziehen, weshalb das genannte Unternehmen davon ausgeht, dass der derzeitige Einsatz von Webtracking-Diensten mit uns abgestimmt sei“, sagt Andreas Sachs vom Bayerischen Landesamt für Datenschutzaufsicht. Man wolle sich dieser Frage zeitnah annehmen und mögliche Missverständnisse ausräumen.
Für Nutzer bleibt es vorerst mit viel Arbeit verbunden, ihre Daten zu schützen. Für eine Verbesserung der Situation könnte die ePrivacy-Richtlinie der EU sorgen, sagt Christian Bennefeld: „Ich würde mir wünschen, dass der Gesetzgeber eine Regelung trifft, nach der ich mit nur einem Klick überall wirksam widersprechen kann.“