Tracking-Cookies : Die tägliche Verfolgungsjagd

Wer sich vor Tracking schützen will, ist auf sich selbst gestellt. Ein Cookie-Gesetz ist nicht in Sicht. Dabei werden die Methoden zur Profilbildung immer ausgefeilter.
Das Firefox-Add-on "Do Not Track Plus" in Aktion © Screenshot ZEIT ONLINE

Sie suchten doch braune Wanderschuhe? Oder vielleicht einen passenden Rucksack? Eine praktische Regenjacke? – Man könnte es das Zalando-Gefühl nennen. Kaum hat man ein wenig ziellos in einem Online-Shop wie eben Zalando gestöbert, schon scheint das ganze Internet aus persönlichen Werbebannern zu bestehen. Und die zeigen immer genau die Produkte, für die man sich kurz vorher interessiert hatte. Gegenwehr ist möglich, aber mitunter aufwendig.

Re-Targeting heißt das im Fachjargon der Werbebranche. Gemeint ist, dass dem potenziellen Kunden nach einer bereits erfolgten Suche immer wieder das vermeintliche Objekt seiner Begierde unter die Nase gehalten wird. Es funktioniert, indem Shops und Suchmaschinen Cookies in den Browser des Nutzers setzen, also kleine Datenkrümel, anhand derer der Kunde später wiedererkannt werden kann. Dass die Werbewirtschaft mit diesen Krümeln nicht knauserig ist, zeigen Programme wie Ghostery , die alle Cookie-Annäherungsversuche von sogenannten Drittanbietern sichtbar machen.

Das Ergebnis ist beeindruckend: Schon nach einer Stunde normalem Alltags-Surfen – ein paar Newsseiten, bei Buchhändlern, Suchmaschinen, Shops, Blogs – hätte sich der Browser Dutzende neuer Cookies eingefangen. Auch ZEIT ONLINE verwendet Cookies, wie in unserer Datenschutzerklärung beschrieben . Etliche der im Selbsttest entdeckten Cookies gehören zu Facebook und Google , andere zu Dienstleistern und Marketingfirmen wie Webtrekk oder nugg.ad, das der Deutschen Post DHL gehört. Was wollen die alle?

"Für die Nutzer ist es fast unmöglich", sagt Dan Auerbach von der Electronic Frontier Foundation (EFF), "überhaupt noch zu durchschauen, welche Cookies wofür benötigt werden." Zwar lassen sich die Cookies im Browser mit wenigen Klicks löschen, aber was genau sie wem bereits mitgeteilt haben oder welche Super-Cookies im Hintergrund trotzdem weiter die Wege des Nutzers durchs Netz protokollieren, bleibt völlig undurchsichtig. Die EFF, die sich nicht nur in den USA für Verbraucherrechte einsetzt, fordert deshalb, dass Browser die Privatsphäre besser schützen sollten, zum Beispiel durch den Do-Not-Track-Modus , der Webseiten mitteilt, dass der Nutzer nicht verfolgt werden möchte.

Den deutschen Datenschützern geht das nicht weit genug. Ihnen sind alle Cookies, die nicht lediglich dem reibungslosen Funktionieren einer Website dienen, ein Dorn im Auge. Die Unternehmen hätten sich längst angewöhnt, die Nutzer mit ausgefeilten Methoden systematisch auszuspionieren. Das fange bei Zählpixeln an und höre bei Predictive Behavioral Targeting (also dem zwecks Kaufprognose geschickten Kombinieren von Einzelnutzerdaten mit Umfragen und Registrierungsdaten) auf. "Das Ergebnis sind Nutzerprofile, die zur gezielten Ansprache dienen oder lukrativ an Dritte verkauft werden", stellte der Verbraucherzentrale Bundesverband (vzbv) kürzlich noch einmal klar.

Der Verband drängt deshalb darauf, dass die EU-Richtlinie 2009/136/EG endlich in Deutschland umgesetzt und das Tracking strenger reguliert wird. Zukünftig solle nicht mehr opt-out gelten, sondern opt-in . Dass die Bundesregierung das mit Hinweis auf den ohnehin strengen deutschen Datenschutz bislang ablehnt, findet vzbv-Referentin Michaela Zinke kein hinreichendes Argument: "Die EU-Richtlinie sagt ganz klar, dass es eine Einwilligung geben muss, bevor ein Cookie zur Profilbildung gesetzt werden darf."

Genau hier beginnt die Haarspalterei. Wer sagt überhaupt, dass die durch Cookies übermittelten Informationen "personengebundene Daten" seien, argumentiert die Werbewirtschaft. Alexander Gösswein, Managing Director bei der Agentur Criteo, die für Onlineshops personalisiertes Re-Targeting umsetzt, betont, dass seine Firma "keinerlei Rückschlüsse auf die Person hinter einem bestimmten Browser" ziehen könne. "Weder Name, Wohnort, Geschlecht oder Interessen noch sonst irgendwelche personenbezogenen Daten werden von uns gespeichert oder verwendet." Außerdem lassen sich die personalisierten Criteo-Anzeigen sehr einfach deaktivieren, eine kleine Infoschaltfläche, die in jedes Banner eingebaut ist, macht es möglich. "Wir sind stets ein Vorreiter in Sachen Transparenz und Datenschutz gewesen", sagt Gösswein.

Grenzen müssten sehr genau beschrieben werden

Dass nicht neue staatliche Regularien, sondern transparente Praktiken die Lösung sind, betonen auch andere in der Branche. "Unsere Analysemethoden gehen mit dem deutschen Datenschutz konform", sagt Alexander Schreiber, Produktmanager bei Mindlab, einer Software-Firma aus Stuttgart , die sich auf Webanalyse spezialisiert hat. Das Cookie ist dabei nur ein Baustein, Mindlab könnte notfalls auch ohne auskommen. "Wir haben ein patentiertes Verfahren entwickelt", erklärt Schreiber, "bei dem eine Software-Komponente vor den Webserver geschaltet wird, der den Content bereit stellt". Die Software schreibt den gesamten eingehenden und ausgehenden Datenstrom mit und wertet ihn aus, ohne dass IP-Adressen gespeichert oder Cookies gesetzt werden. Stattdessen setzt Mindlab eine sogenannte Reverse-Proxy-Technologie und das "URL-Rewriting" ein, bei der die Session eines einzelnen Nutzers direkt in den URL eingeschrieben wird.

Dass es dennoch Grauzonen und fragwürdige Praktiken gibt, bestreiten auch Werbefachleute nicht. Nugg.ad-Geschäftsführer Stephan Noller, der außerdem bei der EU in Brüssel die Interessen der Internetwirtschaft vertritt, hält das Cookie grundsätzlich für ein "spannendes Instrument, auch weil es der User kontrollieren und löschen kann". Die im Verborgenen agierenden Super-Cookies oder Flash-Cookies dagegen seien inakzeptabel. "Deshalb hat sich der Dachverband der europäischen Internetindustrie IAB davon auch klar distanziert."

Trotzdem, räumt er ein, gäbe es die Problematik der unerlaubten Datenverknüpfung und möglichen Profilbildung im Zusammenhang mit Kundentracking. "Die gemeinsame Aufgabe von Politik, Datenschützern und Industrie", meint Noller, "wird darin bestehen, die Grenzen dessen, was erlaubt ist, sehr genau zu beschreiben". Und die Gesetze müssten dann für alle gelten, für europäische Unternehmen genauso wie für amerikanische.

Nicht nur über Cookies ist ein Wiedererkennen möglich

In den USA ist die Tracking-Debatte mittlerweile in der Öffentlichkeit angekommen. Erst vor einigen Wochen hatte Google Schlagzeilen gemacht, weil es das Drittanbieter-Cookie-Verbot von Apple im Safari-Browser zu umgehen versuchte. "Einerseits gibt es immensen Druck im Markt, immer mehr Daten über die Kunden zu sammeln", sagt Dan Auerbach. "Andererseits fürchten Firmen wie Google durchaus, dass Anti-Tracking-Gesetze verabschiedet werden könnten."

Dabei geht es nicht allein um Cookies. Die EFF hat vor einiger Zeit schon darauf hingewiesen, dass die Wiedererkennung eines einzelnen Browsers auch anhand eines "Browser-Fingerabdrucks" möglich ist, allein aus den zahlreichen Infoschnipseln, die der Browser bei jedem Seitenaufruf mitliefert. "Es ist schwer zu sagen, was genau welche Werbenetzwerke tatsächlich auswerten, aber die technischen Möglichkeiten gibt es auf jeden Fall."

Das Internet sei ein datengetriebenes Medium, sagt Lobbyist Noller, "und alle funktionierenden Geschäftsmodelle haben mit Werbung zu tun". "Für werbetreibende Unternehmen", ergänzt Manager Gösswein, "ist es dabei natürlich wichtig zu wissen, dass sie ihre Zielgruppe mit ihrer Botschaft auch erreichen können". Nur unter diesen Umständen seien sie bereit, weiterhin in Online-Werbung zu investieren. "Dem Nutzer muss klar sein, dass er mit Daten zahlt", sagt auch Verbraucherschützerin Michaela Zinke. "Aber ich möchte entscheiden können, ob ich den Preis, den ich zahlen soll, noch angemessen finde."

In dieser Legislaturperiode sei vermutlich nicht mehr mit einem Cookie-Gesetz zu rechnen, meint Zinke. Vorerst bleibt dem Verbraucher damit nur der Selbstschutz. Möglichkeiten gibt es: Browsereinstellungen ändern, Plug-ins nutzen, Säuberungsprogramme wie BetterPrivacy installieren. Die TU Berlin hat außerdem eine Cookie-Suchmaschine aufgesetzt, dort kann man die Adresse einer Website eingeben und sich anzeigen lassen, wie viele Cookies diese Seite setzen will. Der Test mit ZEIT ONLINE ergibt: 1 Erstanbieter-, 5 Drittanbieter-Cookies. Bei Zalando sind es 5 Erstanbieter- und stolze 45 Drittanbieter-Cookies.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

31 Kommentare Seite 1 von 5 Kommentieren

Empfehlenswert

sind auch noch:

Cookie Monster:
https://addons.mozilla.or...

Adblock Plus:
https://addons.mozilla.or...

ggf. Privacy + und Universal Behavioral Advertising Opt-out:
https://addons.mozilla.or...
https://addons.mozilla.or...

PrivacySuite:
https://addons.mozilla.or...

TrackMeNot:
https://addons.mozilla.or...

Anonymox:
https://addons.mozilla.or...

CsFire:
https://addons.mozilla.or...

Usw. usf.

Fazit: Mit augerüstetem Feuerfuchs geht einiges! ;-)

Hansi II

"Warum kann ich den Verursacher, der meine - bezahlte - Leitungskapazität für seine niederen Zwecke nutzt, nicht verklagen oder abmahnen?"

Na ja, Sie machen es sich schon etwas einfach, oder? Das Internet ist für Sie zum größten Teil kostenlos. Sie dürfen kostenlos ZEIT-Online lesen, Sie dürfen kostenlos Wetter.de, wetter.com nutzen, kostenlos Fahrbahnauskünfte nutzen, Staumeldungen abrufen und dergleichen Dinge mehr. Irgendeiner muss das alles aber irgendwie Ihnen zur Verfügung stellen, damit Sie es kostenlos nutzen dürfen. Und das kostet nun mal Geld. Und das holen sich die Anbieter dieser Seiten halt über Werbung wieder.

Wissen Sie, wieviel Rechner Google, Amazon, Facebook und Co. stehen haben, damit Sie alles kostenlos nutzen können? Am Ende kostet eben doch alles irgendwie Geld und somit müssen wir, die wir alles kostenlos nutzen wollen, eben mit Werbung, Tracking-Systemen und dergleichen Dinge mehr leben. Eigentlich ganz einfach. Ausreden? Aus meiner Sicht gibt es keine.

Nicht ganz

"7. Bei der Zeit zahle ich für die Printausgabe, Amazon verteilt

nichts kostenlos, sondern will als Händler was verkaufen und wer bei Facebook mitmacht, ist es eigentlich selber Schuld."

Ich habe die Printausgabe auch im Abo, trotzdem können Sie theoretisch diese umsonst nutzen. Und ich gehe davon aus, der Großteil der hier lesenden und auch kommetierenden Nutzer tut dies (was man leider auch an der Qualität einiger Kommentare sehen kann.). Amazon stellt Rechnerkapazität für andere zur Verfügung, natürlich gegen Entgelt. Es gibt keine Ausreden. Das Internet ist größtenteils kostenlos und irgendjemand muss den Spaß bezahlen. Und am Ende tun wir das alle über Werbung. Wir könnten ja auch akzeptieren, dass ab sofort alles im Netz kostet. Bloß da weiß ich sehr sicher, wer als erstes auf die Barikaden gehen würde. Wir alle.

Werbung ungleich Tracking

Wie es im Artikel auch beschrieben wurde, steht es außer frage, dass das Netz großteils über Werbung finanziert wird. Jedoch stellt sich die Frage, wie weit diese gehen darf.

Gegen Bannerwerbung oder derartiges im Hintergrund kann man wohl wenig einwenden. Letztendlich ist diese aber auch die effektloseste, da die eh niemand beachtet (ich jedenfalls nicht).

Bei Cookies und Tracking geht es jedoch viel mehr darum, dass mir der Preis, den ich dadurch bezahle, um das Netz zu nutzen, einfach zu hoch ist. Cookies und Tracker werden bei mir blockiert, genau wie die aufdringlichen Werbebanner. Google & Co machen ja augenscheinlich auch so sehr gute Gewinne, da immer noch Werbung und Nutzerverhalten genutzt wird.

Jedoch garantieren mir die kleinen Tools, die ich in meinem Browser habe, dass die wenigen Daten so weit es geht anonym bleiben.

Community und Hacker-Ethik

Es gibt einen Lichtblick. Das Internet ist nicht bloß datengetrieben, sondern es lebt auch zu einem großen Teil vom Idealismus bestimmter Leute.

Ein Beispiel ist die gesamte Open-Source-Welt. Hier wird mit viel Idealismus gearbeitet. Auch die Entwickler von Ghostery werden sicher nicht demnächst für Milliarden an die Börse gehen.

Die Entwicklung von Innovationen lässt sich nicht durch Geld und Gewinnaussichten erzwingen bzw. Steuern. Es ist immer die Kreativität der Köpfe die bestimmte Dinge erst möglich macht.

Natürlich kostet der Betrieb von Servern Geld, aber das Ausspionieren der User ist nicht die einzige Möglichkeit die Kosten zu decken. Wie wäre es, wenn Google ein Abo böte, das gegen eine bestimmte Gebühr jegliches Tracking und jegliche Werbung ausschließt.
Hier sollen nicht die zahlenden Kunden bezüglich Inhalt privilegiert werden. Man schließt einfach einen alternativen Deal mit den Internetdienstleistern.

a; Ich nutze das Service gratis, dafür zeigt ihr mir Werbung.

b; Ich bezahle für das Angebot, dafür unterlasst ihr jegliches Tracking und alle Daten über mich gehören mir und ihr habt kein Recht diese zu nutzen. Die Zeitung die ich abonniere schickt ja auch nicht die Werbung Dritter an meine Adresse.

Die Nutzer haben eine große Macht, da sich die Werbeeinnahmen bzw. der Wert der Nutzerprofile nach Anzahl der User und nach Umfang der Daten richtet.

So ist der, der nicht alle seine Netzaktivitäten über Google abwickelt ist für Google im Verkauf weniger wert.