Sie suchten doch braune Wanderschuhe? Oder vielleicht einen passenden Rucksack? Eine praktische Regenjacke? – Man könnte es das Zalando-Gefühl nennen. Kaum hat man ein wenig ziellos in einem Online-Shop wie eben Zalando gestöbert, schon scheint das ganze Internet aus persönlichen Werbebannern zu bestehen. Und die zeigen immer genau die Produkte, für die man sich kurz vorher interessiert hatte. Gegenwehr ist möglich, aber mitunter aufwendig.

Re-Targeting heißt das im Fachjargon der Werbebranche. Gemeint ist, dass dem potenziellen Kunden nach einer bereits erfolgten Suche immer wieder das vermeintliche Objekt seiner Begierde unter die Nase gehalten wird. Es funktioniert, indem Shops und Suchmaschinen Cookies in den Browser des Nutzers setzen, also kleine Datenkrümel, anhand derer der Kunde später wiedererkannt werden kann. Dass die Werbewirtschaft mit diesen Krümeln nicht knauserig ist, zeigen Programme wie Ghostery , die alle Cookie-Annäherungsversuche von sogenannten Drittanbietern sichtbar machen.

Das Ergebnis ist beeindruckend: Schon nach einer Stunde normalem Alltags-Surfen – ein paar Newsseiten, bei Buchhändlern, Suchmaschinen, Shops, Blogs – hätte sich der Browser Dutzende neuer Cookies eingefangen. Auch ZEIT ONLINE verwendet Cookies, wie in unserer Datenschutzerklärung beschrieben . Etliche der im Selbsttest entdeckten Cookies gehören zu Facebook und Google , andere zu Dienstleistern und Marketingfirmen wie Webtrekk oder nugg.ad, das der Deutschen Post DHL gehört. Was wollen die alle?

"Für die Nutzer ist es fast unmöglich", sagt Dan Auerbach von der Electronic Frontier Foundation (EFF), "überhaupt noch zu durchschauen, welche Cookies wofür benötigt werden." Zwar lassen sich die Cookies im Browser mit wenigen Klicks löschen, aber was genau sie wem bereits mitgeteilt haben oder welche Super-Cookies im Hintergrund trotzdem weiter die Wege des Nutzers durchs Netz protokollieren, bleibt völlig undurchsichtig. Die EFF, die sich nicht nur in den USA für Verbraucherrechte einsetzt, fordert deshalb, dass Browser die Privatsphäre besser schützen sollten, zum Beispiel durch den Do-Not-Track-Modus , der Webseiten mitteilt, dass der Nutzer nicht verfolgt werden möchte.

Den deutschen Datenschützern geht das nicht weit genug. Ihnen sind alle Cookies, die nicht lediglich dem reibungslosen Funktionieren einer Website dienen, ein Dorn im Auge. Die Unternehmen hätten sich längst angewöhnt, die Nutzer mit ausgefeilten Methoden systematisch auszuspionieren. Das fange bei Zählpixeln an und höre bei Predictive Behavioral Targeting (also dem zwecks Kaufprognose geschickten Kombinieren von Einzelnutzerdaten mit Umfragen und Registrierungsdaten) auf. "Das Ergebnis sind Nutzerprofile, die zur gezielten Ansprache dienen oder lukrativ an Dritte verkauft werden", stellte der Verbraucherzentrale Bundesverband (vzbv) kürzlich noch einmal klar.

Der Verband drängt deshalb darauf, dass die EU-Richtlinie 2009/136/EG endlich in Deutschland umgesetzt und das Tracking strenger reguliert wird. Zukünftig solle nicht mehr opt-out gelten, sondern opt-in . Dass die Bundesregierung das mit Hinweis auf den ohnehin strengen deutschen Datenschutz bislang ablehnt, findet vzbv-Referentin Michaela Zinke kein hinreichendes Argument: "Die EU-Richtlinie sagt ganz klar, dass es eine Einwilligung geben muss, bevor ein Cookie zur Profilbildung gesetzt werden darf."

Genau hier beginnt die Haarspalterei. Wer sagt überhaupt, dass die durch Cookies übermittelten Informationen "personengebundene Daten" seien, argumentiert die Werbewirtschaft. Alexander Gösswein, Managing Director bei der Agentur Criteo, die für Onlineshops personalisiertes Re-Targeting umsetzt, betont, dass seine Firma "keinerlei Rückschlüsse auf die Person hinter einem bestimmten Browser" ziehen könne. "Weder Name, Wohnort, Geschlecht oder Interessen noch sonst irgendwelche personenbezogenen Daten werden von uns gespeichert oder verwendet." Außerdem lassen sich die personalisierten Criteo-Anzeigen sehr einfach deaktivieren, eine kleine Infoschaltfläche, die in jedes Banner eingebaut ist, macht es möglich. "Wir sind stets ein Vorreiter in Sachen Transparenz und Datenschutz gewesen", sagt Gösswein.

Grenzen müssten sehr genau beschrieben werden

Dass nicht neue staatliche Regularien, sondern transparente Praktiken die Lösung sind, betonen auch andere in der Branche. "Unsere Analysemethoden gehen mit dem deutschen Datenschutz konform", sagt Alexander Schreiber, Produktmanager bei Mindlab, einer Software-Firma aus Stuttgart , die sich auf Webanalyse spezialisiert hat. Das Cookie ist dabei nur ein Baustein, Mindlab könnte notfalls auch ohne auskommen. "Wir haben ein patentiertes Verfahren entwickelt", erklärt Schreiber, "bei dem eine Software-Komponente vor den Webserver geschaltet wird, der den Content bereit stellt". Die Software schreibt den gesamten eingehenden und ausgehenden Datenstrom mit und wertet ihn aus, ohne dass IP-Adressen gespeichert oder Cookies gesetzt werden. Stattdessen setzt Mindlab eine sogenannte Reverse-Proxy-Technologie und das "URL-Rewriting" ein, bei der die Session eines einzelnen Nutzers direkt in den URL eingeschrieben wird.

Dass es dennoch Grauzonen und fragwürdige Praktiken gibt, bestreiten auch Werbefachleute nicht. Nugg.ad-Geschäftsführer Stephan Noller, der außerdem bei der EU in Brüssel die Interessen der Internetwirtschaft vertritt, hält das Cookie grundsätzlich für ein "spannendes Instrument, auch weil es der User kontrollieren und löschen kann". Die im Verborgenen agierenden Super-Cookies oder Flash-Cookies dagegen seien inakzeptabel. "Deshalb hat sich der Dachverband der europäischen Internetindustrie IAB davon auch klar distanziert."

Trotzdem, räumt er ein, gäbe es die Problematik der unerlaubten Datenverknüpfung und möglichen Profilbildung im Zusammenhang mit Kundentracking. "Die gemeinsame Aufgabe von Politik, Datenschützern und Industrie", meint Noller, "wird darin bestehen, die Grenzen dessen, was erlaubt ist, sehr genau zu beschreiben". Und die Gesetze müssten dann für alle gelten, für europäische Unternehmen genauso wie für amerikanische.

Nicht nur über Cookies ist ein Wiedererkennen möglich

In den USA ist die Tracking-Debatte mittlerweile in der Öffentlichkeit angekommen. Erst vor einigen Wochen hatte Google Schlagzeilen gemacht, weil es das Drittanbieter-Cookie-Verbot von Apple im Safari-Browser zu umgehen versuchte. "Einerseits gibt es immensen Druck im Markt, immer mehr Daten über die Kunden zu sammeln", sagt Dan Auerbach. "Andererseits fürchten Firmen wie Google durchaus, dass Anti-Tracking-Gesetze verabschiedet werden könnten."

Dabei geht es nicht allein um Cookies. Die EFF hat vor einiger Zeit schon darauf hingewiesen, dass die Wiedererkennung eines einzelnen Browsers auch anhand eines "Browser-Fingerabdrucks" möglich ist, allein aus den zahlreichen Infoschnipseln, die der Browser bei jedem Seitenaufruf mitliefert. "Es ist schwer zu sagen, was genau welche Werbenetzwerke tatsächlich auswerten, aber die technischen Möglichkeiten gibt es auf jeden Fall."

Das Internet sei ein datengetriebenes Medium, sagt Lobbyist Noller, "und alle funktionierenden Geschäftsmodelle haben mit Werbung zu tun". "Für werbetreibende Unternehmen", ergänzt Manager Gösswein, "ist es dabei natürlich wichtig zu wissen, dass sie ihre Zielgruppe mit ihrer Botschaft auch erreichen können". Nur unter diesen Umständen seien sie bereit, weiterhin in Online-Werbung zu investieren. "Dem Nutzer muss klar sein, dass er mit Daten zahlt", sagt auch Verbraucherschützerin Michaela Zinke. "Aber ich möchte entscheiden können, ob ich den Preis, den ich zahlen soll, noch angemessen finde."

In dieser Legislaturperiode sei vermutlich nicht mehr mit einem Cookie-Gesetz zu rechnen, meint Zinke. Vorerst bleibt dem Verbraucher damit nur der Selbstschutz. Möglichkeiten gibt es: Browsereinstellungen ändern, Plug-ins nutzen, Säuberungsprogramme wie BetterPrivacy installieren. Die TU Berlin hat außerdem eine Cookie-Suchmaschine aufgesetzt, dort kann man die Adresse einer Website eingeben und sich anzeigen lassen, wie viele Cookies diese Seite setzen will. Der Test mit ZEIT ONLINE ergibt: 1 Erstanbieter-, 5 Drittanbieter-Cookies. Bei Zalando sind es 5 Erstanbieter- und stolze 45 Drittanbieter-Cookies.