Tracking-CookiesDie tägliche Verfolgungsjagd

Wer sich vor Tracking schützen will, ist auf sich selbst gestellt. Ein Cookie-Gesetz ist nicht in Sicht. Dabei werden die Methoden zur Profilbildung immer ausgefeilter. von Astrid Herbold

Das Firefox-Add-on "Do Not Track Plus" in Aktion

Das Firefox-Add-on "Do Not Track Plus" in Aktion  |  © Screenshot ZEIT ONLINE

Sie suchten doch braune Wanderschuhe? Oder vielleicht einen passenden Rucksack? Eine praktische Regenjacke? – Man könnte es das Zalando-Gefühl nennen. Kaum hat man ein wenig ziellos in einem Online-Shop wie eben Zalando gestöbert, schon scheint das ganze Internet aus persönlichen Werbebannern zu bestehen. Und die zeigen immer genau die Produkte, für die man sich kurz vorher interessiert hatte. Gegenwehr ist möglich, aber mitunter aufwendig.

Re-Targeting heißt das im Fachjargon der Werbebranche. Gemeint ist, dass dem potenziellen Kunden nach einer bereits erfolgten Suche immer wieder das vermeintliche Objekt seiner Begierde unter die Nase gehalten wird. Es funktioniert, indem Shops und Suchmaschinen Cookies in den Browser des Nutzers setzen, also kleine Datenkrümel, anhand derer der Kunde später wiedererkannt werden kann. Dass die Werbewirtschaft mit diesen Krümeln nicht knauserig ist, zeigen Programme wie Ghostery , die alle Cookie-Annäherungsversuche von sogenannten Drittanbietern sichtbar machen.

Anzeige

Das Ergebnis ist beeindruckend: Schon nach einer Stunde normalem Alltags-Surfen – ein paar Newsseiten, bei Buchhändlern, Suchmaschinen, Shops, Blogs – hätte sich der Browser Dutzende neuer Cookies eingefangen. Auch ZEIT ONLINE verwendet Cookies, wie in unserer Datenschutzerklärung beschrieben . Etliche der im Selbsttest entdeckten Cookies gehören zu Facebook und Google , andere zu Dienstleistern und Marketingfirmen wie Webtrekk oder nugg.ad, das der Deutschen Post DHL gehört. Was wollen die alle?

"Für die Nutzer ist es fast unmöglich", sagt Dan Auerbach von der Electronic Frontier Foundation (EFF), "überhaupt noch zu durchschauen, welche Cookies wofür benötigt werden." Zwar lassen sich die Cookies im Browser mit wenigen Klicks löschen, aber was genau sie wem bereits mitgeteilt haben oder welche Super-Cookies im Hintergrund trotzdem weiter die Wege des Nutzers durchs Netz protokollieren, bleibt völlig undurchsichtig. Die EFF, die sich nicht nur in den USA für Verbraucherrechte einsetzt, fordert deshalb, dass Browser die Privatsphäre besser schützen sollten, zum Beispiel durch den Do-Not-Track-Modus , der Webseiten mitteilt, dass der Nutzer nicht verfolgt werden möchte.

Cookies

Kleine Textdateien, in denen in erster Linie Datum und Uhrzeit gespeichert werden, wann ein Nutzer eine Seite besucht hat. Besucht er diese Seite erneut und hat den Cookie bis dahin nicht gelöscht, wird er von dem Server der Seite ausgelesen und verrät damit über längere Zeiträume, wie oft jemand wiederkommt. Notwendig sind sie beispielsweise bei Onlineshops, da nur so sicher gestellt werden kann, dass der Nutzer, der auf Seite A die Bestellung eingab der gleiche ist, der anschließend auf Seite B seine Bezahlinformationen eingibt.

Flash-Cookies

Dateien, die Angaben über den Rechner eines Nutzers enthalten und von Seiten mit Flash-Animationen erzeugt werden. Während klassische Cookies nur für einen bestimmten Browser wie Firefox gelten, sind Flash-Cookies browserunabhängig. Außerdem sind sie in der Größe nicht begrenzt. Normale Cookies können nur vier Kilobyte groß sein, für Flash-Cookies gilt diese Grenze nicht, weswegen sie sehr viel mehr Informationen übertragen können. Sie können nur über den Adobe-Einstellungsmanager oder über spezielle Programme und Add-ons wie Better Privacy gelöscht werden.

Eine besonders hartnäckige Cookie-Version sind die sogenannten Zombie-Cookies oder Evercookies. Sie kopieren sich an mehrere Stellen, auch in die Ordner für Flash-Cookies. Um sie zu entfernen, müssen sie in allen Ordnern gleichzeitig gelöscht werden. Andernfalls verteilen sie sich beim nächsten Aufruf der Website, von der sie stammen, wieder in alle vorherigen Ordner.

Beacons

Auch Zählpixel genannt, sind in Webseiten oder E-Mails eingebettete Bilddateien, die nur ein Pixel groß sind. Über die Kommunikationsdaten des Internetprotokolls verrät ihr Aufruf Uhrzeit, Browser, Betriebssystem und IP-Adresse des Nutzers. Hilfsprogramme können sie sichtbar machen oder gänzlich blockieren.

Drittanbieter-Cookies

Die permanenten Cookies lassen sich in zwei Gruppen unterteilen, in Erstanbieter- und Drittanbieter-Cookies: Erstanbieter-Cookies stammen von der Website, die ein Nutzer selbst angesteuert hat. Drittanbieter-Cookies werden von den Anzeigenkunden dieser Seite gesetzt. Und zwar auch ohne dass der User die Anzeige überhaupt angeklickt hat.

Den deutschen Datenschützern geht das nicht weit genug. Ihnen sind alle Cookies, die nicht lediglich dem reibungslosen Funktionieren einer Website dienen, ein Dorn im Auge. Die Unternehmen hätten sich längst angewöhnt, die Nutzer mit ausgefeilten Methoden systematisch auszuspionieren. Das fange bei Zählpixeln an und höre bei Predictive Behavioral Targeting (also dem zwecks Kaufprognose geschickten Kombinieren von Einzelnutzerdaten mit Umfragen und Registrierungsdaten) auf. "Das Ergebnis sind Nutzerprofile, die zur gezielten Ansprache dienen oder lukrativ an Dritte verkauft werden", stellte der Verbraucherzentrale Bundesverband (vzbv) kürzlich noch einmal klar.

Der Verband drängt deshalb darauf, dass die EU-Richtlinie 2009/136/EG endlich in Deutschland umgesetzt und das Tracking strenger reguliert wird. Zukünftig solle nicht mehr opt-out gelten, sondern opt-in . Dass die Bundesregierung das mit Hinweis auf den ohnehin strengen deutschen Datenschutz bislang ablehnt, findet vzbv-Referentin Michaela Zinke kein hinreichendes Argument: "Die EU-Richtlinie sagt ganz klar, dass es eine Einwilligung geben muss, bevor ein Cookie zur Profilbildung gesetzt werden darf."

Genau hier beginnt die Haarspalterei. Wer sagt überhaupt, dass die durch Cookies übermittelten Informationen "personengebundene Daten" seien, argumentiert die Werbewirtschaft. Alexander Gösswein, Managing Director bei der Agentur Criteo, die für Onlineshops personalisiertes Re-Targeting umsetzt, betont, dass seine Firma "keinerlei Rückschlüsse auf die Person hinter einem bestimmten Browser" ziehen könne. "Weder Name, Wohnort, Geschlecht oder Interessen noch sonst irgendwelche personenbezogenen Daten werden von uns gespeichert oder verwendet." Außerdem lassen sich die personalisierten Criteo-Anzeigen sehr einfach deaktivieren, eine kleine Infoschaltfläche, die in jedes Banner eingebaut ist, macht es möglich. "Wir sind stets ein Vorreiter in Sachen Transparenz und Datenschutz gewesen", sagt Gösswein.

Leserkommentare
  1. Es gibt einen Lichtblick. Das Internet ist nicht bloß datengetrieben, sondern es lebt auch zu einem großen Teil vom Idealismus bestimmter Leute.

    Ein Beispiel ist die gesamte Open-Source-Welt. Hier wird mit viel Idealismus gearbeitet. Auch die Entwickler von Ghostery werden sicher nicht demnächst für Milliarden an die Börse gehen.

    Die Entwicklung von Innovationen lässt sich nicht durch Geld und Gewinnaussichten erzwingen bzw. Steuern. Es ist immer die Kreativität der Köpfe die bestimmte Dinge erst möglich macht.

    Natürlich kostet der Betrieb von Servern Geld, aber das Ausspionieren der User ist nicht die einzige Möglichkeit die Kosten zu decken. Wie wäre es, wenn Google ein Abo böte, das gegen eine bestimmte Gebühr jegliches Tracking und jegliche Werbung ausschließt.
    Hier sollen nicht die zahlenden Kunden bezüglich Inhalt privilegiert werden. Man schließt einfach einen alternativen Deal mit den Internetdienstleistern.

    a; Ich nutze das Service gratis, dafür zeigt ihr mir Werbung.

    b; Ich bezahle für das Angebot, dafür unterlasst ihr jegliches Tracking und alle Daten über mich gehören mir und ihr habt kein Recht diese zu nutzen. Die Zeitung die ich abonniere schickt ja auch nicht die Werbung Dritter an meine Adresse.

    Die Nutzer haben eine große Macht, da sich die Werbeeinnahmen bzw. der Wert der Nutzerprofile nach Anzahl der User und nach Umfang der Daten richtet.

    So ist der, der nicht alle seine Netzaktivitäten über Google abwickelt ist für Google im Verkauf weniger wert.

  2. Sucht, nutzt, empfiehlt und unterstützt Alternativen.

    In einer klein strukturierten Internet-Umwelt ohne Monopolisten lassen sich schwarze Schafe schnell aussondern.

  3. Wenn Tracking verboten und darauf basierende Ads der Vergangenheit angehören, wird das Internet nicht mehr umsonst und frei sein. Ganz einfach. Ergo, Tracking ist ein notwendiges übel und solange, wie im Artikel geschildert, "keinerlei Rückschlüsse auf die Person hinter einem bestimmten Browser" gezogen werden kann und "weder Name, Wohnort, Geschlecht oder Interessen noch sonst irgendwelche personenbezogenen Daten" gespeichert werden und man diese Cookies auch jederzeit wieder loswerden kann sehe ich da auch überhaupt kein Problem.

    • ben_
    • 13. April 2012 14:15 Uhr

    Langfristig weißt Ghostery in die einzige wirkliche Lösung: Brechharter Datenschutz auf dem Client. Digitale Selbstverteidung. Cybernotwehr. Ich für meinen Teil habe obendrein noch einen Falsh-Blocker laufen, um Falsh-Cookies zu vermeiden.

    https://en.wikipedia.org/...

    • ben_
    • 13. April 2012 14:22 Uhr

    … wir haben hier in der Firma spaßeshalber mal eine Browserplugin gebaut, das prüft, ob irgendeine Anfrage an Google geht (Cookies, Zählpixel, API-Anfrage) … das Ergebnis ist ziemlich erschreckend. Es gibt außer den privatesten Seiten praktisch keine Sites im Netz, die nicht wenigsten mit einem HTTP-Request, etwas über meinen Besuch der Seite an Google weiterleiten. Google sieht alles. Echt.

  4. Wie es im Artikel auch beschrieben wurde, steht es außer frage, dass das Netz großteils über Werbung finanziert wird. Jedoch stellt sich die Frage, wie weit diese gehen darf.

    Gegen Bannerwerbung oder derartiges im Hintergrund kann man wohl wenig einwenden. Letztendlich ist diese aber auch die effektloseste, da die eh niemand beachtet (ich jedenfalls nicht).

    Bei Cookies und Tracking geht es jedoch viel mehr darum, dass mir der Preis, den ich dadurch bezahle, um das Netz zu nutzen, einfach zu hoch ist. Cookies und Tracker werden bei mir blockiert, genau wie die aufdringlichen Werbebanner. Google & Co machen ja augenscheinlich auch so sehr gute Gewinne, da immer noch Werbung und Nutzerverhalten genutzt wird.

    Jedoch garantieren mir die kleinen Tools, die ich in meinem Browser habe, dass die wenigen Daten so weit es geht anonym bleiben.

    Antwort auf "Nicht ganz"
  5. Ein Unding, dass sich Facebook, eBay und co merkt, was ich parallel mit meinem Browser mache. Wenn das wenigstens funktionieren würde mit der personalisierten Werbung aber wenn ich z.B. nach einer Kamera suche und sie dann kaufe und noch Monatelang Kamerawerbung bekomme dann ist das kein Gewinn.

    Es braucht hier dringend Gesetze gegen diese Schnüffeleien. Ich fühle mich von der Politik im Internet schon lange alleine gelassen. Alles was da kommt ist eine völlig bescheuerte Idee, Bildern ein Ablaufdatum zu verpassen. Von Datenschutz keine Rede. Im Gegenteil, man soll die Anonymität verlieren (die man ohnehin nie hatte)

    Wehren kann man sich natürlich indem man sich ausloggt und die Cookies löscht. Es bleibt aber eine in meinen Augen illegale Handlung von vielen Internetdienstleistern, wenn sie aufnehmen und verwerten, was man in seiner Privatsphäre (Browser) macht.

  6. sind auch noch:

    Cookie Monster:
    https://addons.mozilla.or...

    Adblock Plus:
    https://addons.mozilla.or...

    ggf. Privacy + und Universal Behavioral Advertising Opt-out:
    https://addons.mozilla.or...
    https://addons.mozilla.or...

    PrivacySuite:
    https://addons.mozilla.or...

    TrackMeNot:
    https://addons.mozilla.or...

    Anonymox:
    https://addons.mozilla.or...

    CsFire:
    https://addons.mozilla.or...

    Usw. usf.

    Fazit: Mit augerüstetem Feuerfuchs geht einiges! ;-)

    Antwort auf "Anti - Tracking"

Bitte melden Sie sich an, um zu kommentieren

Service