www.berlinchecker.de

Sicherheit

Was ist und wie funktioniert Webtracking

Im Netz kann jede Bewegung beobachtet werden: Welche Webseiten ich anschaue, welche Produkte ich kaufe, welche Apps ich nutze. Wie funktioniert das Webtracking?

Was dürfen die Anbieter? Wie können Nutzer sich schützen?

Tracking ist eine Basistechnologie des Netzes. Nahezu jeder Seitenaufruf wird von Werbedienstleistern mitgeschnitten und weiter verarbeitet. Aus diesen Informationen können individuelle Profile oder statistische Modelle erstellt werden, die es ermöglichen, den Nutzern auf sie zugeschnittene Werbeangebote zu zeigen. Auch die Nutzung von Apps auf Mobilgeräten wird häufig ausgewertet.

Anzeige


Was ist Webtracking?

Webtracking bedeutet ganz allgemein, dass die Bewegungen eines Nutzers im Internet beobachtet und ausgewertet werden. Dazu gibt es verschiedene Techniken, die immer weiter entwickelt werden.

Cookies

Eine klassische Technik ist das Abspeichern eines sogenannten Cookies im Browser beim Aufruf einer Website. Eine solche Datei enthält unter anderem eine Nummer, die den Besucher der Website identifiziert. Diese Nummer kann der Anbieter bei späteren Besuchen auslesen und so die Besucher wiedererkennen.
Cookies ermöglichen es zum Beispiel Webshops, sich die vom Nutzer ausgewählten Produkte im Online-Warenkorb zu merken.

Zugleich haben sich Cookies zu einem Werkzeug entwickelt, mit dem das Surfverhalten über mehrere Seiten hinweg beobachtet werden kann. Das geschieht etwa, indem beim Aufruf einer Website Inhalte von anderen Webseiten eingebunden werden.

Ein einfaches Beispiel für eingebundene Inhalte sind Youtube-Videos. Obwohl sich das Video auf Youtubes Servern befindet, kann es in eine andere Webseite integriert und direkt dort angezeigt werden. Wird diese Seite aufgerufen, erfährt Youtube davon und kann über einen bereits vorher gespeicherten Cookie erkennen, um wen es sich genau handelt.

Ein weiteres Beispiel ist der „Gefällt mir“-Button von Facebook, der sich auf vielen Seiten findet. Jedes Mal, wenn eine Seite mit diesem Element angezeigt wird, wird eine Verbindung zu einem Facebook- Server aufgebaut. Über einen bereits vorhandenen Cookie kann auch hier der Nutzer wiedererkannt werden.

Wenn ein Anbieter es schafft, dass sehr viele Seiten seine Elemente verwenden, kann er somit die Bewegungen eines Nutzers im Internet detailliert verfolgen. Aus dem Nutzungsverhalten können Anbieter dann Rückschlüsse auf Interessen, Vorlieben und weitere Eigenschaften ziehen. Eine klassische Technik zu diesem Zweck sind sogenannte Tracking-Pixel. Anders als der „Gefällt mir“-Button oder Youtube-Videos sind solche externen Elemente auf der Website nicht sichtbar.

IP-Adressen zur Standort-Erkennung

Neben Cookies wird nicht selten die IP-Adresse in Analysen einbezogen. Eine solche Nummer, etwa „62.153.123.111“, ist so etwas wie die Anschrift des Computers oder Mobilgeräts und wird bei der Anfrage übermittelt. Erst sie ermöglicht es, eine aufgerufene Internetseite an den Anfragenden zu übermitteln.

Da IP-Adressen in der Regel nicht fest vergeben werden und mehrere Nutzer denselben Internetanschluss verwenden können, ist sie nur eine ungenaue Möglichkeit, Anfragen und Seitenaufrufe zuzuordnen. Genutzt wird sie vor allem dazu, um den Standort des Computers näher zu bestimmen, da bestimmte Gruppen von IP-Adressen typischerweise denselben geographischen Regionen zugeordnet werden. Man kann also feststellen, ob ein Nutzer in Deutschland oder in den USA sitzt oder manchmal sogar noch genauer ob in Hamburg oder in Berlin.

In Deutschland erreicht die kommerzielle Datenbank GeoIP2 City nach Angaben des Anbieters in rund drei Vierteln der Fälle eine Genauigkeit von mindestens 50 Kilometern.

Fingerprinting und weitere Tracking-Methoden

Neben den hier erläuterten Möglichkeiten gibt es zahlreiche weitere Techniken, mit denen sich die Bewegungen von Nutzern im Internet verfolgen lassen.

Ein Beispiel ist das sogenannte Fingerprinting. Dabei werden möglichst viele verschiedene Informationen über die Konfiguration von Geräten und Browsern zusammengetragen, zum Beispiel das verwendete Betriebssystem, die Bildschirmauflösung oder installierte Schriftarten.

All diese Merkmale sind zwar für sich genommen nicht besonders aussagekräftig, ergeben in Kombination jedoch einen digitalen Fingerabdruck mit hoher Genauigkeit.
Diese Technik wird zunehmend weiterentwickelt und mit anderen Methoden kombiniert.

App-Tracking

Ein weiterer Anwendungsbereich von Tracking-Technologien liegt in der Auswertung, welche Apps auf Smartphone und Tablet wie verwendet werden. Um Werbung in mobilen Apps zielgerichtet zu schalten, müssen Informationen über die Nutzer bekannt sein.

Um dies zu unterstützen, bieten Apples mobiles Betriebssystem iOS und Google mit Android entsprechende Funktionen zur Identifikation der Nutzer beziehungsweise des Geräts an. So ist es bei Smartphone-Apps möglich, Nutzer applikationsübergreifend wiederzuerkennen und ihnen entsprechend dem entstandenen Profil Werbung anzuzeigen.

Zudem verlangen Apps bei der Installation nicht selten, auf zahlreiche im Telefon verfügbare Informationen zugreifen zu dürfen, beispielsweise auf Standortdaten.
Teilweise sind die Berechtigungen für bestimmte Funktionen zwingend nötig oder machen die Verwendung bequemer.

Fordern Apps jedoch Zugriff auf Daten und Funktionen an, die für sie nicht erforderlich sind, liegt der Verdacht nahe, dass die Anbieter die erhaltenen Daten vermarkten wollen. Deshalb sollte man immer genau schauen, welche Berechtigungen verlangt werden.

Wozu dient Webtracking?

Die Möglichkeiten, solche durch Tracking gewonnenen Daten auszuwerten, sind vielfältig. So kann man aus dem Surfverhalten Wahrscheinlichkeitsaussagen über die Hobbys und Interessen der Nutzer ableiten. Man spricht von Korrelationen. Hat man eine hinreichend große und aussagekräftige Datenbasis zur Verfügung, ist die Treffsicherheit sehr gut.

Besonders die Datenbestände von sozialen Netzwerken eignen sich für solche Korrelationsanalysen, weil die Nutzer hier viele Angaben freiwillig und aus Eigeninteresse hinterlegen. Neben den Kaufgewohnheiten und -interessen kommt eine Vielzahl weiterer Fragestellungen in Betracht. So kann aus dem Surfverhalten recht leicht auf das Alter und Geschlecht geschlossen werden.

Es existieren Analysen, die Rückschlüsse auf die sexuellen Präferenzen zulassen oder auf die Frage, ob eine Frau schwanger ist oder nicht. Der Phantasie sind hier kaum Grenzen gesetzt.

Zielgerichtete Werbung

In der Regel werden die so gewonnen Erkenntnisse genutzt, um zielgruppenspezifisch Werbung zu schalten – im Fachjargon heißt das Targeted Advertising. Der Werbetreibende kann sich dann aus einer Liste von Eigenschaften diejenigen aussuchen, die er gezielt bewerben will. Über das genaue Ausmaß der bei den verschiedenen Anbietern erstellten Profile ist allerdings wenig bekannt.

Einen umfassenden Eindruck von der Speicherung von Datenbeständen etwa bei Facebook hat die Seite europe-v-facebook.org bis 2017 gesammelt. Hier findet sich unter anderem die detaillierte Auswertung der Nutzerdaten, die der österreichische Jurist Max Schrems im Rahmen eines Auskunftsanspruchs von Facebook eingeklagt hatte.

Nach dieser Auswertung kann man rund achtzig verschiedene Datenkategorien unterscheiden. Tatsächlich dürften es noch mehr sein. Je nach Nutzungsintensität fallen in einzelnen Datenkategorien Hunderte von Einzeleinträgen an, die ihrerseits wiederum weiter analysiert werden können.

Datenschutzrecht in Deutschland und der EU

Seit Ende Mai 2018 gilt die Datenschutz-Grundverordnung der EU für alle Länder in der europäischen Gemeinschaft. Dadurch gibt es jetzt innerhalb der EU ein weitgehend einheitliches Datenschutzniveau. Es kommt also nicht mehr auf den Sitz eines Unternehmens an.

Wer sich mit seinen Leistungen an EU-Bürger richtet, muss sich an EU-Datenschutzrecht halten. Das nennt sich Marktortprinzip und dürfte die Arbeit der Datenschutzbehörden vereinfachen, die über die Einhaltung der Regeln wachen.

Personenbezug erforderlich

Der Begriff der personenbezogenen Daten umfasst seiner Definition nach solche Informationen, die direkt oder mit nicht allzu großem Aufwand einen Rückschluss auf eine Person zulassen.

Er ist damit zentral für die Anwendung des Datenschutzrechts, dessen Ziel es ist, die Persönlichkeit jedes Einzelnen zu schützen. Sobald eine Information nicht mehr auf eine Person zurückgeführt werden kann, endet meist auch der Schutz des Datenschutzrechts.

Neben klar personenbezogenen Daten gibt es auch immer Grenzfälle. Ob zum Beispiel eine IP-Adresse personenbezogen ist, war lange umstritten. Der Bundesgerichtshof hat das mittlerweile bejaht. Folglich erfasst das Datenschutzrecht IP-Adressen, sodass Anbieter diese nicht einfach nach Belieben verwenden dürfen.

Cookie-Richtlinie: Opt-in oder Opt-out?

Der rechtliche Rahmen für Tracking wird zudem in der Datenschutzrichtlinie für die elektronische Kommunikation, kurz E-Privacy-Richtlinie, genauer abgesteckt. Sie legt beispielsweise Bedingungen für den Einsatz von Cookies fest. Die Richtlinie fordert unter anderem, dass Nutzer umfassend über die Zwecke der Verarbeitung informiert werden und dass sie die Möglichkeit haben müssen, diese Verarbeitung zu verweigern.

Allerdings sind diese Vorgaben in Europa uneinheitlich umgesetzt worden. Da die Richtlinie nicht ausdrücklich klarstellt, ob Nutzer dem Einsatz von Cookies zunächst zustimmen (Opt-in) oder erst später widersprechen können müssen (Opt-out), finden sich beide Modelle in den Gesetzen der verschiedenen Länder wieder.

Während etwa Anbieter mit Sitz in Großbritannien dazu übergegangen sind, bei der Nutzung von Webseiten einen Cookie-Hinweis vorzuschalten, finden sich solche Hinweise in Deutschland seltener. Hierzulande gilt wohl eher die Regel, dass man explizit erklären muss, man wolle nicht getrackt werden (Opt-out). Man kann sich also nicht auf eine einheitliche Praxis verlassen.

Es soll zwar einen Nachfolger der E-Privacy-Richtlinie in Form einer neuen, für alle EULänder verbindlichen Verordnung geben. Die Verhandlungen sind allerdings aktuell (Ende 2019) vorerst gescheitert, da sich die Mitglieder nicht auf einen gemeinsamen Text einigen konnten, wie heise.de Anfang Dezember 2019 berichtete. Nun will die Kommission 2020 einen neuen Gesetzesentwurf vorlegen. Im alten Entwurf war speziell der Schutz vor Tracking umstritten. Deshalb ist nicht absehbar, wie die neuen Regeln zum Tracking am Ende genau aussehen werden.

Wie kann man sich schützen?

Trotz der verschiedenen Gesetze, mit denen die Daten der Nutzer geschützt werden sollen, ist damit kein umfassender Schutz garantiert. Zum einen rennt das Recht den technischen Entwicklungen hinterher. Zum anderen halten sich verschiedene Anbieter bewusst oder unbewusst nicht an die Vorgaben.

Hinzu kommt, dass sich für Nutzer oft nicht genau feststellen lässt, ob Daten gesammelt werden und welche das sind. Wer seine Daten aktiv schützen will, dem stehen vor allem verschiedene technische Mittel zur Verfügung.

Tracking-Blocker für den Browser

Browsererweiterungen zum Schutz vor Tracking sind recht weit verbreitet. Spezielle Blocker ermöglichen es, das Tracking im Browser mehr oder weniger weitgehend zu unterbinden. Einige haben genau das zum Ziel, andere sollen primär aufdringliche Werbung oder bestimmte Programmcodes auf Webseiten stoppen und sorgen als Nebeneffekt für verringertes Tracking.

Das gelingt den Blockern unterschiedlich gut, wie etwa die Stiftung Warentest in einem Vergleich vom September 2017 festhält. So könne etwa die Erweiterung „uBlock Origin“ die Anzahl von Trackern um gut drei Viertel verringern und sei für Normalnutzer gut zu handhaben. Noch bessere Filterquoten bietet der Untersuchung zufolge etwa die Erweiterung „Scriptsafe“. Sie könne jedoch auch das normale Funktionieren von Seiten beeinträchtigen und sei für Normalnutzer schlechter zu bedienen.

Da Erweiterungen ihrerseits meist sehr umfassenden Zugriff auf Daten wie den Browserverlauf erhalten, sollte man sie jedoch nicht blind installieren, sondern sich zunächst über den jeweiligen Anbieter oder Entwickler informieren.

Cookie-Einstellungen

Daneben kann es sinnvoll sein, in den Browser-Einstellungen das Speichern von Cookies einzuschränken. Eine vollständige Blockade kann jedoch dazu führen, dass bestimmte Dienste nicht mehr richtig funktionieren. Ein Mittelweg kann darin liegen, Cookies von Drittanbietern abzuweisen.

Da moderne Tracking-Verfahren jedoch zunehmend auf andere Techniken als Cookies zurückgreifen, sind entsprechende Einstellungen nur ein einzelner Baustein zur Datensparsamkeit. Gleiches gilt für integrierte Schutzmechanismen vor Tracking, mit denen etwa der Firefox-Browser, dessen Abkömmling Cliqz oder Apples Safari zunehmend ausgestattet werden.

„Do Not Track“-Einstellung

Die Browser Firefox, Chrome, Safari, Opera und Microsoft Edge unterstützen mittlerweile das „Do Not Track“-System (DNT). Dabei handelt es sich im Wesentlichen um eine technische Spezifikation, durch die Verbraucher selbst entscheiden können sollen, ob sie getrackt werden wollen oder nicht.

Das geschieht, indem der eigene Computer bei einem Seitenaufruf ein Signal mitsendet, das sinngemäß besagt: „Ich will nicht getrackt werden“. Ein Webdienst kann dann darauf Rücksicht nehmen – muss es aber nicht. Noch hat sich keine Einigkeit ergeben, was genau mit „Tracking“ gemeint ist. Anbieter wie Yahoo und Google ignorieren das Signal ganz.

Wenn man die „Do not track“-Funktion in seinem Browser aktiviert, heißt das demzufolge nicht, dass gar kein Tracking stattfindet. Trotzdem ist es ratsam, die Funktion in seinem Browser zu aktivieren. Zum einen nehmen andere Anbieter darauf Rücksicht, und zum anderen argumentieren die Gegner des Standards gerade damit, dass nicht viele Nutzer davon Gebrauch machten.

Fazit

Tatsache ist: Das Verhalten von Nutzern wird im Netz und in Smartphone-Apps fast ununterbrochen beobachtet. Der Politik ist es bisher nicht gelungen, dem immer schwerer zu durchschauenden Tracking wirksame, vertrauenswürdige Kontroll- und Transparenzmechanismen entgegenzusetzen.

Nutzer, die dem Tracking kritisch gegenüberstehen, können jedoch auch mit technischen Mitteln an vielen Stellen Einfluss darauf nehmen, ob und von wem ihr Verhalten beobachtet werden kann. Das Spektrum reicht von einfachen Einstellungen und Zusatzprogrammen, die auch für Normalnutzer geeignet sind bis hin zu zahlreichen Optionen für Profis.