Verhaltensüberwachung im Internet

In der Cookie-Falle

Wer populäre Websites besucht, bekommt häufig sogenannte Tracking-Cookies auf die Festplatte geschrieben. Das können Hunderte sein, warnen Datenschützer.

Dieser Cookie hinterlässt Spuren am Bauch, aber nicht auf der Festplatte. Bild: ap

1994 erfand Lou Montulli, Entwickler beim Browser-Pionier Netscape, das "Cookie", einen harmlosen Datenkrümel, der auf der Festplatte des Nutzers gespeichert wird und beispielsweise den Inhalt eines Warenkorbs beim Online-Shopping aufbewahrt.

Mittlerweile dienen Cookies allerdings ganz anderen Zwecken - sie erlauben es großen Online-Firmen und Mediaagenturen, Nutzer durch das halbe Internet zu verfolgen. Wer am Morgen bei Yahoo nach Rucksäcken gesucht hat, bekommt den Rest des Tages über auf zahlreichen anderen Websites plötzlich Werbung für Outdoor-Artikel eingeblendet. Hat man bei Microsofts Bing sein Interesse an Diäten geäußert, gibt es regelmäßig Schlankheitsprodukte. Und bei Google wird diese Technik sogar als besonders nutzerfreundlich beworben: "Interessensbasierte" Werbung sorge dafür, dass Kunden nur noch für sie relevante Anzeigen erhielten. Im Selbstversuch erkennt das System die eigenen Interessen erstaunlich gut: Als ich Googles Technik ausprobiere und ein bisschen durchs Web klicke, werde ich selbst beispielsweise als Technologie- und an Hunden interessiert eingestuft. Das passt, schreibe ich doch über ersteres Thema und habe kürzlich nach einem schadstofffreien Kauball für unseren Kaninchenteckel gesucht.

Technisch nennt man diese Masche "Behavioral Targeting", zielgerichtete Werbung anhand von Verhalten im Netz. Die Profile, die dabei entstehen, sind erstaunlich umfangreich. Wie das "Wall Street Journal" in einer aktuellen Analyse herausfand, lässt sich über Cookies und andere Tracking-Maßnahmen mittlerweile das Einkommen eines Surfers abschätzen, sein Alter und sogar die Wahrscheinlichkeit, mit der er einen Kredit zurückzahlt. Dabei ist die Menge der geschriebenen Datenkrümel kaum mehr zu überschauen. Viele Seiten speichern einem Surfer Dutzende davon bei jedem Besuch auf die Festplatte. Den Vogel schießt aktuell die Lexikonseite "Dictionary.com" ab: Sie installiert insgesamt 159 Cookies. Seitens der Industrie heißt es stets, Cookies seien anonym, da sie nie mit Klarnamen in Verbindung gesetzt würden. Doch Datenschützer warnen, dass allein aus den angesammelten Profildaten leicht Rückschlüsse auf Personen gezogen werden können.

In der "Wall Street Journal"-Untersuchung kam weiterhin heraus, dass die 50 wichtigsten Seiten der USA aktuell 3180 verschiedene Schnüffeldateien auf die Festplatte des Benutzers schreiben. Nur ein Drittel davon sind harmlos, zwei Drittel, die von insgesamt 131 verschiedenen Firmen stammen, dienen laut der Zeitung dem Tracking.

Zu den Unternehmen, die hinter dem Konsumenten-Profiling stecken, gehört etwa der US-Spezialanbieter x+1, der sich damit rühmt, er könne mit nur ein paar Klick des Nutzers erkennen, wie viel Geld dieser in etwa verdient. Das dient Finanzkonzernen dazu, die richtige Kreditkarte anzubieten. Aber auch Online-Vermarkter wie Valueclick, Werbekonzerne wie WPP und große Online-Firmen wie Microsoft oder AOL spielen mit. Gekauft wird profiloptimierte Reklame mittlerweile von vielen Industriebereichen - sie bringt für Website-Betreiber deutlich mehr Geld als normale, eher unspezifische Reklame.

Behavioral Targeting wird in Deutschland mittlerweile genauso selbstverständlich eingesetzt wie in den USA. Allerdings versuchen einige Anbieter, das Thema Datenschutz in den Vordergrund zu rücken - so ließ sich etwa der Berliner Anbieter nugg.ad vom nicht als zurückhaltend bekannten Schleswig-Holsteiner Beauftragten für den Datenschutz zertifizieren.

Die technische Wurzel des Cookie-Übels liegt darin, dass Browser in ihrer Grundeinstellung erlauben, sogenannte "Third-Party Cookies", also Datenkrümel dritter Parteien, zu schreiben und zu lesen. War Montullis Ur-Cookie noch sehr datenschutzfreundlich und darauf beschränkt, dass z.B. taz.de auch nur Cookies für taz.de schreiben konnte, ist das heute anders. Cookies einer einzigen Seite können potenziell von Hunderten Quellen stammen, die diese dann auch wieder auslesen können.

Die Browser-Hersteller könnten im Kampf gegen das Tracking einiges tun. So ließen sich (in vielen Programmen längst vorhandene) Modi wie das "Private Browsing", bei dem Cookies nicht dauerhaft gespeichert werden, stärker in den Vordergrund rücken und auch so manche Grundeinstellung gehört Datenschützern zufolge angepasst.

Dass sich hier viel tut, ist allerdings zweifelhaft. So hatte Microsoft beispielsweise noch 2009 vor, im aktuellen Internet Explorer 8 die erwähnten Third-Party Cookies standardmäßig zu deaktivieren. Doch das geschah Medienberichten zufolge nicht, weil sich die Online-Werbeabteilung des Konzerns dagegen aussprach. Die Folge: Nutzer müssen händisch für mehr Privatsphäre sorgen, statt "Opt-In", also willentlicher Entscheidung für mehr Tracking, wird ihnen ein "Opt-Out", ein explizites Abdrehen der Schnüffelei, abverlangt. Doch sehr viele Surfer trauen sich an solche Einstellungen in ihrem Browser nicht heran.

Zum Glück werden mittlerweile diverse Werkzeuge angeboten, die dem Nutzer helfen, sich gegen Behavioral Targeting zu wehren. Dazu gehören Zusatzprogramme wie TACO, die Tracking-Cookies gezielt löschen, sowie Better Privacy, das mit Flash-Datenkrümeln ein Ende macht, die immer dann eingesetzt werden, wenn der Nutzer normale Cookies unterdrückt hat. (Flash-Cookies sind besonders fies, weil sie in einem eigenen Verzeichnis lagern, das viele Nutzer nicht kennen und von Hand gelöscht werden muss.)

Aus Googles mittlerweile gigantischer Tracking-Infrastruktur kann man sich wiederum mit einem Klick auf eine spezielle Opt-Out-Seite verabschieden. Doch Google traut sich dabei nicht selbst: Der Online-Riese empfiehlt, gleich noch ein Programm zu installieren, das sicherstellt, dass auch wirklich nie wieder ein Google-Cookie auf der Festplatte landet.

Einmal zahlen
.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de

Ihren Kommentar hier eingeben