Tracking und Datensammeln im Netz: Neues aus der Überwachungsbäckerei

Wer im Internet unterwegs ist, wird mit vielerlei Methoden überwacht. Eine ist nun verstärkt im Visier von Da­ten­schüt­ze­r:in­nen – und von Google.

Und wo bitte kann man hier ablehnen? Foto: Sean Gladwell/getty

BERLIN taz | Es passiert täglich millionenfach. Ein:e Nut­ze­r:in öffnet eine Webseite. Halbseitenfüllend legt sich ein Banner darüber, der um das Einverständnis wirbt, Cookies zu setzen, persönliche Daten zu verarbeiten, die Nutzenden digital zu verfolgen. Mit Vorliebe ist der Okay-Button groß und grün und damit schnell zu klicken – und hinter einem kleinen grauen Feld „Einstellungen“ verstecken sich die Abgründe des digitalen Trackings. Wer hier nicht zustimmen will, muss Zeit mitbringen.

„Cookie-Banner können ein Hindernis sein, eine Webseite zu benutzen“, sagte Christiane Rohleder, Staatssekretärin im Verbraucherschutzministerium Ende Januar bei einer Tagung. „Sie sind oft unübersichtlich und irreführend, teilweise sogar manipulativ gestaltet.“

Ausgerichtet hatte die Tagung ein vom Ministerium beauftragtes Unternehmen, das Design-Leitlinien für nut­ze­r:in­nen­freund­li­che Cookie-Banner entwickelt hat. In einer Art freiwilligen Selbstverpflichtung können sich etwa Firmen, Verbände oder Forschungseinrichtungen hier anschließen. Sie sagen dann zu, etwa einen „Ablehnen“-Button anzubieten, der so gestaltet ist wie der „Okay“-Button. Doch der Zulauf ist bislang verhalten. 7 Institutionen haben unterzeichnet, davon nur 2 Unternehmen.

Das ist kein Wunder: Die Compliance, also das Einhalten von rechtlichen und ethischen Regeln, ist in Sachen Cookie-Banner überschaubar. So kam der Verbraucherzentrale Bundesverband (vzbv) vor anderthalb Jahren bei einer Auswertung von knapp 1.000 Webseiten zu dem Ergebnis: Jedes zehnte Cookie-Banner ist rechtswidrig. Das klingt nicht nach viel, aber: Der Großteil der restlichen Seiten bewegt sich mit seinen Banner-Designs in der rechtlichen Grauzone, so das Ergebnis damals. Zum Beispiel, weil es zwar einen Ablehnen-Button gibt, der aber klein und leicht übersehbar ist.

Und heute? „Das Problem ist weiterhin groß“, sagt Florian Glatzner, Referent für Digitales beim vzbv. Zwar gebe es, vor allem als Reaktion auf diverse Klagen, Verbesserungen. So verpflichtete etwa die französische Datenschutzaufsicht Google zu einem Ablehnen-Button – das hatte anscheinend Signalwirkung für die Branche. Trotzdem, sagt Glatzner: „Das Grundproblem bleibt das dahinter liegende, komplett intransparente System des Werbetracking.“

Was sich verbessert, zeigen etwa die Zahlen des österreichischen Datenschutzvereins noyb: Die scannte im Frühjahr 2021 über 3.600 Webseiten und reichte in der Folge mehr als 700 Beschwerden ein, zum Beispiel gegen Anbieter, die auf einen Ablehnen-Button verzichteten. Dann ein zweiter Scan im vergangenen Herbst, also anderthalb Jahre später.

Das Ergebnis: Mehr als die Hälfte der Seiten habe ihre Banner verbessert und etwa Schaltflächen zum Ablehnen ergänzt oder sichtbarer gemacht – darunter waren auch Anbieter, denen der Verein überhaupt keine Beschwerde geschickt hatte. „Diese Beschwerdewelle hat massive präventive Wirkung“, erklärte Gründer Max Schrems damals. Unternehmen hätten bereits nach der Ankündigung der Aktion umgedacht – auch wenn man selbst noch nicht betroffen gewesen sei.

Wirrwarr der Zuständigkeiten

Doch wer ist eigentlich zuständig dafür, den Wildwuchs in der Branche zu beseitigen? Das ist kompliziert. Allein deshalb, weil Cookie-Banner auf zwei unterschiedlichen Regelwerken basieren.

Die e-Privacy-Richtlinie regelt den Umgang mit Cookies selbst – wobei nicht klar geregelt ist, wer hier für die Durchsetzung sorgen soll. Viele Anbieter wollen sich mit den Bannern aber auch eine Einwilligung zum darüber hinausgehenden Tracking holen. Hier ist die Datenschutz-Grundverordnung zuständig, also die Datenschutz-Aufsichtsbehörden. Von denen hat allein jedes Bundesland mindestens eine. Dazu kommen weitere, etwa für den Rundfunk, die Kirchen oder Bundesbehörden – ganz zu schweigen von den Aufsichtsbehörden in den anderen EU-Staaten.

Entsprechend heterogen ist die Meinungslage. Beim Europäischen Datenschutzausschuss, so etwas wie der Schlichtungsstelle auf EU-Ebene in Datenschutzfragen, gibt es eine extra Arbeitsgruppe dazu. Die hat jüngst eine Art Richtlinie dazu veröffentlicht, wie sie das Recht auslegt. Was demnach nicht geht: Eine schon vorangekreuzte Zustimmung oder wenn die Ablehnen-Option mit mehr Klicks zu erreichen ist als die Zustimmung. Was offen bleibt: Was ist mit Farben und Kontrasten? Darf der Ablehnen-Button klein und kaum zu sehen sein? Wie ist das mit dem Widerruf einer früher erteilten Einwilligung?

„Zu einigen strittigen Fragen schweigen die Behörden, zum Beispiel zu irreführenden Button-Farben“, kritisiert daher Felix Mikolasch, Datenschutzjurist bei noyb. Dabei brauche es klarere Leitlinien, um die Nut­ze­r:in­nen zu schützen.“ Oder die favorisierte Lösung von Staatssekretärin Rohleder: „Am besten wäre es, wenn Webseiten keinen Cookie-Banner brauchen, weil sie kein Werbetracking machen.“

Industrielle Überwachungsbäckerei

Doch von Webseiten ohne Werbetracking sind wir weit entfernt. Denn die Werbeindustrie hat längst nicht nur Cookies im Angebot. Sie betreibt quasi eine Überwachungsbäckerei von industriellem Ausmaß. Prominent in der Auslage: Fingerprinting. Das macht sich zunutze, dass Anbieter über den Browser eine ganze Reihe von Parametern des Betriebssystems herauskriegen können. Die Zeitzone etwa, Auflösung und Farbtiefe des Bildschirms, welche Browsererweiterungen, Treiber und Schriften installiert sind und weitere technische Daten über die im Gerät befindlichen Komponenten wie Grafikkarte. In der Summe ergibt sich damit ein erstaunlich genauer Fingerabruck des Systems.

Im Detail gibt es unterschiedliche Facetten des Fingerprinting: Eine erstellt eine Art Audio-Fingerabdruck, eine andere nutzt Canvas, ein HTML5-Element, das, von Nut­ze­r:in­nen unbemerkt, ein Bild oder einen Text im Browser darstellen. Für alle Arten gilt: Mit dem Fingerprint können Be­trei­be­r:in­nen von Webseiten die Nut­ze­r:in­nen wiedererkennen. Wer wissen will, wie identifizierbar die eigene Installation ist, kann das zum Beispiel über die Webseite der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) unter https://coveryourtracks.eff.org/ testen.

Am einfachsten ist das Tracking für die Anbieter, wenn ein:e Nut­ze­r:in bei einem Dienst eingeloggt ist, etwa bei Plattformen wie Google, Facebook oder Twitter. Wer dann eine Seite besucht, die Inhalte dieser Plattformen eingebunden hat, wird von den Unternehmen ebenfalls identifiziert.

Ähnlich fies: Evercookies. Das sind keine Cookies im eigentlichen Sinn, sondern Javascript-Schnipsel, die gelöschte Cookies wiederherstellen. Der Traum einer jeden Großbäckerei sozusagen. Wie hartnäckig diese Scripte sind, zeigte 2013 Edward Snowden mit einer seiner Veröffentlichungen: Demnach kann oder konnte die NSA mit Evercookies sogar Nut­ze­r:in­nen des Tor-Browsers identifizieren. Der sollte eigentlich für die größtmögliche Anonymität im Netz sorgen.

Browser mit ein bisschen Schutz

Die Gegenseite rüstet daher auf: Einige Browser und diverse Browser-Erweiterungen versuchen, die Nut­ze­r:in­nen vor den Überwachungstechnologien zu schützen. So blockieren etwa die Browser Firefox und Brave unter anderem standardmäßig Cookies, die nicht vom Webseitenbetreiber selbst kommen, sondern von Dritten – so wird zumindest ein kleiner Teil des Tracking herausgefiltert. Noch schwieriger ist es bei Smartphone-Apps: Sie binden meist großzügig Tracker ein – Nut­ze­r:in­nen brauchen entweder viel technisches Verständnis oder eine Extra-App wie Tracker Control, um sich zumindest einigermaßen zu schützen.

Angesichts des zweifelhaften Rufs, den Tracking insgesamt und Cookies im Speziellen genießen, ist es kein Wunder, dass die Tech-Industrie an Alternativen arbeitet. Google etwa sitzt schon seit einigen Jahren an möglichen Konzepten. Ein erstes, das Nut­ze­r:in­nen in Kohorten geteilt hätte, um ihnen dann zielgerichtete Werbung anzuzeigen, stellte das Unternehmen nach massiver Kritik wieder ein. Die Befürchtung: Nut­ze­r:in­nen könnten zu einfach identifiziert werden.

Der neue Ansatz heißt „Topics“: Die Nutzenden sollen Interessenkategorien zugeordnet werden. Rund 350 solcher Kategorien nennt Google hier als Zahl, zum Beispiel „Fitness“ oder „Reise und Mobilität“. Daran könnte die Werbung angepasst werden. Google-Unterlagen zufolge könnte Topics im kommenden Jahr so weit sein.

Ob das Konzept tatsächlich zu mehr Datensparsamkeit führt, ist aber noch nicht ausgemacht. „Das Interesse der meisten Beteiligten rund um die Werbeindustrie ist groß, das derzeitige Geschäftsmodell weiterzufahren“, sagt Verbraucherschützer Glatzner. Er fordert daher eine grundlegende Reform des Online-Werbemarktes.

Da­ten­schüt­ze­r:in­nen haben bereits bei den jüngsten Plattformregulierungen der EU ein Komplettverbot von trackingbasierter Werbung in die Diskussion gebracht. Der Vorschlag scheiterte damals – an den Lobbyinteressen der Industrie.