Tracking und Datensammeln im Netz: Neues aus der Überwachungsbäckerei
Wer im Internet unterwegs ist, wird mit vielerlei Methoden überwacht. Eine ist nun verstärkt im Visier von Datenschützer:innen – und von Google.
„Cookie-Banner können ein Hindernis sein, eine Webseite zu benutzen“, sagte Christiane Rohleder, Staatssekretärin im Verbraucherschutzministerium Ende Januar bei einer Tagung. „Sie sind oft unübersichtlich und irreführend, teilweise sogar manipulativ gestaltet.“
Ausgerichtet hatte die Tagung ein vom Ministerium beauftragtes Unternehmen, das Design-Leitlinien für nutzer:innenfreundliche Cookie-Banner entwickelt hat. In einer Art freiwilligen Selbstverpflichtung können sich etwa Firmen, Verbände oder Forschungseinrichtungen hier anschließen. Sie sagen dann zu, etwa einen „Ablehnen“-Button anzubieten, der so gestaltet ist wie der „Okay“-Button. Doch der Zulauf ist bislang verhalten. 7 Institutionen haben unterzeichnet, davon nur 2 Unternehmen.
Das ist kein Wunder: Die Compliance, also das Einhalten von rechtlichen und ethischen Regeln, ist in Sachen Cookie-Banner überschaubar. So kam der Verbraucherzentrale Bundesverband (vzbv) vor anderthalb Jahren bei einer Auswertung von knapp 1.000 Webseiten zu dem Ergebnis: Jedes zehnte Cookie-Banner ist rechtswidrig. Das klingt nicht nach viel, aber: Der Großteil der restlichen Seiten bewegt sich mit seinen Banner-Designs in der rechtlichen Grauzone, so das Ergebnis damals. Zum Beispiel, weil es zwar einen Ablehnen-Button gibt, der aber klein und leicht übersehbar ist.
Wie reguliert man Plattformen, die ebenso global aufgestellt sind wie ihre Nutzer:innenschaft? Wie lassen sich Desinformation und Hassreden bekämpfen und gleichzeitig Meinungsfreiheit und Menschenrechte schützen? Das wird am Dienstag und Mittwoch dieser Woche auf einer Unesco-Konferenz diskutiert. Zuletzt hatte die EU mit dem Digitalen-Dienste- und Digitalen-Märkte-Gesetz zwei umfangreiche Regulierungen verabschiedet. Ende vergangener Woche lief eine erste Meldefrist ab, allerdings für einen eher kleinen Schritt: Plattformen mussten die Zahl ihrer Nutzer:innen veröffentlichen.
Und heute? „Das Problem ist weiterhin groß“, sagt Florian Glatzner, Referent für Digitales beim vzbv. Zwar gebe es, vor allem als Reaktion auf diverse Klagen, Verbesserungen. So verpflichtete etwa die französische Datenschutzaufsicht Google zu einem Ablehnen-Button – das hatte anscheinend Signalwirkung für die Branche. Trotzdem, sagt Glatzner: „Das Grundproblem bleibt das dahinter liegende, komplett intransparente System des Werbetracking.“
Was sich verbessert, zeigen etwa die Zahlen des österreichischen Datenschutzvereins noyb: Die scannte im Frühjahr 2021 über 3.600 Webseiten und reichte in der Folge mehr als 700 Beschwerden ein, zum Beispiel gegen Anbieter, die auf einen Ablehnen-Button verzichteten. Dann ein zweiter Scan im vergangenen Herbst, also anderthalb Jahre später.
Das Ergebnis: Mehr als die Hälfte der Seiten habe ihre Banner verbessert und etwa Schaltflächen zum Ablehnen ergänzt oder sichtbarer gemacht – darunter waren auch Anbieter, denen der Verein überhaupt keine Beschwerde geschickt hatte. „Diese Beschwerdewelle hat massive präventive Wirkung“, erklärte Gründer Max Schrems damals. Unternehmen hätten bereits nach der Ankündigung der Aktion umgedacht – auch wenn man selbst noch nicht betroffen gewesen sei.
Wirrwarr der Zuständigkeiten
Doch wer ist eigentlich zuständig dafür, den Wildwuchs in der Branche zu beseitigen? Das ist kompliziert. Allein deshalb, weil Cookie-Banner auf zwei unterschiedlichen Regelwerken basieren.
Die e-Privacy-Richtlinie regelt den Umgang mit Cookies selbst – wobei nicht klar geregelt ist, wer hier für die Durchsetzung sorgen soll. Viele Anbieter wollen sich mit den Bannern aber auch eine Einwilligung zum darüber hinausgehenden Tracking holen. Hier ist die Datenschutz-Grundverordnung zuständig, also die Datenschutz-Aufsichtsbehörden. Von denen hat allein jedes Bundesland mindestens eine. Dazu kommen weitere, etwa für den Rundfunk, die Kirchen oder Bundesbehörden – ganz zu schweigen von den Aufsichtsbehörden in den anderen EU-Staaten.
Entsprechend heterogen ist die Meinungslage. Beim Europäischen Datenschutzausschuss, so etwas wie der Schlichtungsstelle auf EU-Ebene in Datenschutzfragen, gibt es eine extra Arbeitsgruppe dazu. Die hat jüngst eine Art Richtlinie dazu veröffentlicht, wie sie das Recht auslegt. Was demnach nicht geht: Eine schon vorangekreuzte Zustimmung oder wenn die Ablehnen-Option mit mehr Klicks zu erreichen ist als die Zustimmung. Was offen bleibt: Was ist mit Farben und Kontrasten? Darf der Ablehnen-Button klein und kaum zu sehen sein? Wie ist das mit dem Widerruf einer früher erteilten Einwilligung?
„Zu einigen strittigen Fragen schweigen die Behörden, zum Beispiel zu irreführenden Button-Farben“, kritisiert daher Felix Mikolasch, Datenschutzjurist bei noyb. Dabei brauche es klarere Leitlinien, um die Nutzer:innen zu schützen.“ Oder die favorisierte Lösung von Staatssekretärin Rohleder: „Am besten wäre es, wenn Webseiten keinen Cookie-Banner brauchen, weil sie kein Werbetracking machen.“
Industrielle Überwachungsbäckerei
Doch von Webseiten ohne Werbetracking sind wir weit entfernt. Denn die Werbeindustrie hat längst nicht nur Cookies im Angebot. Sie betreibt quasi eine Überwachungsbäckerei von industriellem Ausmaß. Prominent in der Auslage: Fingerprinting. Das macht sich zunutze, dass Anbieter über den Browser eine ganze Reihe von Parametern des Betriebssystems herauskriegen können. Die Zeitzone etwa, Auflösung und Farbtiefe des Bildschirms, welche Browsererweiterungen, Treiber und Schriften installiert sind und weitere technische Daten über die im Gerät befindlichen Komponenten wie Grafikkarte. In der Summe ergibt sich damit ein erstaunlich genauer Fingerabruck des Systems.
Im Detail gibt es unterschiedliche Facetten des Fingerprinting: Eine erstellt eine Art Audio-Fingerabdruck, eine andere nutzt Canvas, ein HTML5-Element, das, von Nutzer:innen unbemerkt, ein Bild oder einen Text im Browser darstellen. Für alle Arten gilt: Mit dem Fingerprint können Betreiber:innen von Webseiten die Nutzer:innen wiedererkennen. Wer wissen will, wie identifizierbar die eigene Installation ist, kann das zum Beispiel über die Webseite der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) unter https://coveryourtracks.eff.org/ testen.
Am einfachsten ist das Tracking für die Anbieter, wenn ein:e Nutzer:in bei einem Dienst eingeloggt ist, etwa bei Plattformen wie Google, Facebook oder Twitter. Wer dann eine Seite besucht, die Inhalte dieser Plattformen eingebunden hat, wird von den Unternehmen ebenfalls identifiziert.
Ähnlich fies: Evercookies. Das sind keine Cookies im eigentlichen Sinn, sondern Javascript-Schnipsel, die gelöschte Cookies wiederherstellen. Der Traum einer jeden Großbäckerei sozusagen. Wie hartnäckig diese Scripte sind, zeigte 2013 Edward Snowden mit einer seiner Veröffentlichungen: Demnach kann oder konnte die NSA mit Evercookies sogar Nutzer:innen des Tor-Browsers identifizieren. Der sollte eigentlich für die größtmögliche Anonymität im Netz sorgen.
Browser mit ein bisschen Schutz
Die Gegenseite rüstet daher auf: Einige Browser und diverse Browser-Erweiterungen versuchen, die Nutzer:innen vor den Überwachungstechnologien zu schützen. So blockieren etwa die Browser Firefox und Brave unter anderem standardmäßig Cookies, die nicht vom Webseitenbetreiber selbst kommen, sondern von Dritten – so wird zumindest ein kleiner Teil des Tracking herausgefiltert. Noch schwieriger ist es bei Smartphone-Apps: Sie binden meist großzügig Tracker ein – Nutzer:innen brauchen entweder viel technisches Verständnis oder eine Extra-App wie Tracker Control, um sich zumindest einigermaßen zu schützen.
Angesichts des zweifelhaften Rufs, den Tracking insgesamt und Cookies im Speziellen genießen, ist es kein Wunder, dass die Tech-Industrie an Alternativen arbeitet. Google etwa sitzt schon seit einigen Jahren an möglichen Konzepten. Ein erstes, das Nutzer:innen in Kohorten geteilt hätte, um ihnen dann zielgerichtete Werbung anzuzeigen, stellte das Unternehmen nach massiver Kritik wieder ein. Die Befürchtung: Nutzer:innen könnten zu einfach identifiziert werden.
Der neue Ansatz heißt „Topics“: Die Nutzenden sollen Interessenkategorien zugeordnet werden. Rund 350 solcher Kategorien nennt Google hier als Zahl, zum Beispiel „Fitness“ oder „Reise und Mobilität“. Daran könnte die Werbung angepasst werden. Google-Unterlagen zufolge könnte Topics im kommenden Jahr so weit sein.
Ob das Konzept tatsächlich zu mehr Datensparsamkeit führt, ist aber noch nicht ausgemacht. „Das Interesse der meisten Beteiligten rund um die Werbeindustrie ist groß, das derzeitige Geschäftsmodell weiterzufahren“, sagt Verbraucherschützer Glatzner. Er fordert daher eine grundlegende Reform des Online-Werbemarktes.
Datenschützer:innen haben bereits bei den jüngsten Plattformregulierungen der EU ein Komplettverbot von trackingbasierter Werbung in die Diskussion gebracht. Der Vorschlag scheiterte damals – an den Lobbyinteressen der Industrie.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Elon Musk und die AfD
Die Welt zerstören und dann ab auf den Mars
Anschlag in Magdeburg
Der Täter hat sein Ziel erreicht: Angst verbreiten
Tarifeinigung bei Volkswagen
IG Metall erlebt ihr blaues „Weihnachtswunder“ bei VW
Bundestagswahl 2025
Parteien sichern sich fairen Wahlkampf zu
Anschlag in Magdeburg
„Eine Schockstarre, die bis jetzt anhält“
Bankkarten für Geflüchtete
Bezahlkarte – rassistisch oder smart?