Jan Schallaböck, Was ist und wie funktioniert Webtracking? (2014)
Im Netz kann jede Bewegung beobachtet werden: Welche Webseiten ich anschaue, welche E-Mail ich lese und mehr. Wie funktioniert das überhaupt? Was dürfen die Anbieter? Wie kann man erkennen, was getrackt wird und sich davor schützen?
Tracking ist eine Basistechnologie des Netzes. Nahezu jeder Seitenaufruf wird von Werbedienstleistern mitgeschnitten und weiter verarbeitet. Aus diesen Informationen können individuelle Profile erstellt werden, die es ermöglichen, Nutzerinnen und Nutzern auf sie zugeschnittene Werbeangebote zu zeigen. Einige Anbieter werten auch die Inhalte von E-Mails aus und seit einiger Zeit auch die Nutzung von Smartphone-Apps. Hierbei spielt auch die Analyse des aktuellen Standorts eine zunehmend größere Rolle.
Was ist Webtracking?
Webtracking gibt es schon seit den Anfängen des Internets. Meist wird beim Aufrufen einer Internetseite eine kleine Datei auf dem Computer gespeichert, die unter anderem eine Identifikationsnummer enthält. Diese Datei nennt man Cookie. Wird die Seite erneut besucht, kann der Diensteanbieter diese Nummer auslesen und den Nutzer oder die Nutzerin - genauer den jeweiligen Computer - auf diese Weise wiedererkennen.
Ursprünglich war diese Technik vor allem dazu gedacht, in Webdiensten Online-Warenkörbe anzubieten. Doch schon bald haben sich Cookies zu einem Werkzeug entwickelt, mit dem man das Surfverhalten auch jenseits des einzelnen Anbieters nachvollziehen kann. Der zentrale Trick dabei ist das Einbinden von fremden Inhalten auf Webseiten.
Beispiel "Gefällt mir"-Button
Man kennt das Prinzip etwa beim Einbetten von Youtube-Videos auf die eigene Seite. Ein Video lässt sich auf einer eigenen Seite anzeigen, es kommt aber gar nicht direkt von dem Computer, der aufgerufen wurde, sondern wird direkt von Youtube-Rechnern geliefert. Wenn ein Anbieter es schafft, dass sehr viele Seiten eines seiner Seitenelemente einbauen, kann er jeden Seitenaufruf geradezu mitschneiden.
Ein Beispiel ist der "Gefällt mir"-Button von Facebook, der sich auf vielen Seiten wieder findet. Jedes Mal, wenn eine Seite mit diesem Element angezeigt wird, wird eine Verbindung zu einem Rechner der Firma Facebook aufgebaut. Dabei benutzt Facebook beispielsweise auch Cookies, um Nutzer wiederzuerkennen. So können Anbieter dann Rückschlüsse darauf ziehen, welche Seiten ein Nutzer besucht hat. Von diesem Nutzungsverhalten kann dann mittels statistischer Verfahren auf Interessen, Vorlieben und weitere Eigenschaften geschlossen werden.
IP-Adressen zur Standort-Erkennung
Neben Cookies wird nicht selten die IP-Adresse in Analysen einbezogen. Die IP-Adresse ist eine 32-stellige Binärzahl, also eine Zahl, deren Ziffern entweder "0" oder "1" sein können. Sie wird meist als Dezimalzahl in vier Blöcken notiert, bei der jeder Block einen Wert von 0 bis 255 einnehmen kann, zum Beispiel die Nummer "62.153.123.111". Sie ist also in etwa die Anschrift des Computers oder des jeweiligen Gerätes und wird bei der Anfrage übermittelt. Erst sie ermöglicht es einem Diensteanbieter, eine aufgerufene Internetseite an den Anfragenden zu übersenden.
Zwar können sich IP-Adressen ändern und zudem können mehrere Nutzerinnen und Nutzer zum Beispiel in einem Firmennetzwerk unter derselben Adresse erreichbar sein, so dass IP-Adressen nur eine ungenaue Möglichkeit darstellen, Anfragen und Seitenaufrufe einem einzelnen Nutzer oder einer Nutzerin zuzuordnen. Im Rahmen dieser Unschärfen ermöglichen sie aber durchaus eine Zuordnung. Genutzt werden sie vor allen Dingen dazu, den Standort des Computers näher zu bestimmen, da bestimmte Gruppen von IP-Adressen typischerweise bestimmten geographischen Regionen zugeordnet werden.
Man kann also sagen, ob ein Nutzer oder eine Nutzerin in Deutschland oder in den USA sitzt - oder noch genauer in Hamburg oder in Berlin. In Deutschland erreicht die frei verfügbare Datenbank Geolite City nach eigenen Angaben des Anbieters in 73 Prozent der Fälle eine Genauigkeit mindestens 40 Kilometern. Auf der Website des Anbieters kann man die Funktion des Dienstes für einzelne Adressen ausprobieren.
Wahrscheinlichkeits-Aussagen über die Nutzer
Die Möglichkeiten, um solche Daten auszuwerten, sind vielfältig. So kann man aus dem Surfverhalten Wahrscheinlichkeits-Aussagen über die Hobbys und Interessen des Nutzers oder der Nutzerin machen. Man spricht von Korrelation. Hat man eine hinreichend große und aussagekräftige Datenbasis - Stichwort "Big Data" - zur Verfügung, ist die Treffsicherheit sehr gut. Insbesondere die Datenbestände von sozialen Netzwerken eignen sich für solcherlei Korrelationen, weil die Nutzerinnen und Nutzer hier viele Angaben freiwillig und aus Eigeninteresse hinterlegen.
Neben den Hobbys kommt aber auch eine Vielzahl von anderen Fragestellungen für eine Korrelation in Betracht. So kann aus dem Surfverhalten recht leicht auf Alter und Geschlecht geschlossen werden. Es existieren Korrelationsanalysen, die Rückschlüsse auf die sexuellen Präferenzen zulassen oder auf die Frage, ob eine Frau schwanger ist oder nicht. Der Phantasie sind hier kaum Grenzen gesetzt.
Zielgerichtete Werbung
In der Regel werden die so gewonnen Erkenntnisse genutzt, um zielgruppenspezifisch Werbung zu schalten - im Fachjargon heißt das "targeted advertising". Der Werbetreibende kann sich dann aus einer Liste von Eigenschaften diejenigen aussuchen, die er gezielt verwenden will.
Stellung im Beruf | Abteilung im Unternehmen | Branche |
---|---|---|
leitende(r) Beamte(r) oder leitende(r) Angestellte(r) | Unternehmens- & Geschäftsführung | Energie & Recycling Baugewerbe & Bergbau |
Selbstständig | Verwaltung & Gebäudemanagement | Holz-, Papier-, Druckgewerbe |
Arbeiter(in) oder Facharbeiter(in) | Organisation & Personal EDV & IT | Chemische Industrie Metall, Maschinenbau |
Beamte(r) oder Angestellte(r) | Finanzen, Controlling & Buchhaltung | IT, EDV, Telekommunikation |
Marketing, Absatz & Vertrieb | Kraftwagen, Fahrzeugbau | |
Produktion, Logistik, Fuhrpark & Materialwirtschaft | Medizin |
Tabelle: Mögliche Kriterien für gezielte Ansprache beim "targeted advertising". Gekürzte Darstellung nach einer Präsentation (PDF) des Systems "iq target".
Über das genaue Ausmaß der bei den verschiedenen Anbietern erstellten Profile ist allerdings wenig bekannt. Einen umfassenden Eindruck von der Speicherung von Datenbeständen etwa bei Facebook erlaubt die Plattform "Europe-v-facecook.org". Hier findet sich unter anderem die detaillierte Auswertung der Nutzerdaten, die der österreichische Jurist Max Schrems im Rahmen eines Auskunftsanspruchs von Facebook erklagt hatte.
Nach dieser Auswertung kann man rund achtzig verschiedene Datenkategorien unterscheiden. Tatsächlich dürften es noch mehr sein, wie man dort nachlesen kann. Je nach Nutzungsintensität fallen in einzelnen Datenkategorien Hunderte von Einzeleinträgen an, die ihrerseits wiederum weiter analysiert werden können.
E-Mail-Tracking
Neben den Daten aus sozialen Netzwerken wertet zum Beispiel Google im Rahmen seines E-Mail-Dienstes Gmail auch die Inhalte von E-Mails aus, um gezielter Werbung zu schalten. Dabei geht es vordergründig nur darum, dass mittels eines Algorithmus einzelne Signalwörter im Text einer E-Mail interpretiert werden und eine entsprechende Werbeanzeige eingeblendet wird.
Dreht es sich in der E-Mail um Katzen, wird Werbung für Katzenfutter eingeblendet; Diätprodukte werden beworben, wenn man sich über Gewichtsprobleme austauscht; und sollte man mit einer Freundin über eine Scheidung reden, wird man eventuell die Werbung für einen Scheidungsanwalt sehen.
Google schweigt aber darüber, ob und wie der Inhalt der E-Mail darüber hinaus ausgewertet wird. Zudem wurde bisher nicht beantwortet, was mit den erhobenen Daten geschieht und wie stark die Auswertung persönlicher Daten die Klickraten auf geschaltete passende Werbung erhöht.
App-Tracking
Mit der zunehmenden Verbreitung von Smartphone-Apps entsteht seit einiger Zeit ein neuer Markt für Online-Werbung und ein neuer Anwendungsbereich für Tracking-Technologien. Auch bisher haben Desktop-Programme das Nutzerverhalten in gewissem Umfang protokolliert und an den Hersteller zurückgesendet. Unter anderem erhofften sich die Hersteller so Hinweise für eine Verbesserung ihrer Produkte.
Smartphone-Apps gehen zunehmend dazu über, innerhalb des Programms Werbung zu schalten. Damit das zielgruppenspezifisch funktioniert, müssen entsprechende Informationen über die Nutzerinnen und Nutzer bekannt sein. Um dies zu unterstützen, bieten die Hersteller von Smartphone-Betriebssystemen - also etwa Apple mit "iOS" und Google mit "Android" - entsprechende Funktionen in Form von Identifikationsmechanismen an. So ist es bei Smartphone-Apps möglich, Nutzerinnen und Nutzer programmübergreifend wiederzuerkennen und ihnen entsprechend dem entstandenen Profil Werbung zu übersenden.
Dazu erlauben es die Programme häufig, auf weitere im Telefon verfügbare Informationen zuzugreifen. Beispielsweise auf Standortdaten. So gibt es Anzeichen dafür, dass einige einfache Apps, die eigentlich nur als Taschenlampe auf dem Handy beworben werden, Zugriff auf die Standortdaten nehmen und die Hersteller Profile erstellen. Aber auch der Zugriff auf das Telefonbuch oder den Terminkalender steht einigen Apps offen und kann theoretisch "nach Hause" zurückgefunkt werden.
Datenschutzrecht in Deutschland und der EU
Die Frage, ob Tracking rechtlich zulässig ist, ist kompliziert. Oft ist schon die Frage, welches Recht im globalen Internet zur Anwendung kommt, nicht einfach zu beantworten. Einschränkungen ergeben sich zumeist aus den datenschutzrechtlichen Bestimmungen. Bisher können Rechte in diesem Bereich allerdings kaum durchgesetzt werden. Das führt dazu, dass es in der Praxis zumeist ausschlaggebend ist, wie der Anbieter selbst das Recht interpretiert. Dem Anbieter drohen also nur in Ausnahmefällen Konsequenzen, wenn er sich nicht an das Recht hält.
Welches Recht gilt?
Europaweit schreibt die EU-Datenschutzrichtlinie und die Richtlinie für elektronische Kommunikation ein "einheitliches Schutzniveau" vor. Diese Richtlinien werden national in Gesetze umgesetzt, die jeweils diese europäischen Mindeststandards einhalten müssen. Alle Anbieter mit Sitz in der EU sind daran gebunden - das französische Datenschutzrecht gilt für Anbieter mit Sitz in Frankreich, das britische für Anbieter in Großbritannien und so weiter. Die deutsche Umsetzung gilt entsprechend für Anbieter, die in Deutschland einen Sitz haben.
Wenn sich ein Unternehmen aktiv an deutsche Nutzer richtet, aber keinen eigenen Geschäftssitz in der EU hat, gilt ebenfalls das deutsche Recht. Allerdings ist das Datenschutzrecht bisher völkerrechtlich nicht erfasst. Das heißt, es gibt - anders als etwa im Urheberrecht - keinen weltweit vereinheitlichten Schutzstandard. Und wenn man die Zwischentöne der öffentlichen Debatte verfolgt, wird das noch eine Weile so bleiben. Gegen einen Anbieter ohne Sitz in der EU ist daher die Durchsetzung des Rechts ausgesprochen schwierig.
Personenbezug erforderlich
Der Begriff personenbezogener Daten (im Englischen: personal data), umfasst seiner Definition nach solche Informationen, bei denen es mit gewissem Aufwand möglich ist, sie mit einer Person in Verbindung zu bringen. Er ist damit zentral für die Anwendung des Datenschutzrechts. Sobald eine Information nicht mehr auf eine Person zurückgeführt werden kann, endet meist auch der Schutz des Rechts.
Aber schon bei der Frage, in welchen Fällen ein Personenbezug vorliegt, gehen die Meinungen der Juristen auseinander. Dies gilt auch für die zentrale Angabe der IP-Adresse: In den Datenschutzerklärungen vieler Anbieter finden sich daher Angaben zu "nicht-personenbezogenen Daten", mit denen man versucht, sich für unterschiedliche Interpretationen abzusichern, ohne einzuräumen, ob das Datenschutzrecht überhaupt anwendbar ist.
Gleichzeitig kann man nie sicher sein, ob man in den Datenschutzerklärungen nun eigentlich Angaben zu bestimmten Verwendungen erwarten darf oder nicht. Denn es könnte ja sein, dass ein Anbieter davon ausgeht, dass im Sinne des Datenschutzrechts bestimmte Angaben überhaupt nicht notwendig wären. So bleibt es zum Beispiel unklar, ob und wie Google E-Mails im Detail auswertet.
Cookie-Richtlinie: Opt-in oder Opt-out?
Im Bereich des Trackings hat der europäische Gesetzgeber 2009 entschieden, durch eine Überarbeitung der Datenschutzrichtlinie für die elektronische Kommunikation die Nutzungsbedingungen für Cookies im Detail zu regulieren.
Die Richtlinie stellt insbesondere die Anforderungen,
- dass Nutzerinnen und Nutzer umfassend über die Zwecke der Verarbeitung informiert werden und
- dass sie die Möglichkeit haben müssen, diese Verarbeitung zu verweigern.
Allerdings sind diese Vorgaben in Europa uneinheitlich umgesetzt worden. Da der Gesetzestext nicht ausdrücklich klarstellt, ob die Nutzung einem Opt-in oder einer Opt-out unterliegt, finden sich beide Modelle in den Gesetzen der verschiedenen Länder wieder. Während etwa Anbieter mit Sitz in Großbritannien dazu übergegangen sind, bei der Nutzung von Webseiten einen entsprechenden Hinweis vorzuschalten (Opt-in), finden sich solche Hinweise in Deutschland in der Regel nicht. Deshalb gilt hier wohl eher die Regel, dass man explizit erklären muss, man wolle nicht getrackt werden (Opt-out). Nutzer können sich also nicht auf eine einheitliche Praxis verlassen.
Wie kann man sich schützen?
Wenn ein Nutzer oder eine Nutzerin dem Tracking skeptisch gegenüber steht, bietet das Recht also bisher relativ wenig effektive Instrumentarien und Vertrauensmechanismen. Was bleibt ist der Selbstdatenschutz mit technischen Mitteln.
Besonders beliebt sind hier Browser-Erweiterungen wie "Adblock Plus", "Adblock" und "Ghostery". Sie ermöglichen es, die Anzeige von Werbung und in gewissen Grenzen auch Tracking im Browser zu unterdrücken. Andere Erweiterungen wie "Lightbeam" für den Firefox-Browser bieten interessante Möglichkeiten zu erkennen, welche Formen von Tracking überhaupt stattfinden.
In der Standardeinstellung des Apple-Browsers Safari wird bereits seit vielen Jahren unterdrückt, dass Cookies unterdrückt von Dritten ausgeliefert werden, was ebenfalls das Tracking erheblich erschwert. Auch wenn dieses Verfahren durchaus wirksam ist, wird kritisiert, dass es Apple möglicherweise eher darum geht, seine eigenen Identifikationsmechanismen zu fördern als Nutzer vor Tracking zu schützen. Bedenkt man die Marktmacht von Apple, erscheint diese Überlegung alles andere als abwegig.
Do-not-track
Auch in den USA sind Behörden und einige Unternehmen grundsätzlich bemüht, Tracking datenschutzfreundlicher und für die Nutzerinnen und Nutzer transparenter zu machen. Die amerikanische Federal Trade Commission (FTC) hat im Dezember 2010 dazu aufgerufen, ein "Do-not-track"-System (DNT) zu entwickeln.
Bei DNT handelt es sich im Wesentlichen um eine technische Spezifikation, durch die Nutzer selbst entscheiden können sollen, ob sie getrackt werden wollen oder nicht. Das geschieht, indem der eigene Computer bei einem Seitenaufruf ein Signal mitsendet, das sinngemäß besagt: "Ich will nicht getrackt werden". Der antwortende Webserver kann dann darauf Rücksicht nehmen, muss es aber nicht. Nach mehr als drei Jahren Arbeit und kontroversen Debatten ist die Erstellung der Spezifikation noch immer nicht abgeschlossen. Es besteht bei den beteiligten Akteuren Uneinigkeit darüber, was unter Tracking überhaupt gefasst werden soll.
Wenn man die "Do not track"-Funktion in seinem Browser aktiviert, heißt das demzufolge nicht, dass gar kein Tracking stattfindet. Eine Einigung ist derzeit noch nicht abzusehen.
Fazit
Tatsache ist: Das Verhalten von Nutzerinnen und Nutzern wird im Netz und in Smartphone-Apps gleichsam ununterbrochen verfolgt. Dem Gesetzgeber ist es bisher nicht gelungen, hier wirksame, vertrauenswürdige Kontroll- und Transparenzmechanismen entgegenzusetzen.
Hinzu kommt ein weiterer Aspekt: Vor dem Hintergrund der enormen Detailfülle der Daten wird die Entwicklung zunehmend zu einem Problem des Schutzes der Demokratie - nicht nur des Schutzes der individuellen Privatsphäre. Für die Demokratie ist es durchaus problematisch, wenn sich zunehmend Akteure entwickeln, die - weitgehend exklusiv - auf große Datenmengen mit menschlichen Verhaltensweisen zurückgreifen können.
Auch wenn diese in vielen Fällen nicht direkt auf einzelne Individuen zurückgeführt werden können, entsteht damit ein Wissenspotenzial, dass das Vertrauen in die Manipulationsresistenz von ganzen Gesellschaften beeinträchtigen kann. Das klassische Datenschutzrecht greift in dieser Hinsicht zu kurz, weil es den Schutz der Demokratie nicht hinreichend im Blick hat.
Dieser Text ist im Rahmen der Themenreihe "Rechtsfragen im Netz" in Zusammenarbeit mit Klicksafe entstanden. Klicksafe ist eine Initiative im Rahmen des "Safer Internet Programme" der Europäischen Union, getragen von der Landeszentrale für Medien und Kommunikation Rheinland-Pfalz und der Landesanstalt für Medien Nordrhein-Westfalen.
Jan Schallaböck ist stellvertretender Vorsitzender des Vereins Digitale Gesellschaft. Er forscht und arbeitet seit vielen Jahren zu verschiedenen Aspekten von Datenschutzrecht und -technik. Er war bis vor kurzem Mitarbeiter des Datenschutzbeauftragten des Landes Schleswig-Holstein und wird künftig iRights.Law Rechtsanwälte unterstützen.
Quelle: iRights.info
Dieser Text steht unter einer Creative Commons Namensnennung-Keine Bearbeitung Lizenz 2.0 Deutschland