Dass Sie nicht anonym durchs Internet surfen, ist Ihnen wahrscheinlich bewusst. Dass sich kostenlose Internet-Dienste meist über Werbung finanzieren und dafür Daten von Ihnen sammeln, akzeptieren Sie bestimmt auch mehr oder weniger zähneknirschend. So läuft das Internet eben.
Aber haben Sie sich einmal Gedanken darüber gemacht, in welchem Ausmaß und völlig unbemerkt Werbeplattformen mittlerweile in ihre Privatsphäre eindringen? In unserer Studie „Tracking the Trackers“ haben wir genau das getan. Und eins vorweg: Die Ergebnisse sind gelinde gesagt erschreckend.
84 Prozent der von uns getesteten Seiten hatten im Hintergrund mindestens einen Tracker laufen. Das sind kleine Programme, die ihr Verhalten messen, etwa, welchen Browser Sie benutzen, welche Auflösung Ihr Bildschirm hat oder von welcher Webseite und – wenn möglich – mit welchem Suchbegriff Sie gerade auf die Webseite gekommen sind.
84 Prozent sind dabei erst einmal gar nicht so erstaunlich. Erstens sind darunter viele News-Seiten, deren Geschäft eben aus dem Verkauf von Werbung besteht, zweitens nutzen fast alle kommerziell betriebenen Webseiten einen Analysetracker wie Google Analytics, um zu zählen, wie viele und welche Besucher auf ihre Seite kommen.
Erschreckend wird die Studie, wenn wir sehen, dass rund die Hälfte der Webseiten nicht nur einen Tracker zur Analyse und einen für die Werbung besitzen, sondern gleich zehn und mehr. Nicht selten sehen dutzende Firmen also direkt bei Ihrem Webseiten-Besuch, was Sie da gerade machen. Stellen Sie sich das ruhig einmal wie unzählige Köpfe vor, die Ihnen über die Schulter schauen, während Sie Unterwäsche shoppen, Filme ansehen, Nachrichten lesen, soziale Netzwerke nutzen, und sogar, wenn Sie Bankgeschäfte tätigen.
In der „echten Welt“ würden wir dies vollkommen Fremden niemals erlauben. Im Web lassen die meisten von uns aber genau das zu. Einige aus Fatalismus – „Im Internet gibt es keine Privatsphäre, da kann ich eh nichts tun“. Andere unterschätzen die Risiken durch Tracking dramatisch. Der Satz „Sollen sie mir doch zusehen, ich habe nichts zu verbergen“ begegnet uns erschreckend oft.
Der Spion, der mich nicht kümmert
Wenn es um staatliche Überwachung geht, ist die Sensibilität in der Bevölkerung dagegen hoch, Stichwort Vorratsdatenspeicherung. Der NSA-Skandal hielt die Republik sogar wochenlang in Atem. Aber über die unzähligen, kaum kontrollierten Privatunternehmen im In- und Ausland, die Daten abgreifen, regt sich niemand so wirklich auf. Dabei tun diese nichts Anderes als Spione: Sie schöpfen Daten ab und legen Dossiers über Personen an. Einige Tracking-Firmen tauschen munter Daten untereinander aus, um das Bild über Sie zu vervollständigen. Andere machen keinen Hehl daraus, die abgeschöpften Daten zu verkaufen – der Handel mit den Daten ist leider völlig legal.
Ganz konkrete Risiken
Bei etwa drei Vierteln aller Webseiten-Aufrufe werden Daten getrackt, anhand derer individuelle Nutzer erkannt und ihre Aktivitäten verfolgt werden könnten. Warum ist das so bedenklich? Angenommen, ein Nutzer besucht nacheinander mehrere Webseiten, in die Tracker desselben Betreibers eingebunden sind. Das können Online-Shops und Nachrichten sein, aber auch Erotik-Seiten, Seiten mit Informationen zu Suchtkrankheiten oder zum Thema Privatinsolvenz wie auch Foren, auf denen sich politische Aktivisten austauschen und so weiter. So speichern die Datenbanken der Tracker höchst private Informationen, die nicht nur Rückschlüsse auf die finanzielle Situation, Interessen und Kaufabsichten, sondern etwa auch auf die sexuelle Orientierung, Gesundheit oder die politische und religiöse Einstellung erlauben.
Loggt sich der Nutzer dann zum Beispiel auf einer auf seine individuelle Person ausgerichteten Seite wie about.me ein, können ihm die zutiefst intimen Informationen aus vorherigen Seitenbesuchen direkt zugeordnet werden. Wir wissen nicht was Google, Facebook, Amazon, Criteo und die unzähligen anderen Tracking-Betreiber mit den Daten machen. Wer Zugriff auf die Daten hat, mit welchen Geschäftspartnern sie diese Daten teilen und wofür sie die Daten konkret nutzen, bleibt oft im Dunkeln. Der US-Geheimdienst NSA oder auch die US-Justizbehörden können US-Anbieter verpflichten, Daten über deutsche Nutzer herauszugeben. Hacker könnten sich im Auftrag von Kriminellen oder ausländischer Regime Zugriff auf Tracking-Daten verschaffen.
In unserer Studie unterscheiden wir deswegen zwischen zwei Arten von Informationen, die Tracker über Sie im Web sammeln: sichere und unsichere.
Als sicher definieren wir alles, was rein statistischen Zwecken dient und Ihre Anonymität bewahrt. Die Betreiber von Focus Online müssen zählen, wie viele einen Artikel gelesen haben, wenn sie Werbekunden die Reichweite ihrer Artikel schmackhaft machen wollen. Und Werbetreibende wollen wissen, wie oft ihre Anzeige neben dem Artikel angeklickt wurde. Ginge es nur um solche rein statischen Betrachtungen, wäre Tracking völlig unbedenklich. So wie es völlig in Ordnung ist, wenn ein Einzelhändler zählt, wie viele Kunden den Laden besuchen und wie viele davon ein Sonderangebot einkaufen.
Unsicher werden Daten dann, wenn Sie damit persönlich identifizierbar sind. Würden Sie in der realen Welt einem Verkäufer erlauben, Ihnen ein Schild mit ihrem Namen und Daten über Ihre Einkäufe auf den Rücken zu heften und in jedem weiteren Geschäft fügt ein Verkäufer weitere Informationen dieser Liste hinzu – eine Liste, mit der jedermann ohne große Mühe auf Ihre Interessen und Vorlieben sowie Ihre finanzielle Situation schließen kann?
Im Web läuft das zum Beispiel so ab: Der Tracker Bluekai ist etwa auf der Reiseseite kayak.de und der News-Seite Huffington Post installiert. Der Sinn ist simpel: Suchen Sie auf Kayak nach einem Hotel auf Mallorca, merkt sich der Tracker das und spielt bei Ihrem nächsten Besuch auf der HuffPo eben Mallorca-Werbung aus.
Allerdings: Der Tracker registriert, von welcher Seite aus Sie auf Kayak oder die HuffPo gelangt sind. Und er ist noch auf 4.000 weiteren von Deutschen besuchten Webseiten installiert. Durch eine Identifikationsnummer, die der Tracker Ihnen zuordnet, kann er weite Teile Ihrer Browser-Historie nachvollziehen – das Missbrauchspotenzial eines so umfassenden Datensatzes über einen Nutzer ist groß und für den eigentlichen Zweck dieser Werbeform – Re-Targeting – komplett unnötig.
Der Tracker Nummer 1: Google
Dabei ist Bluekai hierzulande noch ein sehr kleiner Tracker. Unsere Analyse von fünf Millionen Webseiten zeigt etwa, dass Google Sie über seine Tracker über rund 62 Prozent des gesamten Internets verfolgt (42 Prozent, wenn wir alle Seiten mit ausschließlich sicherem Tracking ausschließen), Facebook trackt Sie über rund 20 Prozent und Amazon bereits über rund zehn Prozent. Besonders bedenklich: die drei hier genannten Internet-Giganten sammeln noch auf ganz andere Weise Daten über Sie: mit ihren Browsern, Suchmaschinen, digitalen Assistenten, Betriebssystemen, Apps, sozialen Netzwerken und Kommunikationsdiensten. Immerhin haben Sie aber hier die Wahl, diese Services zu nutzen oder auch nicht.
Gegen Tracking durch Dritte beim Besuch von Webseiten helfen dagegen nur technische Lösungen – Ghostery, Ad Block Plus und Disconnect zum Beispiel. Auch unserer Browser Cliqz besitzt eine integrierte Anti-Tracking-Funktion. Das Besondere: Sie blockiert Tracking nicht vollständig.
Stattdessen analysiert sie, welche Infos Tracker über Sie sammeln. Alles, was als unsicher eingestuft wird – also, was Sie persönlich identifizierbar macht – überschreibt unser Tool mit zufälligen Buchstaben- und Zahlenfolgen. So schützt Cliqz ihre Privatsphäre und Anonymität gegenüber Dritten. Der Vorteil: „Trackende“ Funktionen wie beispielsweise in Websites eingebundene Videos oder Schaltflächen zum Teilen von Inhalten funktionieren weiterhin. Und Werbetreibende erhalten weiterhin legitime statistische Daten, aber keine Daten mehr über Sie als Person.
Ich hoffe, ich konnte Ihnen zeigen, dass Tracking keineswegs harmlos ist und dass es einfache Mittel gibt, sich dagegen zu schützen. Jetzt sind Sie am Zug.