Du sollst nicht ausspähen!

Die bisherigen Ansätze gegen ein Tracking von Internet-Nutzern sind nicht nur wirkungslos, sondern beschleunigen sogar die Monopolisierung der Online-Werbung, warnt TR-Autor Simson Garfinkel.

Vergangene Woche hat Microsoft für die nächste Version des Internet Explorer, IE9, eine „Tracking Protection“ angekündigt – eine Funktion, die das Ausspähen von Webnutzern verhindern soll. Diese Ankündigung ist von vielen positiv aufgenommen worden, unter anderem vom Vorsitzenden der US-amerikanischen Federal Trade Comission (FTC), Jon Liebowitz. Dennoch ist sie ein Schritt in die falsche Richtung, um die Privatsphäre im World Wide Web zu schützen.

Denn zum einen ist diese Tracking Protection technisch unzulänglich: Sie kann nicht verhindern, dass Webseiten Ihr Nutzungsverhalten verfolgen. Zum anderen wird sie Unternehmen ein perfektes Argument gegen eine staatliche Regulierung liefern, die das Problem des Trackings eigentlich lösen könnte.

Wer die Kontroverse um das Internet-Tracking nicht regelmäßig verfolgt, kann sich nur schwer vorstellen, welche Möglichkeiten zum Ausschnüffeln von Webnutzern es bereits gibt – und warum dies jeden angeht. Denn im vergangenen Jahrzehnt hat sich die Struktur des Web fundamental, aber für die Öffentlichkeit kaum wahrnehmbar gewandelt. Es sind heute nicht mehr Wagniskapitalgeber oder Nutzungsgebühren, die informationsorientierte Webseiten finanzieren. Der größte Teil des Web macht seinen Umsatz mit Hilfe von Werbung. Google etwa nahm im dritten Quartal 7,3 Milliarden – 97 Prozent seines Umsatzes – über das Anzeigengeschäft ein. Und der größte Umsatz lässt sich heutzutage mit Werbung machen, die gezielt auf den einzelnen User zugeschnitten wird – angepasst an das, was der Werbetreibende über seinen potenziellen Kunden erfahren hat.

Denn die Kommunikation im Web läuft mittlerweile nicht mehr nur vom Werbetreibenden zum Nutzer, sondern auch umgekehrt. Wie häufig eine Online-Anzeige betrachtet wird und wie oft von einer bestimmten Person, an welchem Ort sich ein Nutzer aufhält und ob zuhause oder im Job – all das lässt sich inzwischen ermitteln. Werbenetzwerke können auch verschiedene Anzeigen schalten und herausfinden, welche in einen Online-Kauf mündet und wieviel Geld dabei umgesetzt wird. Damit ist Online-Werbung gegenüber anderen Medien deutlich im Vorteil – mit dem Effekt, dass immer mehr Werbeausgaben aus Printmedien abgezogen und in die Truhen von Google gepumpt werden.

Nun hat die Internet-Werbung die nächste Stufe erreicht: das sogenannte Behavioral Advertising. Dabei werden Werbebanner passend zu Ihrem Nutzungsverhalten im Web eingeblendet. Die Verlage frohlocken angesichts des Geldes, das damit hereingespült wird: im Schnitt 4,12 Dollar pro Tausend Bannerschaltungen gegenüber 1,98 Dollar bei nicht personalisierten Anzeigen.

Den meisten US-Bürger ist das Behavorial Advertising allerdings unheimlich. Als Beleg dafür führte Susan Grant, Direktorin für Verbraucherschutz der Consumer Federation of America, kürzlich bei einer Anhörung im Wirtschaftsausschuss des Repräsentantenhauses eine Umfrage der University of Pennsylvania an: 84 Prozent der Befragten lehnten Werbebanner ab, die sich auf vorherige Seitenaufrufe beziehen. „Mehr als 90 Prozent sprachen sich dafür aus, dass Werbetreibende und Onlinedienste gesetzlich verpflichtet werden sollten, sämtliche Informationen über einen Nutzer zu löschen, wenn der es verlangt“, sagte Grant bei der Anhörung.

Die technische Grundlage für das Behavioral Targeting ist jenes Ausspähen, das Microsoft im IE9 verhindern will. Denn um eine ganz spezifische Anzeige einzublenden, muss ein Seitenbetreiber möglichst viel über die Person wissen, die vor dem Browser sitzt. Anfangs setzten Firmen wie DoubleClick – die mittlerweile Google gehört – hierfür so genannte Cookies ein. Die kleinen, beim Surfen auf dem Rechner abgelegten Dateien halfen, Querverbindungen zwischen einer Websuche und den Seiten herzustellen, die tatsächlich aufgerufen wurden. Dann folgten so genannte Web Beacons, ein Pixel große Bildelemente, die in Webseiten eingebettet werden und deren Aufruf einem Nutzer zuordnen können.

Eine neuere Entwicklung sind „Browser-Fingerabdrücke“. Sie machen sich die Tatsache zunutze, dass Webbrowser jede Menge Informationen über Ihren Rechner verraten: von installierten Zusatzprogrammen über den Browser über die Bildschirm-Auflösung bis hin zur Zeitzone, in der Sie sich aufhalten. Welchen elektronischen Fingerabdruck Sie haben, können Sie mit Hilfe eines Datenchecks der Electronic Frontier Foundation erfahren. Überraschend viele Webseiten gehen noch weiter und laden auch Ihre Browser-Chronik herunter, also die Liste der Seiten, die Sie zuletzt besucht haben.

Zusammengenommen erstellen diese Technologien ein Nutzerprofil, das Interessen, Einkommenshöhe, gekaufte Produkte, betrachtete Anzeigen und diverse andere Informationen enthält. Natürlich verfügt keine einzelne Firma über den gesamten Datensatz. Google kommt dem aber schon ziemlich nahe, erst recht, wenn Sie ein Gmail-Konto haben und beim Surfen dort eingeloggt bleiben, oder wenn Sie Cloud-basierte Google-Dienste von einem Android-Handy aufrufen. Denn der Datenriese kann Suchanfragen, Seiten mit Google-Ads, den Aufenthaltsort – den ein Android-Handy verrät – und gelesene Mails zueinander in Beziehung setzen und auswerten.

So wie Microsoft die Tracking Protection des IE9 beschrieben hat, werden die meisten dieser Schnüffelpraktiken von der Zusatzfunktion überhaupt nicht angetastet. Laut Dean Hachamovitch, Leiter des IE-Entwicklungsteams, wird die Tracking Protection nicht viel mehr als eine schwarze Liste von Webseiten umfassen, zu denen der IE9 die Kommunikation verweigert – selbst wenn die Seiten von anderen Seiten aufgerufen werden:

„Die Tracking Protection im IE9 gibt Nutzern die Kontrolle darüber, welche Daten sie mit anderen teilen, während sie sich durchs Web bewegen. Dies funktioniert, indem die Verbraucher angeben, mit welchen Seiten sie keinen Informationsaustausch wollen. Hierzu müssen sie dem Internet Explorer Listen für eine Tracking Protection hinzufügen. Diese Listen kann jede Einzelperson und jede Organisation erstellen. Verbraucher können mehr als eine Liste installieren. Im Einklang mit früheren IE-Versionen sind aus Datenschutzgründen im IE9 keine Listen voreingestellt.“
Providing Windows Customers with More Choice and Control of Their Privacy Online with Internet Explorer 9, Microsoft News Center, 7.12.2010.

An diesem Modell sind zwei Dinge falsch. Erstens: Ganz gleich, wie viele Schutzlisten Verbraucher im IE9 installieren, gibt es keine Garantie dafür, dass sie nicht ausgespäht werden. Denn die Tracking-Dienste können jederzeit unter einer neuen Webadresse eingerichtet werden. Zweitens hindert die neue Funktion jene Webseiten, die Sie aufrufen, nicht daran, Daten über Sie zu erfassen. Und da Sie nicht Seiten blockieren, die Sie brauchen, blockieren Sie auch nicht das Tracking.

Neben der Zusatzfunktion für den Internet Explorer sind zwei weitere technische Lösungen vorgeschlagen worden, die ebenfalls problematisch sind. Bei der einen handelt es sich um Anonymsierungsfilter wie Privoxy, eine Open-Source-Software. Leider können diese Filter Schnüffel-Cookies nur blockieren, wenn Sie im Browser auch JavaScript und Flash deaktivieren – dummerweise funktionieren immer weniger Webseiten ohne diese beiden Technologien. Beim zweiten Ansatz überträgt der Browser in einem Seitenaufruf spezielle Kopfdaten, die dem Seitenanbieter mitteilen, dass ein Tracking unerwünscht ist. Dieses an der Stanford University entwickelte Konzept ist auf der Seite http://donottrack.us beschrieben. Doch ohne eine gesetzliche Regelung bleibt es jedem Seitenbetreiber freigestellt, die Browsermitteilung zu respektieren.

Erst kürzlich sprach sich die FTC dafür aus, dass Nutzer die Möglichkeit haben sollten, das Tracking abzustellen – im Fachjargon „Opt-out“ genannt. Doch sowohl die technischen als auch die rechtlichen Rahmenbedingungen für ein solches Opt-out sind derzeit ziemlich unklar.

Dass der US-Kongress ein entsprechendes Gesetz verabschieden könnte, ist allerdings nicht ganz abwegig. Einen Tag vor der jüngsten Kongress-Anhörung zu dem Thema hat die FTC den 122 Seiten langen Report "Protecting Consumer Privacy in an Era of Rapid Change“ veröffentlicht, der sich für einen „Do not track“-Mechanismus ausspricht.

Der befindet sich aber erst am Anfang der parlamentarischen Prozedur. Die verschiedenen Interessengruppen sind noch damit beschäftigt, ihre Positionen zu erarbeiten und vor allem herauszufinden, wie man das Tracking am besten erklären kann. Immerhin, und durchaus überraschend, waren sich aber alle Anwesenden in der Kongress-Anhörung in einem Punkt einig: Die Verbraucher sollen das Recht haben zu entscheiden, ob sie ausgespäht werden oder nicht.

Leider könnte aber gerade die Phrase von der „Wahlfreiheit für Verbraucher“ am Ende Anti-Tracking-Technologien oder eine Regulierung wirkungslos machen. Denn die Unternehmen, die besonders gut im Ausspähen sind – wie Google oder Facebook –, haben sich in den Nutzungsbestimmungen von ihren Kunden längst ein Tracking genehmigen lassen – als Voraussetzung, die Dienste überhaupt nutzen zu können.

Wenn einfache Lösung nicht funktionieren, was dann? Wir brauchen erstens eine echte Transparenz von Seiten der Werbenetzwerke und der Technologie-Anbieter. Wir sollten es nicht Forschern und Journalisten überlassen, die Praktiken dieser Unternehmen ans Tageslicht zu bringen. Zweitens bräuchten wir ein Regulierungssystem, das von Zielen ausgeht und nicht von bestimmten Verfahren. Es müsste beschreiben, welche Daten überhaupt gesammelt werden dürfen, wer auf diese Daten zugreifen darf und wie sie verwendet werden können.

Internetnutzer sollten außerdem das gesetzlich verbriefte Recht haben, Einsicht in die über sie gesammelten Daten zu verlangen und diese löschen zu lassen – auch in Teilen. Denn es kann nicht sein, dass man sein Tracking-Profil bei Google nur löschen kann, wenn man zugleich alle Emails in Googles Maildienst löschen und seinen Web-Kalender zu einem anderen Anbieter verlagern muss. Anders gesagt: Wir brauchen einen Kodex für eine faire Informationspraxis, der auch für das Internet gilt – was Unternehmensinteressen bislang erfolgreich verhindert haben.

Die gegenwärtigen Vorschläge für eine Einschränkung des Trackings sind nicht dazu geeignet, das Kernproblem zu lösen: den Gebrauch der gesammelten Daten in einer Weise, die nicht nachvollziehbar ist. De facto benachteiligen die Vorschläge andere Firmen gegenüber Werbetreibenden wie Google und Facebook, die mit Web-basierten sozialen Netzwerken, Nachrichtensystemen oder persönlichen Informationsdiensten viel Aufmerksamkeit erzeugen. Wenn die „Do not Track“-Politik nicht richtig umgesetzt wird, beschleunigt sie nur die Zentralisierung und Monopolisierung des Internets, die bereits stattfindet.

Simson Garfinkel ist Forscher und Autor in Kalifornien. Er arbeitet unter anderem zu Computer-Forensik, Datenschutz und persönlichem Informationsmanagement. (bsc)