Supercookies: Verizon zahlt Millionenstrafe
Der Mobilfunkanbieter Verizon hatte das Surfverhalten seine Kunden mit Supercookies überwacht, um personalisierte Werbung auszuliefern. Jetzt muss der Konzern ein Bußgeld zahlen. Verbindliche Regeln für das Nutzertracking sollen kommen.
Der US-Mobilfunkprovider Verizon hatte in den Datenstrom seiner Kunden unlöschbare Tracking-Informationen eingefügt, um personalisierte Werbung auszuliefern. Trotz Geldbuße darf er nun mit Einschränkungen weitermachen.
Supercookies seit 2012 im Einsatz
Nach Erkenntnissen der Federal Communications Commission (FCC) hatte der Provider bereits 2012 damit angefangen, in den HTTP-Datenstrom seiner Kunden einen zusätzlichen Header mit einer speziellen ID einzuschleusen. Mit Hilfe der Unique Identifier Header (UIDH) – auch bekannt als "Supercookies" – konnte der Provider seine Kunden über verschiedene Apps hinweg und unabhängig von ihren Privatsphäre-Einstellungen identifizieren und diese Daten zur Verbreitung personalisierter Werbung nutzen.
Die FCC stellte in ihrer 15 Monate dauernden Untersuchung fest, dass diese Praxis gegen die Bestimmungen der Open Internet Transparency Rule verstieß, wonach Provider ihre Kunden über alle wesentlichen Eingriffe in den Datenverkehr informieren müssen. In einer Einigung mit der Regulierungsbehörde stimmte Verizon nun der Zahlung von 1,35 Millionen US-Dollar (zirka 1,2 Millionen Euro) zu und will seine Kunden wie gefordert informieren.
Opt-In und Opt-Out
Gemäß der nun publizierten Einigung, kann Verizon die Supercookies weiter benutzen, muss aber den Kunden eine Möglichkeit zum Opt-Out geben. Wenn der Provider Daten an Dritte weitergeben will, braucht er die explizite Zustimmung der Kunden. Mindestens ein Geschäftspartner Verizons hatte die Technik in der Vergangenheit genutzt, um explizite Privatsphäreeinstellungen der Nutzer zu umgehen und einmal gelöschte Cookies wiederherzustellen. Der Einsatz von verschlüsselten HTTPS-Verbindungen verhindert bisher den Einsatz der Tracking-IDs.
Mit der FCC-Entscheidung ist Verizon und anderen Providern prinzipiell der Weg geöffnet, eigene Netzwerke zur Verbreitung personalisierter Werbung zu betreiben. Die ID wird vom Provider mit Angaben zum Nutzer wie Wohnort, Geschlecht, Alter und Einkommen angereichert. So nutzte ein Blumenlieferdienst die Technik im Jahr 2014, um Valentinstags-Werbung bei männlichen Android-Nutzer im Alter von 25 bis 44 Jahren mit einem Einkommen von über 75.000 US-Dollar auszuspielen, wie das Wall Street Journal berichtet. Im vergangenen Oktober hatte Verizon AOL samt dessen Werbegeschäft übernommen.
Verbraucherschützer vorsichtig optmistisch
"Die FCC-Entscheidung ist ein klarer Sieg für die Nutzerrechte", erklärte Peter Micek von der Bürgerrechtsorganisation Access Now in einer ersten Stellungnahme. "Hier wird ein positiver Präzendenzfall gegen das heimtückische Online-Tracking gesetzt, das rund um die Welt eingesetzt wird", sagte Micek. AccessNow appelliert nun auch an die Telekom-Regulierer anderer Länder, sich mit den Supercookies zu befassen. Die Organisation hatte nach Bekanntwerden der Technik die Website AmIBeingTracked aufgesetzt, mit der Nutzer weltweit überprüfen konnten, ob ihre Provider sie per Supercookies überwachen. Laut AccessNow wurden dabei SuperCookies bei Kunden von zehn Providern gefunden, darunter auch bei Vodafone-Kunden in den Niederlanden und in Spanien.
Auch Verizon-Konkurrenten wie AT&T hatten Supercookies eingesetzt, diese Praxis aber nach öffentlicher Kritik wieder eingestellt. Laut New York Times wird in Kürze eine neue Grundsatzentscheidung der FCC erwartet, die verbindliche Regeln für das Nutzertracking durch Provider festlegen soll.
Mobilfunk-Provider versuchen unterdessen, sich weltweit an dem Online-Werbegeschäft zu beteiligen. So filtert der Provider Digicell bei seinen Mobilfunkkunden in Jamaika bereits netzseitig Werbung aus, hatte aber angeboten die Sperre gegen Zahlung aufzuheben. Auch europäische Provider zeigen Interesse an dem Modell. (kbe)
