TechnikInternet Privacy

Das fiese Spiel der dritten Partei

Lesezeit ca.: 6 Minuten
Hans-Jörg Munke

Hans-Jörg Munke

freier Journalist

Surfen im Internet hinterlässt Spuren, das weiß jeder. Third-Party-Dienste sammeln unsere Daten. Gegenwehr ist möglich, aber richtig einfache Lösungen sind noch Zukunftsmusik.

19. November 2015

„Woher wissen die das?“ Diese Frage stellen sich viele Internet-Nutzer, wenn sie auf einer Seite plötzlich Angebote und Anzeigen entdecken, die bestens zu den eigenen Interessen passen. Cookies und Tracker machen es möglich. Mit ihrer Hilfe legen Werbenetzwerke Nutzerprofile an und sorgen im Idealfall für die passenden Angebote im richtigen Moment. Das wollen Sie nicht? Dann wird es schwierig.

First- und Third-Party-Anbieter

„Wenn man einen Internet-Shop, eine Newsseite oder Ähnliches besucht, dann öffnet sich zunächst die sogenannte First-Party-Website“, so Christian Bennefeld, Geschäftsführer der eBlocker GmbH. Der Betreiber bediene sich in der Regel zusätzlich sogenannter Third-Party-Anbieter, um etwas über die Besucher und ihr Verhalten zu erfahren. Auf diese Weise lassen sich beispielsweise Erkenntnisse darüber gewinnen, ob Besucher die Seitenadresse direkt eingegeben haben oder ob sie einem Link dorthin gefolgt sind, wie sie die Warenkörbe füllen, wohin sich der Mauszeiger bewegt und vieles mehr. „Dieses Sammeln von Informationen wird häufig über Google Analytics gelöst“, so der Mathematiker weiter. Über 90 Prozent der Websites hätten heute den Google-Ableger als Third-Party-Dienst eingebunden. Möchte man als Shop-Betreiber zusätzlich über Werbeplätze auf der eigenen Site Geld verdienen, kann man einen Google Spross namens Doubleklick oder auch Google selbst integrieren. Ohne, dass der Nutzer es mitbekommt, ruft der Browser dann nach dem Laden der Shop-Website die Adressen der Third-Party-Dienste auf und nimmt Kontakt auf.

Ist etwa der Facebook-Like-Button auf der Website, wird dieser direkt von Facebook aus den USA geladen. So bekommt das Unternehmen die anfragende IP-Adresse und findet gegebenenfalls auch den Cookie wieder, der beim letzten Besuch von Facebook im Browser hinterlassen wurde. Besitzt man ein Google-Konto und meldet sich auf dem Rechner einmal bei Google an – und gleich wieder ab, erkennt auch Google Analytics den Cookie von Google und weiß damit genau wie Facebook, dass es sich hier nicht um einen anonymen Nutzer handelt, sondern um eine konkrete Person. So werden aus anonymen Nutzerdaten schnell personenbezogene Profile.

Gesetzliche Anforderungen, die nicht helfen

„Nach Telemediengesetz (TMG), § 15, Absatz 3 ist die Sammlung pseudonymer Nutzungsprofile zu Marketingzwecken erlaubt. Das bedeutet aber, dass die Daten nicht unter dem Namen, sondern unter einem Pseudonym abgelegt werden müssen“, so Christian Bennefeld. Es sei denn, der Nutzer widerspreche. Dazu könne er ein sogenanntes Opt-out oder Opting-out (engl. für nicht mitmachen) durchführen, wie es in den Datenschutzerklärungen der Website-Betreiber angeboten werde. Dann darf der Anbieter diese Daten nicht mehr speichern und auch Namen und Pseudonym nicht mehr zusammenführen. Außer, der Nutzer hat explizit eingewilligt. „Und das macht man immer, wenn man ein Nutzerkonto anlegt und die Allgemeinen Geschäftsbedingungen bestätigt. Weil das natürlich niemand liest, ist genau das der Trick, mit dem die Anbieter für Gesetzeskonformität sorgen“, erklärt der IT-Experte weiter.

Einfallstor AGBs

„Da viele Trackinganbieter keine deutschen Anbieter sind, liegen die Daten häufig außerhalb Deutschlands“, ergänzt Dominik Herrmann, Wissenschaftler und Professor für Informatik mit Schwerpunkt IT-Sicherheit und Datenschutz an der Uni Siegen. „Werbenetze, die nicht der deutschen Jurisdiktion unterliegen, tauschen trotzdem Daten aus.“

Dass die Opt-out-Variante keine Lösung sein kann, zeigt allein die Anzahl der Tracking-Systeme. Neben Google Analytics gibt es rund 2.000 weitere. „Ich widerspreche dabei nicht einmal Google Analytics, sondern muss auf jeder Website, die ich besuche, dem Anbieter widersprechen, dass er Nutzerinfos aufzeichnen darf“, fährt Christian Bennefeld fort. „Welche Third-Party-Dienste eingesetzt werden, steht in der Datenschutzerklärung. Wenn man widersprechen will, muss man die dort hinterlegten Links nutzen. In der Regel seien das zwischen 10 und 70. Hat man das erledigt, wird beim Besuch der Seite ein Cookie gesetzt, der sagt, dass man widersprochen hat. Löscht man aber die Cookies im Browser generell, kann man von vorne beginnen. Damit sei die Widerspruchregelung im Telemediengesetz heute im Internet nicht praktizierbar, resümiert Bennefeld. Besucht man die gleiche Seite erneut über einen anderen Browser oder ein anderes Endgerät, könne man ebenfalls wieder von vorne anfangen.

Lösungen sind schwierig, denn sie sind betriebssystem- oder browserspezifisch und decken nur Teilaspekte ab. „Die größte Herausforderung ist es, die Nutzer in die Lage zu versetzen, ihren Wunsch nach einem Ende der Überwachung durchzusetzen,  ohne ihn technisch zu überfordern“, fasst es Dominik Herrmann zusammen.

Browser-Plugins oder Hardware-Lösungen können helfen

Ein Ansatz sind Zusatzprogramme für den Browser. Das „Ghostery“-Plugin, für Firefox und andere Browser verfügbar, blockiert zwar sämtliche Tracking-Systeme, nicht aber Werbesysteme, die ebenfalls Nutzerdaten sammeln. Dafür sorgt „AdBlock Plus“. Aber auch hier gibt es Lücken, so etwa, dass bestimmte Werbeformen durchgelassen werden, wenn die Werbetreibenden dafür zahlen. So bleiben die IP-Adressen, die sich Websites häufig merken, um darüber den Besuchsverlauf im Nachhinein auswerten zu können. Um das zu unterlaufen, müsste permanent die IP-Adresse über ein Anonymisierungs-Netzwerk geändert werden. Da wird es dann wirklich kompliziert. Und all das gilt wieder lediglich für einen Browser auf einem Gerät.

Ansatz: Den gesamten Internetverkehr checken

Einen anderen Ansatz bietet der „eBlocker“, den das Unternehmen von Christian Bennefeld Ende des Jahres auf den Markt bringen wird. Das Gerät auf der Basis des Mini-Computers  Raspberry PI wird an einen Netzwerkanschluss des Routers gesteckt und kontrolliert von dort den gesamten  Internetverkehr in Heimnetz. „Es wird geprüft, ob die angefragte Internet-Adresse auf einer Filterliste steht. Wenn nicht, wird die Seite geladen. Kommen die Third-Party-Dienste wie Google Analytics mit ihren Anfragen, werden Sie blockiert. Der eBlocker befriedigt die Anfrage des Browsers mit transparenten Bildchen. So wird verhindert, dass die Trackingsysteme überhaupt mitbekommen, ob der Kunde auf dem Shop-System war. Die Funktionalität des Shops bleibt dagegen erhalten. Das alles läuft nutzer-, geräte- und betriebssystemunabhängig.

Dominik Herrmann ist kritisch, der Ansatz sei gut und technisch anspruchsvoll, aber „ob Nutzer für Datenschutz Geld zahlen wollen, ist fraglich. Viele sind sich dem Problem und möglichen Folgen – etwa selektive Diskriminierung über höhere Preise, abhängig vom Surfverhalten – gar nicht bewusst, denn die Bespitzelung richtet ja keinen unmittelbaren Schaden an.“

Der Wissenschaftler wünscht sich eine bessere Lösung: „Ideal wäre es, wenn man Internet-Anbieter dazu bewegen könnte, datenschutzfreundlichere Internetzugänge anzubieten und Third-Party-Dienste generell zu blockieren. Eigentlich will ich mich als Nutzer gar nicht mit dem Thema auseinandersetzen. Und auch nicht zusätzliches Geld dafür zahlen.“ Doch solange mit Werbung im Netz viel Geld verdient werde, drohten jedem der es versuche, juristische Auseinandersetzungen, denn nicht nur Verlagen bräche dann ein guter Teil ihres Einkommens weg.