Image: Das fiese Spiel der dritten ParteiFERCHAUFERCHAU
TechnikInternet Privacy

Das fiese Spiel der dritten Partei

Lesezeit ca.: 6 Minuten
Hans-Jörg Munke

Hans-Jörg Munke

freier Journalist

Surfen im Internet hinterlässt Spuren, das weiß jeder. Third-Party-Dienste sammeln unsere Daten. Gegenwehr ist möglich, aber richtig einfache Lösungen sind noch Zukunfts­musik.

19. November 2015

„Woher wissen die das?“ Diese Frage stellen sich viele Internet-Nutzer, wenn sie auf einer Seite plötzlich Angebote und Anzeigen entdecken, die bestens zu den eigenen Interessen passen. Cookies und Tracker machen es möglich. Mit ihrer Hilfe legen Werbenetz­werke Nutzerpro­file an und sorgen im Idealfall für die passenden Angebote im richtigen Moment. Das wollen Sie nicht? Dann wird es schwierig.

First- und Third-Party-Anbieter

„Wenn man einen Internet-Shop, eine Newsseite oder Ähnliches besucht, dann öffnet sich zunächst die sogenannte First-Party-Website“, so Christian Bennefeld, Geschäfts­führer der eBlocker GmbH. Der Betreiber bediene sich in der Regel zusätzlich sogenannter Third-Party-Anbieter, um etwas über die Besucher und ihr Verhalten zu erfahren. Auf diese Weise lassen sich beispiels­weise Erkenntnisse darüber gewinnen, ob Besucher die Seitenadresse direkt eingegeben haben oder ob sie einem Link dorthin gefolgt sind, wie sie die Warenkörbe füllen, wohin sich der Mauszeiger bewegt und vieles mehr. „Dieses Sammeln von Informationen wird häufig über Google Analytics gelöst“, so der Mathematiker weiter. Über 90 Prozent der Websites hätten heute den Google-Ableger als Third-Party-Dienst eingebunden. Möchte man als Shop-Betreiber zusätzlich über Werbeplätze auf der eigenen Site Geld verdienen, kann man einen Google Spross namens Doubleklick oder auch Google selbst integrieren. Ohne, dass der Nutzer es mitbekommt, ruft der Browser dann nach dem Laden der Shop-Website die Adressen der Third-Party-Dienste auf und nimmt Kontakt auf.

Ist etwa der Facebook-Like-Button auf der Website, wird dieser direkt von Facebook aus den USA geladen. So bekommt das Unternehmen die anfragende IP-Adresse und findet gegebenen­falls auch den Cookie wieder, der beim letzten Besuch von Facebook im Browser hinterlassen wurde. Besitzt man ein Google-Konto und meldet sich auf dem Rechner einmal bei Google an – und gleich wieder ab, erkennt auch Google Analytics den Cookie von Google und weiß damit genau wie Facebook, dass es sich hier nicht um einen anonymen Nutzer handelt, sondern um eine konkrete Person. So werden aus anonymen Nutzerdaten schnell personen­be­zo­gene Profile.

Gesetzliche Anforderungen, die nicht helfen

„Nach Telemedi­en­ge­setz (TMG), § 15, Absatz 3 ist die Sammlung pseudonymer Nutzungs­pro­file zu Marketing­zwe­cken erlaubt. Das bedeutet aber, dass die Daten nicht unter dem Namen, sondern unter einem Pseudonym abgelegt werden müssen“, so Christian Bennefeld. Es sei denn, der Nutzer widerspreche. Dazu könne er ein sogenanntes Opt-out oder Opting-out (engl. für nicht mitmachen) durchführen, wie es in den Datenschutz­er­klä­rungen der Website-Betreiber angeboten werde. Dann darf der Anbieter diese Daten nicht mehr speichern und auch Namen und Pseudonym nicht mehr zusammen­führen. Außer, der Nutzer hat explizit eingewil­ligt. „Und das macht man immer, wenn man ein Nutzerkonto anlegt und die Allgemeinen Geschäfts­be­din­gungen bestätigt. Weil das natürlich niemand liest, ist genau das der Trick, mit dem die Anbieter für Gesetzes­kon­for­mität sorgen“, erklärt der IT-Experte weiter.

Einfallstor AGBs

„Da viele Tracking­an­bieter keine deutschen Anbieter sind, liegen die Daten häufig außerhalb Deutschlands“, ergänzt Dominik Herrmann, Wissenschaftler und Professor für Informatik mit Schwerpunkt IT-Sicherheit und Datenschutz an der Uni Siegen. „Werbenetze, die nicht der deutschen Jurisdik­tion unterliegen, tauschen trotzdem Daten aus.“

Dass die Opt-out-Variante keine Lösung sein kann, zeigt allein die Anzahl der Tracking-Systeme. Neben Google Analytics gibt es rund 2.000 weitere. „Ich widerspreche dabei nicht einmal Google Analytics, sondern muss auf jeder Website, die ich besuche, dem Anbieter widerspre­chen, dass er Nutzerinfos aufzeichnen darf“, fährt Christian Bennefeld fort. „Welche Third-Party-Dienste eingesetzt werden, steht in der Datenschutz­er­klä­rung. Wenn man widerspre­chen will, muss man die dort hinterlegten Links nutzen. In der Regel seien das zwischen 10 und 70. Hat man das erledigt, wird beim Besuch der Seite ein Cookie gesetzt, der sagt, dass man widerspro­chen hat. Löscht man aber die Cookies im Browser generell, kann man von vorne beginnen. Damit sei die Widerspruch­re­ge­lung im Telemedi­en­ge­setz heute im Internet nicht praktizierbar, resümiert Bennefeld. Besucht man die gleiche Seite erneut über einen anderen Browser oder ein anderes Endgerät, könne man ebenfalls wieder von vorne anfangen.

Lösungen sind schwierig, denn sie sind betriebs­system- oder browserspe­zi­fisch und decken nur Teilaspekte ab. „Die größte Herausfor­de­rung ist es, die Nutzer in die Lage zu versetzen, ihren Wunsch nach einem Ende der Überwachung durchzusetzen,  ohne ihn technisch zu überfordern“, fasst es Dominik Herrmann zusammen.

Browser-Plugins oder Hardware-Lösungen können helfen

Ein Ansatz sind Zusatzpro­gramme für den Browser. Das „Ghostery“-Plugin, für Firefox und andere Browser verfügbar, blockiert zwar sämtliche Tracking-Systeme, nicht aber Werbesys­teme, die ebenfalls Nutzerdaten sammeln. Dafür sorgt „AdBlock Plus“. Aber auch hier gibt es Lücken, so etwa, dass bestimmte Werbeformen durchgelassen werden, wenn die Werbetrei­benden dafür zahlen. So bleiben die IP-Adressen, die sich Websites häufig merken, um darüber den Besuchsver­lauf im Nachhinein auswerten zu können. Um das zu unterlaufen, müsste permanent die IP-Adresse über ein Anonymisie­rungs-Netzwerk geändert werden. Da wird es dann wirklich kompliziert. Und all das gilt wieder lediglich für einen Browser auf einem Gerät.

Ansatz: Den gesamten Internet­ver­kehr checken

Einen anderen Ansatz bietet der „eBlocker“, den das Unternehmen von Christian Bennefeld Ende des Jahres auf den Markt bringen wird. Das Gerät auf der Basis des Mini-Computers  Raspberry PI wird an einen Netzwerk­an­schluss des Routers gesteckt und kontrolliert von dort den gesamten  Internet­ver­kehr in Heimnetz. „Es wird geprüft, ob die angefragte Internet-Adresse auf einer Filterliste steht. Wenn nicht, wird die Seite geladen. Kommen die Third-Party-Dienste wie Google Analytics mit ihren Anfragen, werden Sie blockiert. Der eBlocker befriedigt die Anfrage des Browsers mit transparenten Bildchen. So wird verhindert, dass die Tracking­sys­teme überhaupt mitbekommen, ob der Kunde auf dem Shop-System war. Die Funktiona­lität des Shops bleibt dagegen erhalten. Das alles läuft nutzer-, geräte- und betriebs­sys­tem­un­ab­hängig.

Dominik Herrmann ist kritisch, der Ansatz sei gut und technisch anspruchs­voll, aber „ob Nutzer für Datenschutz Geld zahlen wollen, ist fraglich. Viele sind sich dem Problem und möglichen Folgen – etwa selektive Diskrimi­nie­rung über höhere Preise, abhängig vom Surfverhalten – gar nicht bewusst, denn die Bespitze­lung richtet ja keinen unmittel­baren Schaden an.“

Der Wissenschaftler wünscht sich eine bessere Lösung: „Ideal wäre es, wenn man Internet-Anbieter dazu bewegen könnte, datenschutz­freund­li­chere Internet­zu­gänge anzubieten und Third-Party-Dienste generell zu blockieren. Eigentlich will ich mich als Nutzer gar nicht mit dem Thema auseinan­der­setzen. Und auch nicht zusätzli­ches Geld dafür zahlen.“ Doch solange mit Werbung im Netz viel Geld verdient werde, drohten jedem der es versuche, juristische Auseinan­der­set­zungen, denn nicht nur Verlagen bräche dann ein guter Teil ihres Einkommens weg.