Was ist und wie funktioniert Webtracking?
Tracking ist eine Basistechnologie des Netzes. Nahezu jeder Seitenaufruf wird von Werbedienstleistern mitgeschnitten und weiter verarbeitet. Aus diesen Informationen können individuelle Profile oder statistische Modelle erstellt werden, die es ermöglichen, den Nutzern auf sie zugeschnittene Werbeangebote zu zeigen. Auch die Nutzung von Apps auf Mobilgeräten wird häufig ausgewertet.
Was ist Webtracking?
Webtracking bedeutet ganz allgemein, dass die Bewegungen eines Nutzers im Internet beobachtet und ausgewertet werden. Dazu gibt es verschiedene Techniken, die immer weiter entwickelt werden.
Cookies
Eine klassische Technik ist das Abspeichern eines sogenannten Cookies im Browser beim Aufruf einer Website. Eine solche Datei enthält unter anderem eine Nummer, die den Besucher der Website identifiziert. Diese Nummer kann der Anbieter bei späteren Besuchen auslesen und so die Besucher wiedererkennen. Cookies ermöglichen es zum Beispiel Webshops, sich die vom Nutzer ausgewählten Produkte im Online-Warenkorb zu merken.
Zugleich haben sich Cookies zu einem Werkzeug entwickelt, mit dem das Surfverhalten über mehrere Seiten hinweg beobachtet werden kann. Das geschieht etwa, indem beim Aufruf einer Website Inhalte von anderen Webseiten eingebunden werden.
Ein einfaches Beispiel für eingebundene Inhalte sind Youtube-Videos. Obwohl sich das Video auf Youtubes Servern befindet, kann es in eine andere Webseite integriert und direkt dort angezeigt werden. Wird diese Seite aufgerufen, erfährt Youtube davon und kann über einen bereits vorher gespeicherten Cookie erkennen, um wen es sich genau handelt.
Ein weiteres Beispiel ist der „Gefällt mir“-Button von Facebook, der sich auf vielen Seiten findet. Jedes Mal, wenn eine Seite mit diesem Element angezeigt wird, wird eine Verbindung zu einem Facebook- Server aufgebaut. Über einen bereits vorhandenen Cookie kann auch hier der Nutzer wiedererkannt werden.
Wenn ein Anbieter es schafft, dass sehr viele Seiten seine Elemente verwenden, kann er somit die Bewegungen eines Nutzers im Internet detailliert verfolgen. Aus dem Nutzungsverhalten können Anbieter dann Rückschlüsse auf Interessen, Vorlieben und weitere Eigenschaften ziehen. Eine klassische Technik zu diesem Zweck sind sogenannte Tracking-Pixel. Anders als der „Gefällt mir“-Button oder Youtube-Videos sind solche externen Elemente auf der Website nicht sichtbar.
IP-Adressen zur Standort-Erkennung
Neben Cookies wird nicht selten die IP-Adresse in Analysen einbezogen. Eine solche Nummer, etwa „62.153.123.111“, ist so etwas wie die Anschrift des Computers oder Mobilgeräts und wird bei der Anfrage übermittelt. Erst sie ermöglicht es, eine aufgerufene Internetseite an den Anfragenden zu übermitteln.
Da IP-Adressen in der Regel nicht fest vergeben werden und mehrere Nutzer denselben Internetanschluss verwenden können, ist sie nur eine ungenaue Möglichkeit, Anfragen und Seitenaufrufe zuzuordnen. Genutzt wird sie vor allem dazu, um den Standort des Computers näher zu bestimmen, da bestimmte Gruppen von IP-Adressen typischerweise denselben geographischen Regionen zugeordnet werden. Man kann also feststellen, ob ein Nutzer in Deutschland oder in den USA sitzt oder manchmal sogar noch genauer ob in Hamburg oder in Berlin.
In Deutschland erreicht die kommerzielle Datenbank GeoIP2 City nach Angaben des Anbieters in rund drei Vierteln der Fälle eine Genauigkeit von mindestens 50 Kilometern.
Sie möchten iRights.info unterstützen?
iRights.info informiert und erklärt rund um das Thema „Urheberrecht und Kreativität in der digitalen Welt“. Alle Texte erscheinen kostenlos und offen lizenziert.
Wenn Sie mögen, können Sie uns über die gemeinnützige Spendenplattform Betterplace unterstützen und dafür eine Spendenbescheingung erhalten. Betterplace akzeptiert PayPal, Bankeinzug, Kreditkarte, paydirekt oder Überweisung.
Besonders freuen wir uns über einen regelmäßigen Beitrag, beispielsweise als monatlicher Dauerauftrag. Für Ihre Unterstützung dankt Ihnen herzlich der gemeinnützige iRights e.V.!
Fingerprinting und weitere Tracking-Methoden
Neben den hier erläuterten Möglichkeiten gibt es zahlreiche weitere Techniken, mit denen sich die Bewegungen von Nutzern im Internet verfolgen lassen.
Ein Beispiel ist das sogenannte Fingerprinting. Dabei werden möglichst viele verschiedene Informationen über die Konfiguration von Geräten und Browsern zusammengetragen, zum Beispiel das verwendete Betriebssystem, die Bildschirmauflösung oder installierte Schriftarten.
All diese Merkmale sind zwar für sich genommen nicht besonders aussagekräftig, ergeben in Kombination jedoch einen digitalen Fingerabdruck mit hoher Genauigkeit. Diese Technik wird zunehmend weiterentwickelt und mit anderen Methoden kombiniert.
App-Tracking
Ein weiterer Anwendungsbereich von Tracking-Technologien liegt in der Auswertung, welche Apps auf Smartphone und Tablet wie verwendet werden. Um Werbung in mobilen Apps zielgerichtet zu schalten, müssen Informationen über die Nutzer bekannt sein.
Um dies zu unterstützen, bieten Apples mobiles Betriebssystem iOS und Google mit Android entsprechende Funktionen zur Identifikation der Nutzer beziehungsweise des Geräts an. So ist es bei Smartphone-Apps möglich, Nutzer applikationsübergreifend wiederzuerkennen und ihnen entsprechend dem entstandenen Profil Werbung anzuzeigen.
Zudem verlangen Apps bei der Installation nicht selten, auf zahlreiche im Telefon verfügbare Informationen zugreifen zu dürfen, beispielsweise auf Standortdaten. Teilweise sind die Berechtigungen für bestimmte Funktionen zwingend nötig oder machen die Verwendung bequemer.
Fordern Apps jedoch Zugriff auf Daten und Funktionen an, die für sie nicht erforderlich sind, liegt der Verdacht nahe, dass die Anbieter die erhaltenen Daten vermarkten wollen. Deshalb sollte man immer genau schauen, welche Berechtigungen verlangt werden.
Wozu dient Webtracking?
Die Möglichkeiten, solche durch Tracking gewonnenen Daten auszuwerten, sind vielfältig. So kann man aus dem Surfverhalten Wahrscheinlichkeitsaussagen über die Hobbys und Interessen der Nutzer ableiten. Man spricht von Korrelationen. Hat man eine hinreichend große und aussagekräftige Datenbasis zur Verfügung, ist die Treffsicherheit sehr gut.
Besonders die Datenbestände von sozialen Netzwerken eignen sich für solche Korrelationsanalysen, weil die Nutzer hier viele Angaben freiwillig und aus Eigeninteresse hinterlegen. Neben den Kaufgewohnheiten und -interessen kommt eine Vielzahl weiterer Fragestellungen in Betracht. So kann aus dem Surfverhalten recht leicht auf das Alter und Geschlecht geschlossen werden.
Es existieren Analysen, die Rückschlüsse auf die sexuellen Präferenzen zulassen oder auf die Frage, ob eine Frau schwanger ist oder nicht. Der Phantasie sind hier kaum Grenzen gesetzt.
Zielgerichtete Werbung
In der Regel werden die so gewonnen Erkenntnisse genutzt, um zielgruppenspezifisch Werbung zu schalten – im Fachjargon heißt das Targeted Advertising. Der Werbetreibende kann sich dann aus einer Liste von Eigenschaften diejenigen aussuchen, die er gezielt bewerben will. Über das genaue Ausmaß der bei den verschiedenen Anbietern erstellten Profile ist allerdings wenig bekannt.
Einen umfassenden Eindruck von der Speicherung von Datenbeständen etwa bei Facebook hat die Seite europe-v-facebook.org bis 2017 gesammelt. Hier findet sich unter anderem die detaillierte Auswertung der Nutzerdaten, die der österreichische Jurist Max Schrems im Rahmen eines Auskunftsanspruchs von Facebook eingeklagt hatte.
Nach dieser Auswertung kann man rund achtzig verschiedene Datenkategorien unterscheiden. Tatsächlich dürften es noch mehr sein. Je nach Nutzungsintensität fallen in einzelnen Datenkategorien Hunderte von Einzeleinträgen an, die ihrerseits wiederum weiter analysiert werden können.
Datenschutzrecht in Deutschland und der EU
Seit Ende Mai 2018 gilt die Datenschutz-Grundverordnung der EU für alle Länder in der europäischen Gemeinschaft. Dadurch gibt es jetzt innerhalb der EU ein weitgehend einheitliches Datenschutzniveau. Es kommt also nicht mehr auf den Sitz eines Unternehmens an.
Wer sich mit seinen Leistungen an EU-Bürger richtet, muss sich an EU-Datenschutzrecht halten. Das nennt sich Marktortprinzip und dürfte die Arbeit der Datenschutzbehörden vereinfachen, die über die Einhaltung der Regeln wachen.
Personenbezug erforderlich
Der Begriff der personenbezogenen Daten umfasst seiner Definition nach solche Informationen, die direkt oder mit nicht allzu großem Aufwand einen Rückschluss auf eine Person zulassen.
Er ist damit zentral für die Anwendung des Datenschutzrechts, dessen Ziel es ist, die Persönlichkeit jedes Einzelnen zu schützen. Sobald eine Information nicht mehr auf eine Person zurückgeführt werden kann, endet meist auch der Schutz des Datenschutzrechts.
Neben klar personenbezogenen Daten gibt es auch immer Grenzfälle. Ob zum Beispiel eine IP-Adresse personenbezogen ist, war lange umstritten. Der Bundesgerichtshof hat das mittlerweile bejaht. Folglich erfasst das Datenschutzrecht IP-Adressen, sodass Anbieter diese nicht einfach nach Belieben verwenden dürfen.
Cookie-Richtlinie: Opt-in oder Opt-out?
Der rechtliche Rahmen für Tracking wird zudem in der Datenschutzrichtlinie für die elektronische Kommunikation, kurz E-Privacy-Richtlinie, genauer abgesteckt. Sie legt beispielsweise Bedingungen für den Einsatz von Cookies fest. Die Richtlinie fordert unter anderem, dass Nutzer umfassend über die Zwecke der Verarbeitung informiert werden und dass sie die Möglichkeit haben müssen, diese Verarbeitung zu verweigern.
Allerdings sind diese Vorgaben in Europa uneinheitlich umgesetzt worden. Da die Richtlinie nicht ausdrücklich klarstellt, ob Nutzer dem Einsatz von Cookies zunächst zustimmen (Opt-in) oder erst später widersprechen können müssen (Opt-out), finden sich beide Modelle in den Gesetzen der verschiedenen Länder wieder.
Während etwa Anbieter mit Sitz in Großbritannien dazu übergegangen sind, bei der Nutzung von Webseiten einen Cookie-Hinweis vorzuschalten, finden sich solche Hinweise in Deutschland seltener. Hierzulande gilt wohl eher die Regel, dass man explizit erklären muss, man wolle nicht getrackt werden (Opt-out). Man kann sich also nicht auf eine einheitliche Praxis verlassen.
Es soll zwar einen Nachfolger der E-Privacy-Richtlinie in Form einer neuen, für alle EU-Länder verbindlichen Verordnung geben. Die Verhandlungen sind allerdings aktuell (Ende 2019) vorerst gescheitert, da sich die Mitglieder nicht auf einen gemeinsamen Text einigen konnten, wie heise.de Anfang Dezember 2019 berichtete. Nun will die Kommission 2020 einen neuen Gesetzesentwurf vorlegen. Im alten Entwurf war speziell der Schutz vor Tracking umstritten. Deshalb ist nicht absehbar, wie die neuen Regeln zum Tracking am Ende genau aussehen werden.
Wie kann man sich schützen?
Trotz der verschiedenen Gesetze, mit denen die Daten der Nutzer geschützt werden sollen, ist damit kein umfassender Schutz garantiert. Zum einen rennt das Recht den technischen Entwicklungen hinterher. Zum anderen halten sich verschiedene Anbieter bewusst oder unbewusst nicht an die Vorgaben.
Hinzu kommt, dass sich für Nutzer oft nicht genau feststellen lässt, ob Daten gesammelt werden und welche das sind. Wer seine Daten aktiv schützen will, dem stehen vor allem verschiedene technische Mittel zur Verfügung.
Tracking-Blocker für den Browser
Browsererweiterungen zum Schutz vor Tracking sind recht weit verbreitet. Spezielle Blocker ermöglichen es, das Tracking im Browser mehr oder weniger weitgehend zu unterbinden. Einige haben genau das zum Ziel, andere sollen primär aufdringliche Werbung oder bestimmte Programmcodes auf Webseiten stoppen und sorgen als Nebeneffekt für verringertes Tracking.
Das gelingt den Blockern unterschiedlich gut, wie etwa die Stiftung Warentest in einem Vergleich vom September 2017 festhält. So könne etwa die Erweiterung „uBlock Origin“ die Anzahl von Trackern um gut drei Viertel verringern und sei für Normalnutzer gut zu handhaben. Noch bessere Filterquoten bietet der Untersuchung zufolge etwa die Erweiterung „Scriptsafe“. Sie könne jedoch auch das normale Funktionieren von Seiten beeinträchtigen und sei für Normalnutzer schlechter zu bedienen.
Da Erweiterungen ihrerseits meist sehr umfassenden Zugriff auf Daten wie den Browserverlauf erhalten, sollte man sie jedoch nicht blind installieren, sondern sich zunächst über den jeweiligen Anbieter oder Entwickler informieren.
Cookie-Einstellungen
Daneben kann es sinnvoll sein, in den Browser-Einstellungen das Speichern von Cookies einzuschränken. Eine vollständige Blockade kann jedoch dazu führen, dass bestimmte Dienste nicht mehr richtig funktionieren. Ein Mittelweg kann darin liegen, Cookies von Drittanbietern abzuweisen.
Da moderne Tracking-Verfahren jedoch zunehmend auf andere Techniken als Cookies zurückgreifen, sind entsprechende Einstellungen nur ein einzelner Baustein zur Datensparsamkeit. Gleiches gilt für integrierte Schutzmechanismen vor Tracking, mit denen etwa der Firefox-Browser, dessen Abkömmling Cliqz oder Apples Safari zunehmend ausgestattet werden.
„Do Not Track“-Einstellung
Die Browser Firefox, Chrome, Safari, Opera und Microsoft Edge unterstützen mittlerweile das „Do Not Track“-System (DNT). Dabei handelt es sich im Wesentlichen um eine technische Spezifikation, durch die Verbraucher selbst entscheiden können sollen, ob sie getrackt werden wollen oder nicht.
Das geschieht, indem der eigene Computer bei einem Seitenaufruf ein Signal mitsendet, das sinngemäß besagt: „Ich will nicht getrackt werden“. Ein Webdienst kann dann darauf Rücksicht nehmen – muss es aber nicht. Noch hat sich keine Einigkeit ergeben, was genau mit „Tracking“ gemeint ist. Anbieter wie Yahoo und Google ignorieren das Signal ganz.
Wenn man die „Do not track“-Funktion in seinem Browser aktiviert, heißt das demzufolge nicht, dass gar kein Tracking stattfindet. Trotzdem ist es ratsam, die Funktion in seinem Browser zu aktivieren. Zum einen nehmen andere Anbieter darauf Rücksicht, und zum anderen argumentieren die Gegner des Standards gerade damit, dass nicht viele Nutzer davon Gebrauch machten.
Fazit
Tatsache ist: Das Verhalten von Nutzern wird im Netz und in Smartphone-Apps fast ununterbrochen beobachtet. Der Politik ist es bisher nicht gelungen, dem immer schwerer zu durchschauenden Tracking wirksame, vertrauenswürdige Kontroll- und Transparenzmechanismen entgegenzusetzen.
Nutzer, die dem Tracking kritisch gegenüberstehen, können jedoch auch mit technischen Mitteln an vielen Stellen Einfluss darauf nehmen, ob und von wem ihr Verhalten beobachtet werden kann. Das Spektrum reicht von einfachen Einstellungen und Zusatzprogrammen, die auch für Normalnutzer geeignet sind bis hin zu zahlreichen Optionen für Profis.
Rechtsfragen im Netz
Dieser Text ist im Rahmen der Themenreihe „Rechtsfragen im Netz“ in Zusammenarbeit mit Klicksafe entstanden. Klicksafe ist eine Initiative im Rahmen des „Safer Internet Programme“ der Europäischen Union, getragen von der Landeszentrale für Medien und Kommunikation Rheinland-Pfalz und der Landesanstalt für Medien Nordrhein-Westfalen.
Der vorliegende Text wurde ursprünglich am 10. Juni 2014 veröffentlicht. Wir haben ihn im Dezember 2019 aktualisiert.
Der Text steht unter der Creative-Commons-Lizenz Namensnennung – Keine Bearbeitung 2.0 Deutschland (CC BY-ND 2.0 DE).
iRights.info informiert und erklärt rund um das Thema „Urheberrecht und Kreativität in der digitalen Welt“.
Wir sind auch in den Sozialen Medien zu finden: Folgen Sie uns auf Twitter, Facebook, Telegram oder LinkedIn!
Sie möchten uns unterstützen? Das geht ganz einfach über die Spendenplattform Betterplace!
5 Kommentare
1 Martin Sauter am 28. Juli, 2014 um 21:21
Ein interessanter und gut verständlicher Artikel zu einem wichtigen Thema. Es wäre vielleicht zu ergänzen, dass es nebst dem allgemeinen bekanten Cookie inzwischen viele andere technische Möglichkeiten gibt, um einen Website-Besucher wiederzuerkennen (z.B. Fingerprinting). Wer also nur Cookies ablehnt/löscht, ist keineswegs gegen Tracking geschützt.
2 Jan Schallaböck am 9. April, 2015 um 11:22
Vielen Dank für das freundliche Feedback und die richtige und hilfreiche Ergänzung. Ich habe versucht die Unvollkommenheit des Ansatzes bereits im Beitrag deutlich zu machen, aber Ihre Schärfung ist sicherlich sinnvoll.
3 anonym am 10. Januar, 2017 um 16:42
Vielen Dank für den Artikel – vielleicht wäre es trotz des Alters des Artikels gut, nicht mehr auf die Adblock Addons zu verweisen, denn die haben mittlerweile offenbar zur dunklen Seite gewechselt und mischen angeblich in der Werbemafia selber mehr und mehr mit.
4 Anonymus am 18. März, 2019 um 17:57
Eine der wohl perfidesten Methoden Nutzer zu erkennen: https://de.wikipedia.org/wiki/Tippverhalten
Dazu muss der Nutzer nur einmal eindeutig identifiziert werden und ein Keystroke Dynamics Fingerprint erstellt werden.
Fortan kann der Nutzer überall erkannt werden, ganz egal ob er eingeloggt ist oder nicht, ob er an seinem eigenen oder einem anderen Rechner sitzt.
Verschiedene Anbieter zwingen bereits Nutzer, einen Keystroke Fingerprint anzufertigen – zuletzt angetroffen bei Kryterion, einem Anbieter von Online Prüfungen. Es gibt keine Möglichkeit darauf zu verzichten, der Nutzer wird dazu gezwungen – andernfalls kann er sich nicht für die Prüfung registrieren.
Da ebenfalls der echte Name und eine Fotografie verlangt wird, verfügt die Firma nun über eine echte Zuweisung des Keystroke Fingerprints zur Person.
Dieser Fingerprint wird dann weiterverkauft, an die grossen Anbieter, und schon ist der Nutzer überall zu identifizieren im Web, egal welche vermeintlichen Schutzmechanismen er einsetzt (wie etwa VPN/Proxies).
5 elJuls am 22. Februar, 2021 um 03:45
Also mit einer VPN + Proxy mit höchster Sicherheitsstufe und einer Browsererweiterung “User Agent” kann man sich schon total gut verschleiern.
VPN verschlüsselt mein Surfverhalten, die Proxy verhindert dass meine IP jemals zu mir heim verfolgt werden kann und “User Agent” gibt vor, dass ich (Eigentlich Win10 + Firefox verwende) & kann vorgeben dass ich z.B. mit Linux und Safari surfe ;-)
Was sagen Sie dazu?