Apple hat mit Safari 14 eine Art Tracking Pranger eingeführt (siehe: Radikale Transparenz gegen Tracking). Ein interessanter Ansatz um die allgegenwärtige Spionage im Netz für den Anwender praktisch greifbar zu machen. Die Ergebnisse sind wenig überraschend, prangern aber eine Firma besonders an.
Tracking ist eine Seuche des modernen Internets (siehe: Internet – Schutz vor Tracking und Anonymität). Ihre Ursache liegt letztlich in der Kostenlos-Kultur des Netzes. Weil Werbung die einzige wirklich gut funktionierende Einnahmequelle des Internets ist, versuchen alle beteiligten Akteure ihre Ausbeute zu steigern. Das geht nur, indem man immer mehr über den einzelnen Kunden erfährt. Nur zielgerichtete Werbung ist effiziente Werbung, denn letztlich soll Werbung Produkte verkaufen. Eine Werbung für ein Luxus-Auto ist bei einem Studenten ebenso fehl am Platz wie Babyprodukte bei einem Senior. Irgendwann haben alle beteiligten Akteure an diesem Markt beschlossen, dass der Kunde faktisch keine Rechte hat und man ihm hemmungslos nachspionieren kann.
Dabei ist zu beachten, dass die simple Erhebung von Statistiken kein Tracking ist. Wenn ein Webseitenbetreiber gerne mit den Serverlogs oder Matomo ein bisschen Datenauswertung betreibt, stellt das nur einen begrenzten Eingriff in die Privatsphäre dar. Der Betreiber kann dadurch nur die Bewegungen auf der einen Seite verfolgen und bei gesetzeskonformer Konfiguration keine Rückschlüsse auf die reale Person machen. Beim Tracking werden aber Daten von unzähligen Seiten zusammen geführt, was generalisierte Aussagen zulässt und – Anonymitätsversprechen hin oder her – Rückschlüsse auf die reale Person ermöglicht. Wirkliche Anonymisierung ist nämlich sehr kompliziert, muss ständig angepasst werden und bei beträchtlichen Datenmengen entsteht oft die Möglichkeit zur Deanonymisierung.
Um mal in den Blick zu nehmen, wer da so Daten erhebt, habe ich eine Woche lang mein Mehrbrowser-Konzept aufgehoben und nur mit Safari 14 gearbeitet. Das Ergebnis ist natürlich nur bedingt allgemeingültig. Erstens enthält es nur Tracker, die Apple auch als solche erkennt und zweitens basiert es auf meinem persönlichen Surfverhalten. Nachrichtenseiten aus Politik, Wirtschaft und Technik sind also überproportional vertreten, Social Media eher unterrepräsentiert. IoT-Geräte und mein Smartphone sind ebenfalls nicht in die Statistik eingeflossen. Das Ergebnis zeigt dennoch eine klare Tendenz.
Insgesamt bin ich beim surfen über 44 Tracking-Anbieter gestolpert, von denen mindestens einer auf 65 % meiner besuchten Seiten vertreten war. Die Tracking-Anbieter verteilen sich aber nicht gleichmäßig. 17 Tracking-Anbieter waren nur auf einer einzigen besuchten Seite vertreten, weitere 13 auf maximal 2 bis 3 Seiten. Lediglich 5 Tracking-Anbieter waren auf mehr als 10 Seiten vertreten: Google, Criteo, INFOnline, Amazon und Facebook.
Hierbei gibt es Schwerpunktbildungen. INFOnline könnte man als Tracker für die deutsche Medienwirtschaft bezeichnen. Die Erhebung erfolgt nahezu nur auf deutschen Onlinemedien. Hier aber von der Lokalzeitung über deutschlandweite Medien bis hin zu IT/Technikportalen. Die Amazon-Tracker finden sich „nur“ auf Seiten mit Werbung für Produkte auf Amazon. Lediglich eine einzige Firma ist omnipräsent und verfügt über ein halbes Dutzend aktiver Tracker: Google. Das ist soweit auch überhaupt nicht überraschend, denn die Internetwirtschaft neigt zu Monopolbildungen. Das ist im vorliegenden Fall nicht anders, denn wir erinnern uns: DoubleClick wurde von Google 2007 für damals bereits ordentliche 3,1 Milliarden Dollar erworben. Ein Dienst versuchte alle Mitbewerber aufzukaufen, auszubooten, zu übertrumpfen und bietet durch die schiere Datenaggregation mehr Potenzial als alle anderen.
Google arbeitete in den vergangenen Tagen auf diesem System mit Google Tag Manager, DoubleClick, Google Tag Services, Google Analytics, Google Syndication und Google Ad Services. Viele Webseiten haben gleich mehrere Tracker von Google eingebunden, alleine der Google Tag Manager war aber auf einem Drittel der besuchten Seiten vertreten. Google sitzt also wie eine Spinne im Netz und erhebt Daten mit freundlicher Mithilfe zahlloser Webseitenbetreiber auf zweifelhafter rechtlicher Grundlage. Denn eine freiwillige und informierte Einwilligung habe ich nirgendwo erteilt. Dabei muss der Nutzer noch nicht einmal direkt einen Dienst von Google wie die Suchmaschine oder Youtube aufrufen.
Das Experiment brachte also im Grunde genommen nicht viel Neues zutage. Abgesehen davon, dass ich nicht vermutet hätte, so viele unterschiedliche Firmen in diesem Markt vorzufinden. Einige Webseiten – beispielsweise ein bekanntes deutsches IT-Blog – stellten sich zudem als so Tracker-verseucht heraus, dass sie aus meinen Bookmarks geflogen sind. Mit einem vielfältigeren Surfverhalten und der Einbeziehung von mehr internationalen Webseiten wäre hier vielleicht ein noch differenziertes Bild entstanden, allerdings wollte ich ja gezielt mein eigenes Surfverhalten überprüfen und mit welchen Trackern ich trotz sorgsam gesetzten Einwilligungen auf den besuchten Seiten konfrontiert werde.
Hier könnte diese kleine Geschichte über Tracking im Internet enden. Ein paar Sätze zum Phänomen Google müssen aber noch sein. Die meisten der oben gelisteten Anbieter kann ich meiden. INFOnline bietet nur Statistik-Dienstleistungen, ansonsten komme ich damit nicht in Kontakt. Natürlich reichern auch solche Firmen den Datenpool an und tragen ihren Teil zur Profilbildung bei, sie setzen aber einen aktiven Zukauf oder Verkauf von Daten voraus. Übrigens ein Hebel, an dem der Gesetzgeber dringend ansetzen müsste. Amazon und Facebook kann ich – mit etwas Mühe – aus dem Weg gehen. Google hingegen nicht und Google muss die Daten eigentlich nicht mal zukaufen, sondern erhebt sie alle selbst!
Ich stolpere nicht nur auf allen möglichen Seiten über Google-Tracker, selbst wenn ich meine IT-Systeme möglichst datenschutzfreundlich ausrichte, lauert überall der Suchgigant. Viele Anwender von Open Source Software haben ein gesteigertes Datenschutz-Bewusstsein und viele Projekte möchten genau dies bedienen (siehe z. B. KDE gibt sich Ziele: Privacy). Letztlich lauert hier aber überall Google. Sei es durch die Förderung der Projekte über den Google Summer of Code, als Hauptfinanzier von Mozilla oder über die omnipräsente Chromium-Engine, sowie die direkte Einbindung von Trackern auf den Distributions-Seiten (z. B. bei Ubuntu und Red Hat) und da ist das Phänomen Android mit all seinen Diensten noch komplett außen vor. Die enge Anbindung der Open Source-Welt an Google ist somit das genaue Gegenteil des Privatsphäre-Versprechens und beruht zumindest teilweise auf wirtschaftsfeindlichen Lizenzbedingungen freier Lizenzen. Nutze ich also einen Linux Desktop und ein Android Smartphone um meine technischen Systeme selbstbestimmt zu kontrollieren, hänge ich direkt und indirekt mehr von Google ab als bei Windows- und Apple-Produkten. Ein zumindest problematischer Wderspruch.