DIE TÄGLICHE VERFOLGUNGSJAGD

Wer sich vor Tracking schützen will, ist auf sich selbst gestellt. Ein Cookie-Gesetz ist nicht in Sicht. Dabei werden die Methoden zur Profilbildung immer ausgefeilter. TAGESSPIEGEL und ZEIT ONLINE. 13. April 2012

Sie suchten doch braune Wanderschuhe? Oder vielleicht einen passenden Rucksack? Eine praktische Regenjacke? – Man könnte es das Zalando-Gefühl nennen. Kaum hat man ein wenig ziellos in einem Online-Shop gestöbert, schon scheint das ganze Internet aus persönlichen Werbebannern zu bestehen. Und zufällig zeigen sie immer genau die Produkte, für die man sich kurz vorher interessiert hatte.

Re-Targeting heißt das im Fachjargon der Werbebranche, gemeint ist, dass dem potentiellen Kunden nach einer bereits erfolgten Suche immer wieder das vermeintliche Objekt seiner Begierde unter die Nase gehalten wird. Es funktioniert, indem Shops und Suchmaschinen Cookies in den Browser des Nutzers setzen, also kleine Datenkrümel, anhand derer der Kunde später wiedererkannt werden kann. Dass die Werbewirtschaft mit diesen Krümeln nicht knauserig ist, zeigen Programme wie Ghostery, die alle Cookie-Annäherungsversuche von sogenannten Drittanbietern sichtbar machen. Das Ergebnis ist beeindruckend: Schon nach einer Stunde normalem Alltags-Surfen – ein paar Newsseiten, Buchhändler, Suchmaschinen, Shops, Blogs – hätte sich der Browser dutzende neuer Cookies eingefangen. Etliche davon gehören zu Facebook und Google, andere zu Marketingfirmen wie Webtrekk oder Nugg Ad. Was wollen die alle?

Grob lassen sich mehrere Sorten Cookies unterscheiden: Es gibt temporäre Cookies, die für Log-in-Prozesse oder Warenkörbe nötig sind, sie werden nach Schließen des Browsers automatisch gelöscht. Die permanenten Cookies bleiben dagegen im Browser gespeichert, sie dienen der langfristigen Beobachtung und persönlichen Ansprache eines Kunden, also dem Tracking und Targeting. Manche der permanenten Cookies haben eine Lebensdauer von Tagen oder Wochen, andere können bis zu zwanzig Jahre alt werden. Die permanenten lassen sich in zwei Gruppen unterteilen, in Erstanbieter- und Drittanbieter-Cookies: Erstanbieter-Cookies stammen von der Website, die ein Nutzer selbst angesteuert hat. Drittanbieter-Cookies werden von den Anzeigenkunden dieser Seite gesetzt. Und zwar auch ohne dass der User die Anzeige überhaupt angeklickt hat. Zuletzt sind da noch die versteckten Cookies, Flash-Cookies und Super-Cookies, sie sind über den Browser weder zu finden noch zu löschen. Um sie loszuwerden, muss man entsprechende Säuberungsprogramme  installieren.

„Für die Nutzer ist es fast unmöglich“, sagt Dan Auerbach von der Electronic Frontier Foundation (EFF), „überhaupt noch zu durchschauen, welche Cookies wofür benötigt werden.“ Zwar lassen sich die permanenten Cookies im Browser mit wenigen Klicks löschen, aber was genau sie wem bereits mitgeteilt haben oder welche Super-Cookies im Hintergrund trotzdem weiter die Wege des Nutzers durchs Netz protokollieren, bleibt völlig undurchsichtig. Der EFF, der sich nicht nur in den USA für Verbraucherrechte einsetzt,  fordert deshalb, dass Browser die Privatsphäre besser schützen sollten, zum Beispiel durch den „Do Not Track“-Modus, der Webseiten mittteilt, dass der Nutzer nicht verfolgt werden möchte.

Den deutschen Datenschützern geht das nicht weit genug. Ihnen sind alle Cookies, die nicht lediglich dem reibungslosen Funktionieren einer Website dienen, ein Dorn im Auge. Die Unternehmen hätten sich längst angewöhnt, die Nutzer mit ausgefeilten Methoden systematisch auszuspionieren. Das fange bei Zählpixeln an und höre bei Predictive Behavioral Targeting (also dem zwecks Kaufprognose geschickten Kombinieren von Einzelnutzerdaten mit Umfragen und Registrierungsdaten) auf. „Das Ergebnis sind Nutzerprofile, die zur gezielten Ansprache dienen oder lukrativ an Dritte verkauft werden“, stellte der Verbraucherzentrale Bundesverband (vzbv) kürzlich noch einmal klar.

Der Verband drängt deshalb darauf, dass die seit 2009 bestehende Datenschutzrichtlinie der Europäischen Union endlich in Deutschland umgesetzt und das Tracking strenger reguliert wird. Zukünftig solle nicht mehr opt-out gelten, sondern opt-in. Dass die Bundesregierung das mit Hinweis auf den ohnehin strengen deutschen Datenschutz bislang ablehnt, findet vzbv-Referentin Michaela Zinke kein hinreichendes Argument: „Die EU Richtlinie sagt ganz klar, dass es eine Einwilligung geben muss, bevor ein Cookie zur Profilbildung gesetzt werden darf.“

Genau hier beginnt die Haarspalterei. Wer sagt überhaupt, dass die durch Cookies übermittelten Informationen „personengebundene Daten“ seien, argumentiert die Werbewirtschaft. Alexander Gösswein, Managing Director bei der Agentur Criteo, die für Onlineshops personalisiertes Re-Targeting umsetzt, betont, dass seine Firma „keinerlei Rückschlüsse auf die Person hinter einem bestimmten Browser“ ziehen könne. „Weder Name, Wohnort, Geschlecht oder Interessen noch sonst irgendwelche personenbezogenen Daten werden von uns gespeichert oder verwendet.“ Außerdem lassen sich die personalisierten Criteo-Anzeigen sehr einfach deaktivieren, eine kleine Infoschaltfläche, die in jedes Banner eingebaut ist, macht es möglich. „Wir sind stets“, so Gösswein, „ein Vorreiter in Sachen Transparenz und Datenschutz gewesen.“

Dass nicht neue staatliche Regularien, sondern transparente Praktiken die Lösung sind, betonen auch andere in der Branche. „Unsere Analysemethoden gehen mit dem deutschen Datenschutz konform“, sagt Alexander Schreiber, Produktmanager bei Mindlab, einer Software-Firma aus Stuttgart, die sich auf Webanalyse spezialisiert hat. Das Cookie ist dabei nur ein Baustein, Mindlab könnte notfalls auch ohne auskommen. „Wir haben ein patentiertes Verfahren entwickelt“, erklärt Schreiber, „bei dem eine Software-Komponente vor den Webserver geschaltet wird, der den Content bereit stellt.“ Die Software schreibt den gesamten eingehenden und ausgehenden Datenstrom mit und wertet ihn aus, ohne dass IP-Adressen gespeichert oder Cookies gesetzt werden. Stattdessen setzt Mindlab eine Reverse-Proxy Technologie und „URL-Rewriting“ ein, bei der die Session eines einzelnen Nutzers nicht in einem Cookie, sondern direkt in die URL eingespeichert wird.

Dass es dennoch große Grauzonen und fragwürdige Praktiken gibt, bestreiten auch Werbefachleute nicht. Nugg Ad-Geschäftsführer Stephan Noller, der außerdem bei der EU in Brüssel die Interessen der Internetwirtschaft vertritt,  hält das Cookie grundsätzlich für ein „spannendes Instrument, auch weil es der User kontrollieren und löschen kann“. Die im Verborgenen agierenden Super-Cookies oder Flash-Cookies dagegen seien inakzeptabel. „Deshalb hat sich der Dachverband der europäischen Internetindustrie IAB davon auch klar distanziert.“ Trotzdem, räumt er ein, gäbe die Problematik der unerlaubten Datenverknüpfung und möglichen Profilbildung im Zusammenhang mit Kundentracking. „Die gemeinsame Aufgabe von Politik, Datenschützern und Industrie“, meint Noller, „wird darin bestehen, die Grenzen dessen, was erlaubt ist, sehr genau zu beschreiben.“ Und die Gesetze müssten dann für alle gelten, für europäische Unternehmen genauso wie für amerikanische.

In den USA ist die Tracking-Debatte mittlerweile in der Öffentlichkeit angekommen. Erst vor einigen Wochen hatte Google Schlagzeilen gemacht, weil es das Drittanbieter-Cookie-Verbot von Apple im Safari-Browser zu umgehen versuchte. „Einerseits gibt es immensen Druck im Markt, immer mehr Daten über die Kunden zu sammeln“, sagt Dan Auerbach. „Andererseits fürchten Firmen wie Google durchaus, dass Anti-Tracking-Gesetze verabschiedet werden könnten.“ Dabei geht es nicht allein um Cookies. Der EFF hat vor einiger Zeit schon darauf  hingewiesen, dass die Wiedererkennung eines einzelnen Browsers auch anhand eines „Browser-Fingerabdrucks“ möglich ist, allein aus den zahlreichen Infoschnipseln, die der Browser bei jedem Seitenaufruf mitliefert. „Es ist schwer zu sagen, was genau welche Werbenetzwerke tatsächlich auswerten, aber die technischen Möglichkeiten gibt es auf jeden Fall.“

Das Internet sei ein datengetriebenes Medium, sagt Lobbyist Noller, „und alle funktionierenden Geschäftsmodelle haben mit Werbung zu tun“. „Für werbetreibende Unternehmen“, ergänzt Manager Gösswein, „ist es dabei natürlich wichtig zu wissen, dass sie ihre Zielgruppe mit ihrer Botschaft auch erreichen können.“ Nur unter diesen Umständen seien sie bereit, weiterhin so hohe Summen in Online-Werbung zu investieren. „Dem Nutzer muss klar sein, dass er mit Daten zahlt“, sagt auch Verbraucherschützerin Zinke. „Aber ich möchte entscheiden können, ob ich den Preis, den ich zahlen soll, noch angemessen finde.“

In dieser Legislaturperiode sei vermutlich nicht mehr mit einem Cookie-Gesetz zu rechnen, meint Zinke. Vorerst bleibt dem Verbraucher damit nur der Selbstschutz. Möglichkeiten gibt es, Browsereinstellungen ändern, Plug-ins nutzen, Säuberungsprogramme wie BetterPrivacy  installieren. Die TU Berlin hat außerdem eine „Cookie-Suchmaschine“ aufgesetzt, dort kann man die Adresse einer Website eingeben und sich anzeigen lassen, wie viele Cookies diese Seite setzen will. Der Test mit ZEIT ONLINE ergibt: 1 Erstanbieter-, 5 Drittanbieter-Cookies. Zum Vergleich: Bei Zalando sind es 5 Erstanbieter- und 45 Drittanbieter-Cookies. Und da sind vermutlich noch nicht mal die  braunen Wanderschuhe mit dabei.