Tracking im Internet: So werden Sie verfolgt
Systematische Überwachung gibt es nur nicht nur bei George Orwell. Auch Sie werden im Alltag ausspioniert, ohne dass Sie davon wissen – das Internet macht es nämlich besonders einfach. Private und öffentliche Einrichtungen möchten Geld aus Ihren Daten schlagen, weshalb sie Ihr Online-Verhalten im großen Stil auswerten. Dieser Vorgang wird als Tracking bezeichnet.
Mit den dystopischen Überwachungsstaaten Orwells oder den Methoden echter Diktaturen hat diese Art der Überwachung zwar weniger zu tun, aber kritisch betrachten sollten Sie sie trotzdem. In diesem Artikel erklären wir Ihnen, was es mit Tracking auf sich hat, weshalb Sie sich davor schützen sollten und wie Sie dabei vorgehen können.
Wer überwacht Sie im Internet und weshalb?
Im Web treffen Sie auf viele Parteien, die Ihre Online-Aktivitäten verfolgen, protokollieren und analysieren. Dazu zählen unter anderem:
Konzerne, die mit Werbung, Datensammlung und -handel ihr Geld verdienen, wie beispielsweise Google, Facebook oder Twitter.
Staaten, die beispielsweise biometrische Daten zur Terrorismusbekämpfung oder für gesundheitliche Maßnahmen sammeln.
Diktaturen wie China, Russland oder Nordkorea, die unerwünschte Inhalte zensieren.
Internet Service Providers (ISPs), die Ihre Daten an Konzerne verkaufen und an Staaten weitergeben.
Allein die staatliche Datensammelwut erreicht mittlerweile kaum vorstellbare Ausmaße. Laut Open Data City hat allein die NSA (National Security Agency), der größte Auslandsgeheimdienst der USA, in den letzten Jahren ihre Datenspeicherungskapazitäten auf 5 Zettabytes (5 Milliarden TB) erhöht. Ausgedruckt entspricht das der Größe des flächenmäßig größten Staates der Erde: Russland.
Auch Unternehmen sammeln fleißig Informationen über ihre Nutzer. Google macht das beispielsweise über sein Werbenetzwerk Google Ads. Der Konzern stellt Ihnen den größten Teil seiner Produkte und Dienste kostenlos zur Verfügung – doch ob Sie nun Chrome, Gmail, Google Drive oder Android nutzen: Sie bezahlen dafür mit Ihren Daten, die Google an werbetreibende Kunden verkauft.
Sie werden im Netz permanent überwacht.
Wenn Sie im Netz unterwegs sind, dann geben Sie beim Surfen also ungewollt mehr Informationen preis, als Sie eigentlich möchten. Die Sammlung dieser Daten über Ihr Nutzerverhalten wird auch als Tracking, Webtracking oder Usertracking bezeichnet.
Definition: Was ist Tracking eigentlich?
Der englische Begriff Tracking bedeutet Verfolgung. Tracking wird auf vielen Websites eingesetzt, insbesondere, wenn durch Werbung Umsatz generiert wird. Hierbei werden Ihre Aktivitäten protokolliert und analysiert.
Durch Tracking können Webseiten-Betreiber beispielsweise ermitteln,
welche Website Sie zuvor besucht haben.
wie viel Zeit Sie auf einer Seite verbringen.
welche Seiten ihres Webangebots am beliebtesten sind.
ob Sie sich für einen Newsletter angemeldet haben.
von welcher Unterseite des Webangebots Sie auf eine andere Website wechseln.
Mit diesen Daten können Website-Betreiber Optimierungsmaßnahmen ableiten und ihre Seite kundenfreundlicher gestalten. Shop-Betreiber wollen dadurch beispielsweise die Anzahl der Kaufabbrüche reduzieren. Landing-Pages und Produktseiten können so auch noch präziser auf die Bedürfnisse und Interessen der Kunden zugeschnitten werden.
Der häufigste Grund für Tracking ist aber die personalisierte Werbung. Anhand Ihrer Daten, Ihrer Interessen, Ihrer Käufe, der von Ihnen besuchten Websites und weiterer Faktoren wird Ihnen Werbung gezeigt, die so genau wie möglich auf Sie zugeschnitten ist.
Cookies und personenbezogene Werbung
Traditionell funktioniert Tracking über sogenannte Cookies, die im Internet allgegenwärtig sind. Dabei handelt es sich um kleine Textdateien, die beim Besuch einer Website generiert und vom Browser Ihres Endgeräts geladen werden. Manche Cookies sind notwendig, damit eine Website technisch einwandfrei funktionieren kann. Oft dienen sie aber auch einfach nur zu Marketingzwecken.
Bei Cookies unterscheidet man grundsätzlich zwischen First-Party- und Third-Party-Cookies.
First-Party-Cookies
Die meisten Tracking-Tools wie zum Beispiel Google Analytics, Piwik oder Stuffed Tracker setzen auf First-Party-Cookies. Über jene werden ausschließlich Informationen zwischen der Website und dem User ausgetauscht.
Der beim Seitenaufruf gesetzte Cookie enthält eine eindeutige Nummer, anhand derer Sie beim erneuten Besuch der Website identifiziert werden. Wenn Sie beispielsweise einen Online-Shop erneut besuchen, dann enthält der Cookie Informationen darüber, in welcher Sprache Sie den Shop genutzt oder welche Artikel sich zuletzt in Ihrem Warenkorb befunden haben.
Cookies sammeln Unmengen an Informationen über Sie.
Third-Party-Cookies
Third-Party-Cookies stammen nicht vom Website-Betreiber, auf dessen Seite man sich aktuell befindet. Wenn eine Drittpartei über einen Adserver eine Werbeanzeige oder ein Tracking- bzw. Targeting-Pixel (kleine unsichtbare 1x1 Dateien im GIF-Format) auf dieser Seite schaltet, dann generiert Ihr Browser für diesen externen Server ein Third-Party-Cookie.
Ein Third-Party-Cookie protokolliert Ihr Verhalten und notiert, welche Unterseiten Sie auf der Website aufgerufen haben, auf der Ihr Browser die Werbung geladen hat. Es wird auch gemessen, wie viel Zeit Sie auf den jeweiligen Seiten verbracht haben. Weiterhin werden beispielsweise Informationen über Ihr Geschlecht und Ihr Alter sowie Ihren Standort gesammelt.
Wenn Sie die Website verlassen und weiter im Netz surfen, dann sammelt der Third-Party-Cookie weiter fleißig Daten über Sie. Sobald Sie dann gewisse Zeit später auf einer Website landen, auf der derselbe Adserver aktiv ist wie auf der Seite, wo der Third-Party-Cookie ursprünglich generiert wurde, liest der Adserver den Cookie aus. So erfährt er viel darüber, wofür Sie sich interessieren und was Sie konsumieren.
Aus all diesen Daten wird ein Nutzerprofil erstellt, das personenbezogene Werbung begünstigt. Dabei spricht man auch von Targeting.
Tracking und Targeting
Beim Targeting geht es darum, Werbung besonders passgenau auf Zielgruppen zuzuschneiden. Es sollen nur diejenigen Personen die Werbeinhalte sehen, die sich wirklich dafür interessieren – potenzielle Käufer also.
Die optimale Kundenansprache richtet sich dabei nach der jeweiligen Zielgruppe. Je genauer sie definiert und analysiert ist, desto genauer können Unternehmen ihre Kunden ansprechen. Die dazu notwendigen Informationen werden meist aus Cookies gewonnen. User bekommen somit Werbung zu sehen, die (vermeintlich) zu ihnen passt.
Es gibt verschiedene Arten von Targeting, von denen wir im Folgenden einige kurz vorstellen.
Re-Targeting
Diese Form des Targeting wird hauptsächlich dazu verwendet, Kunden ein Produkt erneut zu präsentieren, damit sie einen zuvor nicht getätigten Einkauf in einem Online-Shop doch noch abschließen.
IP-Targeting und Geo-Targeting
Bei dieser Maßnahme werden nur Usern einer bestimmten Region Werbeanzeigen präsentiert. Die Kundenansprache ist entsprechend regional angepasst.
Soziodemografisches Targeting
Hier richtet sich die Werbung nach soziodemografischen Merkmalen wie Geschlecht, Alter und dem sozialen Status.
Social-Media-Targeting
Beim Social-Media-Targeting wird Werbung geschaltet, die sich nach den Profildaten von Usern richtet. Diese Methode wird beispielsweise auf Facebook im Rahmen des Advertising-Programms benutzt.
Content-Targeting
Die Art der Werbung richtet sich nach dem Thema der Website, auf der sie eingeblendet ist. Wenn man beispielsweise einen Artikel über die Anzucht von Tomaten liest, wird beispielsweise Werbung zu Tomatenerde oder einem speziellen Dünger eingeblendet.
Cookieless Tracking
Gerade Third-Party-Cookies sind von immenser Bedeutung für Marketer. Ihre Tage könnten aber gezählt sein, weshalb Tracking ohne Cookies immer wichtiger wird. Doch warum ist Tracking via Cookies heute problematisch?
Das Ende einer Ära
Schon am 01.10.2019 hat der Europäische Gerichtshof (EuGH) geurteilt, dass User aktiv zustimmen müssen, wenn technisch nicht erforderliche Cookies gesetzt werden. Sie kennen sicherlich die entsprechenden Cookie-Banner, die erscheinen, wenn Sie eine Website aufrufen.
Bemängelt wurde vor allem, dass zu viele persönliche Daten der User gesammelt werden, zu denen Drittparteien Zugang haben. Das Urteil des EuGH wurde am 28.05.2020 vom Bundesgerichtshof (BGH) bestätigt.
Im Safari-Browser von Apple und im Mozilla Firefox werden Third-Party-Cookies schon seit ein paar Jahren standardmäßig blockiert. Google möchte mit seinem Chrome-Browser noch im Laufe des Jahres 2022 nachziehen. Damit ist das Ende der Third-Party-Cookies so ziemlich besiegelt. Das Ende von Tracking bedeutet dies aber noch lange nicht.
Alternative Tracking-Methoden
Neben Cookies haben Website-Betreiber und Konzerne ein Füllhorn an Tracking-Methoden zur Verfügung, die aber teilweise auch nicht datenschutzkonform sind. In diesem Abschnitt stellen wir Ihnen die gängigsten Methoden vor.
IP-Tracking
Jedes internetfähige Endgerät (wie beispielsweise Ihr PC, Laptop oder Smartphone) bekommt mit der IP (Internet-Protokoll-Adresse) eine eindeutige Adresse im Internet zugewiesen, wenn es online geht. Das ist technisch notwendig, damit Ihr Gerät eindeutig adressiert und identifiziert werden kann.
Ihre IP verrät zudem den ungefähren Standort, an dem Sie sich befinden. Website-Betreiber verwenden daher IP-Tracker, um:
Sie zu lokalisieren.
Ihr Verhalten zu analysieren.
zu prüfen, ob Sie die Website mehrfach besuchen.
App-Tracking
Wenn Benutzer mit Web-Apps oder Apps für mobile Endgeräte interagieren, dann werden durch App Tracking User-Daten gesammelt, analysiert und ausgewertet. Es geht unter anderem darum, wie User sich verhalten und wie sie die Apps nutzen. Die Daten geben beispielsweise Aufschluss darüber, wie oft die Apps heruntergeladen wurden und wie erfolgreich sie performen.
Die Betreiber erkennen Optimierungspotenziale für ihre Apps, die sie durch die gewonnenen Erkenntnisse verbessern können. Dabei kann es sich zum Beispiel um Crash Reports (Fehlermeldungen bei Abstürzen & Co.) handeln oder um Flow Visualizations, die zeigen, welche Pfade die User durch die App wählen. Aus den Daten ergibt sich auch, ob Werbekampagnen erfolgreich sind oder ob es hier auch noch Verbesserungsmöglichkeiten gibt.
Google Analytics bietet Kunden mit AdWords-Konto eine ganz einfache Möglichkeit an, wie sie Conversions (gewünschte und beabsichtigte „Verwandlungen“ von Zielpersonen zu beispielsweise Kunden oder registrierten Nutzern) messen können. Google generiert dazu ein Conversion Tracking Pixel, das nur in den App-Code integriert werden muss. So können die Betreiber nun Handlungen und Conversions (zum Beispiel In-App-Käufe, Klicks und Installationen) korrekt zuordnen.
Natürlich haben neben Google auch eine Menge an Drittanbietern das Potenzial dieses Marktes erkannt. Die Konkurrenz ist mit Adobe Analytics, etracker oder Flurry Analytics und vielen weiteren Anbietern groß.
Web Beacons
Web Beacons, auch unter den Bezeichnungen Web-Bug, Page-Tag, klare GIFs und Tracking-Pixel bekannt, werden auf Websites und in E-Mails eingesetzt.
Wenn Ihr Browser das Web Beacon herunterlädt, dann wird auf dem Server der Zielseite beispielsweise Ihre IP gespeichert, wie auch das Datum und der Zeitpunkt der Abfrage. Website-Betreiber können so feststellen, ob Sie schon mehrfach die Seite aufgerufen haben und wo Sie sich physisch befinden (Letzteres können Sie mit einem VPN verhindern).
Web Beacons werden auch gerne und häufig in E-Mails eingesetzt, um zu prüfen, wie oft eine E-Mail geöffnet wurde und wie oft Links in der Mail angeklickt wurden. So können Marketer überprüfen, wie erfolgreich ihre Werbekampagnen sind.
Evercookies
Die Bezeichnung Evercookies ist missverständlich. Es handelt sich hierbei um keine Cookies, sondern um eine API JavaScript-Bibliothek, die in den Quellcode von Websites integriert wird. Evercookies können selbst dann wiederhergestellt werden, wenn Cookies gelöscht wurden. Das macht sie dauerhaft und für User ausgesprochen lästig.
Der Trick besteht darin, dass die API die gesammelten Daten in mehreren Verzeichnissen im Rechner verteilt, auf die der Browser zugreifen darf. Wenn Sie Ihre Cookies löschen, dann erzeugt der Evercookie den Cookie via JavaScript einfach neu – ganz ohne Ihre Zustimmung. Man nennt sie daher auch Zombie-Cookies, da sie immer wieder zum Leben erweckt werden.
Interessanterweise hat ihr Erfinder Samy Kamkar Evercookies nur deshalb entwickelt, um zu demonstrieren, wie einfach Nutzer unter Missachtung des Datenschutzes aggressiv getrackt werden können.
Etags
Etags ordnen Objekten wie Bildern eindeutige Zeichenketten zu. Wenn ein Browser beispielsweise das Bild logo.jpg lädt, dann sendet der Server im Header zum Beispiel Etag: 8c661 mit. Der Etag 8c661 ist eindeutig, sodass der User eindeutig identifiziert werden kann.
Auch Etags sind sehr hartnäckig. Sie werden selbst dann versendet, wenn Sie Sicherheitsmaßnahmen ergriffen und beispielsweise Cookies blockiert und JavaScript deaktiviert haben.
Fingerprinting
Ihr Browser hat einen Fingerabdruck, der in der Regel weltweit einmalig ist. Jeder Website-Betreiber kann ganz einfach und ohne den Einsatz von Cookies gut 50 Merkmale über Sie in Erfahrung bringen, wie beispielsweise Ihre Zeitzone, Ihr Betriebssystem und welche Browser Plug-ins Sie nutzen.
Wenn Sie wissen wollen, wie Ihr Browser-Fingerabdruck aussieht, sollten Sie der Website Cover Your Tracks einen Besuch abstatten:
Checken Sie Ihren Browser-Fingerabdruck auf Cover Your Tracks.
Tracking-IDs
Wenn Sie beispielsweise bei Google, Xing oder Facebook registriert sind, können Sie sich mit Ihren Login-Daten auf anderen Websites und Shops wie auch auf anderen Endgeräten und in Apps einloggen. Sie benötigen dafür keine erneute Registrierung.
Google & Co. sammeln so eine Menge an Daten über Sie. Ihre Zustimmung dazu haben Sie bereits gegeben, als Sie die Konten eröffnet und den AGBs zugestimmt haben.
Social-Plug-ins sind sehr beliebt und werden entsprechend auf vielen Websites eingesetzt. Der Haken an der Sache ist jedoch, dass Facebook, Twitter & Co. so ihre User über diverse Seiten tracken können.
Authentication Cache
Bei diesem JavaScript-Verfahren teilt der Server dem Browser mit, dass für den Aufruf der Seite gültige Login-Daten erforderlich sind. Im Normalfall würde sich ein Fenster öffnen, in das Sie einen Benutzernamen und das Passwort eingeben.
Hierbei handelt es sich aber um einen Trick, denn der Server sendet an Ihren Browser automatisch gültige Login-Daten, die zusammen eine eindeutige Nutzer-ID ergeben. Ihr Browser speichert sie im Cache. Sie können dadurch so lange getrackt werden, bis Sie den Browser-Cache leeren.
Was macht Tracking zum großen Problem?
Selbst wenn Sie mit personalisierter Werbung kein Problem haben, gibt es Gründe, dem Thema Tracking kritisch gegenüberzustehen. Schließlich kann es zu Missbrauch kommen, und Ihr Nutzerprofil könnte etwas spezifischer sein, als Sie es vielleicht möchten. Wenn Sie beispielsweise Krankheiten googeln oder Erotik-Portale und politische Seiten besuchen, kann man daraus Informationen über Ihren Gesundheitszustand, Ihre sexuellen Vorlieben und Ihre politische Ausrichtung ziehen.
Auch die sozialen Netzwerke sammeln Ihre Daten mit Hingabe. Der Facebook-Algorithmus beispielsweise durchsucht alle Postings, die Sie gelikt haben, und erstellt daraus ein Persönlichkeitsprofil, das mit hoher Wahrscheinlichkeit der Realität entspricht. Sie geben damit unter anderem preis,
welches Geschlecht und welche Hautfarbe Sie haben.
welche sexuelle Orientierung Sie haben.
wie intelligent Sie sind und ob Sie zu Drogenmissbrauch neigen.
Das Daten-Unternehmen Cambridge Analytica wurde nach der Wahl von Donald Trump der Wahlmanipulation bezichtigt, weil es 50 Millionen Facebook-Datensätze missbrauchte, um daraus psychologische Wählerprofile zu erstellen und diese zu verkaufen. Laut Informationen der New York Times soll es sogar Verbindungen nach Russland gegeben haben, wobei viele Details der Affäre bis heute unklar sind.
Neben mangelnder Privatsphäre tut sich ein weiteres großes Problem auf, wenn Hacker Ihre Daten bei Unternehmen erbeuten. Das kann für Sie schlimme Konsequenzen wie beispielsweise Erpressung zur Folge haben, wie Sie in unserem EXPERTE-Artikel zum Thema Datenklau nachlesen können.
Wie Sie sehen, ist Tracking ein Problem, das jeden Internetnutzer betrifft. Die gute Nachricht: Sie haben einige Möglichkeiten, sich gegen die Online-Verfolgung zu verteidigen.
Wie kann ich Tracking verhindern?
Vor vielen Tracking-Maßnahmen können Sie sich recht einfach schützen. Nutzen Sie beispielsweise nur Browser, die Third-Party-Cookies standardmäßig blockieren (es gibt sogar spezielle Privacy Browser). Löschen Sie regelmäßig Ihren Browser-Cache – am besten nach dem Ende jeder Sitzung. Damit löschen Sie auch gleich Ihre Cookies und weitere temporäre Internetdateien.
Doch Sie können ohne übermäßigen Aufwand noch weit mehr für Ihren eigenen Datenschutz tun. Wir haben die besten Anti-Tracking-Maßnahmen für Sie zusammengestellt.
Fazit
Wer im Internet unterwegs ist, wird beobachtet. Konzerne und Staaten sind nur allzu begierig darauf, so viele Informationen über Sie zu sammeln wie möglich. Die dafür gebauten Tracking-Methoden sind äußerst raffiniert und entwickeln sich permanent weiter, um sich an neue Technologien und Gesetzgebungen anzupassen.
Richtig kritisch wird es, wenn durch Tracking zu viele persönliche Daten gesammelt werden, aus denen dann Nutzerprofile erstellt werden können. Mit dem großen EXPERTE.de Privacy Check können Sie überprüfen, welche Daten Sie unfreiwillig herausgeben. Wenn Sie Ihrer Privatsphäre effektiv schützen möchten, reicht es nicht, sich auf die Rechtsprechung zu verlassen. Wie Sie Tracking so gut es geht verhindern, verraten wir im Artikel zum Thema.