Ich persönlich mag Do Not Track, bzw. die Idee dahinter: Internetnutzer sollen sich frei entscheiden können, ob sie getrackt werden oder nicht. Wer nicht getrackt werden möchte, bringt dies einfach über eine entsprechende Einstellung seines Browsers zum Ausdruck. Der Browser sendet diese Entscheidung bei jedem Besuch einer Internetseite mit. Der jeweilige Webseitenbetreiber erfährt so davon und kann sich danach richten.

Eine Technologie wie Do Not Track scheint angesichts der wachsenden Trackingtechnologien immer wichtiger zu werden. Dabei geht es nicht nur darum, sich bzw. die eigene Privatsphäre vor HTML-Cookies zu schützen. Denn Tracking im Netz erfolgt heutzutage z.B. auch mittels Fingerprints, Web Beacons, Evercookies sowie geräteübergreifenden User-IDs. Einzelne Nutzer können auf diese Weise über lange Zeiträume und über mehrere Geräte hinweg sogar diensteanbieterübergreifend getrackt werden. Dabei ist insbesondere der Einsatz von Browser-Fingerprints technisch nicht feststellbar.

Ist Do Not Track geeignet, vor diesem Hintergrund das Gleichgewicht zwischen Internetnutzer und weitverzweigten Werbenetzwerken wiederherzustellen? Leider nicht.

1.) Do Not Track wird ignoriert

Obwohl deutsche Datenschutzaufsichtsbehörden (LfDI Hamburg, 24. Tätigkeitsbericht 2012/2013, S. 182) vor einigen Jahren noch davon ausgingen, „dass die Aktivierung der Do-Not-Track-Option im Browser für den Webseitenbetreiber als Signal zu verstehen ist, dass der Nutzer sein Widerspruchsrecht nach § 15 Abs. 3 Telemediengesetz ausübt“, wird Do Not Track häufig einfach ignoriert. Besonders deutlich zeigt dies folgendes Beispiel:

DoNotTrack_Google

Zum Bild: Im Jahr 2014 sagte Google noch ausdrücklich, dass Do Not Track ignoriert wird.

2.) Scheinrechtfertigung durch Banner

Stattdessen versuchen Website- und Werbenetzbetreiber immer häufiger, ihre Trackingaktivitäten durch „Einwilligungen“ der Nutzer zu legitimieren. Hierzu scheint sich derzeit eine weit verbreitete Methode zu etablieren, die Einwilligung der Nutzer einzuholen: das Cookie-Banner.

Beim Cookie-Banner (was eigentlich eher Tracking-Banner genannt werden müsste) handelt es sich um eine Information, die beim ersten Besuch einer Website angezeigt wird und dem Nutzer erklärt, dass man durch die Weiternutzung der Website seine Einwilligung in alle möglichen Datenverarbeitungen gibt:

CookieBanner_Beispiel

Zum Bild: So in der Art sehen typische Cookie-Banner aus.

Für welche Datenverarbeitungen man genau seine Einwilligung abgibt, erfährt man über die im Banner verlinkte Datenschutzerklärung (so zumindest die Theorie):

Datenschutzerkl_Beispiel

Zum Bild: Fiktives aber gar nicht so seltenes Beispiel für den Umfang einer Datenschutzerklärung.  

Die Argumentation der Websitebetreiber: Wer auf diese Weise informiert wird und die Seite weiternutzt, ist mit dem Tracking einverstanden.

Was Websitebetreiber dabei unter dem Begriff „Weiternutzen“ verstehen, legen sie in der Praxis selber fest. Die entsprechenden Softwaretools zur Bannerimplementierung lassen gewaltige Spielräume zu. Vom reinen Scrollen bis hin zur ausdrücklichen Einwilligung ist alles einstellbar (mit diesem Demotool können Sie die einzelnen Einstellungen selbst durchspielen).

Im schlimmsten Fall wird auf diese Weise versucht, umfangreiche Trackingaktivitäten allein durch das Seitenscrollen des Nutzers zu legitimieren. Die meisten Websitebetreiber werden sich an dieser Stelle aber wohl dafür entscheiden, ein Weiternutzen mit dem ersten Klick auf einen weiterführenden Link anzunehmen. Nur ganz selten sind Lösungen zu finden, die eine ausdrückliche Bestätigung des Nutzers erfragen.

Dabei sind die Datenverarbeitungen, die der Aufruf einer Webseite auslösen kann, immens:

Trackingtools

Zum Bild: Browsererweiterungen, die anzeigen, welche Werbenetzwerke, Analysetools und Social-Media-Komponenten von einer Website genutzt werden, zeigen das Dilemma.

An dieser Stelle werden die Widersprüche, die in der Praxis auftreten können, besonders deutlich: Eine konkludente Einwilligung durch Scrollen trotz eingeschalteter Do Not Track-Funktion? Rechtlich erscheint dies kaum noch vertretbar.

3.) Browsereinstellungen werden abgeschafft

Ein weiteres Problem, welches Do Not Track in der Praxis begegnet, zeigt sich an diesem Beispiel:

NoDoNotTrack

Zum Bild: Anzeige auf iPhones und iPads Anfang Januar 2016. Chrome für iOS streicht die Unterstützung für Do Not Track. Diese sei technisch nicht mehr möglich.  

Dabei gingen die deutschen Datenschutzaufsichtsbehörden (LfDI Hamburg, 24. Tätigkeitsbericht 2012/2013, S. 182) vor einigen Jahren noch von einer anderen Sachlage aus: „Die meisten Browser unterstützen den DNT-Standard mittlerweile, so dass man von einer nahezu flächendeckenden Abdeckung ausgehen kann. In der Regel sind die entsprechenden Auswahlmöglichkeiten Bestandteil der jeweiligen Einstellungsoptionen der Browser und sollten sich leicht finden lassen.

4.) Browsereinstellungen werden verhindert  

Besonders kompliziert wird die Nutzung von Do Not Track für Mitarbeiter in Unternehmen, die Windows 10 einsetzen und als Browser Microsoft Edge nutzen. Denn kaum ein Administrator wird wissen, dass Do Not Track für Microsoft Edge nicht nur nicht voreingestellt ist. In der Standardeinstellung ist den Mitarbeitern das Setzen der Do Not Track Einstellung sogar untersagt. Eine Änderung muss erst über die entsprechende Gruppenrichtlinie durch den Administrator vorgenommen werden:

Edge_NoDoNotTrack_web

Zum Bild: Screenshot der voreingestellten Gruppenrichtlinien bei Windows 10 (betrifft insbesondere Unternehmen, die Windows 10 einsetzen).  

Komplizierter geht es nicht.

Ein Appell an den Gesetzgeber

Wie sich zeigt, wird Do Not Track immer häufiger

  • ignoriert,
  • von den ersten Browsern schon gar nicht mehr unterstützt und
  • teilweise sogar durch Gruppenrichtlinien des Betriebssystems verhindert.

Stattdessen erleben wir im Jahr 2016 eine Inflation der Cookie-Banner und eine immense Ausdehnung dessen, was in der Praxis als Einwilligung verstanden wird.

Vor diesem Hintergrund sollte bei der anstehenden Novellierung der ePrivacy-Richtlinie in Erwägung gezogen werden, die Unterstützung und den Umgang mit entsprechenden Do Not Track-Headern ausdrücklich gesetzlich zu regeln.