Ich persönlich mag Do Not Track, bzw. die Idee dahinter: Internetnutzer sollen sich frei entscheiden können, ob sie getrackt werden oder nicht. Wer nicht getrackt werden möchte, bringt dies einfach über eine entsprechende Einstellung seines Browsers zum Ausdruck. Der Browser sendet diese Entscheidung bei jedem Besuch einer Internetseite mit. Der jeweilige Webseitenbetreiber erfährt so davon und kann sich danach richten.
Eine Technologie wie Do Not Track scheint angesichts der wachsenden Trackingtechnologien immer wichtiger zu werden. Dabei geht es nicht nur darum, sich bzw. die eigene Privatsphäre vor HTML-Cookies zu schützen. Denn Tracking im Netz erfolgt heutzutage z.B. auch mittels Fingerprints, Web Beacons, Evercookies sowie geräteübergreifenden User-IDs. Einzelne Nutzer können auf diese Weise über lange Zeiträume und über mehrere Geräte hinweg sogar diensteanbieterübergreifend getrackt werden. Dabei ist insbesondere der Einsatz von Browser-Fingerprints technisch nicht feststellbar.
Ist Do Not Track geeignet, vor diesem Hintergrund das Gleichgewicht zwischen Internetnutzer und weitverzweigten Werbenetzwerken wiederherzustellen? Leider nicht.
1.) Do Not Track wird ignoriert
Obwohl deutsche Datenschutzaufsichtsbehörden (LfDI Hamburg, 24. Tätigkeitsbericht 2012/2013, S. 182) vor einigen Jahren noch davon ausgingen, „dass die Aktivierung der Do-Not-Track-Option im Browser für den Webseitenbetreiber als Signal zu verstehen ist, dass der Nutzer sein Widerspruchsrecht nach § 15 Abs. 3 Telemediengesetz ausübt“, wird Do Not Track häufig einfach ignoriert. Besonders deutlich zeigt dies folgendes Beispiel:
Zum Bild: Im Jahr 2014 sagte Google noch ausdrücklich, dass Do Not Track ignoriert wird.
2.) Scheinrechtfertigung durch Banner
Stattdessen versuchen Website- und Werbenetzbetreiber immer häufiger, ihre Trackingaktivitäten durch „Einwilligungen“ der Nutzer zu legitimieren. Hierzu scheint sich derzeit eine weit verbreitete Methode zu etablieren, die Einwilligung der Nutzer einzuholen: das Cookie-Banner.
Beim Cookie-Banner (was eigentlich eher Tracking-Banner genannt werden müsste) handelt es sich um eine Information, die beim ersten Besuch einer Website angezeigt wird und dem Nutzer erklärt, dass man durch die Weiternutzung der Website seine Einwilligung in alle möglichen Datenverarbeitungen gibt:
Zum Bild: So in der Art sehen typische Cookie-Banner aus.
Für welche Datenverarbeitungen man genau seine Einwilligung abgibt, erfährt man über die im Banner verlinkte Datenschutzerklärung (so zumindest die Theorie):
Zum Bild: Fiktives aber gar nicht so seltenes Beispiel für den Umfang einer Datenschutzerklärung.
Die Argumentation der Websitebetreiber: Wer auf diese Weise informiert wird und die Seite weiternutzt, ist mit dem Tracking einverstanden.
Was Websitebetreiber dabei unter dem Begriff „Weiternutzen“ verstehen, legen sie in der Praxis selber fest. Die entsprechenden Softwaretools zur Bannerimplementierung lassen gewaltige Spielräume zu. Vom reinen Scrollen bis hin zur ausdrücklichen Einwilligung ist alles einstellbar (mit diesem Demotool können Sie die einzelnen Einstellungen selbst durchspielen).
Im schlimmsten Fall wird auf diese Weise versucht, umfangreiche Trackingaktivitäten allein durch das Seitenscrollen des Nutzers zu legitimieren. Die meisten Websitebetreiber werden sich an dieser Stelle aber wohl dafür entscheiden, ein Weiternutzen mit dem ersten Klick auf einen weiterführenden Link anzunehmen. Nur ganz selten sind Lösungen zu finden, die eine ausdrückliche Bestätigung des Nutzers erfragen.
Dabei sind die Datenverarbeitungen, die der Aufruf einer Webseite auslösen kann, immens:
Zum Bild: Browsererweiterungen, die anzeigen, welche Werbenetzwerke, Analysetools und Social-Media-Komponenten von einer Website genutzt werden, zeigen das Dilemma.
An dieser Stelle werden die Widersprüche, die in der Praxis auftreten können, besonders deutlich: Eine konkludente Einwilligung durch Scrollen trotz eingeschalteter Do Not Track-Funktion? Rechtlich erscheint dies kaum noch vertretbar.
3.) Browsereinstellungen werden abgeschafft
Ein weiteres Problem, welches Do Not Track in der Praxis begegnet, zeigt sich an diesem Beispiel:
Zum Bild: Anzeige auf iPhones und iPads Anfang Januar 2016. Chrome für iOS streicht die Unterstützung für Do Not Track. Diese sei technisch nicht mehr möglich.
Dabei gingen die deutschen Datenschutzaufsichtsbehörden (LfDI Hamburg, 24. Tätigkeitsbericht 2012/2013, S. 182) vor einigen Jahren noch von einer anderen Sachlage aus: „Die meisten Browser unterstützen den DNT-Standard mittlerweile, so dass man von einer nahezu flächendeckenden Abdeckung ausgehen kann. In der Regel sind die entsprechenden Auswahlmöglichkeiten Bestandteil der jeweiligen Einstellungsoptionen der Browser und sollten sich leicht finden lassen.“
4.) Browsereinstellungen werden verhindert
Besonders kompliziert wird die Nutzung von Do Not Track für Mitarbeiter in Unternehmen, die Windows 10 einsetzen und als Browser Microsoft Edge nutzen. Denn kaum ein Administrator wird wissen, dass Do Not Track für Microsoft Edge nicht nur nicht voreingestellt ist. In der Standardeinstellung ist den Mitarbeitern das Setzen der Do Not Track Einstellung sogar untersagt. Eine Änderung muss erst über die entsprechende Gruppenrichtlinie durch den Administrator vorgenommen werden:
Zum Bild: Screenshot der voreingestellten Gruppenrichtlinien bei Windows 10 (betrifft insbesondere Unternehmen, die Windows 10 einsetzen).
Komplizierter geht es nicht.
Ein Appell an den Gesetzgeber
Wie sich zeigt, wird Do Not Track immer häufiger
- ignoriert,
- von den ersten Browsern schon gar nicht mehr unterstützt und
- teilweise sogar durch Gruppenrichtlinien des Betriebssystems verhindert.
Stattdessen erleben wir im Jahr 2016 eine Inflation der Cookie-Banner und eine immense Ausdehnung dessen, was in der Praxis als Einwilligung verstanden wird.
Vor diesem Hintergrund sollte bei der anstehenden Novellierung der ePrivacy-Richtlinie in Erwägung gezogen werden, die Unterstützung und den Umgang mit entsprechenden Do Not Track-Headern ausdrücklich gesetzlich zu regeln.
Die sieben wichtigsten Fakten zur ePrivacy Verordnung
14. Juli 2017 @ 11:31
[…] zu können. Werbetreibende dürfen diesen Do-Not-Track-Mechanismus dann nicht mehr wie bisher ignorieren. Dafür werden die heutzutage so gern genutzten Cookie-Hinweis-Banner, obsolet. Apple hat […]
Amazon Echo kommt nach Deutschland bzw. ist schon da | Connected Things
14. September 2016 @ 22:12
[…] Spannend ist allenfalls noch, was Amazon mit den gewonnen Daten macht. Denn Amazon Echo soll zum Medienkonsum (Musik hören, Radio hören, Kindle Bücher vorlesen lassen), zum Online-Shoppen, zum Steuren von IoT-Geräten (connected things), zum Suchen im Internet etc. verwendet werden. Dabei hinterlässt der Nutzer Spuren. Dieses Problem ist aber nicht neu, sondern wurde bereits von Google & Co. perfektioniert. […]
Anika F.
5. September 2016 @ 17:11
Vielen Dank für den verständlichen Beitrag. Es wird immer gruseliger da draußen im freien Netz der Gedanken…