Überwachung im Netz:Was nach den Cookies kommt

Ein Qkie sagt mehr als 1000 Worte

Manche Cookies sind zum Essen da. Andere spionieren Menschen im Internet aus.

(Foto: Oliver Dietze/dpa)

Google und Apple machen der Werbeindustrie das Leben schwer. Die erfasst dafür nun auf großen deutschen Webseiten E-Mail-Adressen und andere Infos. Wie das funktioniert, und was Nutzer tun können.

Von Mattias Eberl

Schon in den Neunzigerjahren fragten sich viele Menschen, was denn diese Cookies sind, die bis heute in Form nerviger Banner Internetnutzer heimsuchen, wenn sie Webseiten öffnen. 1997 lieferte ein Nutzer folgende Beschreibung: Cookies seien eine Art Duftmarke, die bestimmte Unternehmen auf dem Rechner hinterließen. Mittlerweile sammeln Hunderte Werbeunternehmen so Daten über uns. Sie legen dazu die kleinen Textschnipsel auf unseren Computer ab, um Informationen über uns an die Werbeindustrie zu senden.

Cookies sind als spionierende Dritte in vielen Shops, Marken- und Nachrichtenseiten eingebunden. Nur wenn die Unternehmen Personen wiedererkennen, können sie ein langlebiges Profil über sie anlegen. Ähnlich wie Cookies funktionierte bislang die sogenannte Werbekennung auf dem Smartphone. Auch über sie laufen Verhaltensdaten aus vielen genutzten Seiten und Apps in Profilen bei den Werbeunternehmen zusammen, sie bauen daraus Werbezielgruppen.

Seit einiger Zeit geht aber in der Branche Panik um: Apple und Google, die Herrscher über Android, das iPhone sowie die Browser Chrome und Safari lassen die Unterstützung für diese sogenannten Drittanbieter-Cookies und mobile Werbekennungen auslaufen. Vor allem Google geht es wohl primär nicht um Datenschutz, sondern darum, die Konkurrenten auf dem Feld der personalisierten Anzeigen zu behindern - um selbst einen höheren Anteil am 336-Milliarden-Dollar-Markt für Internetwerbung zu bekommen.

Das sind Identitätsprovider

Die kommerzielle Überwachung der Menschen im Netz ist im Umbruch. 2021 hat eine neue Technologie an Fahrt aufgenommen, die auch ohne Unterstützung der Monopolisten funktioniert. Identitätsprovider heißen die Unternehmen, die zentral registrieren, wenn sich eine Person irgendwo einloggt. Diese Information geben sie an Werbefirmen weiter. Die erkennen dann auch ohne Cookies, wer sich wofür interessiert. Als eindeutige Kennung dient oft die E-Mail-Adresse. Sie wird für das Tracking meist in eine Folge aus Zahlen und Buchstaben umgerechnet (ein "Hash"), die wie ein Fingerabdruck eindeutig zur ursprünglichen Adresse passt. Ist das datenschutzfreundlicher als Cookies? Um die neue Login-Matrix zu verstehen, hat die Süddeutsche Zeitung den Datenverkehr auf ein paar Dutzend größeren Websites in Deutschland untersucht. Dazu nutzte sie die Netzwerkanalyse-Technik im Browser.

Wie die SZ Tracking nutzt

Die SZ setzt wie andere Medienunternehmen bestimmte Tracking-Tools und Cookies ein. Unter www.sz.de/tracking finden Sie die Information, welche Tracker auf unseren Webseiten verwendet werden und wie sie deaktiviert werden können.

Die vollständige Datenschutzerklärung finden Sie unter sz.de/datenschutz. In den Apps der SZ können Sie der Datenverarbeitung widersprechen, indem Sie in den Datenschutzeinstellungen der jeweiligen App Nutzerstatistiken, Fehleranalyse und Absturz-Reports oder personalisierte Werbung deaktivieren. Der digitale Anzeigenmarkt ist wie bei vielen Medienhäusern für einen wesentlichen Teil der Einnahmen verantwortlich. Auch deshalb können aufwendig recherchierte Artikel Lesern zugänglich gemacht werden.

Das Weitertragen von Identitäten

Personalisierte Werbung mit einem Identitätsprovider funktioniert im einfachsten Fall so: Eine Shop-Seite registriert, wer dort auf einen Staubsauger klickt. Der Shop bietet dann bei beliebigen werbefinanzierten Seiten auf einen Anzeigenplatz - diese Auktionen sind im Netz vollautomatisiert und laufen binnen Millisekunden ab. Einzige Bedingung: Die Anzeige soll nur die Personen erreichen, die den Staubsauger angeklickt haben. Wenn eine Person im Shop eingeloggt war und später auch beispielsweise bei einem Wetterdienst, dann kann eine Werbeplattform beide Logins zusammenführen und die entsprechende Werbung beim Wetterdienst anzeigen. Aber weil man viele Seiten ohne Login nutzt, versuchen die Werbeunternehmen, die Login-Identität größer zu fassen.

Eine Identität für jeden Haushalt

Dabei hilft die IP-Adresse, unter der ein Haushalt ans Internet angeschlossen ist. Sie bleibt nur für etwa einen Tag gleich und ändert sich dann automatisch. Doch solange eine Person aus dem Haushalt einloggt ist, kann ein Identitätsprovider diese Änderungen mitverfolgen.

Beispiel: Wieder sucht eine Person einen Staubsauger, diesmal ist sie weder im Shop noch auf der Wetterseite eingeloggt. Aber ein Kind im gleichen Haushalt nutzt eine App mit Login. Die App plaudert diese Information an den Identitätsprovider weiter. Der Dienst erkennt, dass die App, der Shop und die Wetterseite von der gleichen IP-Adresse aufgerufen wurden, und kann so Verhaltensdaten aus dem Haushalt unter einem Profil erfassen. Wieder erhält - wenn es funktioniert wie geplant - die "richtige" Person die Staubsauger-Werbung. Denn der Anbieter kann die Geräte innerhalb eines Haushalts leicht über technische Merkmale wie die Bildschirmauflösung voneinander unterscheiden.

Das Cookie-Banner ist nicht mehr nur für Cookies da

Dieses Tracking über die IP-Adresse fand sich bei Spiegel, Sport 1 oder Bild - aber nur, wenn man im "Cookie-Banner" einwilligt, das sich beim Aufruf der Seite öffnet. Diese nervigen Banner existieren, weil Gesetze vor unerwünschtem Werbetracking schützen sollen. Mit der neuen Technologie wurden die Banner einfach erweitert: Sie erfragen nicht nur das Okay zum Cookie, sondern auch, ob der Besucher das Tracking über sine IP-Adresse oder E-Mail akzeptiert. Auch über diese zwei Datenpunkte kann das Verhalten auf der Seite dauerhaft überwacht werden.

Verknüpfen von Offline- und Onlinewelt

Ein weiterer Bereich, in dem Identitätsprovider aktiv sind: Sie helfen großen Unternehmen, deren Kundendaten zu analysieren und das Marketing mithilfe der E-Mail-Adresse in die Onlinewelt zu übertragen. Zeotap ist ein Unternehmen aus Berlin, das dabei Marken wie Nissan und Audi unterstützt. Der Firmengründer erklärte das Geschäftsmodell auf einer Konferenz anschaulich: Es wäre doch gut für einen lokalen BMW-Händler, wenn er wüsste, dass ein vormaliger BMW-Kunde gestern bei Autoscout24 nach einem neuen Auto gesucht hat. Wenn man sich bei Autoscout24 einloggt, wird daher die gehashte - also für Unbefugte unlesbare - E-Mail-Adresse an Zeotap gesendet. So entstehen Zielgruppen von Autointeressenten, die für Autohäuser nützlich sind oder wie Ware gehandelt werden können. Auf einer anderen großen Seite, gutefrage.net, wurde der E-Mail-Hash nach dem Login von Zeotap an sechs Werbeunternehmen gesendet.

Datenschutzverstöße und Straftaten

Die Online-Werbebranche war noch nie besonders zimperlich mit Datenschutzgesetzen. Auch die neuen Identitätsprovider wurden im Test teilweise ohne die darin geforderte Einwilligung der Webseiten-Besucher eingesetzt, so auch bei Autoscout24 und Gutefrage. Autoscout24 äußerte sich auf Anfrage nicht dazu. Gutefrage bestritt, codierte E-Mail-Adressen ohne Einwilligung an Dritte weitergereicht zu haben.

Besonders problematisch war der Identitätsprovider Liveramp, der ohne Einwilligung auf freundin.de und eatsmarter.de aktiv war. Er durchsucht diese von Millionen Deutschen aufgerufenen Seiten standardmäßig nach ausgefüllten Feldern. Das Problem: Manche Passwortmanager - kleine Helfer-Apps für Vergessliche - tragen E-Mails in Login-Felder ein, damit man sich bequem mit einem Klick einloggen kann. Liveramp erkennt solche Personen sofort beim Seitenaufruf, auch wenn sie sich überhaupt nicht einloggen. Peter Hense, Anwalt für Datenschutzrecht, schätzt diese hinterlistige Methode als Straftat nach dem Bundesdatenschutzgesetz ein. Eatsmarter äußerte sich nicht zu dem Vorwurf, Liveramp beteuerte auf SZ-Anfrage, das Verfahren sei rechtmäßig.

Das können Nutzer tun

Zum Schutz vor Identitätsprovidern sollte man Einwilligungsabfragen - in ebenjenen Cookie-Bannern - grundsätzlich ablehnen, auch wenn das oft mehr als zwei Klicks kostet. Außerdem kann es sich lohnen, Trackingblocker einzusetzen, die viele Browser integriert haben oder als Plug-in anbieten und die Überwachung verhindern. Am wirkungsvollsten ist aber, für jede Seite oder App eine andere, einzigartige E-Mail-Adressen zu verwenden. Das geht am besten, wenn man bereits eine Internetseite mit eigener Domain (wie beispiel.de) hat und seine E-Mail dort mit einer "Catch-all"-Einstellung konfiguriert: Beliebige Adressen, die nur für spezielle Logins kreiert werden (etwa login-gutefrage@beispiel.de) landen dann alle im gleichen Postfach. Für Personen, die keine eigene Domain haben, bieten E-Mail-Provider wie Mailbox.org und Protonmail den Catch-All-Service inklusive Domain an.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: