Tracking auch ohne Cookies möglich

Mit Hilfe der Netzwerkadresse, die jedes Internet-fähige Gerät besitzt, kann der Inhaber des Geräts identifiziert werden. Diese Adresse wird auch IP-Adresse genannt.
Neben der Netzwerkadresse gibt es eine Reihe weiterer Möglichkeiten, den Besucher eine Webseite zu identifizieren. Oft wird beim Datenschutz von Cookies gesprochen.

Cookies
Cookies sind kleine Textdateien. Sie bestehen aus einem Namen und einem Wert sowie einer Gültigkeit und Sicherheitsparametern.

Viele meinen, wenn keine Cookies verwendet werden, ist der Datenschutz gewährleistet. Das stimmt keinesfalls.
Auch ohne Cookies und sogar ohne die Netzwerkadresse eines Nutzers zu kennen, kann der Nutzer identifiziert werden. Das Schlüsselwort heißt Digitaler Fingerabdruck. Der Begriff Browser Fingerprint, also der Fingerabdruck des Nutzersystems, spielt hier eine entscheidende Rolle.

Die folgende Grafik stellt dar, warum ein nahezu eindeutiges Identifizieren und somit Nachvervolgen eines Nutzers ohne Cookies, dafür aber mit Browser-Informationen jederzeit möglich ist:

Tracking auch ohne Cookies. Quelle: IT Logic GmbH

Mit Hilfe der Browser-Informationen, die im Bild ansatzweise dargestellt sind, können Sie mit hoher Wahrscheinlichkeit als eindeutiger Nutzer erkannt werden.

Identifizierung eines Nutzers

Siehe hierzu auch die Ausarbeitung von Henning Tillmann.

Eindeutigkeit von Browser-Daten eines Nutzers, Quelle: Henning Tillmann.

Machen Sie selbst den Test und sehen Sie, ob Ihr Browser vor Tracking geschützt ist:

Der Dienst wird von einem Drittanbieter bereitgestellt. Hier ein beispielhaftes Ergebnis:

Ergebnis des Panopticlick Browser-Tracking Tests

Man kann weitere Details zum Ergebnis aufrufen, etwa zum Browser Fingerabdruck. Man ist überrascht, wie viele Informationen jeder Webseitenaufruf über einen selbst verrät:

Browser-Fingerprint, Quelle: Panopticlick

Die Informationen auf der rechten Seite sind unscharf gemacht, um keine sensiblen Informationen weiterzugeben. Machen Sie den Test selbst uns sehen Sie die realen Informationen, die Ihr Browser über Sie verrät.

Nutzer sind nahezu eindeutig erkennbar

Der Fingerabdruck des Browser zeigt eine große Menge an Daten, Informatiker sprechen von Bits. Ein Bit ist eine Informationseinheit, also eine Aussage über Sie als Nutzer. Gemäß Panopticlick enthält der o.g. Browser Finmgerabdruck 16,8 Bits an Informationen. Zum Vergleich: Verfeinert man die Methode der Datenanalyse, kommt man auf 5000 Datenpunkte, wie der Fall Cambridge Analytica zeigt.

Die Netzwerkadresse wird bei jedem Aufruf einer Webseite vom Browser mitgeschickt. Das ist notwendig, damit die Gegenstelle weiß, wohin sie die Antwort (=Ansicht der Webseite) zurückschicken soll.

Mit Hilfe der IP-Adresse kann man zumindest grob prüfen, wer dahinter steckt:

Befindet sich Ihr Computer in einem Firmennetz mit eigener Netzwerkadresse, dann kann der Firmenname mit einiger Sicherheit herausgefunden werden. Dafür bedarf es möglicherweise weiterer Tools, wie etwa diesem hier:

Die Nutzereinwilligung

Das Urteil des EuGH zu Cookies ist unserer Darstellung nach so auszulegen, dass jeder Mechanismus, der analog zu Cookies geeignet ist, Nutzer zu identifizieren oder nachzuverfolgen oder Informationen über sie zu speichern, einer vorigen Zustimmung durch den Nutzer bedarf.

Insofern ist die Verarbeitung einer Netzwerkadresse zum Zwecke der Identifikation einer Person ohne deren Zustimmung nicht zulässig. Da man vorher nicht weiß, ob eine Adresse zu einer Person oder einer Firma führt, stellt sich die Frage nach der Zulässigkeit im B2B Bereich nur selten.

Abgesehen davon darf und muss die IP-Adresse der Webseitenbesucher sogar gespeichert werden, um Hackerangriffe und Denial of Service Attacken zu vermeiden. Man muss nur verstehen, dass die Datenerhebung etwas anderes ist als die Datenverwendung. Die Verwendung erhobener Daten ist nämlich nur in engen Grenzen erlaubt, wie das Beispiel mit der Vermeidung von Hackerangriffen zeigt.

Empfehlungen für Webseiten

Aus den Konsequenzen, die sich aus dem digitalen Fingerabdrucks jedes Nutzers im Internet ergeben, kann man eine Reihe von Schlussfolgerungen ableiten:

  • Firmen wie Google und Facebook, aber auch XING, sammeln sehr viele Daten über Internetnutzer und versuchen diese zu monetarisieren
  • Monopole entstehen
  • Dieses Nutzer-Tracking ist mit Cookies einfacher möglich als ohne, aber ohne Cookies nahezu ebenso einfach möglich. Nur die Datenbasis muss groß genug sein, also die Menge an Nutzerinteraktionen, die man verfolgen kann
  • Nahezu alle Tools, Scripte und Videos von größeren Drittanbietern sind rechtswidrig, sofern sie nicht ohne vorige Nutzerzustimmung eingebunden werden.

Die Empfehlungen für Webseiten lauten:

  • Verwenden Sie keine Tracking-Tools wie Google Analytics, Adobe Analytics, Facebook Pixel. Greifen Sie zu Alternativen wie Matomo (Piwik) oder eTracker. Wenn Sie eine WordPress Webseite haben, nehmen Sie WP Statistics oder eTracker, da es für diese Tools ein gutes Plugin gibt
  • Binden Sie YouTube-Videos nicht mehr auf Ihrer Webseite ein. Legen Sie die Videos lokal ab oder verlinken Sie nur auf die Videos. Beim Verlinken können Sie ein Vorschaubild verwenden, sofern Sie die Urheberrechte am Video haben
  • Verwenden Sie keine Social Media Plugins wie die von Facebook, Twitter, Instagram, Linkedin oder XING. Möchten Sie dies tun, dann verwenden Sie eine sogenannte Zwei-Click Lösung. Damit kann der Nutzer vor Laden des Plugins den Datenschutzrichtlinien zustimmen

Achten Sie generell darauf, keine kritischen Scripte, Tools, Plugins oder Videos zu laden, bevor der Nutzer zugestimmt hat. Weil dies technisch anspruchsvoll ist, raten wir dringend zu den genannten Alternativen.

Lesen Sie auch: Hinweise zu sogenannten Cookie Consent Tools.

Zum Thema Tracking finden Sie hier weitere Informationen:

2019-10-11T14:19:25+02:00