Datenspuren im Internet: Wer sie lesen kann, was sie verraten und wie man sie vermeidet

Die Ausführungen beziehen sich noch auf die Rechtslage, die vor dem In-Kraft-Treten der DSGVO galt. Die Anpassung der Ausführungen an die Vorgaben der DSGVO ist in Arbeit.

Das Internet von heute bietet eine Vielzahl von Diensten, deren Nutzung Datenspuren hinterlässt. Oft werden diese gespeichert, ausgewertet und zu Nutzungs-, Kauf- oder Bewegungsprofilen verdichtet. Der Grund dafür heißt Werbung, das zentrale Finanzierungs- oder Geschäftsmodell vieler Anbieter. Die Umsätze von Google und Facebook liegen in Milliardenhöhe und gründen zum überwiegenden Teil auf Werbung. Je genauer diese auf die potentiellen Kunden abgestimmt ist, das heißt, je mehr man über sie weiß, desto mehr lässt sich damit verdienen. Untersuchungen zeigen, dass sich mit verhaltensbasierter Werbung mehr als doppelt so viel erlösen lässt wie mit pauschaler Werbung. Mit fast 90 % genießen Empfehlungen von Freunden und Familie mit das höchste Vertrauen; sie führen dazu, dass in mehr als der Hälfte der Fälle den Produktempfehlungen gefolgt und in bis zu 20 % der Fälle ein Kauf getätigt wird.

Vor diesem Hintergrund ist nicht verwunderlich, dass Interessen, Neigungen und Konsumgewohnheiten der Nutzer, ihr soziales Umfeld und deren Aktivitäten im Netz auf das Interesse der Werbewirtschaft stoßen. Besonders wichtig sind dabei Soziale Netzwerke und standortbezogene Dienste. Aber auch außerhalb Sozialer Netzwerke blickt einem die Werbewirtschaft in Form von Cookies, Social-Plugins oder Zählpixeln über die Schulter. Dies löst bei vielen Besorgnis, zumindest aber Unbehagen aus. Der Wunsch nach Anonymität ist nichts Unanständiges. Wir bleiben im Alltag schließlich oft anonym, z.B. wenn wir an der Kinokasse bar bezahlen, eine Zeitschrift oder eine DVD kaufen. Warum also nicht auch im Internet?

Um welche Datenspuren geht es und was kann man tun?

Die Internet Protocol-Adresse, kurz IP-Adresse, wird bei jedem Klick mitgeschickt und verrät einiges über den Nutzer. Oft lässt sie sich ziemlich genau dem Wohnort zuordnen oder jedenfalls der Region, aus der man kommt. In Verbindung mit den Angaben, die der Browser mitschickt ist erkennbar, woher der Nutzer kommt und welche Spracheinstellungen er gewählt hat. Falls sich Nutzer schon einmal gefragt haben, warum ihnen in der Regel deutsche Werbung präsentiert wird und keine Anzeigen auf Französisch oder Spanisch – hier liegt die Antwort! Außerdem erfährt man, bei welchem Provider der Nutzer Kunde ist.

Die IP-Adresse wird benötigt, um Datenpakete im Internet zuzustellen und kann daher nicht vollständig unterdrückt werden. Sie wird den Nutzern von ihrem jeweiligen Internet-Provider zugewiesen und stellt nach Auffassung der Datenschutzbeauftragten ein grundsätzlich personenbeziehbares Datum dar. Dies deshalb, weil nicht nur der Provider in der Lage ist, die IP-Adresse einem Nutzer zuzuordnen, sondern auch jeder Anbieter einer Webseite, auf der sich der Nutzer registriert oder anmeldet oder wo er Name oder Adresse hinterlässt. Zwar wird der Personenbezug in vielen Fällen durch eine dynamische, d.h. wechselnde Vergabe von IP-Adressen relativiert, mit Vergabe der künftigen IPv6-Adressen entfällt jedoch diese technische Notwendigkeit und ein einmal hergestellter Personenbezug kann dauerhaft bestehen bleiben. Über so genannte Proxy-Server können sich Nutzer hinter einer anderen IP-Adresse sozusagen verstecken. Anstelle der IP-Adresse des Nutzers wird für den Aufruf der gewünschten Internet-Seite die Adresse des Proxy-Servers verwendet.

Was sind Cookies und warum können sie problematisch sein?

Cookies sind Dateien, die eine Webseite auf Ihrem Rechner speichert. Sie dienen unterschiedlichen Zwecken wie z.B. als Warenkorb beim Online-Kauf oder dem Speichern persönlicher Einstellungen. Cookies können von der Webseite stammen, die Sie besuchen, aber auch von Werbeanbietern, die auf der besuchten Seiten Werbung schalten. Dies sind so genannte „Drittanbieter-Cookies“.

„Session-Cookies“, die nur für die Dauer Ihrer Browsersitzung gelten, sind unkritisch, da sie beim Schließen des Browser gelöscht werden. Problematisch sind hingegen alle Cookies, die eine eindeutige Kennzeichnung – die so genannte ID – enthalten, anhand derer Sie für die Dauer der Gültigkeit des Cookies wiederzuerkennen sind und deren Gültigkeit über das Ende der Sitzung hinaus reicht. Solche Cookies werden genutzt, um zu erfassen, was Sie sich auf einer Webseite anschauen, wie lange Sie dort bleiben, was Sie anklicken und wie oft, ob Sie die Seite erstmals besuchen oder ob Sie häufiger vorbeischauen. Im Fall von Drittanbieter-Cookies funktioniert dies oft auch über verschiedene Webseiten hinweg; d.h. Ihr Weg durch das Internet wird erkennbar. All diese Informationen werden unter Ihrer Cookie-ID gespeichert.

Für Cookies kann man selbst festlegen, ob man diese will oder nicht, oder dass diese Daten von Zeit zu Zeit gelöscht werden. Wenn Sie vermeiden möchten, dass Ihr Surfverhalten über Cookies erfasst wird, sollten Sie daher die Cookie-Einstellungen Ihres Browsers entsprechend anpassen, z.B. indem Sie Cookies von Drittanbietern verbieten und die Gültigkeit der Cookies begrenzen, so dass sie gelöscht werden, wenn Sie den Browser beenden. Für Seiten, denen Sie das Setzen von Cookies erlauben wollen, können Sie Ausnahmen festlegen. Alternativ dazu können Sie auch den Privat-Modus ihres Browsers verwenden, der pauschal verhindert, dass bestimmte Daten gespeichert werden. Allerdings gilt dies nur für normale Cookies; so genannte Flash-Cookies, die auch deutlich mehr an Informationen aufnehmen können, können auf diesem Weg nicht beeinflusst werden.
In ähnlicher Weise wie Cookies funktionieren so genannte „Zählpixel“ oder „Web-Bugs“. Dies sind ein Pixel große, meist unsichtbare Grafiken, die beim Aufruf einer Webseite geladen werden. Sie kommen wie Drittanbieter-Cookies nicht von der Seite, die Sie aufrufen, sondern von Werbeplattformen oder Analyse-Diensten, die auf diese Weise Ihren Weg im Internet erfassen. Zählpixel können Sie umgehen, indem Sie eine Browser-Erweiterung, wie z.B. Ghostery, verwenden, die die Weiterleitung Ihrer Daten unterbindet.
Manche Webseiten unterstützen auch die „Do-Not-Track“-Initiative, bei der einem Wunsch der Nutzer, mit ihrem Surfverhalten nicht erfasst zu werden, entsprochen wird. Hierzu muss der Browser so eingestellt werden, dass er dies beim Besuch einer Webseite kundtut.

Browserdaten

Browser ist nicht gleich Browser, so wie meist kein Wagen dem andern gleicht. Die auf deutschen Straßen zugelassenen Fahrzeuge des Typs VW Golf unterscheiden sich in Baujahr, Farbe, Ausstattung, Aufklebern, Schrammen oder Roststellen. Bei den Browsern sind dies Version, Konfiguration, Spracheinstellung, Bildschirmauflösung u.s.w. Viele haben dadurch einen digitalen Fingerabdruck, anhand dessen sie im Internet wiedererkannt werden können. Der Browser verrät zudem über den so genannten „Referer“ jeder besuchten Seite, auf welcher Internetseite der Nutzer zuvor gewesen ist. Nicht alle Browser erlauben es, den Referer zu deaktivieren. Ein Grund, neben anderen, sich für den Firefox-Browser als gut gepflegte Open-Source-Software zu entscheiden. Viele Browser sind so eingestellt, dass sie sich die Webseiten, die man besucht hat, in einer „Chronik“ merken. Dies lässt ganz gut erkennen, wo man im Internet überall gewesen ist. Möglich ist dies zunächst allerdings nur den Nutzern des PC, die Zugriff auf die Browser-Chronik haben. Manche Browser bzw. Browserversionen sind jedoch anfällig dafür, dass geprüft werden kann, ob bestimmte Seiten besucht wurden oder nicht. So ist auch von außen erkennbar, wofür sich ein Nutzer interessiert hat.

Suchmaschinen

Jedes Mal, wenn Sie eine Suchmaschine wie Google, Bing oder Yahoo nutzen, erzeugt dies eine Datenspur Zwar ist daraus nicht direkt erkennbar, welche Person dahinter steht, dies kann sich jedoch schnell ändern. Was Suchmaschinen alles über ihre Nutzer wissen, lässt sich am Beispiel von Google auch über dessen Dienst „Dashboard“ erkennen. Für jeden Nutzer, der bei Google für einen der zahlreichen Dienste registriert ist (z.B. Google Mail, Calendar, Groups, Blogger, Text & Tabellen, Picasa, oder YouTube) zeigt das Dashboard, wonach über Google gesucht wurde, welche Orte oder Routen auf Google Maps für den Nutzer von Interesse waren, wie sich die Internet-Aktivitäten monatlich, wöchentlich oder täglich verteilen und vieles mehr. Als Alternative zu Google gibt es datenschutzfreundliche Suchmaschinen, die weniger oder keine Daten speichern, z.B. www.ixquick.de oder www.startpage.com (letztere arbeitet mit dem Google-Suchalgorithmus). Beide Suchmaschinen bieten zudem die Möglichkeit, die Suchtreffer aufzurufen, ohne die eigene IP-Adresse preiszugeben (Proxy). Um zu vermeiden, dass das, wonach man sucht, von anderen mitgelesen werden kann, sollte man die Suchanfrage über das HTTPS-Protokoll stellen, damit diese verschlüsselt wird.

Langfassung Datenspuren im Internet: Wer sie lesen kann, was sie verraten und wie man sie vermeidet

Dieser Beitrag wurde vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz erstellt