Wildwestmethoden bei personalisierter Online-Werbung
Von Erich Moechel
Die Datenhandelsindustrie hat auf die Ankündigung Googles vom Mittwoch, Cookies von Dritten nicht schon demnächst im Chrome-Browser zu blockieren, sofort reagiert. Am selben Tag gab Xandr eine neue Allianz mit zwei weiteren großen Datenhandelsplattformen bekannt. Cookies sollen durch neue Formen der Identifikation nahtlos ersetzt werden, um weiterhin personalisierte Werbebanner zu ermöglichen.
Eine neue Untersuchung zeigt, wie diese „Identifier“ aussehen werden, die von Teilen der Industrie längst eingesetzt werden. Benutzer werden da gar nicht erst um Zustimmung zur Datenweitergabe an Dritte gefragt bzw. wird der Datenabgriff überhaupt verschleiert. Es sind mit einem Wort Wildwestmethoden, die da im Anmarsch sind.
Public Domain
Die Untersuchung Benutzer-Tracking in der Nach-Cookie-Ära, auf welche Weise Websites die Zustimmungspflicht der Datenschutzgrundverordnung umgehen, um die Benutzer zu verfolgen, stammt von einem griechischen Forscherteam und wird offensichtlich von der spanischen Telekom Telefonica unterstützt.
„Leider zeigen die Resultate unserer Studie ...“
Wie die gesetzlich vorgeschriebene Zustimmung der Benutzer zu Datenweitergaben systematisch durch CNAME-Tracking umgangen wird.
„Leider zeigen die Resultate unserer Studie, dass andere Formen des Benutzer-Trackings sogar dann eingesetzt werden, um persönliche Daten zu verarbeiten, wenn die Benutzer alle Cookies abgelehnt haben. Das ist ein direkter Verstoß gegen die Datenschutzgrundverordnung“, heißt es in der Studie einleitend. Die hier angeführten Methoden sind zwar noch nicht sehr weit verbreitet, es ist aber davon auszugehen, dass ihr Einsatz nach dem Aus für Dritt-Cookies schon bald stark zunehmen wird. Auf 27.000 von insgesamt 630.000 untersuchten Websites im Jahr 2020 kamen sie zum Zeitpunkt der Untersuchung bereits zum Einsatz.
Die Annahme liegt daher nahe, dass inzwischen bereits deutlich mehr Websites zu solchen Wildwestmethoden greifen. Bei zwei dieser drei wichtigsten Methoden, um die Zustimmung der Benutzer zu umgehen, sind die Datenhändler auf die Kollaboration der jeweiligen Website-Betreiber angewiesen. Cookies von den Betreibern - ob Online-Medien oder Handelsplattformen - sind an sich völlig legitim, wenn der Benutzer zustimmt. Letzteres ist in der Regel fast immer der Fall, da der Benutzer ja nach Informationen auf der Website sucht. Um ihm dann Hunderte Klicks zur Zustimmung für die Weitergabe an Hunderte Drittparteien - das ist die Regel - zu „ersparen“, kommen derzeit die berüchtigten Cookie-Walls zum Einsatz. Ein Klick und man stimmt allen Weitergaben zu.
Public Domain
Auch diese Grafik zum sogenannten „Canvas-Fingerprinting“ stammt aus der oben zitierten Untersuchung. Dabei werden sämtliche Einstellungen des Browsers ausgelesen. Da es ja Dutzende Einstellungen gibt, aus denen sich wiederum ein Vielfaches an möglichen Kombinationen davon ergibt, ist jeder Browser etwas anders, also individuell konfiguriert. Daraus wird dann ein digitaler Fingerprint des Browsers erstellt.
Wer ablehnt, wird erst recht getrackt
Seit vier Jahren blockiert der EU-Ministerrat die E-Privacy-Verordnung, die solchen Tricksereien einen Riegel vorschieben würde.
Auf den hier untersuchten Websites werden statt Cookie-Walls ganz andere Methoden angewendet, um die Datenschutzgrundverordnung zu umgehen. Wie schon die Bezeichnungen „First Party ID leaking“ und „ID synchronization“ sagen, werden an sich legitime Identifikatoren der Site-Betreiber für die jeweiligen individuellen Benutzer abseits von Cookies so in die Website integriert, dass sie von Dritten ausgelesen werden können. Diese Methoden verantworten die Betreiber der Websites selbst, der organisierte Datenhandel ist dadurch in der Lage, die Benutzer zu re-identifizieren bzw. sie mit einem neuerstellten universellen Identifikator quer durchs Netz zu verfolgen.
Dafür dient auch dritte Methode, genannt „Canvas-Fingerprinting“, dabei wird die gesamte, individuelle Konfiguration des Browsers ausgelesen (siehe obige Grafik). Die große Mehrheit der untersuchten Websites, bei denen diese Wildwestmethoden eingesetzt werden, beginnt schon mit dem Tracking, bevor der User den zugehörigen Cookie-Dialog überhaupt sieht. Wenn Cookies abgelehnt werden, werden in der Regel erst recht viele andere Tracker auf die betreffenden Benutzer angesetzt.
Xandr
Bei „großem Respekt für die Privatsphäre der Konsumenten“ verspricht die Datenhandelsplattform Xandr, eine Tochterfirma der Telekom AT&T, ihren Datenhändlerkunden, „sie durch komplexe regulatorische Gefilde zu navigieren, dass sie ihre Geschäftsziele erreichen“. Man werde auch weiterhin „ganzheitliche Durchdringung relevanter Zielgruppen und Ansätze liefern, die Zuordnung zu unterstützen“. Mit Letzterem ist offenbar die Zuordnung zu personenbezogenen Interessens- und Bewegungsprofilen gemeint.
Das sagt die Interessensvertretung IAB
Im Sommer 2017 startete die erste Großkampagne von Medien- und Werbekonzernen für freien Handel mit personenbezogenen Metadaten, ohne das den Nutzern mitzuteilen.
Eine derzeit schon viel weiter verbreitete Form, die Datenschutzgrundverordnung zu unterlaufen, ist das sogenannte CNAME-Tracking, das bereits bei wenigstens 10 Prozent der globalen Top 10.000 Websites beobachtet werden kann. Eine per se nützliche Alias-Funktion des DNS-Systems wird dazu missbraucht, Tracking-Websites unsichtbar einzubinden, damit wird vor den Benutzern verschleiert, dass ihre Daten gerade massenhaft von Datenhändlern abgezogen werden(siehe Link ganz oben).
Dazu wurde bei der Interessensvertretung der Online-Werber (IAB) in Wien angefragt, ob ihr diese Methode, erstens, bekannt sei und ob sie, zweitens, auch den IAB-Mitgliedern empfohlen wird. „Als größtem Verband der österreichischen digitalen Kommunikations- und Werbewirtschaft sind uns die technologischen Hintergründe des CNAME-Cloaking bekannt“, heißt es in der Antwort des IAB. „Umfassende Informationen zu Advertisement Technologien stellt das IAB seinen Mitgliedern im aktuellen White Paper A Guide to the Post Third-Party Cookie Era zur Verfügung. Die Praktik des CNAME-Cloakings wird IAB-Mitgliedern nicht empfohlen.“
Addendum
Die Fragen an das IAB wurden vor Recherche zu diesem Artikel gestellt, deshalb waren die Antworten auch auf CNAME-Tracking beschränkt. Das IAB wird folglich erneut zu einer Stellungnahme für den nächsten Artikel in dieser Serie eingeladen, in dem auch auf die Strategie der Datenhandels-Monolithen Google und Apple näher eingangen wird und ihre Motivation, Cookies von Drittparteien zu blocken.
Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 07.03.2021
