So entstehen aus Mosaiksteinchen detaillierte Profile

30. April 2018

Die Gefahren von Trackern und Persönlichkeitsprofilen. Gibt es eine Chance, der Datensammlung zu entgehen?

Von Christian Bennefeld

Bei einer Podiumsdiskussion mit Internetlenkern wurde Angela Merkel einmal gefragt, wie sie es mit dem Online-Einkauf halte. Sie antwortete prägnan: „Einmal im Internet was gekauft, du wirst verfolgt.“ Ein Phänomen, das offensichtlich nicht nur unsere Kanzlerin bewegt, sondern jeden Internet-Nutzer beschäftigt.

Gerade sucht man nach einer Urlaubsreise nach Mallorca, und schon bombardieren einen viele Webseiten mit Urlaubswerbung. Woher „wissen“ auf einmal der SPIEGEL, die BILD oder GMX von dem Reisewunsch auf die Baleareninsel? Der Grund für die Verfolgung sind Persönlichkeitsprofile, erstellt von Werbeservern und Datensammlern (im Fachdeutsch „Tracker“). Laut einer aktuellen Studie von Ghostery kommen heute auf jeder Webseite durchschnittlich 20 dieser Tracker zum Einsatz.

Diese halten nicht nur genau fest, welche Seiten wir besuchen, sondern auch, wie wir mit diesen interagieren. Sie zeichnen beispielsweise haarklein sämtliche Mausbewegungen auf und speichern alle Eingaben in Online-Formularen – und das selbst dann, wenn das Formular niemals abgesendet wird. Ob der Nutzer bei der Eingabe des Haushaltseinkommens in einen Kreditrechner zögert oder mehrmals korrigiert, bleibt Trackern auch nicht verborgen. Sogar die Augenreaktionen lassen sich anhand der Mausbewegungen ableiten.

Noch Fragen? Egal was, alles wird gecheckt und klammheimlich zu einem großen Ganzen verknüpft.

Rückschlüsse

Durch die Verknüpfung sämtlicher Tracking- Daten über mehrere Websites und alle Geräte des Nutzers hinweg entstehen aus den einzelnen Daten-Mosaiksteinchen detaillierte Profile, die tiefe Einblicke in die Persönlichkeit und die Intimsphäre des Nutzers erlauben. Allein über die Kenntnis der besuchten Webseiten lassen sich beispielsweise einfach Rückschlüsse über die politische Einstellung, sexuelle Wünsche oder den Gesundheitszustand des Surfers ziehen. Wer etwa regelmäßig Seiten von Umweltorganisationen, zu alternativen Energien oder zur Sozialpolitik abruft, landet schnell in der politisch linken Ecke. Surfer, die dagegen regelmäßig nach schweren Krankheiten wie HIV suchen oder Seiten zu Drogenentzug und Therapiezentren studieren, haben dagegen mutmaßlich schwere Probleme mit der Gesundheit und illegalen Betäubungsmitteln.

Profitoptimierung?

Anders als in traditionellen Medien, wie Radio, TV oder Print, bei denen jeder Konsument dieselbe Werbung sieht, ist es im Internet erstmals möglich, auf die Persönlichkeit individuell abgestimmte Werbung anzuzeigen. Grundlage hierfür sind die gesammelten Persönlichkeitsprofile. Mag der männliche Nutzer dank personalisiertem Echtzeit-Targeting erfreut sein, dass er keine Werbung für Damenblusen erhält, wundert sich die 30-jährige Nutzerin mit Haarausfall hingegen, dass sie neben Haarwuchsmitteln auch ständig Werbung für Inkontinenzwindeln erhält. Ein peinliches Versehen vielleicht, aber sicher keine Gefahr.

Die lauert ganz woanders. Zum Beispiel bei dynamischer Preisbildung, die viele Online-Shops zur Profitoptimierung verwenden. Abhängig vom Persönlichkeitsprofil, sehen Nutzer dabei ganz unterschiedliche Preise. So kann es sein, dass Nutzer eines teuren Tablets mehr für das gleiche Produkt bezahlen als Besitzer eines Linux-Systems. Die Preisdiskriminierung im Online-Handel folgt dabei nebulösen Mechanismen. Manche Händler bieten mobilen Nutzern Preisvorteile, andere dagegen, wenn der Nutzer von bestimmten Seiten kommt. In einigen Fällen steht und fällt der Preis zudem abhängig von der geografischen Herkunft, der Besuchsfrequenz oder den ermittelten Interessen.

Aber nicht nur Online-Händler machen sich heute Persönlichkeitsprofile zunutze. Auch Finanzdienstleister und Versicherer wollen gerne vor Vertragsabschluss wissen, mit wem sie es zu tun haben. Scoring lautet das viel beschworene Stichwort der Branche. Der „Score“ ist dabei ein Wert, der das individuelle Risiko, ein Geschäft mit dem Nutzer einzugehen, beurteilt – und zwar bevor das Geschäft überhaupt zustande kommt. Wer regelmäßig Sportwetten im Internet abgibt, seine Zeit mit Online-Poker verbringt und häufig nach Kurzkrediten sucht, hat demnach einen höheren Risiko-Wert für Kreditgeber als jemand, der dieses Verhalten nicht zeigt.

Versicherungsrisiko: Extremsportler hinterlassen in ihrem digitalen Profil Spuren vermeintlich gefährlicher Hobbys.

Profiteure

Ein Sportler, der gerne Tiefseetauchen, Fallschirmspringen oder Freeclimbing nachgeht, stellt für Versicherer ebenfalls ein besonderes Risiko dar, das sich in höheren Versicherungsprämien widerspiegelt. Profildaten sind dabei umso wertvoller, je genauer sie das Bild des beobachteten Nutzers zeichnen. Potenziell falsche Daten oder fehlerhafte Zusammenführungen sind dabei besonders gefährlich. Welcher Journalist wird schon gerne bei der Einreise in die USA wie ein Verbrecher behandelt, nur weil er für eine investigative Recherche über Terrorismus Websites des Islamischen Staates besucht hat?

Die Profiteure sind dagegen Datenhändler, Werbekonzerne und Scoring-Anbieter. So verknüpft beispielsweise Google nach eigenen Angaben über seine mehr als 70 Dienste alle gewonnenen Daten zu genauen Persönlichkeitsprofilen. Selbst wenn der Nutzer gar keine Google-Dienste nutzt, gerät er in die Fänge des Datenkrakens. Dank Google Analytics, dem Web-Analyse-System von Google, das heute auf mehr als 80 Prozent aller Websites zum Einsatz kommt, entgeht dem Konzern kaum ein Klick – selbst außerhalb des Google-Universums. Das Perfide dabei ist die Bildung personenbezogener Nutzerprofile. Die Verknüpfung mit dem Menschen „Stefan Meier“ erfolgt umgehend, sobald der Nutzer über ein Google-Konto verfügt.

Dieses muss aber jeder Nutzer anlegen, der etwa Google Mail, Google Kalender oder irgendeinen anderen Dienst des Konzerns nutzen will. Besitzer eines Android-Geräts, egal ob Tablet, Telefon oder Google Home, kommen ebenfalls nicht um ein Google-Konto herum. Bei der Anlage des Nutzerkontos müssen Nutzer aber nicht nur die Geschäftsbedingungen, sondern auch die Datenschutzbestimmungen akzeptieren. Doch wer liest schon die verklausulierten, seitenlangen Bedingungen bei der Inbetriebnahme eins Android-Gerätes: So willigt der Nutzer bei Google ein, dass alle Daten über sämtliche Dienste personenbezogen erfasst werden. Aber Google, als weltweit größter Datensammler, ist hier nur ein Stellvertreter. Andere Konzerne wie Facebook, Microsoft und auch Apple nutzen ähnliche Tricks, um personenbezogene Profildaten zu erfassen und zu monetarisieren.

Bruchteile

Immerhin sieht der Gesetzgeber im Telemediengesetz die Möglichkeit des Widerspruchs gegen Profildatenspeicherung vor. So muss der Betreiber alle Tracker in der Datenschutzerklärung der Website nennen, die pseudonyme oder gar personenbezogene Nutzerprofile erfassen. In der Praxis taucht aber häufig nur ein Bruchteil der verwendeten Tracker in der Datenschutzerklärung auf. Außerdem ist ein Widerspruch nur dann möglich, wenn der sogenannte Opt-out technisch möglich ist und nicht an bestimmte Betriebssysteme oder Browser gebunden ist. Google Analytics bietet beispielsweise standardmäßig nur eine Widerspruchsmöglichkeit per Plugin an, das sich beispielsweise auf Apple-iOS-Geräten, auf Smart-TVs oder Spielekonsolen nicht ausführen lässt. Nicht zuletzt verzichten viele Seitenbetreiber gleich komplett auf die aufwendige Implementierung von Opt-out-Cookies.

Aber selbst wenn sämtliche Tracker in Datenschutzerklärungen genannt und eine technisch auf jedem Gerät funktionierende Widerspruchsmöglichkeit existiert, hat der Nutzer praktisch keine Chance gegen die Datenerhebung. Denn dazu müsste er nicht nur sämtlichen, durchschnittlich 20 Trackern einzeln widersprechen – und das bevor er die Seite besucht. Anschließend müsste er dazu kleinlich darauf achten, dass er die Cookies, die den Widerspruch signalisieren, nicht wieder löscht, um dann wieder von vorne anzufangen. Eine Sisyphusaufgabe.

Anonymität im Internet ohne Hilfsmittel ist eine Illusion. Google, Facebook und Co. wissen heute mehr über jeden Einzelnen als einst die Stasi über die Bürger der DDR. Wer sich dagegen schützen will, muss tief in die Trickkiste greifen: Tracker und Daten sammelnde Werbung lassen sich noch gut mit Plugins für Browser blocken. IP-Adressen können durch die Installation eines Tor-Browsers oder eines VPN-Clients anonymisiert werden.

Ausweg

Der Abfluss von Geräte-Informationen und -Fingerprints ist aber nur noch durch technische Fachleute zu verhindern. Eine Lösung für dieses scheinbare Dilemma sind innovative Netzwerkgeräte, wie der eBlocker, die einfach an den heimischen Router angeschlossen werden. Ganz ohne Softwareinstallation schützt der eBlocker die Privatsphäre per Plug & Play auf allen an das Heimnetz angeschlossenen Geräten gleichermaßen. Jeder Nutzer kann so ohne technische Kenntnis ganz einfach der Profilbildung entgehen.