Datenschutz Web-Browsing

Explore

Wir alle im Web

Du, Ich und Die
Du, Ich und Die

Web-Architektur, Tracking

Web-Architektur, Tracking

Bearbeitungszeit: ungefähr 17 Minuten

Einleitung

Im letzten Kapitel haben wir begonnen, das Thema Datenschutz durch Werbung sichtbar zu machen. Du hast gesehen, dass Werbeanzeigen an ein Werbeprofil angepasst werden. Du hast Werbenetzwerke getäuscht, indem du dein Werbeprofil mit zufälligen

@Daten⁠

geflutet hast, sodass sich Werbeanzeigen angepasst haben. Dadurch hast du einen ersten Schritt getan, deine Daten im Web zu schützen. Du hast gezeigt, dass du beim Datenschutz nicht der Technologie ausgeliefert bist, sondern du Verantwortung und Kontrolle übernehmen kannst.

Trotzdem kamen dir vielleicht nach den Experimenten und den ersten auffälligen Werbeanzeigen eine Menge berechtigte Fragen:

Moment, wenn Werbenetzwerke genug von mir wissen, um Werbung an mich anzupassen, was wissen sie noch? Warum wissen die überhaupt, was ich im Web mache?

Das sind genau die richtigen Fragen! Kein Online-Kurs der Welt kann dir Datenschutz in allen Facetten erklären. Datenschutz funktioniert, wenn du dir ständig Fragen wie diese stellst. Damit du selbst zu richtigen Antworten kommst, zeige ich dir in diesem Kapitel die Architektur des Webs und wie sie es ermöglicht, dass Werbenetzwerke dich über Webseiten hinweg verfolgen können.

⁠

„Das gebe ich Ihnen kostenlos mit“

Ich verwende den Vergleich nicht gern, weil er an einigen Stellen hinkt. Ich verwende ihn trotzdem für diesen Moment, um Web-Technologien verständlicher zu erklären: Stell dir das Web als Einkaufspassage vor. Du betrittst die Einkaufspassage. Am Eingang bekommst du vom freundlichen Passagen-Personal eine Treuekarte mit einer eindeutigen Nummer. Vor jedem Geschäft stehen weitere Passagen-Angestellte. Wenn du ein Geschäft betrittst, kannst du deine Karte scannen lassen, um für den nächsten Einkauf einen Rabatt zu erhalten. Wenn du etwas kaufst, wird der Rabatt größer. Die Passagen-Angestellten können sehen, an welchen Stationen du schon warst.

⁠

Loading…⁠

⁠

This link can't be embedded.⁠

⁠

Du stöberst vor den Schaufenstern und manchmal betrittst du ein Geschäft. Ein, zwei Sachen hast du schon gekauft. Je weiter hinten die Geschäfte in der Passage sind, desto genauer gucken die Passagen-Angestellten auf deine Stationen. Sie geben den Händler_innen Signale, wie sie um dich werben sollen.

„Der war bei der Konkurrenz. Zeig, was dein Produkt besser kann!“

„Die war nur in teuren Läden. Die ist sicher reich. Zeige ihr nur das hochpreisige Sortiment!“

In einen Laden gehst du ein zweites Mal, weil du dich noch nicht entscheiden konntest. Du zögerst immer noch, doch der Herr mit dem Kartenleser erkennt deine Kartennummer wieder. Er gibt der Geschäftsinhaberin ein Zeichen, dich zu überzeugen.

„Hier zweifelt jemand. Mach unschlagbare Angebote und gib Werbegeschenke!“

Nachdem du das Produkt gekauft hast, verlässt du die Einkaufspassage. Am Ausgang gibst du die Treuekarte beim Passagen-Personal ab.

⁠

Loading…⁠

⁠

Wie konnten die Passagen-Angestellten deine Interessen und deine Zahlungskraft ablesen? Warum wurdest du wiedererkannt? Erkennst du Parallelen zur Funktion von Werbeanzeigen im Web? Denke kurz darüber nach. Danach klappe auf.

Aufklappen

Die Treuekarte und insbesondere deren eindeutige Nummer sind Identifikatoren. Sie identifizieren dich gegenüber allen, die die Nummer sehen können. Jede Kartennummer gibt es nur einmal. Deshalb können Passagen-Angestellte dich wiedererkennen, wenn sie deine Karte scannen. Sie wissen auch, welche Geschäfte in ihrer Passage ansässig sind und können anhand deiner Station einschätzen, welche Interessen du hast. Daraufhin können sie Händler_innen Hinweise geben, wie sie dich am besten ansprechen sollten.

⁠

„Da muss ich Sie an meine Kollegen verweisen”

Eingangs ging es um Werbung und warum Werbenetzwerke wissen, wofür du dich interessierst. Das war der Einstiegspunkt für das große Thema Datenschutz. Die Geschäfte in der Passage sind Webseiten, die du besuchen willst. Webseiten bestehen aus verschiedenen Elementen, die in Dateien vorliegen. Beispielsweise bietet ein Blog Text und Bilder an. Der Blog enthält jedoch auch YouTube-Videos, Like-Buttons – und Werbung. Diese eingebetteten Inhalte werden nicht vom Blog bereitgestellt, sondern von anderen Organisationen. Dies sind die Einkaufspassagen-Unternehmen, die deine Web-Aktivitäten aufzeichnen, deine Interessen abschätzen und dann – im Geschäft, in dem du dich befindest – Werbung anzeigen lassen. Die Passagen-Unternehmen sind im Web sogenannte Werbenetzwerke. Sie führen Kundenbeobachtungen durch und liefern angepasste Werbung im Web aus. Jede Einkaufspassage hat ihre eigene Treuekarte.

Aus Sicht der Passage und der Geschäfte bist du ein Browser. Er ist deine virtuelle Präsenz. Wenn du einen Link in deinen Browser eingibst oder auf einen Link klickst, besuchst du die Webseite, also das Geschäft. Bevor dein Browser die Webseite anzeigt, ruft er automatisch alle eingebetteten Inhalte ab. Dazu kommuniziert er mit allen Einkaufspassagen-Unternehmen, von denen auf einer Webseite Inhalte eingebettet sind. Den meisten Passagen-Unternehmen ermöglicht er, ihre jeweilige Treuekarte zu lesen. Im Web kommunizierst du daher meistens nicht nur mit einer Einkaufspassage, sondern mit mehreren gleichzeitig. Wie du siehst, hinkt der Shopping-Vergleich hier: Im Gegensatz zu dir kann dein Browser in mehreren Einkaufspassagen gleichzeitig sein und automatisch mehrere Treuekarten lesen und schreiben lassen.

⁠

Loading…⁠

⁠

Im Browser entsprechen deine Treuekarten mehreren Mechanismen. Der bekannteste nennt sich Cookie, was du wahrscheinlich schon gehört hast. Wenn ein Werbenetzwerk (Passage) einen Cookie (Treuekarte) auf deinem Browser speichert, kann es deinen Browser auf allen Websites (Geschäften) wiedererkennen, die du öffnest. Das Werbenetzwerk kann zu diesem Cookie besuchte Seiten und Suchanfragen speichern. Dieser Vorgang nennt sich Tracking (Verfolgung).

Ich kann nur für mich sprechen, aber ich möchte wissen, mit wem ich Geschäfte mache. Die Händler_innen des Geschäfts sind die eigentlichen Geschäftspartner_innen, die du auf einer Website erwartest. Sie stehen in der Geschäftsbeziehung nach dir an erster Stelle (first) und werden daher als First-Party-Sites bezeichnet. Die Passagen-Unternehmen wolltest du eigentlich gar nicht ansprechen. Die Passagen-Unternehmen werden im Web als Third-Party-Sites bezeichnet, weil sie weder gleichberechtigte Geschäftspartner_innen (first) noch deine Beauftragten (second) sind. Sie sind Dritte (third), die außerhalb deiner Absicht agieren. Es ist richtig zu fragen, mit wem du im Web kommunizierst und du kannst es herausfinden.

⁠

This link can't be embedded.⁠

⁠

All das – die Identifikation über Webseiten hinweg, das Ableiten von Interessen und Ausliefern von Werbung – wird durch Web-Technologien ermöglicht. Ich weiß, mich überrascht auch oft, was heutzutage im Web möglich ist, aber das Web ist kein Hexenwerk. Es besteht aus miteinander verbundenen Computern, die Dateien austauschen können. Computer, die Dateien ausliefern, sind Server. Computer, die Dateien empfangen, sind Clients. Einer davon ist der Computer, auf dem du das hier liest. Dein Computer ist ein Client und damit Teil des Webs. Die Kommunikationsregeln sind für alle gleich, aber dazu kommen wir später. Wichtig ist, dass du Web-Technologien für dich nutzen kannst. Du kannst sichtbar machen, bei welchen Einkaufspassagen-Unternehmen dein Browser deine Treuekarte beschreiben lässt. Ich zeige es dir im nächsten Experiment.

⁠

Experiment: Third-Party-Sites aufdecken

Ziel: Auf jeder First-Party-Site wirst du ebenfalls von Third-Party-Sites erfasst. Dieses Experiment visualisiert First- und Third-Party-Sites und ihre Verbindungen untereinander.

Das Experiment läuft nur auf Windows-PCs. Bitte melde dich bei mir, damit ich dir Fernzugriff auf einen virtuellen Computer oder eine Demonstration geben kann.

Methode: Für dieses Experiment habe ich einen Browser (Firefox Portable) vorbereitet. Du musst ihn nicht installieren. Er hinterlässt keine Spuren auf deinem System. Du besuchst Websites und startest ein Add-On im Browser.

Experiment durchführen:

Lade den Zip-Ordner herunter:

Experiment Third-Party aufdecken.zip⁠

Entpacke (extrahiere) den gesamten Zip-Ordner (

Anleitung⁠

). Alle Dateien müssen entpackt sein.

Falls auf deinem Computer bereits Firefox geöffnet ist, öffne den Online-Kurs in einem anderen Browser (Edge, Chrome etc.).

Schließe Firefox.

Öffne den entpackten Ordner.

Starte „FirefoxPortable.exe“.

Ein modifizierter Firefox öffnet sich. Rechts neben der Adressleiste siehst du ein rautenförmiges Symbol.

Klicke auf das rautenförmige Symbol (Lightbeam).

Ein Tab mit dem Add-On Lightbeam öffnet sich. Dieses Add-On zeigt für alle First-Party-Sites an, von welchem Third-Party-Server eingebettete Inhalte geladen werden. Es sind noch keine Einträge zu sehen.

Öffne einen neuen Tab.

Suche und öffne mindestens 10 Websites und interagiere ein wenig mit ihnen, indem du beispielsweise untergeordnete Webseiten aufrufst.

Wechsle zum Lightbeam-Tab.

Du siehst einen Graphen. Die Kreise sind First-Party-Sites, die du absichtlich besucht hast. Die angebundenen Dreiecke sind Third-Party-Sites, die dein Browser kontaktiert hat, während er die First-Party-Site betreten hat. Manchmal werden First-Party-Sites ebenfalls als Dreiecke angezeigt.

Zeige mit der Maus auf die Dreiecke.

Du siehst die Adresse des Third-Party-Servers.

Ziehe mit der Maus einen Kreis oder ein Dreieck umher.

Du veränderst die Form des Graphen und siehst, wie Websites „zusammenhängen“.

Stöbere in dem Graphen und sieh dir die Websites und ihre Verbindungen an .

Das Experiment ist hier beendet. Im nächsten Abschnitt besprechen wir das Ergebnis.

Im nächsten Artikel benötigst du Firefox Portable erneut. Lösche Firefox Portable noch nicht.

Wenn du einen starken Computer hast, kannst du ein Bonus-Experiment durchführen.

Bonus-Experiment:

Starte den modifizierten Firefox Portable.

Öffne das Add-On Lightbeam.

Öffne die Webseite aus dem Experiment des vorherigen Artikels:

Track This | A new kind of Incognito⁠

⁠

Dieses Experiment öffnet 100 Seiten zu einem Thema. Damit kannst du dein Werbeprofil gegenüber Werbenetzwerken verfälschen.

Im unteren Bereich klicke auf ein Werbeprofil.

Du siehst eine Beschreibung des alternativen Werbeprofils.

Klicke auf den Button „Track This“.

Das Experiment öffnet 100 Tabs/Fenster. Es kann sein, dass dein PC während des Experiments langsam reagiert.

Wechsle zum Lightbeam-Tab.

Der Graph zeigt nun viel mehr First- und Third-Party-Server an. Erkennst du die Third-Party-Sites mit den meisten Verbindungen? Kommen dir die Server-Namen bekannt vor?

⁠

Loading…⁠

⁠

„Auf Wiedersehen, wir freuen uns auf Sie“

Ganz schön viele, oder? Betrachte den Graphen genauer. Erkennst du die Einkaufspassagen? Gibt es Unterschiede zwischen den Third-Party-Sites? Was könnten die Unterschiede bedeuten? Denke darüber nach. Danach klappe auf.

Aufklappen

Genau genommen sind alle Dreiecke Third-Party-Sites und damit Einkaufspassagen, die deine Seitenbesuche über mehrere First-Party-Sites hinweg erfassen können. Nicht alle davon sind jedoch Werbenetzwerke.

Die Third-Party-Sites unterscheiden sich darin, auf wie vielen First-Party-Sites sie vorkommen. Das erkennst du daran, wie viele Verbindungen ein Dreieck zu verschiedenen Kreisen hat: Wahrscheinlich sind in deinem Graphen die meisten Third-Party-Sites nur mit einer First-Party-Site verbunden. Manche Third-Party-Sites sind jedoch mit vielen First-Party-Sites verbunden. Diese gut vernetzten Third-Party-Sites können deine Web-Aktivitäten besonders gut erfassen. Je öfter du diese Third-Party-Sites im Web triffst, desto besser kennen sie dich. Dies sind die Werbenetzwerke, die oft als Datensammler bezeichnet werden.

Überrascht dich die Anzahl der Third-Party-Sites oder der Verbindungen?

Was du gerade gesehen hast, soll das Ausmaß verdeutlichen, wie viele Third-Party-Sites es gibt und wie weit sie im Web auf First-Party-Sites verbreitet sind. Es ist kein Wunder mehr, dass Werbung manchmal deine Interessen trifft, oder? Unten siehst du eine Grafik aus einer Studie von 2015. Sie zeigt die Verbreitung von Third-Party-Sites auf einer Stichprobe von First-Party-Sites. Die dunkelblauen Anteile zeigen, wie oft eine Third-Party-Site als Tracker auf allen First-Party-Sites vorhanden war. Kommen dir einige Namen aus dem Experiment bekannt vor?

⁠

⁠

Quelle:

Steven Englehardt and Arvind Narayanan of Princeton University - Online tracking: A 1-million-site measurement and analysis⁠

⁠

Sicherlich werden dir einige Unternehmen bekannt sein. Vielleicht nutzt du einige Web-Dienste dieser Unternehmen. In diesen Fällen sind First-Party-Sites, die du nutzen willst, gleichzeitig auch Third-Party-Sites, die außerhalb ihres eigenen Diensts Tracking betreiben. Was bedeutet es, wenn eine trackende Third-Party-Site manchmal auch eine First-Party-Site ist? Könnte dies ein Problem sein? Denke daran, was du auf First-Party-Sites machst. Überlege kurz. Danach klappe auf.

Aufklappen

First-Party-Sites sind die Websites, die du besuchen willst und deren Dienstleistung du in Anspruch nehmen willst. Dafür musst du teilweise eindeutige Identifikatoren wie Namen oder Adressen angeben. Außerdem hast du dort oft einen Account (Anmeldename + Passwort). Dieser wirkt wie eine Treuekarte, die niemals abläuft. Deine Web-Aktivitäten können nicht mehr nur an einen Cookie gebunden werden, sondern an diesen Account. Wenn du eingeloggt bist, können dich Werbenetzwerke einfacher verfolgen. Je nachdem, bei welchem Werbe-Unternehmen du einen Account hast, kannst du sogar über das Web-Browsing hinaus verfolgt werden.

Betrachten wir das Beispiel Google: Das Unternehmen hinter der Google-Suche produziert auch den Browser Chrome. Dadurch können bei lockeren Datenschutzeinstellungen alle Web-Aktivitäten in einem Account gespeichert werden. Google besitzt jedoch auch das Betriebssystem Android, YouTube, Google Maps, einen E-Mail-Dienst und ein News-Portal. Je mehr Dienste sie besitzen, desto mehr verschiedene Daten können Unternehmen, die gleichzeitig First- und Third-Party-Tracking betreiben, aufzeichnen.

Ein Account kann also das Ausmaß der Verfolgung über die Einkaufspassage hinaus ausweiten: auf den Parkplatz oder die ganze Stadt. Dies soll nur ein Beispiel für andere Identifikatoren neben Cookies sein, die eine umfassendere Verfolgung erlauben. Im weiteren Verlauf dieser Serie geht es hauptsächlich um Web-Browsing im Allgemeinen und nicht um Accounts und Datenschutzeinstellungen.

Mit dem Experiment wollte ich dir außerdem zeigen, dass Dinge, die im Web passieren, sich nicht deiner Kontrolle entziehen. Du kannst Web-Technologien für dich nutzen, um Werbung sichtbar zu machen und Datenschutz zu beeinflussen.

⁠

Zusammenfassung

In diesem Artikel wurde der Grund erklärt, warum sich Werbung an dich anpassen kann. Nebenbei hast du Grundlagen der Web-Architektur gesehen:

Web: Netzwerk aus Servern und Clients, die Dateien austauschen können.

Server: stellt Dateien bereit, meistens von Unternehmen betrieben

Clients: lädt Dateien herunter; dein Computer ist ein Client

Webseite: besteht aus mehreren Dateien, darunter für Werbung, von verschiedenen Servern

Website: besteht aus zusammenhängenden Webseiten

First-Party: Website oder Server, die du mit deinem Web-Browser bewusst aufrufst

Third-Party: Website oder Server, die dein Web-Browser nebenbei aufruft, wenn er eine First-Party-Site aufruft

Cookie: Identifikator, den Websites in deinem Browser speichern können, um dich damit wiederzuerkennen

Wenn du mit deinem Browser eine Webseite öffnest, werden die Dateien von den verschiedenen First- und Third-Party-Servern geladen. Third-Party-Server sind Einkaufspassagen und können Cookies auf deinem Browser speichern und lesen. Wenn dein Browser ein weiteres Mal mit einem Third-Party-Server kommuniziert, kann dieser deinen Browser über den Cookie identifizieren. So können deine Web-Aktivitäten über mehrere First-Party-Sites hinweg verfolgt werden. Dies wird als Tracking bezeichnet.

Nach dieser langen Erklärung in mehreren Anläufen schließt sich die Frage an:

Warum ist das so schlimm? Es ist doch nur Werbung. Sollen sie doch machen!

Es ist richtig und wichtig, so nach dem Grund für Datenschutz zu fragen. Wenn die Antwort allerdings lauten würde, es sei „ja nur Werbung“ und „eigentlich egal“, hätten wir uns diesen Online-Kurs sparen können.

Da das hier ein Datenschutz-Kurs ist, geht es aber genau um die Frage, warum es ein Problem ist. Aus eigener Erfahrung kann ich verstehen, dass es anstrengend sein kann, erst Schreckensmeldungen wie im vorherigen Artikel zu lesen, was sowieso die Motivation senkt, und dann auch noch von oben herab über weltfremde Datenschutzprobleme und ‑maßnahmen belehrt zu werden. Genau das möchte ich nicht wiederholen. Mein Ziel für diesen Kurs ist, dass du selbst entscheiden kannst, welche Datenschutzentscheidungen du triffst und dass du sie selbst durchsetzen kannst. Mit den nächsten Artikeln möchte ich dir daher verständlich zeigen, worum es beim Datenschutz geht. Dazu werde ich mich weiterhin auf die Werbenetzwerke beziehen. Wir sehen uns im nächsten Artikel!

⁠