AdTracking

Do-Not-Track – der universelle opt-out Ansatz?

Im Januar 2011 kündigte Mozilla den Do-Not-Track Mechanismus für Firefox an. Microsoft folgte bald mit Implementierung im Internetexplorer genau so Apple mit Safari & Opera. Nur Google hat sich, bis Obama vor kurzem die “Privacy Bill of Rights” veröffentlichte, zurückgehalten. Ein guter Zeitpunkt “Do-Not-Track” mal etwas unter die Lupe zu nehmen.

Worum geht’s?

… Vor allem um Behavioral Targeting durch Werbenetzwerke. Genauer um das Nutzer Tracking welches ein solches Targeting bzw. die Zielgruppendefinition eines einzelnen Nutzers, ermöglicht. Hierzu werden beim Besuch einer Webseite Daten, unsichtbar für den Nutzer, mit Werbenetzwerken ausgetauscht. So können nach dem Besuch von drei unabhängigen Seiten, diese Besuche durch das Werbenetzwerk nachvollzogen werden – schließlich soll ja ein Interessenprofil für bessere, zielgerichtete Werbung erstellt werden.
Auschnitt der Trackervisualisierung Fokusiert auf Doublecklick Das Firefox Plugin Collusion zeigt diese “Vernetzung” sehr deutlich anhand des eigenen Surf-Verhaltens und in Echtzeit. Von dem Plugin stammen auch die Bilder oben und rechts.

Um diesem Tracking zu widersprechen, muss der Nutzer auf der Seite des Werbenetzwerkes die Opt-Out funktion finden und nutzen. Hierdurch wird ein Opt-Out Cookie für das entsprechende Werbenetzwerk gesetzt.

Nach deutschem Datenschutz muss bei Nutzung eines Werbenetzwerkes durch eine Seite, dies in den Datenschutzhinweisen erwähnt werden und die Möglichkeit des Widerspruches aufgezeigt und beschrieben werden. Im Regelfall läuft das auf den Link, unter dem der Opt-Out Cookie gesetzt werden kann, hinaus.

Die NIA bietet auch eine zentrale Opt-Out Seite ihrer Mitglieder & Partner.

Was ist ‘Do-not-track’?

Das bestehende System hat einige Schwachstellen für den Nutzer:

  • Bis die Datenschutzhinweise gelesen wurden oder (wahrscheinlicher) die Retargetingwerbung überrascht, weiß der Nutzer nicht, dass Daten erhoben wurden.
  • Um der Erhebung der Daten und dem Erstellen eines Nutzerprofils zu widersprechen, existiert kein einheitlicher Prozess. Der Opt-Out Prozess ist für jeden Anbieter unterschiedlich.
  • Sollte der Nutzer seine Cookies löschen, sind auch die Opt-Out Cookies gelöscht und die Daten werden wieder erhoben. Der Nutzer müsste in Fleißarbeit wieder alle Opt-Out Cookies setzen lassen.

Do-Not-Track Option des Firefox im Datenschutz Abschnitt der Einstellungen

Genau diese Probleme soll die Do-Not-Track Option angehen.
Anstatt einen Opt-Out per HTTP Cookie Header zu senden, soll der Browser einen eigens entwickelten, neuen DNT (Do-Not-Track) Header senden. Das Opt-Out ließe sich also nicht über die Seite eines Werbenetzwerkes, sonder über den Browser selbst steuern.

Was hinter dem Vorhang passiert

Technisch wird die Do-Not-Track Option, wie schon erwähnt, über einen neuen HTTP Request Header DNT mit möglichen Werten {0|1} realisiert:

GET /2012/02/26/do-not-track/ HTTP/1.1
Host: performancetracking.de
DNT: 1
Connection: Close

Effektiv gibt es also drei mögliche Werte für den DNT Header:

DNT: 1
Der Nutzer hat die Opt-Out Funktion des Browsers aktiviert und teilt mit, dass er nicht mehr getrackt werden möchte.
DNT: 0
Der Nutzer bestätigt, dass er einem Tracking nicht widerspricht. Diese Option wird momentan von keinem Browser unterstützt.
Kein Header
Die zurzeit wohl wahrscheinlichste Variante: der DNT Header wird im Request nicht mitgesendet. Es greifen die bestehenden Systeme zum Datenschutz.

Was muss meine Webseite anders machen?

Wie genau auf diesen neuen DNT Header reagiert werden soll ist nicht ganz klar. Doch eine Sache steht fest: Es ist ein Ehrenkodex! Der Header steht in keinem Gesetz und Anfragen werden nach wie vor an den Server gesendet.
Amazon EmpfehlungenWieder einmal stehen also idealistische Vorstellungen der Datenschützer – “Nur den Inhalt der Seite bitte. Nichts tracken, nichts speichern!” – wirtschaftlichen Interessen gegenüber – Was wollen die Nutzer? Kann ich den Aufenthalt für meine Nutzer verbessern? War das ein XSS Versuch? – Vor allem im Bereich Nutzerfreundlichkeit durch Personalisierung ist die Grenze sehr schwammig. Als Beispiel: Schaue ich mir auf einer Küchenseite gerade Töpfe an, sollen dann auch andere Töpfe beworben werden? Was ist mit anderen Produkten wie Topfdeckel oder Reiniger? Wie sieht es aus, wenn ich zwei Wochen nach der Bestellung die Seite erneut besuche. Darf sich der Inhalt der Seite dann anpassen? “Sie haben einen Reiskocher gekauft, wäre ein Rezeptbuch für Reiskochergerichte für Sie interessant?”
Ausgangslage solcher “Empfehlungen” sind häufig die Daten vorheriger Einkäufe Anderer! So wird die Seite persönlicher und nutzerfreundlicher, zum anderen werden meine Daten hierfür verwendet.

Klar ist auf jeden Fall, dass das Profiling durch Dritte nicht stattfinden soll. Doch was genau sind Dritte und was ist, wenn Diese ausschließlich zur Umsetzung der, im Beispiel genannten, Onsite-Personalisierungen eingebunden wurden?

Wer Lust auf mehr solcher Fragen hat, kann sich an der regen Diskussion der W3C Tracking Protection Working Group beteiligen. Die versuchen zurzeit solche Fragen zu beantworten und das Verhalten des Do-Not-Track Buttons genau zu definieren.

Alternativ könnte man bei Google nachfragen. Die haben angeblich einen “klaren Rahmen” vorliegen.

We [Google] have always thought the idea of DNT was interesting, but there didn’t seem to be a wide consensus on what “tracking” really means. We didn’t feel it was responsible to allow users to send a header in Chrome that largely had no effect and no agreed-upon meaning. Going forward, the scope is now clear, and we know that the header will be respected by the industry.

Meine Empfehlung: Sollte der DNT: 1 Header empfangen werden, Criteo und ähnliche Werbenetzwerke nicht mit dem HTML ausliefern und hoffen das die Viagra Werbung nicht wieder stets den höchsten CPC hat.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>