Düsseldorf Weihnachtszeit ist Shopping-Zeit. Vor allem auch in den zahllosen Onlineshops laufen die Geschäfte jetzt wieder auf Hochtouren. Was kaum einer weiß oder auch einfach ausblendet: Kunden von Internetgeschäften können bei ihrem unbedachten Treiben auf Schritt und Tritt mit spezieller Analysesoftware verfolgt werden – das ist legal und gehört zum alltäglichen Business im Web.
Was sich hinter diesen sogenannten Trackern und Cookies verbirgt, weiß IT-Experte Tobias Schrödel. Ihm wurde mal Werbung für ein Buch eingeblendet, auf dessen Verlagswebseite er ein paar Tage vorher den Klappentext aufgerufen hatte. Zufall? Keineswegs. „Das Ganze dient dazu, unseren Einkauf zu optimieren“, erklärt Schrödel.
Also: Wem Äpfel gefallen, der kauft auch eher Apfelsaft, der mag wahrscheinlich auch Apfelmus und der möchte vielleicht auch Apfelgelee auf sein Frühstücksbrot schmieren. Werbung für Birnen wird daher nicht kommen. „Firmen zahlen gutes Geld für personalisierte Werbung, denn auch der Absatz geht wahrscheinlich in die Höhe. Und Wahrscheinlich ist immer noch besser, als blind irgendjemanden irgendetwas anzubieten“, so der Experte.
Der Hamburger Datenschutz-Spezialist eBlocker hat gerade elf Onlineshops in Deutschland (Amazon, Otto, Zalando, Notebooksbilliger, Bonprix, Mediamarkt, 123gold, Orion, Manufactum und Proidee) im Hinblick auf den Einsatz solcher Datensammler untersucht. Zwar lässt eBlocker seinerseits offen, auf welcher Grundlage speziell diese Shops ausgewählt wurden, das Thema jedoch dürfte wohl auch für die zehn umsatzstärksten Onlineshops eine Rolle spielen, denn kaum ein Onlinehändler trackt das Verhalten seiner Webseitenbesucher nicht in irgendeiner Art und Weise (was soweit weder verboten noch skrupellos ist, so lange sie sich dabei an bestimmte gesetzlich vorgegebene Regeln halten).
Die Analyse, die dem Handelsblatt exklusiv vorliegt, erfolgte auf Basis einer Auswertung der jeweiligen Startseiten. Das Ergebnis ist laut Geschäftsführer Christian Bennefeld „gleichermaßen überraschend wie alarmierend“: Von den untersuchten Shops informierte gerade einmal einer vollumfänglich über die eingesetzten Tracker.
Besonders erschreckend sei, dass sich die meisten gezählten Tracking-Instrumente in den sensibelsten Geschäftsbereichen tummeln würden – Sex und Gesundheit. So zählte eBlocker beim Erotikversand Orion 43 Tracker, bei der Online-Apotheke Docmorris sollen 24 zum Einsatz kommen. „Welche Informationen hierbei so erhoben werden, dass eine bestimmte Person identifiziert werden kann, ist bestenfalls unsicher“, kritisiert Bennefeld.
Die Hamburger Otto-Group, die in der Untersuchung mit drei Shops (Otto.de, Bonprix.de und Manufactum.de) in der Untersuchung vertreten ist, widerspricht dem Datenschnüffler-Vorwurf auf Nachfrage vehement. So würden beispielsweise keine personalisierten Profile durch den Einsatz von Tracker-Software erstellt. Ein Sprecher: „Der Schutz und der vertrauliche Umgang mit Kundendaten haben für uns oberste Priorität. Wir arbeiten streng gemäß der geltenden deutschen Datenschutzgesetze. Die Analyse des Einkaufsverhaltens und der damit verbundenen Erhebung und Verarbeitung von Nutzerinformationen ist gängige Vorgehensweise im E-Commerce.“
Mit den Analysen gehe man lediglich auf den Kundenwunsch nach personalisierten und individualisierten Angeboten ein. Der Sprecher: „Dennoch prüfen wir natürlich permanent, wo wir uns im Sinne unserer Kundinnen und Kunden weiter verbessern können, und sind dankbar für entsprechende Hinweise, denen wir hier entsprechend umgehend nachgekommen sind.“
Auch die beiden Online-Händler Orion.de und Docmorris.de haben wir um eine Stellungnahme gebeten – die Antworten stehen noch aus, werden aber an dieser Stelle aktualisiert, sobald sie uns vorliegen.
Unabhängig von diesen Fällen beunruhigt Martin Hellweg, IT-Experte und Autor Bestsellers „Safe Surfer“, einem Buch zum Schutz der Privatsphäre, vor allem, was generell aus den gesammelten Kundendaten gemacht werden kann: „Wenn von Datenbrokern, die diese Informationen bündeln, Listen von vergewaltigten Frauen, Männern mit Erektionsstörungen oder Personen mit bereits bestehenden oder potenziellen Depressionen – 1000 Datensätze für 79 Dollar – verkauft werden, dann zeigt dies die gesellschaftliche Sprengkraft der Sorglosigkeit, mit der wir diese Dinge passieren lassen. Man muss sich nicht wundern, wenn in einer nicht zu fernen Zukunft der 16-jährige Nachwuchs eine Lehrstelle nicht bekommt, weil er aufgrund der gewonnenen Daten ein zu hohes Risiko hat, häufiger mal krank zu sein.“
Da geht man vielleicht doch lieber zum Apotheker um die Ecke. Zumal in den meisten Fällen auch unklar bleibt, wo die Daten landen: In Deutschland, wo sie Datenschutzgesetzen unterworfen sind? Oder im Ausland, wo sie, wie etwa in den USA, häufig auch von der Regierung eingesehen werden können? eBlocker findet: wer in derart sensiblen Bereichen Produkte und Dienste anbietet, muss seine Kunden transparenter informieren.
Datenschutzerklärung in vielen Fällen unzureichend
Alle Tracker, die Daten so erheben, dass ein Rückschluss auf eine bestimmte oder bestimmbare Person möglich ist, müssen in der Datenschutzerklärung (DSE) angegeben werden. Da der Shop-Betreiber über umfangreiche Zusatzinformationen von Bestellern verfügt, ist ein Rückschluss auf bestimmte Personen häufig möglich. Bei Orion tauchten in der Analyse von eBlocker aber nur sechs Tracker in der DSE auf, bei Docmorris sogar nur drei – also lediglich ein Bruchteil der eingesetzten Datensammel-Tools. Und es ist zumindest zweifelhaft, dass von den 43 respektive 24 Trackern tatsächlich nur die jeweils genannten Tracker personenbezogene Daten erheben.
Zudem hat jeder Seitenbesucher laut Telemediengesetz das Recht, der Speicherung seiner personenbezogenen Daten zu widersprechen („Opt-out“). „Diese Option bieten die meisten Shops aber entweder gar nicht an oder nur in eingeschränkter Form – etwa als allgemeinen Hinweis, wie sich Cookies im Browser löschen lassen“, kritisiert Bennefeld. „Und das. obwohl die meisten Anbieter von Analysediensten für Websitebetreiber einfache Opt-Out-Mechanismen zum Einbauen in die Internetseite anbieten.“ Sind den Shops hier die Persönlichkeitsrechte der Benutzer gleichgültig?
Wenn man ehrlich sein will: die Antwort auf diese Frage ist so komplex wie politisch. Das zeigt auch die aktuelle Debatte um das Thema E-Privacy – eine EU-Verordnung, welche die Nutzung von Cookies und Tracking-Software deutlich einschränken würde. Laut Vorschlag der EU-Kommission, dem das EU-Parlament im Oktober weitgehend zugestimmt und den es zum Teil sogar verschärft hat, sollen Nutzer künftig schon in ihrem Browser ihre Zustimmung zum Einsatz von Cookies verweigern können. Das gälte dann pauschal für alle Shops oder Seiten, die angesteuert werden.
Dagegen läuft die gesamte Medien- und Werbebranche derzeit Sturm. Denn tritt die Verordnung in Kraft, wäre es wesentlich schwieriger, dem User auf ihn zugeschnittene personalisierte Werbung oder andere Inhalte anzubieten. Zwar sollen die Webseiten weiterhin Werbung schalten dürfen, auch wenn der Nutzer seine Einwilligung zum Setzen von Cookies nicht gibt – allerdings eben nur nicht-personalisierte Werbung, die weniger Geld einbringt.
Eine umstrittene Studie des Wissenschaftlichen Instituts für Infrastruktur und Kommunikationsdienste (WIK) im Auftrag des Bundeswirtschaftsministeriums kommt zu dem Schluss, dass in Deutschland kurzfristig von einer Reduktion des gesamten digitalen Werbebudgets von etwa einem Drittel auszugehen sei, sollte die E-Privacy-Verordnung in ihrer jetzigen Fassung in Kraft treten. Kritiker wie die Bundesdatenschutzbeauftragte Andrea Voßhoff bemängelten die Studie jedoch als zu einseitig, da die Autoren nicht die neuen Geschäftsmodelle mit datenschutzfreundlicherem Tracking des Nutzerverhaltens beleuchtet hätten. Andere werfen dem WIK vor, mit einer unzureichenden Datengrundlage gearbeitet zu haben.
Was im Verborgenen passiert, wissen viele nicht
Die Shops können eines gut: verkaufen. Was sie nicht gut können, ist Profile zu bilden und ihre Kunden richtig tief zu analysieren“, sagt Tobias Schrödel. „Dazu fehlt ihnen einfach die Datenbasis. Das kaufen sie also von einem Werbenetzwerk, das beispielsweise solche Tracker anbietet, zu. Der Shop bekommt so gute Informationen, was der Besucher suchen könnte, liefert dafür aber auch dessen Verhalten auf seiner Webseite zurück.“
Was genau da alles so im Verborgenen passiert, wissen viele Nutzer nicht. Denn wer liest sich schon das Kleingedruckte Zeile für Zeile durch? „Aber selbst wenn wir es ahnen, blenden wir es häufig einfach aus, weil es mühsam ist, sich den Realitäten zu stellen“, so Martin Hellweg. Ein Beispiel, das wir sicher alle kennen und möglichst schnell wegklicken, weil es nervt: die allgegenwärtigen „Diese Website verwendet Cookies“-Hinweise, meist am oberen Bildrand im Browserfenster.
„Begünstigend wirkt, dass wir Menschen auf unmittelbare Bedrohungen häufig überreagieren, auf abstrakte Gefahren aber zu wenig. Wir haben Angst vor Terroristen, obwohl mehr Menschen daran sterben, an einem Kugelschreiber zu ersticken, aber das Sammeln unserer Daten im großen Stil lässt uns kalt – obwohl es menschliche Schicksale zerstören kann.“
Auf der Shopseite des Otto-Versandes will „eBlocker“ bis zu 20 Tracker gefunden haben. Die Tochtergesellschaft Otto Group Media nutzt wiederum die Daten der Otto Group (darunter Neckermann, Quelle, Baur, Heine). Zur Otto Group gehört unter anderem der Versandhändler Bonprix, der sich im Test laut eBlocker mit 38 eingesetzten Trackern als einer der fleißigsten Datensammler entpuppte. Auch hier, so der Vorwurf von Bennefeld, fehle eine umfassende Information, mit welchen Diensten personenbezogene Daten erhoben würde.
Beispielsweise würde auf den Internetseiten von Otto.de eine generelle Abschaltung von „Retargeting-Technologien“ angeboten. Welche Technologien hierbei genau genutzt werden und wer dadurch Zugriff auf die personenbezogenen Daten des Nutzers erhält, lasse sich der Datenschutzerklärung allerdings nicht entnehmen. Auch Bonprix müsse sich fragen lassen, warum die Analyse der Website Tracker im Einsatz zeigte, welche nicht in der Datenschutzerklärung genannt wurden. Bennefeld: „Transparenz sieht anders aus.“
Dem widerspricht die Otto Group: „Unsere Kunden werden von uns sehr transparent und umfassend über den Einsatz unserer Internettechnologien informiert. Wir geben ihnen, wie rechtlich verlangt, gleich an mehreren Stellen die Möglichkeit, einem Tracking zu widersprechen. Im Übrigen setzen wir uns beim Thema Datenschutz selbst sehr hohe Standards, die wir ständig überprüfen.“
So gehört tatsächlich das einzige Unternehmen, das mit einer weißen Weste aus der Untersuchung hervorgeht, zur Otto Group. Das Warenhaus Manufactum setzt nur einen Datensammler auf seiner Startseite ein, der in der Datenschutzerklärung aufgeführt ist.
Kunden können Datenspeicherung kaum verhindern
Generell bleibe festzuhalten: Mit Ausnahme von Manufactum pflegten alle untersuchten Shops ihre Datenschutzerklärungen nicht korrekt oder nicht besonders nutzerfreundlich. Auf den Seiten fanden sich deutlich mehr Datensammler als deklariert. Und selbst wenn ein Tracker in der Erklärung angegeben ist, kann der Shopkunde eine Speicherung seiner Daten nur selten verhindern, da ein Opt-out-Link fehlt oder technisch nicht sauber eingebunden ist.
Häufig tauchten in der Datenschutzerklärung zudem Datensammler auf, die es auf der Seite nicht (mehr) gibt – ein weiterer Hinweis auf mangelnde Aktualität der Datenschutzerklärung. Die Anbieter scheinen oft einfach einzusetzen, was der Markt an Technologien gerade hergibt, ohne sich über den Datenschutz Gedanken zu machen.
In diesem Sinne äußerte sich auch ein anderes der getesteten Unternehmen auf Nachfrage von eBlocker: die „hohe Dynamik und Veränderungsgeschwindigkeit im Online-Marketing“ sorge dafür, dass häufiger „Änderungen im Portfolio der Werbepartner“ vorgenommen würden, welche nicht stets aktuell in der Datenschutzerklärung genannt würden. Zu Deutsch: man bindet so schnell und dynamisch Dritte in seine Internetseite ein, dass man sich über die personenbezogenen Daten und Persönlichkeitsrechte der Kunden leider erst später kümmern kann bedenklich für einen der großen deutschen Online-Anbieter.
Viele der von eBlocker untersuchten Shops verstießen gegen gesetzliche Vorschriften und informierten nicht über personenbezogenes Tracking. Vielleicht aus Unwissenheit der Gesetzeslage oder Unkenntnis der tatsächlich eingesetzten Tracker. Das eine ist so beunruhigend wie das andere. Aber solange die Aufsichtsbehörden keinen Druck ausüben, wird sich daran kaum etwas ändern.
Doch es gibt noch ein weiteres Problem, weiß Experte Martin Hellweg: „Hinter vorgehaltener Hand sagen mir Politiker offen, dass etwas geschehen müsste, die meisten Menschen sich für Privatsphäre- und Datenschutz aber einfach nicht interessieren. Es ist kein Top-Thema. Und so wird selbst bestehendes Recht nicht wirklich konsequent eingefordert. Der öffentliche Druck fehlt einfach.“
Tobias Schrödel meint hingegen: „Der einzelne User ist gar nicht in der Lage, Druck auszuüben. Das müssen daher Verbraucherschutzorganisationen machen, oder zumindest müssen sie das anstoßen und die Aufsichtsbehörde zwingen. Das ganze wird sich meines Erachtens nicht ändern, solange wir Verbraucher nicht sehen und nicht mitbekommen, wie viele Tracker da laufen.“
Zum Glück können Online-Shopper trotzdem unbeobachtet surfen: beispielsweise mit speziellen Geräten, die mit dem Heimnetzwerk verbunden werden, das Online-Verhalten aller internetfähigen Geräte im Haushalt analysieren und diese damit vor Datenschnüfflern schützen. Es wird Sie jetzt nicht wundern, dass eBlocker ein entsprechendes Produkt verkauft und insofern auch ein wirtschaftliches Interesse hat, die geschilderte Praxis anzuprangern – schließlich bieten die Hamburger das Gegenmittel an.
Martin Hellweg empfiehlt als Defensiv-Maßnahme „zumindest für das Surfen zu sensiblen Themen im Internet den Tor-Browser zu benutzen. Das ist kein Allheilmittel, aber es bringt einen schon mal mächtig voran.“ Unterstützt ein Shop den Tor-Browser nicht, wie beispielsweise Docmorris, shoppen Sie einfach woanders. Und als Offensiv-Maßnahme kann man die Flucht nach vorne antreten und die Datensammler mit Daten zumüllen.
Martin Hellwig nennt da einen Weg: „Über die Safe-Surfer-Stiftung verteilen wir gratis Little Foggy. Das ist ein Programm, das in Ihrer Abwesenheit per Zufallsprinzip rausgesuchte Begriffe surft und so diejenigen verwirrt, die Ihre Daten sammeln, in dem es einen Datennebel erzeugt, in dem man nicht mehr weiß, was eigentlich von Ihnen ist und was nicht.“ Vielleicht ist das am Ende wirklich der beste Schutz: „Wir leben im digitalen Wilden Westen. Da muss man zu solchen Maßnahmen greifen“, ist IT-Experte Hellweg überzeugt.
Auch Schrödel sieht die einzige Möglichkeit im anonymen Surfen. Sein Tipp: „Wählen Sie beim Produkt- und Preisvergleich, also wenn man mehrere Seiten besucht und überall zwangsläufig preisgibt, was einen interessiert, einen Browser mit Anti-Tracking wie beispielsweise CLIQZ. Beim Kaufvorgang kann man sich dann ruhig outen. Muss man eh, schließlich will man ja auch, dass das Paket wirklich zu einem nach Hause kommt.“
