Sie sind die Türsteher des Internets: Datenschutzerklärungen, auch genannt Cookie-Banner. Wer heute Schweizer Webseiten und Apps besucht, begegnet ihnen fast überall. Sie weisen darauf hin, dass hier Daten gesammelt und geteilt werden können – und an wie viele potenzielle Partner. Und sie fragen die Besucher, ob sie diese Bedingungen akzeptieren. Doch was passiert tatsächlich, wenn man, wie die meisten Besucher, beim Cookie-Banner auf «Alles Akzeptieren» klickt? SRF Data hat in einer Datenanalyse die 50 relevantesten Webseiten der Schweiz angeschaut. Die Daten legen offen, wer beim Surfen sonst noch mitlesen könnte – und was sich damit alles anstellen lässt.
Für die Technologie-Firmen sind diese Tracker überlebensnotwendig. Indem sie Informationen über uns gewinnen können – etwa, wie alt wir sind oder für welche Themen wir uns interessieren – können sie Werbetreibenden exakt zugeschnittene Personenprofile anbieten, die sie mit Werbung auf Google oder Facebook erreichen können. Das machen sie so erfolgreich, dass sie inzwischen einen erheblichen Teil der Gelder für Online-Werbekampagnen einsacken. Doch es geht noch weiter. Viele der Tracker sind Teil eines digitalen Werbemarktes, der sogenannten Programmatischen Werbung.
Das Prinzip dahinter geht, vereinfacht gesagt, so: Wer eine Webseite mit Werbefläche öffnet, dessen Nutzerprofil wird innerhalb von Millisekunden auf verschiedenen digitalen Marktplätzen an die meistbietende Werbefirma versteigert. Für die Werbeindustrie ist das ein grosser Gewinn, weil damit die Zielgruppe eines Produktes punktgenau erreicht werden kann und zum Beispiel nur Hundehaltern die Werbung für Hundefutter angezeigt werden kann. Eine Studie schätzt, dass in der Schweiz pro Person während jeder Minute der Internetnutzung eine Auktion auf Basis des eigenen Profils stattfindet – rund 300 Mal täglich.
Doch das System hat auch einen riesigen Nachteil: Je nachdem, mit welchen Partnern eine Webseite zusammenarbeitet, können unsere Nutzerdaten mit Hunderten von Firmen geteilt werden. Denn alle eingebundenen Teilnehmer eines digitalen Werbemarktes erhalten bei jeder Auktion die Daten des Nutzers, der gerade eine Webseite öffnet, zugespielt – egal, ob sie die Auktion gewinnen oder nicht. Es ist ein wenig so, als würden wir, wenn wir uns für einen Job bei einer bestimmten Firma bewerben wollten, unser Bewerbungsdossier an alle Firmen der Branche versenden müssen. Gemäss Datenschutzgesetz dürfen solche Daten nur für Werbezwecke benutzt werden. Bloss: Überprüfen tut das kaum jemand. Und so ist das digitale Werbesystem ein Einfallstor für alle, die sich auch noch für die Daten interessieren: Geheimdienste, Datenhändler, private Schnüfflerinnen oder Stalker. Eine Recherche von SRF Data zeigt, wie solche Daten auf einem Schattenmarkt gehandelt und an jeden mit dem nötigen Kleingeld verkauft werden.
Heikle Daten an Hunderte von Partnern
Dass die Pop-Up-Fenster der Cookie-Banner wie Pilze aus dem Internet schiessen, ist dem neuen Datenschutzgesetz zu verdanken, das letzten Herbst in der Schweiz eingeführt wurde. Es regelt, dass Nutzerdaten verhältnismässig verarbeitet und geteilt werden sollen. Dass Besucher eine Möglichkeit haben, das Tracking abzulehnen. Und dass transparent gemacht werden soll, mit wem die Daten geteilt werden.
Nicht alle Webseiten sind gleich transparent darin, mit welchen Partnern sie Daten teilen. Doch viele der untersuchten Webseiten sind Mitglieder des Branchenverbandes IAB, welcher auf Transparenz setzt und standardisierte Cookie-Banner anbietet. SRF hat diese analysiert. So lassen sich die Mitglieder untereinander vergleichen und erstmals vergleichend aufzeigen, wer unsere Daten zu welchem Zweck erhält – oder zumindest die Erlaubnis bekommt, diese abzusaugen.
Es gibt Möglichkeiten, um die Sammlung der eigenen Daten einzuschränken. Etwa indem man sogenannte «Adblocker» im Browser installiert. Gemäss einer neuen Studie haben rund ein Fünftel der Schweizerinnen und Schweizer Adblocker im Einsatz, um Bannerwerbung zu blockieren, die meist für Programmatische Werbung eingesetzt werden.
In dieser Anleitung mit Grafiken zeigen wir Ihnen, wie Sie sich und Ihre Daten vor Tracking, Profiling und anderem schützen können.
Eine andere Möglichkeit ist, man bei jeder Webseite von Hand die nicht notwendigen Cookies ausschaltet. Diese Möglichkeit ist mit dem neuen Datenschutzgesetz nämlich zwingend. Während die Europäische Union eine klare Einwilligung der Nutzer (Opt-In) erfordert, gingen Firmen in der Schweiz bisher davon aus, dass sie standardmässig alle Daten teilen dürfen und die Nutzer selbst per Button die Cookies ausschalten müssen (Opt-Out). Allerdings gilt gemäss dem Gesetz neu das Prinzip «Privacy by Default»: Die Standardeinstellungen beim Besuch einer Webseite sollen möglichst den Datenschutz priorisieren und nur die unbedingt nötigen Daten bearbeitet werden. Anders ausgedrückt: Die Datensammlerei soll verhältnismässig und moderat sein.
Doch in der Praxis stellen sich da Fragen, wie gut Schweizer Webseiten ihre eigenen Cookie-Banner und Partner kennen. So haben Recherchen des Online-Magazins «Republik» etwa gezeigt, dass Schweizer Medienhäuser Nutzerdaten nach Russland schickten, ohne dass sie sich dem bewusst waren.
Zugestimmt ist nicht gleich Zustimmung
Nach Einschätzung des eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Adrian Lobsiger fänden derzeit noch viele Anpassungen an die aktuelle Gesetzeslage statt. Oft bestünde ein Unterschied zwischen dem, was eine Webseite in der Datenschutzerklärung angäbe – und was sie tatsächlich tue. «Datenschutzrechtlich ist das ein Verstoss gegen die Transparenz», sagt Lobsiger. Dass Daten nicht missbräuchlich weiterverwendet würden, läge in der Verantwortung der einzelnen Webseiten und Apps. Sie könnten auch einzelne Partner sperren oder den Datenzugriff einschränken.
Für Lobsiger dürften Profiling-Aktivitäten und das Teilen von Nutzerdaten nur dann erfolgen, wenn die Betroffenen ausdrücklich informiert wurden und nachher ihre Zustimmung gaben. Das sei aber oft nicht der Fall, gerade bei Cookie-Bannern, die das Ausmass der Datenteilung nicht genügend klarmachen würde: Wenn man nicht wirklich verstehe, was man da anklicke, sei die Einwilligung datenschutzrechtlich unwirksam und unverbindlich. Aber dann sei es zu spät, sagt Lobsiger: «Wenn die Daten einmal abgesogen und weitergeleitet worden sind, ist es nachher schwierig, sie wieder aus dem Verkehr zu ziehen».
