Zum Inhalt springen

Cookie-Banner So teilen die grössten Schweizer Webseiten Ihre heiklen Daten

Alter, Standort, Vorlieben – wer Online liest wird mitgelesen. SRF zeigt, wie gross das Geschäft mit den Daten ist und welche Webseiten besonders heikle Daten teilen.

Sie sind die Türsteher des Internets: Datenschutzerklärungen, auch genannt Cookie-Banner. Wer heute Schweizer Webseiten und Apps besucht, begegnet ihnen fast überall. Sie weisen darauf hin, dass hier Daten gesammelt und geteilt werden können – und an wie viele potenzielle Partner. Und sie fragen die Besucher, ob sie diese Bedingungen akzeptieren. Doch was passiert tatsächlich, wenn man, wie die meisten Besucher, beim Cookie-Banner auf «Alles Akzeptieren» klickt? SRF Data hat in einer Datenanalyse die 50 relevantesten Webseiten der Schweiz angeschaut. Die Daten legen offen, wer beim Surfen sonst noch mitlesen könnte – und was sich damit alles anstellen lässt.

Für die Technologie-Firmen sind diese Tracker überlebensnotwendig. Indem sie Informationen über uns gewinnen können – etwa, wie alt wir sind oder für welche Themen wir uns interessieren – können sie Werbetreibenden exakt zugeschnittene Personenprofile anbieten, die sie mit Werbung auf Google oder Facebook erreichen können. Das machen sie so erfolgreich, dass sie inzwischen einen erheblichen Teil der Gelder für Online-Werbekampagnen einsacken. Doch es geht noch weiter. Viele der Tracker sind Teil eines digitalen Werbemarktes, der sogenannten Programmatischen Werbung.

Das Prinzip dahinter geht, vereinfacht gesagt, so: Wer eine Webseite mit Werbefläche öffnet, dessen Nutzerprofil wird innerhalb von Millisekunden auf verschiedenen digitalen Marktplätzen an die meistbietende Werbefirma versteigert. Für die Werbeindustrie ist das ein grosser Gewinn, weil damit die Zielgruppe eines Produktes punktgenau erreicht werden kann und zum Beispiel nur Hundehaltern die Werbung für Hundefutter angezeigt werden kann. Eine Studie schätzt, dass in der Schweiz pro Person während jeder Minute der Internetnutzung eine Auktion auf Basis des eigenen Profils stattfindet – rund 300 Mal täglich.

Doch das System hat auch einen riesigen Nachteil: Je nachdem, mit welchen Partnern eine Webseite zusammenarbeitet, können unsere Nutzerdaten mit Hunderten von Firmen geteilt werden. Denn alle eingebundenen Teilnehmer eines digitalen Werbemarktes erhalten bei jeder Auktion die Daten des Nutzers, der gerade eine Webseite öffnet, zugespielt – egal, ob sie die Auktion gewinnen oder nicht. Es ist ein wenig so, als würden wir, wenn wir uns für einen Job bei einer bestimmten Firma bewerben wollten, unser Bewerbungsdossier an alle Firmen der Branche versenden müssen. Gemäss Datenschutzgesetz dürfen solche Daten nur für Werbezwecke benutzt werden. Bloss: Überprüfen tut das kaum jemand. Und so ist das digitale Werbesystem ein Einfallstor für alle, die sich auch noch für die Daten interessieren: Geheimdienste, Datenhändler, private Schnüfflerinnen oder Stalker. Eine Recherche von SRF Data zeigt, wie solche Daten auf einem Schattenmarkt gehandelt und an jeden mit dem nötigen Kleingeld verkauft werden.

Heikle Daten an Hunderte von Partnern

Dass die Pop-Up-Fenster der Cookie-Banner wie Pilze aus dem Internet schiessen, ist dem neuen Datenschutzgesetz zu verdanken, das letzten Herbst in der Schweiz eingeführt wurde. Es regelt, dass Nutzerdaten verhältnismässig verarbeitet und geteilt werden sollen. Dass Besucher eine Möglichkeit haben, das Tracking abzulehnen. Und dass transparent gemacht werden soll, mit wem die Daten geteilt werden.

Nicht alle Webseiten sind gleich transparent darin, mit welchen Partnern sie Daten teilen. Doch viele der untersuchten Webseiten sind Mitglieder des Branchenverbandes IAB, welcher auf Transparenz setzt und standardisierte Cookie-Banner anbietet. SRF hat diese analysiert. So lassen sich die Mitglieder untereinander vergleichen und erstmals vergleichend aufzeigen, wer unsere Daten zu welchem Zweck erhält – oder zumindest die Erlaubnis bekommt, diese abzusaugen.

So verwendet SRF Ihre Daten

Box aufklappen Box zuklappen

Auch SRF weist in seiner Datenschutzerklärung eine Reihe von Anbietern aus, mit welchen spezifische Nutzerdaten geteilt werden können, um gewisse Ziele zu erreichen:

Notwendige technische Funktionen: Spezialisierte Services, durch die SRF.ch überhaupt funktioniert, etwa der Cloud-Dienst Akamai oder die Grafik-Software Datawrapper.

Nutzerdaten-Analyse: Spezialisierte Services wie Chartbeat oder Comscore helfen SRF dabei, auszuwerten, welche Artikel wie oft gelesen werden und welches Publikum (Geografisch, Alter, etc.) mit einem Angebot erreicht wird. Dies ist relevant, um zu prüfen, ob mit dem aktuellen Angebot der Konzessionsauftrag erfüllt wird. Mit diesen Services bestehen vertragliche Zusicherungen, dass Nutzerdaten nur anonymisiert verwendet und danach gelöscht werden. Als Nutzer kann man sie nicht ausschalten. Andere Services hingegen kann mal als Nutzerin oder Nutzer explizit in den Datenschutz-Einstellungen ausschalten. Beispielsweise:

Einbettungsmöglichkeit von Social-Media-Posts: Damit die Nachrichtenredaktion von SRF.ch schnell auf Geschehnisse in der Welt reagieren kann, hat sie die Möglichkeiten, je nach Situation Instagram-Posts, Tiktok-Videos oder andere Posts aus Social-Media-Kanälen auf der Webseite einzubetten. Wer als Nutzer diese Möglichkeit zulässt, willigt aber ein, dass die eigenen Nutzerdaten an diese Firmen weitergeteilt werden.

Internes Marketing: Die sogenannte Konzernklausel ermöglicht es der SRG, Konzernintern Daten zu teilen und diese beispielsweise zu Marketingzwecken zu nutzen. Diese Daten werden aber nicht extern weitergegeben.

Es gibt Möglichkeiten, um die Sammlung der eigenen Daten einzuschränken. Etwa indem man sogenannte «Adblocker» im Browser installiert. Gemäss einer neuen Studie haben rund ein Fünftel der Schweizerinnen und Schweizer Adblocker im Einsatz, um Bannerwerbung zu blockieren, die meist für Programmatische Werbung eingesetzt werden.

Anleitung: Drei einfache Schritte um Ihre Handy-Daten zu schützen

Box aufklappen Box zuklappen
Illustration eines Handies
Legende: Collage: iStock, SRF

In dieser Anleitung mit Grafiken zeigen wir Ihnen, wie Sie sich und Ihre Daten vor Tracking, Profiling und anderem schützen können.

Eine andere Möglichkeit ist, man bei jeder Webseite von Hand die nicht notwendigen Cookies ausschaltet. Diese Möglichkeit ist mit dem neuen Datenschutzgesetz nämlich zwingend. Während die Europäische Union eine klare Einwilligung der Nutzer (Opt-In) erfordert, gingen Firmen in der Schweiz bisher davon aus, dass sie standardmässig alle Daten teilen dürfen und die Nutzer selbst per Button die Cookies ausschalten müssen (Opt-Out). Allerdings gilt gemäss dem Gesetz neu das Prinzip «Privacy by Default»: Die Standardeinstellungen beim Besuch einer Webseite sollen möglichst den Datenschutz priorisieren und nur die unbedingt nötigen Daten bearbeitet werden. Anders ausgedrückt: Die Datensammlerei soll verhältnismässig und moderat sein.

Doch in der Praxis stellen sich da Fragen, wie gut Schweizer Webseiten ihre eigenen Cookie-Banner und Partner kennen. So haben Recherchen des Online-Magazins «Republik» etwa gezeigt, dass Schweizer Medienhäuser Nutzerdaten nach Russland schickten, ohne dass sie sich dem bewusst waren.

Zugestimmt ist nicht gleich Zustimmung

Nach Einschätzung des eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Adrian Lobsiger fänden derzeit noch viele Anpassungen an die aktuelle Gesetzeslage statt. Oft bestünde ein Unterschied zwischen dem, was eine Webseite in der Datenschutzerklärung angäbe – und was sie tatsächlich tue. «Datenschutzrechtlich ist das ein Verstoss gegen die Transparenz», sagt Lobsiger. Dass Daten nicht missbräuchlich weiterverwendet würden, läge in der Verantwortung der einzelnen Webseiten und Apps. Sie könnten auch einzelne Partner sperren oder den Datenzugriff einschränken.

Für Lobsiger dürften Profiling-Aktivitäten und das Teilen von Nutzerdaten nur dann erfolgen, wenn die Betroffenen ausdrücklich informiert wurden und nachher ihre Zustimmung gaben. Das sei aber oft nicht der Fall, gerade bei Cookie-Bannern, die das Ausmass der Datenteilung nicht genügend klarmachen würde: Wenn man nicht wirklich verstehe, was man da anklicke, sei die Einwilligung datenschutzrechtlich unwirksam und unverbindlich. Aber dann sei es zu spät, sagt Lobsiger: «Wenn die Daten einmal abgesogen und weitergeleitet worden sind, ist es nachher schwierig, sie wieder aus dem Verkehr zu ziehen».

Quellen und Methodik

Box aufklappen Box zuklappen

SRF Data hat aufgrund der Tranco-Liste , einer Liste der meistbesuchten Webseiten der Welt, die 50 meistbesuchten Webseiten im April 2024 mit .ch-Endung herausgefiltert, welche keine technischen Services (wie Server, Hosting, etc.) anbieten und die explizit an ein Schweizer Publikum gerichtet sind. Darunter befinden sich mehrheitlich Seiten von Medien, Universitäten, Behörden, Webshops, Marktplätzen sowie beliebte Webservices.

Von diesen 50 Webseiten hat SRF die in den Datenschutzerklärungen selbstdeklarierten Partner gesammelt und teilweise mit Trackern aus eigenen händischen Messungen ergänzt. Nicht alle Webseiten sind gleich transparent und so fehlt wohl ein Teil der Daten wegen Intransparenz. Wo möglicherweise Daten fehlen hat SRF das kenntlich gemacht.

10 vor 10, 26.06.2024, 21:50 Uhr

Meistgelesene Artikel