Warum „Do not Track” den Datenschutz nicht retten wird
„Do not track” ist vor allem in den letzten Wochen in aller Munde. Mit dem Verfahren sollen Nutzer in ihrem Browser einstellen können, ob ihre Webseitenbesuche von Tracking-Software wie Google Analytics oder Piwik erfasst und ausgewertet werden darf. Die Technik des „Do not Track” (DNT) selbst gibt es schon seit einigen Jahren, alle großen Browser haben sie bereits implementiert.
Auch die EU-Kommission setzt große Hoffnungen in „Do not track”. Könnte es doch die Kontrolle über die Daten beim Tracking in die Hände des Nutzers legen. Doch die Technik hat einige Haken. Und: Sie löst das eigentliche Problem nicht.
Wie funktioniert Do not track?
Die Funktionsweise von „Do not track” ist relativ simpel. Bei jedem Aufruf einer Webseite sendet der Browser einige Informationen an den entsprechenden Webserver. Etwa welche Unterseite abgerufen werden soll oder welche Inhalte der Browser interpretieren kann. An diesen sog. „Headern” setzt „Do not track” an: In einem zusätzlichen DNT-Header sollen Browser den aufgerufenen Webseiten mitteilen, ob diese Tracking-Techniken einsetzen dürfen. Der Nutzer hat so die Möglichkeit, einer Webseite auf technischem Weg mitzuteilen, ob Tracking eingesetzt werden darf oder nicht.
Do not Track in Firefox 14
Ja, nein, vielleicht?
Endlich sollen Nutzer damit die Möglichkeit haben, selbst zu entscheiden, ob sie bei Google Analytics & Co. erfasst werden wollen oder nicht. Doch viele Fragen sind noch offen. Eine der größten Streitfragen: Was sollen die Browser standardmäßig machen, wenn der Nutzer keine aktive Wahl trifft? Microsoft hat etwa angekündigt, ab dem Internet Explorer 10 „Do not track” vorab zu aktivieren. Nutzer müssten Tracking also aktiv erlauben, wenn sie an der statistischen Erfassung von Webseiten teilnehmen wollen. Andernfalls wird das Tracking per Header untersagt.
Bisher ist „Do not track” bei allen großen Browsern jedoch standardmäßig deaktiviert. Wer nicht erfasst werden möchte, muss das selbst in den Browser-Einstellungen angeben.
Kein Datenschutz ohne Kontrollen
Neben der Diskussion über die Standard-Einstellungen hat „Do not track” noch ein weiteres Problem: Man kann kaum kontrollieren, ob sich die Anbieter von Analytics-Software wirklich an die Vorgaben halten. Diese Schwachstelle hat auch EU-Kommissarin Neelie Kroes erkannt. Heise zitiert sie bei einer Anhörung vor dem W3C:
„Es sei zu befürchten, dass der Standard zu stark verwässert werde. Es müsse nun schnell gehandelt und ein „vernünftiger“ DNT-Mechanismus verabschiedet werden. […] Es dürfe zudem nicht möglich sein, dass Server, die so zum Ausdruck gebrachten Wünsche der Nutzer ignorierten. Möglichkeiten zum Auslesen von Daten ohne Zustimmung der Betroffenen seien zu minimieren.”
Das ist leichter gesagt als getan. Denn ob ein Nutzer von Analytics-Software erfasst wird oder nicht, ist primär eine technische Entscheidung, die auf Serverseite getroffen wird. Sendet ein Browser einen Do-Not-Track-Header muss die Statistik-Software diesen erkennen und den Nutzer von der Erfassung ausschließen. Ob das auch wirklich passiert, lässt sich ohne Einblick in den Code der Software oder auf die Server der Anbieter kaum kontrollieren. Der Nutzer selbst kann auf keinen Fall beurteilen, ob und wann „Do not track” Wirkung zeigt, oder ob ein Anbieter die Einstellung schlicht ignoriert. Ohne Kontrollen bei den Anbietern ist „Do not track” damit für den Nutzer wenig wert.
Die rechtliche Verbindlichkeit
In dem Zusammenhang stellt sich natürlich auch die Frage, ob die Anbieter von Analytics-Software rechtlich verpflichtet sind, sich an die Vorgaben des Headers zu halten. Jens Ferner hat diese Frage vor Kurzem angeschnitten und kommt zu dem Ergebnis: „Do not track” ist rechtlich verbindlich.
Kern seiner Argumentation ist § 15 Abs. 3 TMG. Dort heißt es:
„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.”
(Hervorhebung nicht im Original)
Jens Ferner meint nun: Das Senden des Do-not-Track-Headers stellt einen solchen Widerspruch dar. Im Prinzip halte ich das auch für richtig. Wer „Do not track” aktiviert, macht damit deutlich, dass er nicht getrackt werden will und widerspricht der Erstellung eines Nutzungsprofils.
Schwierig ist die Situation allerdings dann, wenn „Do not track” schon standardmäßig im Browser aktiviert ist, wie es etwa beim Internet Explorer 10 geplant ist. In diesem Fall kann man nicht mehr davon ausgehen, dass der Do-not-Track-Header auf eine aktive Willenserklärung des Nutzers zurückzuführen ist. Schließlich kann es ja auch sein, dass der Nutzer die Option gar nicht kennt. Sendet der Browser trotzdem die Information „bitte nicht tracken” kann man nicht mehr unterscheiden, ob sie auf den Willen des Nutzers oder die Standard-Option des Browsers zurückzuführen ist. Die gut gemeinte Voreinstellung sägt damit an der Eindeutigkeit des Widerspruchs.
Eine weitere offene Frage: § 15 Abs. 3 TMG bezieht sich auf „Nutzungsprofile”. Was genau ist ein Nutzungsprofil? Ist das Erhöhen eines Counters, der zählt, dass eine Webseite aufgerufen wurde, bereits ein „Nutzunsprofil”? Wo genau liegt die Grenze zwischen Nutzungsprofilen und rein statistischen Auswertungen unabhängig von personenbezogenen Daten und Pseudonymen? Diese Fragen werden entscheidend sein, denn sie geben den Rahmen vor, in dem man sich bei aktiviertem „Do not Track” bewegen darf.
Schwarz-weißer Datenschutz
Und „Do not track” hat noch ein weiteres Problem: Es ist eine reine Schwarz-weiß-Lösung. Tracking ist entweder vollständig erlaubt oder vollständig verboten. Das wird der komplexen Problemstellung nicht gerecht.
Tracking ist eine datenschutzrechtliche Gefahr. Das lässt sich nicht leugnen. Komplexe Nutzerprofile können ein erschreckend genaues Bild von Internetnutzern zeichnen, vor allem wenn sie seitenübergreifend erstellt werden. Google Analytics ist beispielsweise auf Millionen von Internetseiten im Einsatz. Fast das komplette Nutzungsverhalten im World Wide Web kann damit von Google erfasst werden. Ein enormer Datenbestand, der auf keinen Fall ohne Aufsicht, Kontrolle und Regulierung weiter ausgebaut und genutzt werden darf.
Auf der anderen Seite sind statistische Auswertungen für Betreiber von Webseiten existenziell. Die Reichweite einer Internetseite bestimmt den Preis für die Werbung. Das zuverlässige Aufzeichnen von Klicks auf Werbebanner ist Grundlage der Abrechnung bei Pay-per-Click-Werbung. Hunderte Millionen Euro werden täglich mit Werbung im Internet umgesetzt, eine ganze Industrie lebt davon. Der Deal kostenloser Inhalt gegen Werbung hat das Netz groß gemacht, ist Motor von Innovationen und hat durchaus auch Auswirkungen auf die kulturelle Entwicklung der letzten Jahre. Wer Tracking radikal verbietet, setzt die Axt an einen der tragenden Balken des Internets.
„Do not Track” hilft nur bedingt, hier eine vernünftige Lösung zu finden. Die entscheidende Frage wird sein, wie genau die Grenzen bei „Do not Track” zu ziehen sind. Auf der einen Seite dürfen Nutzer, die „Do not Track” nicht aktiviert haben, kein Freiwild sein. Auch bei ihnen wird man entscheiden müssen, was Tracking-Mechanismen dürfen und was nicht. Und auf der anderen Seite wird man auch bei aktiviertem „Do not Track” kein pauschales Verbot von Tracking aussprechen können. Auch hier wird man eine Entscheidung treffen müssen, was genau aufgezeichnet werden muss, um elementare Dienste im Netz wie Werbung oder zumindest eine Basis-Reichweitenmessung vornehmen zu können.
In jedem Fall ist „Do not Track” also kein Allheilmittel. Es kann ein Hilfsmittel sein, um den Datenschutz im Netz zu verbessern. Die ganz entscheidenden Fragen kann die Technik aber nicht beantworten. Sie entlässt weder die Politik noch die Gesellschaft aus ihrer Verantwortung, einen Konsens zu finden und zu definieren, in welchem Maße Datenschutz richtig und wichtig ist – und wie viel Freiheit man der Netzökonomie zugestehen muss, damit das Internet nicht seiner finanziellen Grundlage entzogen wird.
Lesenswerte Rede von Neelie Kroes zu Do-not-Track.
Themenseite Do-Not-Track bei Golem.de.
Beitrag zur juristischen Diskussion von Jens Ferner.
Tracking: Welche Regelungen wären sinnvoll?
Fünf Punkte für einen besseren Datenschutz im Netz
