1 Tag, 21 Apps, 29 Websites,  128 Tracker, 191 Daten­über­tragungen

Einen Tag lang haben wir alles protokolliert, was unser Redak­teur Martin Gobbin online mit seinem Handy macht. Wir waren nicht die Einzigen: 128 Daten­sammler haben ihn ebenfalls über­wacht. Kein Wunder: Tracking ist der Preis, den wir dafür zahlen, dass wir meist nichts zahlen, wenn wir Apps und Internet­seiten nutzen. Über­raschend: Nach­richten­seiten tracken mehr als Porno-Seiten. Weniger über­raschend: Google ist fast über­all, und auch Facebook sammelt Daten, was das Zeug hält.

Der Preis der Gratiskultur

Eigentlich ist es ja ein Wunder: Ich kann online gratis Nach­richten lesen, obwohl die Süddeutsche Zeitung mehr als 100 Redak­teure fürs Schreiben der Meldungen bezahlen muss. Ich kann mich im Urlaub kostenlos von Berlin nach Nowosibirsk leiten lassen, obwohl Google fürs Betreiben seines Karten­diensts Maps Tausende Mitarbeiter bezahlen muss. Ich kann zahllose Lieder streamen, ohne auch nur einen Cent auszugeben, obwohl Spotify Milliarden an die Rechte­in­haber der Songs zahlen muss. Im Supermarkt kann ich nicht einfach so Zeitungen, Land­karten oder CDs gratis mitnehmen. Online aber bekomme ich vieles für lau. Das wirkt in der Tat wie ein Wunder.

Was der Begriff Tracker bedeutet

Software, mit der Firmen online das Verhalten von Nutzern über­wachen. Der Begriff stammt vom eng­lischen Verb „to track“, auf Deutsch: „verfolgen“. Die Tracker arbeiten mit verschiedenen Methoden, zum Beispiel:

Cookies – Dateien, die von Websites auf dem Gerät des Nutzers abge­legt werden, um möglichst viele seiner Netz­aktivitäten zu protokollieren.

Ortung – Lokalisierung des Nutzers über sein Handy.

Fingerprinting – Wieder­erkennen des Nutzers an Hard- und Software­merkmalen seines Rechners oder Handys.

„Wenn ein Produkt nichts kostet, bist Du das Produkt“

Ich glaube nicht an Wunder. Profit­orientierte Unternehmen können sich schließ­lich nicht leisten, ihre Waren zu verschenken. „Wenn ein Produkt nichts kostet, bist Du das Produkt“, lautet ein Sprich­wort unter Tracking-Experten. Ich zahle online oft nicht mit Geld, sondern mit Daten. Die lassen sich zu Geld machen.

Tracker – die Daten­staubsauger

Das funk­tioniert über Werbung. Sind die Anzeigen im Netz präzise auf meine Interessen zuge­schnitten, erhöht sich die Chance, dass ich das beworbene Produkt kaufe. Um mir personalisierte Anzeigen präsentieren zu können, müssen Werbenetz­werke aber zunächst mal erforschen, was meine Bedürf­nisse und Präferenzen sind. Je mehr Informationen sie über mich haben, desto genauer können sie mich bestimmten Ziel­gruppen zuordnen. Das Einsammeln der Daten über­nehmen sogenannte Tracker: Programme von Werbenetz­werken und Analyse-Firmen, die viele Seiten- und App-Betreiber in ihre Portale einbauen, um die Online­aktivitäten ihrer Nutzer zu verfolgen.

Still im Hintergrund

Wie ein Eisberg. Für mich ist beim Surfen nur die Spitze sicht­bar – das aufgerufene Portal. Dass durch den Aufruf viele andere Firmen im Hintergrund aktiv werden und mich beob­achten, bemerke ich nicht.

Tracker arbeiten still im Hintergrund, ich bekomme von ihren Aktivitäten normaler­weise nichts mit. Ich wollte aber wissen, welche Daten sie im Verlauf eines durch­schnitt­lichen Tages sammeln, welche Rück­schlüsse diese Informationen ermöglichen und wer hinter den Trackern steckt. Um die versteckten Verfolger zu beleuchten, haben meine tech­nisch versierten Kollegen einen Tag lang protokolliert, was ich alles mit meinem Smartphone online mache und welche Daten wohin fließen.

Den Trackern auf der Spur

An diesem Tag habe ich insgesamt 21 Apps und 29 Websites aufgerufen. 128 Tracker haben mich dabei beob­achtet und zum Beispiel erfasst, welche Internet­seiten ich aufrufe, was für ein Smartphone ich benutze und ob ich Facebook verwende. Die Tracker haben 191-mal Daten an Fremde geschickt – an Firmen, mit denen ich gar nicht in Kontakt treten wollte. Schon nach nur einem Tag lassen sich einige meiner Vorlieben und Verhaltens­muster deutlich in den gesammelten Daten erkennen. Doch die Tracker sind nicht nur einen Tag lang aktiv, sondern jeden Tag. Stunde für Stunde wächst ihr Wissen über mich. Das Wissen über Sie natürlich auch.

Was im Hintergrund geschieht

Bildergalerie. Tracking in Zahlen

Durch­schnitt­liche Tracker-Anzahl in unserem Versuch

Die Seiten mit den meisten Trackern in unserem Versuch. Die höchste Anzahl fanden wir auf der Seite des TV-Senders CNN, es folgen Der Postillon und die Süddeutsche Zeitung (SZ).

Ein Tracker, viele Quellen. Der Daten­sammler Google Analytics folgte mir auf 11 von 29 aufgerufenen Seiten.

Die Apps mit den meisten Trackern in unserem Versuch. Zehn Daten­sammler erfuhren, dass ich die App Speedtest nutze.

Heimlich, still und leise. Auf Websites haben mich deutlich mehr Verfolger beob­achtet als in Apps. 191-mal flossen während unseres Versuchs Informationen über mich an Firmen, deren Internet­adressen ich nicht wissentlich aufgerufen habe. Auf den 29 besuchten Seiten geschah das 167-mal – das ergibt einen Durch­schnitt von 5,8 Trackern pro Seite. Die 21 aufgerufenen Apps schickten 24-mal Daten an Fremde, das entspricht 1,1 Trackern pro App. Unter den Empfängern befanden sich Konzerne wie Google, Facebook, Microsoft und Amazon. Sie erfassten zum Beispiel Hard- und Software-Infos meines Handys, meinen Stand­ort und welche Seiten ich besucht habe. Manche Tracker können sogar all meine Mausklicks auf einer Seite beob­achten.

Die Kleinen lassen die Großen ran. Betreiber von Seiten und Apps beauftragen fremde Firmen, ihre Besucher zu über­wachen. Diesen Job über­nehmen häufig Google und Facebook. Als Gegen­leistung dürfen die Internetgiganten die Daten auch für eigene Zwecke verwenden – kurzum: für Werbung. Die Betreiber müssen über diese Praktiken informieren, doch viele Nutzer machen es wohl wie ich: Daten­schutz­erklärungen und Informationen zu Cookies werden schnell weggeklickt, weil sie oft ellen­lang und in Juristen­deutsch verfasst sind.

Wo die Daten­sammler lauern

„Wir müssen Geld verdienen.“ 33 Tracker entdeckten wir auf der Seite des TV-Senders CNN, mehr als auf jedem anderen Portal, das ich am Tag des Versuchs aufrief. Die Satire-Seite Der Postillon setzt 25 Tracker ein. „Wir wollen das nicht. Tracking ist scheiße“, teilte uns Chef­redak­teur Stefan Sichermann auf Anfrage mit. „Allerdings müssen wir Geld verdienen.“ Das funk­tioniert, indem der Postillon gegen Bezahlung Anzeigen anderer Firmen auf seiner Seite einblendet. Anders als viele Portale erlauben die Satiriker selbst dann Zugriff auf alle Inhalte, wenn Leser Tracking mit Spezial-Software blockieren (siehe Test Tracking-Blocker). Zudem bietet der Postillon werbefreie Abos an. „Damit fällt ein Groß­teil der Tracker weg“, verspricht Chef­redak­teur Sichermann.

News-Seiten tracken mehr als Porno-Seiten. Auf der Home­page der Süddeutschen Zeitung fanden wir 18 Beob­achter. Laut einer Sprecherin der Zeitung dienen sie dazu, „den Erfolg und die Reich­weite unserer Websites zu messen und unsere Angebote zu optimieren. Zudem müssen wir gegen­über unseren Anzeigen­kunden die Auslieferungs­qualität der gebuchten Anzeigen nach­weisen.“ Erfreulich: In ihrer Daten­schutz­erklärung listet die Süddeutsche alle verwendeten Cookies auf und erlaubt Nutzern, Teile des Trackings abzu­schalten. Weniger positiv: Die Süddeutsche, CNN und die New York Times binden deutlich mehr Tracker ein als alle Porno-Seiten, die wir über­prüft haben.

Apps werden persönlich. 40 Megabit pro Sekunde – so schnell surfe ich zu Hause. Das habe ich mit der App Speedtest ermittelt. Sie hat Informationen über mich an zehn Tracker geschickt und avancierte so zur mitteilungs­freudigsten App unseres Versuchs. Dahinter folgen der Musik­dienst Spotify mit drei und Samsungs System-App mit zwei Beob­achtern. Im Vergleich zu den Webseiten sind das wenige Tracker, allerdings verraten Apps mitunter persönlichere Daten. Spotify etwa über­trug eine Identifikations­nummer meines Facebook-Kontos an die Daten­analyse-Firma Adjust. Wir wollten wissen, warum Spotify das tut – doch das Unternehmen hatte zu unserer Anfrage „leider keine offiziellen State­ments verfügbar“.

Kaum Tracker auf Google und Facebook. Ausgerechnet auf den Seiten jener Firmen, die am meisten Nutzer­verfolgung betreiben, verrichten besonders wenige Daten­sammler ihren Dienst. Auf google.de und facebook.com über­wacht jeweils nur eine einzige Firma die Besucher: der Anbieter selbst. Die erfolg­reichsten Beob­achter und Sammler wollen ihren Schatz nicht mit anderen teilen, denn das würde ihr Exklusivwissen und damit auch ihr Geschäfts­modell bedrohen. Die Internetriesen horten die Daten ja schließ­lich, um Firmen anbieten zu können, deren Werbeanzeigen an präzise definierte Ziel­gruppen auszuliefern.

Wo die Daten zusammen­laufen

Google ist fast über­all. Rund 85 Milliarden Euro Einnahmen verbuchte der Konzern im vergangenen Jahr durch Werbung. Er fungiert gleich­zeitig als Litfass­säule und als Vermarkter digi­taler Plakatwände. Er bietet Firmen an, auf Google und vielen anderen Seiten Anzeigen zu schalten. Um den Werbetreibenden personalisierte Anzeigen zu ermöglichen, braucht Google viele Daten über die Interessen der Nutzer. Solche Informationen sammelt der Konzern unter anderem mit Google Analytics. Diesen Tracker fanden wir auf 11 von 29 Seiten, die ich während des Versuchs aufrief. Das Programm erfasst beispiels­weise, welche Unter­seiten einer Home­page ich öffne und wie lange ich dort bleibe. Neben Analytics setzt Google aber noch diverse andere Daten­sammler ein: In unserem Versuch stammten die vier häufigsten Tracker alle­samt von Google.

Facebook ist Vizemeister im Sammeln. Facebook beob­achtete mich auf 7 von 29 besuchten Seiten und in der Musik-App Spotify. Ähnlich wie Google setzt auch Facebook primär auf Werbung, um Geld zu verdienen. Das klappt: Im Jahr 2017 erwirt­schaftete der Konzern mit Werbung rund 35 Milliarden Euro.

Auch Kleinvieh macht Mist. Nicht nur die Riesen über­wachen mich. Wir fanden auch Tracker mit obskur klingenden Namen wie Summerhamster oder Doublepimp. Je mehr Firmen Daten sammeln, desto schwieriger und aufwendiger wird es für Nutzer, möglichst viele Beob­achter zu blocken.

Wer auf test.de Daten sammelt

Auch die Stiftung Warentest trackt. Wenn Sie test.de aufrufen, erfahren wir und die für uns arbeitende Webanalyse-Firma Webtrekk unter anderem, von welchem Portal Sie zu uns gekommen sind, welche Unter­seiten Sie auf test.de lesen und wie viel Zeit Sie dort verbringen. „Diese Daten dienen statistischen Zwecken. Sie helfen uns beispiels­weise heraus­zufinden, welche Testbe­richte besonders gut ankommen und welche weiteren Tests sich unsere Leser wünschen“, erläutert Sebastian Hirsch aus der Marketing­abteilung der Stiftung Warentest. Zusätzlich sind auf test.de Tracker von Google und Microsoft einge­bunden. Sie werden aber nur aktiv, falls Nutzer im Netz auf Werbeanzeigen der Stiftung Warentest klicken. „So können wir den Erfolg unserer Onlinewerbung messen“, sagt Sebastian Hirsch.

Weitere Infos zur Daten­erhebung auf unserer Seite finden Sie unter Datenschutz auf test.de.

Wie wir alle von Tracking profitieren

Die Daten­sammelei hat auch positive Seiten. Tracking dient nicht allein Firmen. Wir alle profitieren von der Analyse der Nutzungs­daten: Ohne Cookies könnte Amazon sich nicht merken, was ich in den virtuellen Einkaufs­wagen gelegt habe. Die Stiftung Warentest setzt sogar einen Cookie, um Cookies zu verhindern: Falls Sie dem Tracking durch die Firma Webtrekk auf test.de wider­sprechen, muss unsere Seite Sie beim nächsten Besuch wieder­erkennen, um die Beob­achtung auch wirk­lich abzu­schalten. Diesen Job über­nimmt ein Cookie.

Schwächen aufdecken. Die Nutzungs­analyse hilft auch, inhalt­liche und tech­nische Schwächen aufzuspüren und abzu­stellen: Wenn viele Nutzer eine Unterseite schon nach wenigen Sekunden verlassen, können Firmen daraus schließen, dass der Text zu lang oder zu kompliziert ist. Führt eine Unterseite wieder­holt zum Browser-Absturz, deutet das auf einen tech­nischen Fehler hin.

Bezahlen oder getrackt werden. Nicht zuletzt sorgt Tracking eben auch dafür, dass viele Dienste im Netz gratis sind. „Tracking und Werbung ermöglichen uns, große Teile unserer aufwendig recherchierten Informationen kostenfrei anzu­bieten“, teilte uns die Süddeutsche Zeitung mit. Wie viele andere Betreiber bietet sie Firmen an, auf ihrem Onlineportal Anzeigen zu schalten.

Fazit: Der Anreiz für Firmen, uns zu beob­achten, lässt sich nur senken, wenn wir alle bereit sind, für ihre Dienste zu zahlen – genau wie in der Offline-Welt.

Was die Daten verraten

Männ­lich, ledig, jung sucht. Inner­halb eines Tages haben die Tracker viele Informationen über meine Nutzung von Apps und Seiten gesammelt. Dieses Wissen ermöglicht Tendenz­aussagen: Firmen ziehen Schluss­folgerungen über mich und meine Interessen. Natürlich können sie mit ihren Vermutungen auch mal falsch liegen. Doch nach und nach ergibt sich aus den vielen kleine Puzzle­teilen ein recht präzises Bild. Unsere Über­sicht zeigt nur Teile dessen, was die Daten­sammler über mich erfahren haben.

Was uns in Zukunft drohen könnte

Heute: Tracker können irren. Derzeit verwenden Unternehmen die gesammelten Daten vor allem für Werbe­zwecke. Mitunter finde ich es gruselig, wie genau online werbende Firmen mich zu kennen scheinen. Insgesamt aber halte ich personalisierte Anzeigen für eine eher harmlose Folge der Daten­sammelei. Problematischer wird es, wenn die Informationen zu Fehl­schlüssen führen – etwa, wenn ein Mann regel­mäßig einen Freund besucht, der zwei Stock­werke über einem Swinger-Club wohnt, Google Maps aber daraus schließt, dass er Stamm­gast im Sexclub ist. Seine Frau wäre angesichts der Markierung in der Karte vermutlich wenig begeistert.

Morgen: Manipulation statt Werbung. Unsere Daten wären auch für Scoring nutz­bar: ein Punkte­system, bei dem jeder Bürger einen Wert erhält, der auf seinem On- und Offline-Verhalten sowie seiner finanziellen Lage basiert. Der Wert ist maßgeblich für Entscheidungen, ob Nutzer Kredite bekommen, für Hotel­zimmer mehr zahlen müssen als andere, ob sie ihr Kind auf die bessere Schule schi­cken dürfen, ob sie Flugti­ckets kaufen oder beruflich befördert werden können. Das ist keine paranoide Horrorvorstellung, sondern in Teilen Chinas bereits Realität. „Soziales Kredit­system“ heißt diese Methode der Verhaltens­manipulation dort.

Tipp: Was Sie gegen Tracking tun können, lesen Sie gratis in unserem Test Privatsphäre im Netz.

So sind wir vorgegangen

Im Test: Wir sichteten den Daten­strom von exemplarisch ausgewählten Portalen – 21 Android-Apps und 29 Websites – über einen zwischen­geschalteten Server (Proxy, Man-in-the-middle-Attack). Falls möglich, lasen wir die von den Apps gesendeten Daten aus, entschlüsselten und analysierten sie. So ermittelten wir, ob die Apps nur Daten senden, die sie zum Funk­tionieren brauchen oder ob sie auch nicht zum Betrieb erforderliche Daten über­tragen, etwa die Geräte-ID. Wir analysierten zudem alle Verbindungs­anfragen der aufgerufenen Internet­seiten.

Dieser Artikel ist hilfreich. 48 Nutzer finden das hilfreich.