
1 Tag, 21 Apps, 29 Websites, 128 Tracker, 191 Datenübertragungen © Stiftung Warentest / Hendrik Rauch, Nina Mascher
Einen Tag lang haben wir alles erfasst, was unser Redakteur Martin Gobbin online am Handy macht. Wir waren nicht allein: 128 Tracker haben ihn ebenfalls ausspioniert.
Der Preis der Gratiskultur
Eigentlich ist es ja ein Wunder: Ich kann online gratis Nachrichten lesen, obwohl die Süddeutsche Zeitung mehr als 100 Redakteure fürs Schreiben der Meldungen bezahlen muss. Ich kann mich im Urlaub kostenlos von Berlin nach Nowosibirsk leiten lassen, obwohl Google fürs Betreiben seines Kartendiensts Maps Tausende Mitarbeiter bezahlen muss. Ich kann zahllose Lieder streamen, ohne auch nur einen Cent auszugeben, obwohl Spotify Milliarden an die Rechteinhaber der Songs zahlen muss. Im Supermarkt kann ich nicht einfach so Zeitungen, Landkarten oder CDs gratis mitnehmen. Online aber bekomme ich vieles für lau. Das wirkt in der Tat wie ein Wunder.
Was der Begriff Tracker bedeutet
Software, mit der Firmen online das Verhalten von Nutzern überwachen. Der Begriff stammt vom englischen Verb „to track“, auf Deutsch: „verfolgen“. Die Tracker arbeiten mit verschiedenen Methoden, zum Beispiel:
Cookies – Dateien, die von Websites auf dem Gerät des Nutzers abgelegt werden, um möglichst viele seiner Netzaktivitäten zu protokollieren.
Ortung – Lokalisierung des Nutzers über sein Handy.
Fingerprinting – Wiedererkennen des Nutzers an Hard- und Softwaremerkmalen seines Rechners oder Handys.
„Wenn ein Produkt nichts kostet, bist Du das Produkt“
Ich glaube nicht an Wunder. Profitorientierte Unternehmen können sich schließlich nicht leisten, ihre Waren zu verschenken. „Wenn ein Produkt nichts kostet, bist Du das Produkt“, lautet ein Sprichwort unter Tracking-Experten. Ich zahle online oft nicht mit Geld, sondern mit Daten. Die lassen sich zu Geld machen.
Tracker – die Datenstaubsauger
Das funktioniert über Werbung. Sind die Anzeigen im Netz präzise auf meine Interessen zugeschnitten, erhöht sich die Chance, dass ich das beworbene Produkt kaufe. Um mir personalisierte Anzeigen präsentieren zu können, müssen Werbenetzwerke aber zunächst mal erforschen, was meine Bedürfnisse und Präferenzen sind. Je mehr Informationen sie über mich haben, desto genauer können sie mich bestimmten Zielgruppen zuordnen. Das Einsammeln der Daten übernehmen sogenannte Tracker: Programme von Werbenetzwerken und Analyse-Firmen, die viele Seiten- und App-Betreiber in ihre Portale einbauen, um die Onlineaktivitäten ihrer Nutzer zu verfolgen.
Still im Hintergrund

Wie ein Eisberg. Für mich ist beim Surfen nur die Spitze sichtbar – das aufgerufene Portal. Dass durch den Aufruf viele andere Firmen im Hintergrund aktiv werden und mich beobachten, bemerke ich nicht. © Stiftung Warentest / Nina Mascher
Tracker arbeiten still im Hintergrund, ich bekomme von ihren Aktivitäten normalerweise nichts mit. Ich wollte aber wissen, welche Daten sie im Verlauf eines durchschnittlichen Tages sammeln, welche Rückschlüsse diese Informationen ermöglichen und wer hinter den Trackern steckt. Um die versteckten Verfolger zu beleuchten, haben meine technisch versierten Kollegen einen Tag lang protokolliert, was ich alles mit meinem Smartphone online mache und welche Daten wohin fließen.
Den Trackern auf der Spur
An diesem Tag habe ich insgesamt 21 Apps und 29 Websites aufgerufen. 128 Tracker haben mich dabei beobachtet und zum Beispiel erfasst, welche Internetseiten ich aufrufe, was für ein Smartphone ich benutze und ob ich Facebook verwende. Die Tracker haben 191-mal Daten an Fremde geschickt – an Firmen, mit denen ich gar nicht in Kontakt treten wollte. Schon nach nur einem Tag lassen sich einige meiner Vorlieben und Verhaltensmuster deutlich in den gesammelten Daten erkennen. Doch die Tracker sind nicht nur einen Tag lang aktiv, sondern jeden Tag. Stunde für Stunde wächst ihr Wissen über mich. Das Wissen über Sie natürlich auch.
Was im Hintergrund geschieht
Heimlich, still und leise. Auf Websites haben mich deutlich mehr Verfolger beobachtet als in Apps. 191-mal flossen während unseres Versuchs Informationen über mich an Firmen, deren Internetadressen ich nicht wissentlich aufgerufen habe. Auf den 29 besuchten Seiten geschah das 167-mal – das ergibt einen Durchschnitt von 5,8 Trackern pro Seite. Die 21 aufgerufenen Apps schickten 24-mal Daten an Fremde, das entspricht 1,1 Trackern pro App. Unter den Empfängern befanden sich Konzerne wie Google, Facebook, Microsoft und Amazon. Sie erfassten zum Beispiel Hard- und Software-Infos meines Handys, meinen Standort und welche Seiten ich besucht habe. Manche Tracker können sogar all meine Mausklicks auf einer Seite beobachten.
Die Kleinen lassen die Großen ran. Betreiber von Seiten und Apps beauftragen fremde Firmen, ihre Besucher zu überwachen. Diesen Job übernehmen häufig Google und Facebook. Als Gegenleistung dürfen die Internetgiganten die Daten auch für eigene Zwecke verwenden – kurzum: für Werbung. Die Betreiber müssen über diese Praktiken informieren, doch viele Nutzer machen es wohl wie ich: Datenschutzerklärungen und Informationen zu Cookies werden schnell weggeklickt, weil sie oft ellenlang und in Juristendeutsch verfasst sind.
Wo die Datensammler lauern
„Wir müssen Geld verdienen.“ 33 Tracker entdeckten wir auf der Seite des TV-Senders CNN, mehr als auf jedem anderen Portal, das ich am Tag des Versuchs aufrief. Die Satire-Seite Der Postillon setzt 25 Tracker ein. „Wir wollen das nicht. Tracking ist scheiße“, teilte uns Chefredakteur Stefan Sichermann auf Anfrage mit. „Allerdings müssen wir Geld verdienen.“ Das funktioniert, indem der Postillon gegen Bezahlung Anzeigen anderer Firmen auf seiner Seite einblendet. Anders als viele Portale erlauben die Satiriker selbst dann Zugriff auf alle Inhalte, wenn Leser Tracking mit Spezial-Software blockieren (siehe Test Tracking-Blocker). Zudem bietet der Postillon werbefreie Abos an. „Damit fällt ein Großteil der Tracker weg“, verspricht Chefredakteur Sichermann.
News-Seiten tracken mehr als Porno-Seiten. Auf der Homepage der Süddeutschen Zeitung fanden wir 18 Beobachter. Laut einer Sprecherin der Zeitung dienen sie dazu, „den Erfolg und die Reichweite unserer Websites zu messen und unsere Angebote zu optimieren. Zudem müssen wir gegenüber unseren Anzeigenkunden die Auslieferungsqualität der gebuchten Anzeigen nachweisen.“ Erfreulich: In ihrer Datenschutzerklärung listet die Süddeutsche alle verwendeten Cookies auf und erlaubt Nutzern, Teile des Trackings abzuschalten. Weniger positiv: Die Süddeutsche, CNN und die New York Times binden deutlich mehr Tracker ein als alle Porno-Seiten, die wir überprüft haben.
Apps werden persönlich. 40 Megabit pro Sekunde – so schnell surfe ich zu Hause. Das habe ich mit der App Speedtest ermittelt. Sie hat Informationen über mich an zehn Tracker geschickt und avancierte so zur mitteilungsfreudigsten App unseres Versuchs. Dahinter folgen der Musikdienst Spotify mit drei und Samsungs System-App mit zwei Beobachtern. Im Vergleich zu den Webseiten sind das wenige Tracker, allerdings verraten Apps mitunter persönlichere Daten. Spotify etwa übertrug eine Identifikationsnummer meines Facebook-Kontos an die Datenanalyse-Firma Adjust. Wir wollten wissen, warum Spotify das tut – doch das Unternehmen hatte zu unserer Anfrage „leider keine offiziellen Statements verfügbar“.
Kaum Tracker auf Google und Facebook. Ausgerechnet auf den Seiten jener Firmen, die am meisten Nutzerverfolgung betreiben, verrichten besonders wenige Datensammler ihren Dienst. Auf google.de und facebook.com überwacht jeweils nur eine einzige Firma die Besucher: der Anbieter selbst. Die erfolgreichsten Beobachter und Sammler wollen ihren Schatz nicht mit anderen teilen, denn das würde ihr Exklusivwissen und damit auch ihr Geschäftsmodell bedrohen. Die Internetriesen horten die Daten ja schließlich, um Firmen anbieten zu können, deren Werbeanzeigen an präzise definierte Zielgruppen auszuliefern.
Wo die Daten zusammenlaufen
Google ist fast überall. Rund 85 Milliarden Euro Einnahmen verbuchte der Konzern im vergangenen Jahr durch Werbung. Er fungiert gleichzeitig als Litfasssäule und als Vermarkter digitaler Plakatwände. Er bietet Firmen an, auf Google und vielen anderen Seiten Anzeigen zu schalten. Um den Werbetreibenden personalisierte Anzeigen zu ermöglichen, braucht Google viele Daten über die Interessen der Nutzer. Solche Informationen sammelt der Konzern unter anderem mit Google Analytics. Diesen Tracker fanden wir auf 11 von 29 Seiten, die ich während des Versuchs aufrief. Das Programm erfasst beispielsweise, welche Unterseiten einer Homepage ich öffne und wie lange ich dort bleibe. Neben Analytics setzt Google aber noch diverse andere Datensammler ein: In unserem Versuch stammten die vier häufigsten Tracker allesamt von Google.
Facebook ist Vizemeister im Sammeln. Facebook beobachtete mich auf 7 von 29 besuchten Seiten und in der Musik-App Spotify. Ähnlich wie Google setzt auch Facebook primär auf Werbung, um Geld zu verdienen. Das klappt: Im Jahr 2017 erwirtschaftete der Konzern mit Werbung rund 35 Milliarden Euro.
Auch Kleinvieh macht Mist. Nicht nur die Riesen überwachen mich. Wir fanden auch Tracker mit obskur klingenden Namen wie Summerhamster oder Doublepimp. Je mehr Firmen Daten sammeln, desto schwieriger und aufwendiger wird es für Nutzer, möglichst viele Beobachter zu blocken.
Wer auf test.de Daten sammelt
Auch die Stiftung Warentest trackt. Wenn Sie test.de aufrufen, erfahren wir und die für uns arbeitende Webanalyse-Firma Webtrekk unter anderem, von welchem Portal Sie zu uns gekommen sind, welche Unterseiten Sie auf test.de lesen und wie viel Zeit Sie dort verbringen. „Diese Daten dienen statistischen Zwecken. Sie helfen uns beispielsweise herauszufinden, welche Testberichte besonders gut ankommen und welche weiteren Tests sich unsere Leser wünschen“, erläutert Sebastian Hirsch aus der Marketingabteilung der Stiftung Warentest. Zusätzlich sind auf test.de Tracker von Google und Microsoft eingebunden. Sie werden aber nur aktiv, falls Nutzer im Netz auf Werbeanzeigen der Stiftung Warentest klicken. „So können wir den Erfolg unserer Onlinewerbung messen“, sagt Sebastian Hirsch.
Weitere Infos zur Datenerhebung auf unserer Seite finden Sie unter Datenschutz auf test.de.
Wie wir alle von Tracking profitieren
Die Datensammelei hat auch positive Seiten. Tracking dient nicht allein Firmen. Wir alle profitieren von der Analyse der Nutzungsdaten: Ohne Cookies könnte Amazon sich nicht merken, was ich in den virtuellen Einkaufswagen gelegt habe. Die Stiftung Warentest setzt sogar einen Cookie, um Cookies zu verhindern: Falls Sie dem Tracking durch die Firma Webtrekk auf test.de widersprechen, muss unsere Seite Sie beim nächsten Besuch wiedererkennen, um die Beobachtung auch wirklich abzuschalten. Diesen Job übernimmt ein Cookie.
Schwächen aufdecken. Die Nutzungsanalyse hilft auch, inhaltliche und technische Schwächen aufzuspüren und abzustellen: Wenn viele Nutzer eine Unterseite schon nach wenigen Sekunden verlassen, können Firmen daraus schließen, dass der Text zu lang oder zu kompliziert ist. Führt eine Unterseite wiederholt zum Browser-Absturz, deutet das auf einen technischen Fehler hin.
Bezahlen oder getrackt werden. Nicht zuletzt sorgt Tracking eben auch dafür, dass viele Dienste im Netz gratis sind. „Tracking und Werbung ermöglichen uns, große Teile unserer aufwendig recherchierten Informationen kostenfrei anzubieten“, teilte uns die Süddeutsche Zeitung mit. Wie viele andere Betreiber bietet sie Firmen an, auf ihrem Onlineportal Anzeigen zu schalten.
Fazit: Der Anreiz für Firmen, uns zu beobachten, lässt sich nur senken, wenn wir alle bereit sind, für ihre Dienste zu zahlen – genau wie in der Offline-Welt.
Was die Daten verraten
Männlich, ledig, jung sucht. Innerhalb eines Tages haben die Tracker viele Informationen über meine Nutzung von Apps und Seiten gesammelt. Dieses Wissen ermöglicht Tendenzaussagen: Firmen ziehen Schlussfolgerungen über mich und meine Interessen. Natürlich können sie mit ihren Vermutungen auch mal falsch liegen. Doch nach und nach ergibt sich aus den vielen kleine Puzzleteilen ein recht präzises Bild. Unsere Übersicht zeigt nur Teile dessen, was die Datensammler über mich erfahren haben.

© Stiftung Warentest
Was uns in Zukunft drohen könnte
Heute: Tracker können irren. Derzeit verwenden Unternehmen die gesammelten Daten vor allem für Werbezwecke. Mitunter finde ich es gruselig, wie genau online werbende Firmen mich zu kennen scheinen. Insgesamt aber halte ich personalisierte Anzeigen für eine eher harmlose Folge der Datensammelei. Problematischer wird es, wenn die Informationen zu Fehlschlüssen führen – etwa, wenn ein Mann regelmäßig einen Freund besucht, der zwei Stockwerke über einem Swinger-Club wohnt, Google Maps aber daraus schließt, dass er Stammgast im Sexclub ist. Seine Frau wäre angesichts der Markierung in der Karte vermutlich wenig begeistert.
Morgen: Manipulation statt Werbung. Unsere Daten wären auch für Scoring nutzbar: ein Punktesystem, bei dem jeder Bürger einen Wert erhält, der auf seinem On- und Offline-Verhalten sowie seiner finanziellen Lage basiert. Der Wert ist maßgeblich für Entscheidungen, ob Nutzer Kredite bekommen, für Hotelzimmer mehr zahlen müssen als andere, ob sie ihr Kind auf die bessere Schule schicken dürfen, ob sie Flugtickets kaufen oder beruflich befördert werden können. Das ist keine paranoide Horrorvorstellung, sondern in Teilen Chinas bereits Realität. „Soziales Kreditsystem“ heißt diese Methode der Verhaltensmanipulation dort.
Tipp: Was Sie gegen Tracking tun können, lesen Sie gratis in unserem Test Privatsphäre im Netz.
So sind wir vorgegangen
Im Test: Wir sichteten den Datenstrom von exemplarisch ausgewählten Portalen – 21 Android-Apps und 29 Websites – über einen zwischengeschalteten Server (Proxy, Man-in-the-middle-Attack). Falls möglich, lasen wir die von den Apps gesendeten Daten aus, entschlüsselten und analysierten sie. So ermittelten wir, ob die Apps nur Daten senden, die sie zum Funktionieren brauchen oder ob sie auch nicht zum Betrieb erforderliche Daten übertragen, etwa die Geräte-ID. Wir analysierten zudem alle Verbindungsanfragen der aufgerufenen Internetseiten.
-
- App-Tracking-Transparenz (ATT): So heißt die neue Funktion, mit der Apple iPhone-Besitzer vor Datenkraken schützen will. Leider hilft der Tracking-Schutz nur begrenzt.
-
- Cookies kennt fast jeder. Doch welche weiteren Methoden setzen Firmen ein, um Menschen on- und offline zu tracken? Und belauschen sie uns per Handy? test.de klärt auf.
-
- Amazon, Google, Apple, Microsoft und Facebook – die Enthüllungen der letzten Monate haben gezeigt: Wo sogenannte „künstliche Intelligenz“ zur Spracherkennung...
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Es gibt eine App, mit der man genau kontrollieren kann, welche App welche Server kontaktieren darf: Blokada: https://blokada.org Leider gibt es so etwas nicht für iOS.
@grischard: Wir haben bereits Ad- und Trackingblocker getestet. Blocker für den PC finden Sie hier: test.de/tracking. Anti-Tracking-Browser für Handy und Tablet finden Sie hier: test.de/privatsphaere (MG).
> Auch die Stiftung Warentest trackt. […] „Diese Daten dienen statistischen Zwecken. Sie helfen uns beispielsweise herauszufinden, […] welche weiteren Tests sich unsere Leser wünschen“
Wie wäre es mit einem Adblock-Test? Ich bin mit Nano Adblocker sehr zufrieden; damit werden auch zB auf test.de die Tracker von Webtrekk, Cookie-Informationen und Google Tag Manager ganz einfach und problemlos entfernt. Die Webseiten werden davon nicht nur mehr lesbar sondern auch schneller.
Die allumfassende Analyse von Nutzerdaten zur politischen Werbung und Beeinflussung durch Falschmeldungen hat die demokratische Grundordnung weltweit bereits erschüttert, wenn nicht sogar irreparabel beschädigt, dazu lesenswert einer Analyse der Kollegen bei der englischen Ausgabe von Buzzfeed. Extremismus, Radikalität und Hass lässt sich über diese Profile verbreiten und per Algorithmus verstärken. Schöne neue Welt? Wir leben bereits drin!
@möchtewissen: Der Bundestrojaner muss gut sein. Kommt ja vom Staat. Und der würde ja niemals etwas Schlimmes tun. Nie! Hier bei SW darf man dazu allerdings nichts Substanzielles oder gar Kritisches erwarten.
@Thorsten.Maverick: Eine mögliche Empfehlung für sie könnte der BRave Browser sein - unter Android und iOS (sowie PC).