Schlagwort: Do Not Track
22. Juli 2013
Mit einem im Juni eingereichten Änderungsvorschlag versuchte die DAA (Digital Advertising Alliance) einmal mehr die Entwicklung des Do Not Track Standards durch dasW3C (Standardisierungsgremium für das Worl Wide Web) im Sinne der Online-Werbewirtschaft zu beeinflussen. Dabei wurde unter anderem eine enge Definition des Tracking Begriffs sowie ein Ampelsystem zu internen Behandlung von Daten, die durch Tracking gesammelt wurden, vorgeschlagen.
Die Tracking Protection Working Group des W3C hat dem Angebot der Werbewirtschaft jedoch eine Absage erteilt und führt aus, dass der DAA Vorschlag
- das DNT Signal nicht nutze, um einen Do Not Target oder Do Not Collect Ansatz zu verwirklichen.
- keine deutliche Verbesserung des Status Quo darstelle.
- das Retargeting und die Profilbildung wie bisher fortführe und sich einzig Auswirkungen auf die Handhabung der Daten durch die Werbewirtschaft habe.
Damit bleibt abzuwarten, ob und wie der Standardisierungsprozess fortschreitet.
25. Februar 2013
Wie Jonathan Mayer, einer der Entwickler des populären Firefox Browsers, in einem Blogeintrag mitteilte, wird Firefox ab Version 22 in der Standardeinstellung nur noch sogenannte First-Party Cookies akzeptieren. Dabei handelt es sich um Cookies, welche von der explizit aufgerufenen Website gesetzt werden. Im Gegensatz dazu spricht man von Third-Party Cookies, wenn ein externer Dienstleister beim Aufruf einer anderen Website Cookies beim Nutzer hinterlegt. Solche Third-Party Cookies sollen in Zukunft nicht mehr durch den Firefox akzeptiert werden.
Für die Werbebranche stellt ein solches Vorgehen eine durchaus relevante Einschränkung dar, da einige der gängigen Trackingverfahren unter diesen Umständen nicht mehr funktionieren. Mike Zanei, seines Zeichens Leiter der Rechtsabteilung bei dem Internet Advertising Bureau (einer Lobbyvereinigung der Werbewirtschaft), bezeichnete das Vorhaben der Firefox Entwickler daher auch recht drastisch als “ersten Nuklearschlag gegen die Werbewirtschaft”.
Mayer weist hingegen in dem angesprochen Blogbeitrag darauf hin, dass die neue Firefox Haltung nichts weiter sei, als eine “entspannte Version” dessen, was Apples Safari bereits seit mehr als einer Dekade so umsetze. Für die Zukunft kann Mayer sich jedoch vorstellen, den strikten Umgang mit Cookies auf andere Speichertechniken, wie HTML5 Web Storage, auszuweiten.
Zwischen den Zeilen lässt sich herauslesen, dass die Verwässerung und Missachtung des von Mozilla initiierten Do Not Track Ansatzes Anlass für den strengeren Umgang mit Cookies sein könnte. So zieht Mayer Ausnahmen von der generellen Ablehnung von Third-Party Cookies für solche Seiten in Betracht, die den Do Not Track Ansatz honorieren.
4. Februar 2013
Unter dem Titel “Mobile Privacy Disclosures – Building Trust Through Transparency” hat die US-Handelsaufsicht FTC eine Broschüre veröffentlicht, in welcher sie zentrale Forderungen zum Umgang mit Nutzerdaten im mobilen Umfeld formuliert.
An die Betriebssystem Hersteller (z.B. Blackberry mit Blackberry 10, Google mit Android, Apple mit iOS etc.) richten sich folgende Forderungen:
- Nutzer sollten explizit benachrichtigt und um Zustimmung gefragt werden, bevor auf sensible Daten wie Standortinformationen zugegriffen wird.
- Fotos, Kontaktdaten, Kalenderdaten und die Aufzeichnungsfunktionen der Geräte hält die FTC für etwas weniger schützenswert: In diesem Kontext sollten Betriebssystemhersteller nur überlegen, die soeben genannten Benachrichtigungen und Abfragen einzuführen.
- Es sollte eine einheitliche Übersicht geschaffen werden, die es den Nutzern ermöglicht, schnell zu überblicken, auf welche Inhalte Apps zugreifen können.
- Die Schaffung eines einheitlichen Symbols, welches auf die Übertragung persönlicher Daten hinzuweist, sei anzudenken.
- Die Betriebssystem-Hersteller sollten Best-Practise Ansätze fördern und gegenüber den Nutzern öffentlich machen, welche Prüfkriterien die Apps vor der Aufnahme in die jeweiligen Stores durchlaufen.
- Der Do Not Track Ansatz sollte auf Betriebssystemebene verankert werden [Anmerkung: Bisher bieten ausschließlich vereinzelte Browser wie der Firefox für Android diese Funktion]
Mit einem zweiten Forderungskatalog wendet sich die FTC an Hersteller von Apps:
- Diese sollten eine einfach abrufbare Datenschutzrichtlinie bereitstellen, welche im besten Fall über die Stores der Betriebssystem-Hersteller abrufbar sein sollte.
- Solange keine explizite Benachrichtigungs- und Zustimmungsroutinen durch das Betriebssystem bereitstehen, solle dies durch die Hersteller für die jeweiligen Apps gewährleistet werden.
- Es sei zu überlegen, Selbstregulierungsgremien, Industrieorganisationen etc. beizutreten, die Unterstützung bei der Entwicklung einheitlicher, kurzer Datenschutzerklärungen böten.
- Die Kommunikation mit Werbenetzwerken sollte verbessert werden, damit die App-Hersteller die Third-Party-Tools, die sie in ihre Apps einbauen, besser verstehen und die Nutzer entsprechend informieren könnten.
Auch an die Werbeindustrie richtet sich die FTC und fordert, spiegelbildlich zum letztgenannten Punkt, die Kommunikation mit den App-Herstellern zu verbessern. Weiterhin sollte auch die Werbebranche dazu beitragen, die effektive Durchsetzung von Do-Not-Track auf mobilen Geräten zu ermöglichen.
Letzten Endes adressiert die FTC auch Zusammenschlüsse von App-Herstellern, die Lehre, Datenschutzexperten und Usability-Experten mit folgenden Anregungen:
- Es sollten kurze Datenschutzerklärungen entwickelt werden.
- Es müssten standardisierte Wege vorangetrieben werden, die es Nutzern ermöglichten, über App Grenzen hinweg den Umgang mit Daten zu vergleichen.
- App-Hersteller müssten für Datenschutzbelange sensibilisiert werden.
Ausgangspunkt sämtlicher vorgenannten Punkte sind drei Grundforderungen:
- Privacy by Design: Unternehmen sollten in jedem Entwicklungsstadium den Datenschutzbelange berücksichtigen.
- Eine einfache Wahl für Nutzer: Zum relevanten Zeitpunkt und im relevanten Kontext sollten die Nutzer um eine Einwilligung gebeten werden.
- Größere Transparenz: Die Unternehmen sollten Details über die Erhebung und Verwendung von Nutzerdaten offenlegen.
Insgesamt lässt sich festhalten, dass die gesammelten Vorschläge allesamt gut und vernünftig klingen; einzig krankt es daran, dass es sich nur um nichtverbindliche Ausführungen handelt, zu deren Umsetzung keine der angesprochenen Gruppen verpflichtet ist. Nichtsdestotrotz ist zu hoffen, dass einige der Vorschläge in Zukunft umgesetzt werden. Teilweise wird dies bereits heute schon getan: Android informiert vor Installation einer App über die von der App angeforderten Berechtigungen, wohingegen iOS beim Zugriff auf bestimmte Daten (Kontakte, Ortsinformationen etc.) eine explizite Einwilligung verlangt. Beide Systeme bieten heute schon die Möglichkeit, zumindest das herstellereigene Werbetracking zu deaktivieren. [Android: Einstellungen > Konten > Google > Anzeigen – iOS: Einstellungen > Allgemein > Info > Werbung oder oo.apple.com per Browser aufrufen)
27. November 2012
Mit Version 23 hat Googles Chrome Browser, welcher vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Grund der Sandbox-Technologie und der Auto-Updates für sicheres Surfen empfohlen wird, endlich auch in puncto Datenschutz zu anderen Mitbewerbern aufgeschlossen und die Do Not Track Funktion integriert.
Diese Funktion ist in den Voreinstellungen des Browsers jedoch deaktiviert. Um DNT zu aktivieren, muss der Nutzer das Menü aufrufen, dort den Punkt „Einstellungen“ wählen, am unteren Ende der Seite auf „Erweiterte Einstellungen anzeigen…“ klicken und schließlich einen Haken bei „Mit Browserzugriffen eine “Do Not Track”-Anforderung senden“ setzen.
Eine ebenfalls auf dem Chromium Quellcode aufsetzende Alternative zu Chrome ist der von deutschen Firma SRWare veröffentlichte Iron Browser. Hauptdifferenzierungsmerkmal zwischen Chrome und Iron sind die erweiterten Datenschutzfunktionen von Iron. So sind die Installations-ID und alle automatischen Datenübermittlungen zu Google (und anderen Servern) in Iron nicht enthalten. Kehrseite der Medaille ist allerdings, dass der Browser mangels Kontakt mit dem Server des Herstellers, auch keine Auto-Update Funktion besitzt.
29. Oktober 2012
Vergangene Woche wurde Windows 8 von Microsoft veröffentlicht. Bestandteil des Betriebssystems ist auch der Internet Explorer 10. Dies ist insofern erwähnenswert, dass der Internet Explorer 10 der erste Browser ist, der die Do Not Track (DNT) Kennung per Voreinstellung aktiviert hat. Dieser Umstand wurde bereits im Vorfeld der Veröffentlichung kontrovers diskutiert.
Yahoo! hat auf Microsofts Vorstoß nun derart reagiert, dass vom Internet Explorer 10 gesendete Do Not Track Signale ignoriert werden. Begründet wird dies mit dem Schutz der Nutzerinteressen. Die Yahoo! Nutzer seien daran gewöhnt, maßgeschneiderte Angebote, wie örtliches Wetter, Sportergebnisse, Aktienkurse oder auch Werbungen auf der Seite zu erhalten. Zum Schutz dieses personalisierten Nutzererlebnisses sei es nicht hinnehmbar, dass Microsoft einseitig entscheide, das Do Not Track Signal zu aktivieren. Hierin liege keine Entscheidung des Nutzers, sondern ausschließlich des Browserherstellers.
Nichtsdestotrotz bekräftigt Yahoo! seine grundsätzliche Unterstützung des DNT Ansatzes, solange dabei Nutzerinteressen und nicht die Auffassung von Browserherstellern, Plug-In-Schreibern oder sonstigen Dritten abgebildet würden.
Zu bedenken ist, dass von der Entscheidung Yahoo!s auch solche Nutzer des Internet Explorer 10 betroffen sind, die sich bewusst für die Do Not Track Option entscheiden wollen, da es nicht möglich ist zu unterscheiden, ob das Do Not Track Signal als Voreinstellung oder auf Veranlassung des Nutzers gesendet wird. Trotz des Lippenbekenntnisses zum DNT Ansatz versagt Yahoo! den Nutzern des Internet Explorer 10 somit generell diese Möglichkeit sich gegen Tracking zur Wehr zu setzen, anstatt denjenigen, die tatsächlich verfolgt werden wollen, zuzutrauen, die entsprechende Option zu aktivieren.
Die Haltung Yahoo!s dient damit als geradezu exemplarisches Beispiel für die Befürchtungen europäischer Datenschützer, dass der Do Not Track Ansatz verwässert werden könne, oder durch ein selbstreguliertes Vorgehen im Rahmen des W3C nicht zum Erfolg geführt werden könne.
15. Oktober 2012
Die für die digitale Agenda zuständige EU Kommissarin Neelie Kroes hat bei einer Rede am 11.10.2012 vor dem Centre for European Policy Studies ihren Befürchtungen Ausdruck verliehen, dass der “Do Not Track (DNT)” Ansatz im Rahmen der Standardisierung verwässert werden könnte.
Zu Beginn ihrer Rede bekräftigte Kroes, dass DNT ein allgemeingültiger Mechanismus sein könne, um eine Einwilligung, oder das Fehlen einer Einwilligung, zu kommunizieren. Weiterhin sei positiv zu vermerken, dass einige Browserhersteller schnell auf den DNT Zug aufgesprungen seien.
Dann kommt Kroes jedoch darauf zu sprechen, dass die Standardisierung nicht nach Plan verlaufe und führt drei Punkte aus, auf die ein besonderes Augenmerk zu legen sei:
- Die Nutzer müssten bei Installation oder Erstbenutzung der Browsersoftware auf die Standardeinstellungen hingewiesen werden und die Möglichkeit erhalten, diese zu ändern, weil man ansonsten nicht von einer informierten Wahl sprechen könne.
- Der DNT Standard dürfe es Websites nicht erlauben, die Intention der Nutzer zu hinterfragen oder zu missachten. Insbesondere finde sie die Meldungen verstörend, dass Berichten zufolge ein populärer Webserver die Möglichkeit einführen wolle, das DNT Flag zu überschreiben.
- Die Ausnahmen davon, was ohne Einwilligung möglich sei, müssten begrenzt bleiben. Die momentan in Rede stehenden Vorschläge seien jedoch extrem weit gefasst. An dieser Stelle zitierte Kroes den FTC Vorsitzenden Jon Leibowitz, der in diesem Zusammenhang von Schlupflöchern sprach, durch die ein virtueller Truck fahren könne.
Weiterhin führte Kroes aus, dass alle Beteiligten ein Interesse an einem starken DNT Standard haben müssten, um Insellösungen zu vermeiden. Besonders ging sie dabei auch auf US-amerikanische Werbeunternehmen ein, die „nach unseren [europäischen] Regeln spielen“ müssten, wenn sie europäische Nutzer tracken wollten. Insofern brächte eine Aufweichung des DNT Standards nichts, wenn dieser dann nicht mehr ausreiche, um die Einhaltung geltender gesetzlicher Anforderungen sicherzustellen. Sie stellte klar, dass in jedem Fall die geltenden Regeln bezüglich der Einwilligungserfordernisse bei Cookies durchgesetzt würden, und ein somit ein Fehlschlag des DNT Standards in niemandes Interesse liegen könne.
Kroes fasste daher zusammen, dass ein nicht ausreichender DNT Standard für alle Beteiligten einen Verlust darstellte:
- Die Nutzer verlören eine einfache Möglichkeit ihre Privatsphäre zu schützen
- Die Websitebetreiber verlören einen einfachen und nutzerfreundlichen Weg, die Einwilligungserfordernisse umzusetzen
- Dies würde letzten Endes auch den Interessen der Werbenden zuwiderlaufen
Um die Problematik weiterzuverfolgen, kündigte Kroes an, das Thema auf die Agenda der nächsten Sitzung der Artikel 29 Gruppe zu setzen.
26. Juni 2012
Wie bereits vor Kurzem dargestellt, erntete Microsoft für die Ankündigung, beim Internet Explorer 10 die “Do Not Track” Funktion (DNT) in der Standardeinstellung zu aktivieren, reichlich Kritik. Teilweise wird diese Kritik damit begründet, dass Microsoft mit diesem Vorgehen gegen den Standardisierungsentwurf für die “Do Not Track” Technik verstoße. Der aktuellste Entwurf des W3C sieht insofern explizit vor, dass die Technik bei gewöhnlichen Browsern im Auslieferungszustand deaktiviert sein muss.
Robert Madelin, der die Generaldirektion Informationsgesellschaft und Medien (ab 1.7.2012: Generaldirektion für Kommunikationsnetze, Inhalte und Technologien) der Europäischen Kommission leitet, hat daraufhin einen offenen Brief an das W3C geschrieben, in welchem er anmahnt, dass der Standard überhaupt keine Aussage enthalten solle, ob DNT per Voreinstellung (de)aktiviert sein müsse. Weiterhin betont er, dass der “Do Not Track” Standard alsbald möglich umgesetzt werden müsse und die Nutzer bei der Installation oder dem ersten Start der Browser über die Reichweite der DNT Technik umfassend informiert werden müssten.
Auch in der US-amerikanischen Politik hat Microsofts Ankündigung einige Reaktionen ausgelöst: Auf der einen Seite bitten die Senatoren Edward Markey (Demokrat) und Joe Barton (Republikaner), die eine Arbeitsgruppe des Kongresses zur Privatsphäre leiten, die Mitglieder des W3C-Konsortiums um Unterstützung für Microsofts Vorstoß. Auf der anderen Seite lehnt J. Thomas Rosch, der Mitglied der FTC (US-Handelskommission) ist, Microsofts Vorgehen ab. Dies begründet Rosch damit, dass bei einem solchen Vorgehen die Entscheidung nicht mehr beim Nutzer verbleibe, sondern von Microsoft getroffen würde.
