Schlagwort: Tracking

Firefox wird in Zukunft Tracking-Cookies ablehnen

25. Februar 2013

Wie Jonathan Mayer, einer der Entwickler des populären Firefox Browsers, in einem Blogeintrag mitteilte, wird Firefox ab Version 22 in der Standardeinstellung nur noch sogenannte First-Party Cookies akzeptieren. Dabei handelt es sich um Cookies, welche von der explizit aufgerufenen Website gesetzt werden. Im Gegensatz dazu spricht man von Third-Party Cookies, wenn ein externer Dienstleister beim Aufruf einer anderen Website Cookies beim Nutzer hinterlegt. Solche Third-Party Cookies sollen in Zukunft nicht mehr durch den Firefox akzeptiert werden.

Für die Werbebranche stellt ein solches Vorgehen eine durchaus relevante Einschränkung dar, da einige der gängigen Trackingverfahren unter diesen Umständen nicht mehr funktionieren. Mike Zanei, seines Zeichens Leiter der Rechtsabteilung bei dem Internet Advertising Bureau (einer Lobbyvereinigung der Werbewirtschaft), bezeichnete das Vorhaben der Firefox Entwickler daher auch recht drastisch als „ersten Nuklearschlag gegen die Werbewirtschaft“.

Mayer weist hingegen in dem angesprochen Blogbeitrag darauf hin, dass die neue Firefox Haltung nichts weiter sei, als eine „entspannte Version“ dessen, was Apples Safari bereits seit mehr als einer Dekade so umsetze. Für die Zukunft kann Mayer sich jedoch vorstellen, den strikten Umgang mit Cookies auf andere Speichertechniken, wie HTML5 Web Storage, auszuweiten.

Zwischen den Zeilen lässt sich herauslesen, dass die Verwässerung und Missachtung des von Mozilla initiierten Do Not Track Ansatzes Anlass für den strengeren Umgang mit Cookies sein könnte. So zieht Mayer Ausnahmen von der generellen Ablehnung von Third-Party Cookies für solche Seiten in Betracht, die den Do Not Track Ansatz honorieren.

FTC veröffentlicht Forderungen zum Datenschutz bei mobilen Systemen

4. Februar 2013

Unter dem Titel „Mobile Privacy Disclosures – Building Trust Through Transparency“ hat die US-Handelsaufsicht FTC eine Broschüre veröffentlicht, in welcher sie zentrale Forderungen zum Umgang mit Nutzerdaten im mobilen Umfeld formuliert.

An die Betriebssystem Hersteller (z.B. Blackberry mit Blackberry 10, Google mit Android, Apple mit iOS etc.) richten sich folgende Forderungen:

  • Nutzer sollten explizit benachrichtigt und um Zustimmung gefragt werden, bevor auf sensible  Daten wie Standortinformationen zugegriffen wird.
  • Fotos, Kontaktdaten, Kalenderdaten und die Aufzeichnungsfunktionen der Geräte hält die FTC für etwas weniger schützenswert: In diesem Kontext sollten Betriebssystemhersteller nur überlegen, die soeben genannten Benachrichtigungen und Abfragen einzuführen.
  • Es sollte eine einheitliche Übersicht geschaffen werden, die es den Nutzern ermöglicht, schnell zu überblicken, auf welche Inhalte Apps zugreifen können.
  • Die Schaffung eines einheitlichen Symbols, welches auf die Übertragung persönlicher Daten hinzuweist, sei anzudenken.
  • Die Betriebssystem-Hersteller sollten Best-Practise Ansätze fördern und gegenüber den Nutzern öffentlich machen, welche Prüfkriterien die Apps vor der Aufnahme in die jeweiligen Stores durchlaufen.
  • Der Do Not Track Ansatz sollte auf Betriebssystemebene verankert werden [Anmerkung: Bisher bieten ausschließlich vereinzelte Browser wie der Firefox für Android diese Funktion]

Mit einem zweiten Forderungskatalog wendet sich die FTC an Hersteller von Apps:

  • Diese sollten eine einfach abrufbare Datenschutzrichtlinie bereitstellen, welche im besten Fall über die Stores der Betriebssystem-Hersteller abrufbar sein sollte.
  • Solange keine explizite Benachrichtigungs- und Zustimmungsroutinen durch das Betriebssystem bereitstehen, solle dies durch die Hersteller für die jeweiligen Apps gewährleistet werden.
  • Es sei zu überlegen, Selbstregulierungsgremien, Industrieorganisationen etc. beizutreten, die Unterstützung bei der Entwicklung einheitlicher, kurzer Datenschutzerklärungen böten.
  • Die Kommunikation mit Werbenetzwerken sollte verbessert werden, damit die App-Hersteller die Third-Party-Tools, die sie in ihre Apps einbauen, besser verstehen und die Nutzer entsprechend informieren könnten.

Auch an die Werbeindustrie richtet sich die FTC und fordert, spiegelbildlich zum letztgenannten Punkt, die Kommunikation mit den App-Herstellern zu verbessern. Weiterhin sollte auch die Werbebranche dazu beitragen, die effektive Durchsetzung von Do-Not-Track auf mobilen Geräten zu ermöglichen.

Letzten Endes adressiert die FTC auch Zusammenschlüsse von App-Herstellern, die Lehre, Datenschutzexperten und Usability-Experten mit folgenden Anregungen:

  • Es sollten kurze Datenschutzerklärungen entwickelt werden.
  • Es müssten standardisierte Wege vorangetrieben werden, die es Nutzern ermöglichten, über App Grenzen hinweg den Umgang mit Daten zu vergleichen.
  • App-Hersteller müssten für Datenschutzbelange sensibilisiert werden.

Ausgangspunkt sämtlicher vorgenannten Punkte sind drei Grundforderungen:

  1. Privacy by Design: Unternehmen sollten in jedem Entwicklungsstadium den Datenschutzbelange berücksichtigen.
  2. Eine einfache Wahl für Nutzer: Zum relevanten Zeitpunkt und im relevanten Kontext sollten die Nutzer um eine Einwilligung gebeten werden.
  3. Größere Transparenz:  Die Unternehmen sollten Details über die Erhebung und Verwendung von Nutzerdaten offenlegen.

Insgesamt lässt sich festhalten, dass die gesammelten Vorschläge allesamt gut und vernünftig klingen; einzig krankt es daran, dass es sich nur um nichtverbindliche Ausführungen handelt, zu deren Umsetzung keine der angesprochenen Gruppen verpflichtet ist. Nichtsdestotrotz ist zu hoffen, dass einige der Vorschläge in Zukunft umgesetzt werden. Teilweise wird dies bereits heute schon getan: Android informiert vor Installation einer App über die von der App angeforderten Berechtigungen, wohingegen iOS beim Zugriff auf bestimmte Daten (Kontakte, Ortsinformationen etc.) eine explizite Einwilligung verlangt. Beide Systeme bieten heute schon die Möglichkeit, zumindest das herstellereigene Werbetracking zu deaktivieren. [Android: Einstellungen > Konten > Google > Anzeigen – iOS: Einstellungen > Allgemein > Info > Werbung oder oo.apple.com per Browser aufrufen)

 

Facebook installiert neues Tracking-Verfahren

Eines der datenschutzrechtlich relevantesten Verfahren hinsichtlich der Effektuierung von kundenspezifischer Werbung ist das sogenannte Tracking. Dabei werden Tracking-Cookies verwendet, kleine Datenmengen, die sich beim Surfen auf einer Seite auf dem Rechner ablegen, ohne dass der Nutzer hiervon zumeist Kenntnis nimmt. Diese ermöglichen dem Werbetreibenden, den Nutzer auf danach besuchten Seiten wieder zu erkennen und dementsprechende werberelevante Rückschlüsse auf dessen Interessen zu schließen. Mittlerweile, wohl auch aufgrund der fortschreitenden datenschutzrechtlichen Sensibilisierung der Nutzer, bestehen einfach zu bedienende Maßnahmen zur Löschung oder Sperrung dieser Cookies.

Das marktführende soziale Netzwerk Facebook hat nun nach einem Bericht von heise.de eine neue Methode mit dem Namen „Optimized CPM“ installiert, die diese Maßnahmen potentiell umgehen kann. Das neue Tracking soll über die Facebook-ID stattfinden und so die vorhandenen Sicherungsmaßnahmen gegen Cookies faktisch ins Leere laufen lassen. Denn im Gegensatz zu den Lösch- und Sperrmöglichkeiten hinsichtlich der Cookies, bestehen diese für die Facebook-ID nicht. So können Nutzer auch browser- oder endgeräteübergreifend identifiziert werden. Facebook erhofft sich durch diese Neuerung, den Werbekunden noch detailliertere Informationen über das Surfverhalten der Nutzer zur Verfügung stellen zu können. Die neue Methode lässt zudem erkennen, welche Handlungen Facebook-User nach dem Klick auf eine Anzeige bei Facebook vornehmen. Der Werbekunde kann so erkennen, ob die von ihm geschaltete Werbung zu den erwünschten Reaktionen der Kunden führt.

Facebook ist dabei jedoch auf die „Mitwirkung“ seiner Nutzer angewiesen. Denn loggt sich ein User, entgegen der nach Angaben von Facebook üblichen Praxis, nach Beendigung seiner Nutzung aus dem Social-Network aus, ist eine weitere Verfolgung ausgeschlossen.

Drawbridge will Tracking und Retargeting über Gerätegrenzen hinweg ermöglichen

22. Januar 2013

Das Start-Up Drawbridge möchte Retargeting auf einem ganz neuen Niveau ermöglichen, indem es Nutzer geräteübergreifend verfolgt. So soll das Dillema der Werbebranche gelöst werden, dass sich die Internetnutzung zunehmend von PC und Notebook hin zu Smartphones und Tablets verlagert. Die Geschäftsidee, welche Drawbridge selbst alst Neuerfindung der mobilen Werbung bezeichnet, stößt auf reges Interesse, so dass bereits 6,5 Millionen US-Dollar Risikokapital und ein Team an erfahrenen Mitarbeitern gewonnen werden konnte.

Kern des Drawbridge Systems ist ein Algorithmus, der die Brücke von stationären zu mobilen Geräten schlägt. Was wie ein wahrgewordener Traum für die Werbeindustrie scheint, muss für Datenschützer wie ein Alptraum anmuten. Sivaramakrishnan, die Gründerin und CEO von Drawbridge, betont jedoch, dass für Drawbridge nur Cookies mit anonymisierten Informationen (Art des Browsers, abgerufene Website und Zeit des Besuchs) verwendet werden. Ein Fingerprinting, welches es ermöglicht, einzelne Geräte genau zu identifizieren, soll gerade nicht zum Einsatz kommen. Stattdessen sollen statistische Verfahren zum Einsatz kommen, die durch eine Triangulation des Nutzerverhaltens zu einer Eingrenzung des Nutzers führen sollen. Liegt eine bestimmte Wahrscheinlichkeit vor, dass es sich um ein und denselben Nutzer handeln könnte, werden die Zugriffe von verschiedenen Geräten einem Nutzer zugeordnet. Aktuell will Drawbridge die Grenzen von fast 400 Millionen Geräten mit Hilfe seines Algorithmus überbrückt haben.

Während Eric Picard, seines Zeichens selbst Chef eines Werbe-Start-ups (Rare Crowds), die Drawbridge-Technik für einen vielversprechenden Ansatz hält und einen Bedarf am Markt dafür sieht, bezweifelt er jedoch, dass die Nutzerprofile dabei anonym bleiben könnten.

USA: Microsoft und NYPD gehen gemeinsam auf Verbrecherjagd

17. Dezember 2012

Microsoft und der New Yorker Polizeidienst (NYPD) haben, um die polizeiliche Gefahrenabwehr effektiver auszugestalten,  ein neues elektronisches System namens Domain Awareness System  eingeführt, das die 3.000 Überwachungskameras in Lower Manhattan mit Straßenkarten, Verbrechensregistern und den Notrufnummern verbindet. Zweck sei eine Verbesserung sowohl der repressiven als auch der präventiven polizeilichen Arbeit.

Durch die Einführung des Systems entstehe die Möglichkeit, dass das Bewegungsprofil von den in der Vergangenheit auffällig gewordenen Kraftfahrzeugen verfolgt, beobachtet und aufgezeichnet werde. Die Speicherung, so die amerikanische Presse, sei für eine Dauer von Wochen und mehreren Monate möglich.

Das elektronische System enthalte auch Sensoren, um radioaktive Stoffe orten und somit dem internationalen Terrorismus entgegensteuern zu können.

Geplant sei, dass das System auch von anderen amerikanischen Städten erworben werden könne. New York erhalte dreißig Prozent der erzielten Verkaufseinnahmen.

Letztendlich kann man in Deutschland aus datenschutzrechtlicher Sicht nur hoffen, dass die Einführung solcher Systeme nicht über den Atlantik schwappen und die bereits in großer Anzahl vorhandenen städtischen Überwachungskameras in Deutschland nicht noch mit Straf- und Ermittlungsakten der Strafverfolgungsbehörden verknüpft werden.

 

 

Chrome 23 integriert Do Not Track Unterstützung

27. November 2012

Mit Version 23 hat Googles Chrome Browser, welcher vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Grund der Sandbox-Technologie und der Auto-Updates für sicheres Surfen empfohlen wird, endlich auch in puncto Datenschutz zu anderen Mitbewerbern aufgeschlossen und die Do Not Track Funktion integriert.

Diese Funktion ist in den Voreinstellungen des Browsers  jedoch deaktiviert. Um DNT zu aktivieren, muss der Nutzer das Menü aufrufen, dort den Punkt „Einstellungen“ wählen, am unteren Ende der Seite auf „Erweiterte Einstellungen anzeigen…“  klicken und schließlich einen Haken bei „Mit Browserzugriffen eine „Do Not Track“-Anforderung senden“ setzen.

Eine ebenfalls auf dem Chromium Quellcode aufsetzende Alternative zu Chrome ist der von deutschen Firma SRWare veröffentlichte Iron Browser. Hauptdifferenzierungsmerkmal zwischen Chrome und Iron sind die erweiterten Datenschutzfunktionen von Iron. So sind die Installations-ID und alle automatischen Datenübermittlungen zu Google (und anderen Servern) in Iron nicht enthalten. Kehrseite der Medaille ist allerdings, dass der Browser mangels Kontakt mit dem Server des Herstellers, auch keine Auto-Update Funktion besitzt.

Umstrittene Selbstregulierungseinrichtung der Online-Werbewirtschaft gegründet

20. November 2012

Unter dem klangvollen Namen „Deutscher Datenschutzrat Online-Werbung (DDOW)“ hat die deutsche Online-Werbewirtschaft eine Selbstregulierungseinrichtung für nutzungsbasierte Online-Werbung („Online Behavioral Advertising“ oder kurz: OBA) aus der Taufe gehoben. Hierbei handelt es sich nicht um eine einzigartige Initiative der deutschen Online-Werber, sondern um eine konzertierte Aktion der gesamten europäischen Werbewirtschaft. Dementsprechend gibt es auch ein europäisches Gegenstück zum DDOW, die „European Interactive Digital Advertising Alliance (EDAA)“.

Die neue Initiative stellt eine Fortführung der Bestrebungen dar, den europarechtlichen Vorgaben zu genügen. Bisherige Vorstöße des Internet Advertising Bureau (IAB) und der European Advertising Standards Alliance (EASA) wurden den strengen Anforderungen der Artikel-29-Gruppe jedoch nicht gerecht. Nichtsdestotrotz setzt die Werbewirtschaft den eingeschlagenen Kurs fort und verweist auch bei der neuen Initiative wieder auf Prinzipien, die bereits 2011 die Europäischen Datenschützer besänftigen sollten. Daher ist es wenig verwunderlich, dass die Online-Werbebranche für diese Initiative abermals Kritik einstecken muss. So sieht die Digitale Gesellschaft e.V. in den neuerlichen Bestrebungen nicht mehr als einen Versuch die „Europäischen Datenschutzregeln möglichst stark zu verwässern.“

EU-Kommissarin fürchtet Verwässerung des Do Not Track Ansatzes

15. Oktober 2012

Die für die digitale Agenda zuständige EU Kommissarin Neelie Kroes hat bei einer Rede am 11.10.2012 vor dem Centre for European Policy Studies ihren Befürchtungen Ausdruck verliehen, dass der „Do Not Track (DNT)“ Ansatz im Rahmen der Standardisierung verwässert werden könnte.

Zu Beginn ihrer Rede bekräftigte Kroes, dass DNT ein allgemeingültiger Mechanismus sein könne, um eine Einwilligung, oder das Fehlen einer Einwilligung, zu kommunizieren. Weiterhin sei positiv zu vermerken, dass einige Browserhersteller schnell auf den DNT Zug aufgesprungen seien.

Dann kommt Kroes jedoch darauf zu sprechen, dass die Standardisierung nicht nach Plan verlaufe und führt drei Punkte aus, auf die ein besonderes Augenmerk zu legen sei:

  1. Die Nutzer müssten bei Installation oder Erstbenutzung der Browsersoftware auf die Standardeinstellungen hingewiesen werden und die Möglichkeit erhalten, diese zu ändern, weil man ansonsten nicht von einer informierten Wahl sprechen könne.
  2. Der DNT Standard dürfe es Websites nicht erlauben, die Intention der Nutzer zu hinterfragen oder zu missachten. Insbesondere finde sie die Meldungen verstörend, dass Berichten zufolge ein populärer Webserver die Möglichkeit einführen wolle, das DNT Flag zu überschreiben.
  3. Die Ausnahmen davon, was ohne Einwilligung möglich sei, müssten begrenzt bleiben. Die momentan in Rede stehenden Vorschläge seien jedoch extrem weit gefasst. An dieser Stelle zitierte Kroes den FTC Vorsitzenden Jon Leibowitz, der in diesem Zusammenhang von Schlupflöchern sprach, durch die ein virtueller Truck fahren könne.

Weiterhin führte Kroes aus, dass alle Beteiligten ein Interesse an einem starken DNT Standard haben müssten, um Insellösungen zu vermeiden. Besonders ging sie dabei auch auf US-amerikanische Werbeunternehmen ein, die „nach unseren [europäischen] Regeln spielen“ müssten, wenn sie europäische Nutzer tracken wollten. Insofern brächte eine Aufweichung des DNT Standards nichts, wenn dieser dann nicht mehr ausreiche, um die Einhaltung geltender gesetzlicher Anforderungen sicherzustellen. Sie stellte klar, dass in jedem Fall die geltenden Regeln bezüglich der Einwilligungserfordernisse bei Cookies durchgesetzt würden, und ein somit ein Fehlschlag des DNT Standards in niemandes Interesse liegen könne.

Kroes fasste daher zusammen, dass ein nicht ausreichender DNT Standard für alle Beteiligten einen Verlust darstellte:

  • Die Nutzer verlören eine einfache Möglichkeit ihre Privatsphäre zu schützen
  • Die Websitebetreiber verlören einen einfachen und nutzerfreundlichen Weg, die Einwilligungserfordernisse umzusetzen
  • Dies würde letzten Endes auch den Interessen der Werbenden zuwiderlaufen

Um die Problematik weiterzuverfolgen, kündigte Kroes an, das Thema auf die Agenda der nächsten Sitzung der Artikel 29 Gruppe zu setzen.

Ebooks: Neue Software trackt Nutzung

18. September 2012

Wie die Technology Review in ihrer Onlineausgabe berichtete, hat das US-amerikanische Unternehmen Hiptype eine Analysesoftware entwickelt, mit der Verlage die Nutzung der eigens angebotenen Ebooks zu Marketingzwecken überwacht und so das Nutzerverhalten detailliert nachvollziehbar darstellen kann. Erkennbar wird dadurch u.a., wo der Nutzer zu lesen beginnt, wo er die Lektüre beendet, welche Zitate unter den Nutzern getauscht werden und welche Kaufentscheidungen anschließend getätigt werden. Dabei bleibt die Software nicht nur den großen Verlägen vorbehalten und die Preispolitik transparent. Selbstverleger können für knapp 20 US-Dollar pro Buch und Monat bis zu 1000 Leser tracken und so aufschlussreiche Daten erlangen, wobei das Tracking des ersten Buches kostenlos ist. Für Verlage veranschlagt Hiptype 100 US-Dollar für bis zu 500.000 Leser pro Buch. Den getrackten Nutzern steht laut Aussagen von Hiptype jedoch frei, sich nachträglich aus dem Tracking löschen zu lassen. Zudem würden die Daten nur anonymisiert gespeichert.

Kategorien: Online-Datenschutz
Schlagwörter: , ,

Microsoft erhält Unterstützung durch die EU bezüglich voreingestelltem „Do Not Track“ Header

26. Juni 2012

Wie bereits vor Kurzem dargestellt, erntete Microsoft für die Ankündigung, beim Internet Explorer 10 die „Do Not Track“ Funktion (DNT) in der Standardeinstellung zu aktivieren, reichlich Kritik. Teilweise wird diese Kritik damit begründet, dass Microsoft mit diesem Vorgehen gegen den Standardisierungsentwurf für die „Do Not Track“ Technik verstoße. Der aktuellste Entwurf des W3C sieht insofern explizit vor, dass die Technik bei gewöhnlichen Browsern im Auslieferungszustand deaktiviert sein muss.

Robert Madelin, der die Generaldirektion Informationsgesellschaft und Medien (ab 1.7.2012: Generaldirektion für Kommunikationsnetze, Inhalte und Technologien) der Europäischen Kommission leitet, hat daraufhin einen offenen Brief an das W3C geschrieben, in welchem er anmahnt, dass der Standard überhaupt keine Aussage enthalten solle, ob DNT per Voreinstellung (de)aktiviert sein müsse. Weiterhin betont er, dass der „Do Not Track“ Standard alsbald möglich umgesetzt werden müsse und die Nutzer bei der Installation oder dem ersten Start der Browser über die Reichweite der DNT Technik umfassend informiert werden müssten.

Auch in der US-amerikanischen Politik hat Microsofts Ankündigung einige Reaktionen ausgelöst: Auf der einen Seite bitten die Senatoren Edward Markey (Demokrat) und Joe Barton (Republikaner), die eine Arbeitsgruppe des Kongresses zur Privatsphäre leiten, die Mitglieder des W3C-Konsortiums um Unterstützung für Microsofts Vorstoß. Auf der anderen Seite lehnt J. Thomas Rosch, der Mitglied der FTC (US-Handelskommission) ist, Microsofts Vorgehen ab. Dies begründet Rosch damit, dass bei einem solchen Vorgehen die Entscheidung nicht mehr beim Nutzer verbleibe, sondern von Microsoft getroffen würde.

1 2 3