Benutzerverfolgung durch staatliche Websites

Das Verfolgen von Benutzeraktivitäten – auch Tracking genannt – ist das Aufzeichnen seiner Aktivitäten über ein oder mehrere Websites hinweg. Dazu wird entweder eine serverseitige Sprache oder ein beim Client, also beim Besucher, arbeitendes Skript genutzt, zum Beispiel Javascript. Mit Javascript können wesentlich mehr Informationen erhoben werden als bei der Erhebung per serverseitiger Programmiersprache, zum Beispiel die Bildschirmauflösung, Farbprofile oder sogar die Mausbewegungen bzw. die Berührungen auf einem Touchpad. Daraus lassen sich Heatmaps erstellen, die die am häufigsten benutzten Punkte einer Website anzeigen.

Funktion des Trackings

Tracking an sich ist nicht per se schlecht. Es kann dazu dienen, die Benutzung einer Website zu erleichtern, beliebte Inhalte vertieft darzustellen und Systemfehler zu entdecken und in der Folge zu beheben. Für viele Betreiber sind Besucherzahlen auch ein Anreiz weiterzumachen, insbesondere bei privaten Projekten. Trotzdem besteht die Gefahr des Missbrauchs, in besonderem Maße durch Erstellen von nicht anonymisierten Benutzerprofilen und beim Zusammenführen von Benutzerinformationen über verschiedene Websites hinweg. Deswegen sind zentrale Trackinganbieter, die Tracking für viele Websites als Dienstleistung anbieten, besonders kritisch zu betrachten. Daten müssen nicht vom Anbieter selbst missbräuchlich ausgewertet werden, eine zentrale Sammlung von Benutzerinformationen stellt auch ein willkommenes Angriffsziel dar.

Gesetzliche Grundlage

Gesetzliche Grundlage für den Umgang mit Nutzungsdaten ist das Telemediengesetz. In § 15 Abs. 3 des Telemediengesetzes sagt der Gesetzgeber zur Erstellung von Nutzungsprofilen:

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach §13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

Vorgaben des Düsseldorfer Kreises

Über den reinen Gesetzestext hinaus gibt es für Websitebetreiber empfehlenswerte weitergehende Literatur, zum Beispiel vom Düsseldorfer Kreis. Der Düsseldorfer Kreis ist ein Gremium aller Datenschutzbeauftragten der Länder und des Bundes. In ihrer „Datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ formulieren sie verständlich, welche Vorgaben zu beachten sind. Die Vorgaben des Düsseldorfer Kreises bilden die Grundlage der Analyse der Websites staatlicher Institutionen. Zusammengefasst werden folgende Vorgaben gemacht:

  • Es muss eine Widerspruchsmöglichkeit geben.
  • Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
  • Es muss deutlich auf die Erstellung der Nutzungsprofile und die Widerspruchsmöglichkeit hingewiesen werden.
  • Personenbezogene Daten dürfen nur ohne Einwilligung erhoben werden, wenn dies nötig ist, um Telemedien zu nutzen und abzurechnen.
  • IP-Adressen sind personenbezogene Daten und dürfen nur mit Einwilligung gespeichert werden. Ansonsten müssen sie gekürzt oder verändert werden.

Best Practices

Über gesetzliche Vorgaben und die Empfehlungen des Düsseldorfer Kreises hinaus gibt es Vorgehensweisen, die wünschenswerter sind als andere. So ist die datensparsamste und datenschutzfreundlichste Variante, ganz auf Tracking zu verzichten. Wenn getrackt wird, sollten die Daten nicht zentral bei einem Anbieter gespeichert werden, sondern auf dem Server des jeweiligen Anbieters. So kommt es nicht zu einer Sammlung und damit zur Zusammenführung von Benutzerprofilen, das Missbrauchspotential ist geringer. Eine vielfach empfohlene Lösung ist die Open-Source-Software Piwik. Sie ist nach Google Analytics die in Deutschland am häufigsten eingesetzte Software. Die gesammelten Nutzungsdaten verbleiben beim Betreiber, und es ist im Gegensatz zu zentralen kommzerziellen Anbietern wie Google Analytics sicher, dass die IP-Adresse, die laut Düsseldorfer Kreis kein Pseudonym ist, nicht ungekürzt gespeichert wird.

Ein guter Schnitt, ein paar schwarze Schafe

Auf Grundlage des Telemediengesetzes, der Vorgaben des Düsseldorfer Kreises und üblicher Best Practices wurden in einer Analyse die Websites staatlicher Institutionen unter die Lupe genommen. Websites von Bundesministerien, legislativen Organen, Gerichten und andere Informationsseiten bilden den Pool der 35 untersuchten Websites. Über Tracking in der Wirtschaft, auch über verschiedene Websites hinweg, berichteten wir letzte Woche.

Positiv zu vermerken ist, dass keine der untersuchten Websites auf ein US-amerikanisches zentrales Analysetool wie Google Analytics setzt. Dreizehn der untersuchten Websites setzen gar kein Trackingtool im Sinne der Recherche ein. Sechs Websites, darunter die der Bundesregierung und der Bundeskanzlerin, setzen Analysetools ein, erfüllen aber die Vorgaben des Düsseldorfer Kreises, vier davon reagieren sogar auf den „Do Not Track“-Header, durch den Browser Websites signalisieren, dass der Benutzer nicht verfolgt werden möchte.

Sieben weitere Websites, sechs Ministerien und der Bundesfinanzhof binden einen externen Dienstleister für das Tracking ein. Sie bieten keine Widerspruchsmöglichkeit direkt auf der eigenen Website, sondern verweisen auf den Dienstleister, auf dessen Website durch das Setzen eines Cookies das Tracking unterbunden werden soll.

Neun der 35 untersuchten Websites verfolgen den Benutzer und bieten keine Widerspruchsmöglichkeit an. Das steht im direkten Widerspruch zum Telemediengesetz sowie zu den Vorgaben des Düsseldorfer Kreises. Zu diesen neun Websites gehören drei Websites der Bundeswehr respektive des Bundesministeriums der Verteidigung, die des Bundesministeriums für Familien, Senioren, Frauen und Jugend, vier Websites des Bundestages und die des Bundesverwaltungsgerichts.

Bemerkenswert ist die Tatsache, dass es eine Kooperation zwischen dem Bundesverfassungsgericht und dem Bundesamt für Sicherheit in der Informationstechnik gibt. Während der Bundestag beschloss, auf den Anschluss an das relativ sichere Regierungsnetz zu Gunsten seiner Unabhängigkeit zu verzichten, übernimmt das BSI administrative Aufgaben für die Websites des Bundesverfassungsgerichts.

Leider setzt der Bundestag immer noch auf das Content Delivery Network Cloudflare.

Fazit

Etwa ein Viertel der untersuchten Websites verstoßen erkennbar gegen die Vorgaben des Telemediengesetzes, indem sie Nutzungsdaten der Benutzer aufzeichnen, allerdings keine erkennbare Widerspruchsmöglichkeit anbieten.

Ein Hinweis des BMEL für Besucher ihrer WEbsite
Ein Hinweis des BMEL für Besucher ihrer Website

Andere dagegen weisen vorbildhaft auf die Widerspruchsmöglichkeit hin, insbesondere das Bundesministerium für Ernährung und Landwirtschaft hat einen sehr präsenten Hinweis auf seiner Website eingebunden. Leider ist der Gedanke beim Landwirtschaftsministerium leider nicht zu Ende gedacht worden: Es wird zwar sehr gut erkennbar auf das Anlegen von Nutzungsprofilen hingewiesen, allerdings keine Widerspruchsmöglichkeit direkt auf der eigenen Website angeboten, sondern auf den Dienstleister Etracker verwiesen.

In jedem Fall scheint also eine Entwicklung stattzufinden und insbesondere keine zentrale Speicherung über mehrere staatliche Websites hinweg vorgenommen zu werden. Andererseits sollten gerade Websites der Ministerien, Gerichte und Parlamente als Vorbilder fungieren und geltende Regeln einhalten. Wir werden die betroffenen Anbieter über den Sachverhalt informieren und freuen uns auf Rückmeldungen und Verbesserungen.

Übrigens: Netzpolitik.org trackt nicht.

Hintergrundinformationen

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. @Eric: Meine Hochachtung!
    Vorschlag:
    Mach das doch mal mit den Webseiten der MdB:
    Nach einer Erhebung im Juli/ August 2014 wurden 433 Startwebseiten der MdB nur mittels des AddOn „NoScript“ dahingehen untersucht, ob dort Javasripte enthalten sind, die von einem aussereuropäischen Server nachgeladen werden:
    153 rufen kein Javascript auf.
    118 rufen ein javascript auf.
    87 rufen zwei Javascripte auf.
    48 rufen drei Javascripte auf.
    20 rufen vier Javascripte auf.
    4 rufen fünf Javascripte auf.
    3 rufen mindestens sechs Javascripte auf.
    Das ganze geht quer durch alle Parteien des Bundestages.

    Gruß,
    NoScript-Benutzer

  2. Also ihr habt natürlich Recht mit der Kritik.

    Aber wann macht ihr es besser? Ja, JavaScript hostet ihr selbst. Aber genug Defizite hat auch eure Seite!
    * Flash für Audio, das geht echt anders!
    * Youtube
    * Zwangsangabe von E-Mail (schaut euch mal mozillas persona an ;) )
    * Lizenz-Informationen zu den Scripten wären auch nett, s. http://www.gnu.org/software/librejs/
    * WordPress .. naja, kann man noch durchgehen lassen, wir wollen ja niemanden anstacheln mal zu testen …

    1. Im Artikel geht es um Sammlung von Nutzungsdaten im Sinne von § 15 TMG, nicht um Bestandsdaten zur Datenverarbeitung. Folglich ist der Vergleich unzutreffend.

    2. Toll, dass Netzpolitik dieses Thema Nutzertracking immer wieder aufgreift!!
      Das trauen sich wenige, andere Seiten: Aus gutem Grund!!

      Bei unseren Leidmedien (SPIEGEL, FAZ, Sueddeutsche, WELT, ZEIT u.v.m. und leider auch bei Heise.de) wird man mit einer solchen Masse an Trackern bei jedem Seitenaufruf „bedient“ (bis zu 19 habe ich gesehen, die Regel sind ca. 15! – auf EINER Seite!), dass darunter sogar die Surfgeschwindigkeit leiden muss.

      „Abgewickelt wird das Identity Bridging über Mozillas Server.“

      http://www.golem.de/news/persona-mozillas-passwortkiller-1304-98624.html

      Dazu auch:
      https://de.wikipedia.org/wiki/Mozilla_Persona

      Das Einbinden einer weiteren Partei, die ihre Server möglicherweise in einem Datenschutz-Entwicklungsland hat, dann aber (mindestens!) ständig „politisch getränkte“ IP-Adressen geliefert bekommt, halte ich für wenig zielführend. Allerdings, heißt es, kann persona auch dezentral, also auch auf eigenen Server genutzt werden. Wie schwierig das ist … weiß wohl kaum jemand?

      Die derzeitige Lösung, die auch die Eingabe einer Einweg-Wegwerf-Email erlaubt, halte ich für maximal Datenschutzfreundlich, §§ 13 VI TMG, 3a BDSG:

      http://www.gesetze-im-internet.de/tmg/__13.html
      http://www.gesetze-im-internet.de/bdsg_1990/__3a.html

  3. da netzpolitik in berlin ist:
    lohnt sich in diesem zusammenhang ein blick auf die behördlichen seiten bei berlin.de
    alles schön getracked u.a. mit doubleclick versehen. bürgerämter, die online-wache usw.

    auch die vhs berlin gestattet nur getrackte anmeldungen, buchungen (online).

    der voebb (öffentliche bibliotheken berlin-bbg) ist fast vorbildlich, bis auf das ausleihen
    der e-medien und der bereitgestellten app, die nur in den üblichen stores verteilt wird
    statt auf der eigenen web-seite

  4. Es ist Aufgabe des BfDI dafür zu sorgen das hier geltende gesetzlichen Anforderung eingehalten werden. Zu Zeiten von Peter Schar wurden diese Art von Prüfungen regelmäßig durchgeführt und Änderungen nachverfolgt, auch wenn dabei nicht immer alle staatlichen Websites (was immer das genau ist) geprüft wurden. Ob dies heute auch noch regelmäßig geprüft wird entzieht sich meiner Kenntnis.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.