Im Netz der Cookie-Monster
Cookies tracken jeden unserer Schritte im Internet – auch bei Krankenkassen, Pornoseiten und Traditionsmarken. Trotz Datenschutzrichtlinien ist auch der Bund den Konzernen ausgeliefert.
«user=alice; Path=/; SameSite=Lax».
Das ist kein Druckfehler – sondern das Geheimnis von Googles Milliarden-Umsatz und Facebooks perfekt personalisierter Werbung. Das ist, was dich jedes Mal nervt, wenn du eine neue Website öffnest: ein «Cookie». In der Realität zwar meist etwas komplizierter, ist ein Cookie am Ende einfach eine kleine Textdatei. Doch diese wenigen Zeilen Code haben eine grossen Funktion: Sie geben, wie es die «New York Times» einmal formulierte, dem «Internet ein Gedächtnis». So ermöglichen sie den grossen Techkonzernen, jeden unserer Schritte im Web zu speichern, analysieren, verknüpfen und vor allem zu verkaufen. Am besten erklärt sich das an einem Beispiel.
Wie Kekse gebacken werden
Wenn ich heute Ovomaltine.ch besuche, speichert die Website sofort Cookie-Dateien auf meinem Computer. Darin ist eine eindeutige ID notiert, mit der mich die Website wiedererkennen kann. So kann sie sich zum Beispiel merken, wenn ich Oviguetzli in meinen Einkaufskorb lege. Oder weiss, wenn ich die Website verlasse und morgen zurückkomme, noch immer wer ich bin und dass ich die Seite gestern auf Englisch eingestellt habe.
Doch unter der Oberfläche der Website gibt es nicht nur das Ovi-Cookie. Sondern beim Besuch wird automatisch eine ganze Armee an Untergrund-Cookies von Drittanbietern geladen: «Google-Analytics», «Pinterest», «Facebook-Connect», «Tiktok-Analytics» und noch einige weitere – das zeigen Analysen der ZS. Dazu speichert Ovi auf meinem Computer für jeden der Techgiganten eine kleine Text-Datei, mit der mich die Firma erkennen kann, und gibt ihr meine Daten weiter.
Welchen Browser ich mit welcher Version nutze, wie gross mein Bildschirm ist, was für einen Computer ich habe, meine Systemsprache, mein ungefährer Standort, was ich auf der Website so unternehme. Aus all diesen Informationen ist es für die Techkonzerne relativ leicht, mich zu identifizieren und meine Vorlieben für Ovi-Produkte zum Beispiel mit meinem Insta-Account zu verbinden. Wirklich unheimlich wird das aber erst, wenn man sich vor Augen hält, wo die Techkonzerne ihre Cookies im Einsatz haben: Überall. Die grossen Schweizer Krankenkassen? Alle nutzen Google- und Meta-Cookies, viele auch das Tiktok-Pixel Pornhub und Xhamster? Nutzen Google- und Meta-Cookies. Swisscom, Ovi, Swatch, Homegate, Booking? Genauso. Die Liste ist endlos. Auch in Apps auf dem Smartphone sind Cookies allgegenwärtig und können dort auch GPS-Daten weitergeben: Wetterdienste verkaufen deinen Standort, Spotify analysiert deine Hörgewohnheiten, die SBB deine Easyride-Fahrten.
Die Konsequenz: Anhand der ID in den Cookies und der Daten, die Websites und Apps mit den Tech-Giganten teilen, werden diese zu regelrechten Cookie-Monstern. Sie können unser Verhalten auf praktisch jeder Website nachverfolgen und in ein extrem detailliertes Profil zusammensetzen. Meta weiss, welche Guetzli du wann wie oft isst, welche Krankheiten du hast, ob du ins Gym gehst und wo, ob du Kinder möchtest, welche Pornokategorien du gerne schaust und welche Musik du danach hörst. Sogar, wenn du gar keinen Account bei Meta hast. Der Grund für diesen riesigen Aufwand ist simpel: Werbung. Dank dem Tiktok-Pixel-Cookie kann Ovomaltine seine Nutzer analysieren, mit Tiktok-Accounts verknüpfen und bei Tiktok-Werbung an die perfekte Zielgruppe schalten.
Zwischen Werbung und Überwachung
Für Tiktok und Ovi ist das eine Win-Win-Situation. Für die Nutzer*innen jedoch heisst es: Meine Daten werden mir ohne Entschädigung de facto gestohlen und gegen mich verwendet, um mir möglichst viel Geld aus der Tasche zu ziehen. Google, Meta, Tiktok und co. macht das neben Ölfirmen zu den wertvollsten Unternehmen der Welt. Doch nicht alle Unternehmen haben nur so harmlose Ziele wie Werbeverkäufe im Sinn.
Kommerzielle «Data-Broker» sammeln Daten und verkaufen sie jedem, der dafür bezahlt. Die amerikanische Aufsichtsbehörde FTC ermittelte letztes Jahr gegen zwei Data-Broker wegen unerlaubter Datensammlung. Die Firmen haben laut der FTC Standortdaten sensibler Orte an Bundespolizeibehörden wie das FBI, die «Drug Enforcement Administration», «Homeland Security» und das «Immigration Enforcement», sowie an politische Kampagnen verkauft. Eine der Firmen soll gezielt Demonstrant*innen der «Black Lives Matter»-Bewegung getrackt und versucht haben, anhand von Standortdaten bei Kirchen oder Tempeln die Ethnie der Demonstrant*innen zu ermitteln. Der gleichen Firma wird auch vorgeworfen, dass sie gezielt Ortungsdaten rund um Schutzhäuser für häusliche Gewalt gesammelt hat. Beide Firmen bestritten die Vorwürfe, einigten sich aber mit der FTC auf Vergleiche, die ihnen das Datensammeln rund um Militärbasen und weitere sensible Orte verbieten. Auch dürfen sie nicht mehr an sogenannten «real time bidding exchanges» teilnehmen – Online-Börsen, wo Werbetreibende in Echtzeit Nutzerdaten ersteigern, damit sie sofort personalisierte Werbung schalten können.
Unter den grossen Techkonzernen steht insbesondere Tiktok seit einiger Zeit in starker Kritik von Regulierungsbehörden, NGOs und Politik, wegen Datenweitergabe nach China, wo schwere Bedenken wegen staatlichem Zugriff herrschen. Am 2. Mai dieses Jahres hat die Datenschutzbehörde in Irland, wo Tiktok seinen Hauptsitz hat, die Firma in erster Instanz zu einer Busse von 530 Millionen Euro verurteilt, da gemäss Untersuchungen ohne Erlaubnis Nutzerdaten an den chinesischen Mutterkonzern weitergegeben wurden. Eine ähnliche Anzeige ist auch in Griechenland hängig.
Schweiz verschiebt griffige Regeln
In der Schweiz hingegen tracken die Cookie-Monster munter weiter. Analysen der ZS zeigen, dass nicht nur Swisscom, Ovomaltine oder Swatch Tiktok-Cookies verwenden, sondern auch die grossen Krankenkassen Visana, CSS und Sanitas – obwohl sie potenziell besonders schützenswerte Personendaten sammeln. Bei der Bekanntgabe von Daten in andere Länder wie China, in denen es nach Ansicht des Bundesrats keinen «angemessenen» Datenschutz gibt, muss dieser laut Gesetz auf andere Weise sichergestellt werden. In der Praxis geschieht das meist mit «Standard-Datenschutzklauseln», erklärt Martin Steiger, Datenschutz-Anwalt und Sprecher der Digitalen Gesellschaft in der Schweiz. Dazu braucht es auch eine Risikobeurteilung, die prüft, ob mit den Klauseln im Ausland wirklich ein geeigneter Datenschutz gewährleistet wird. Diese Risikobeurteilung muss aber gegenüber den Nutzer*innen nicht veröffentlicht werden.
Dass China, aber auch Amerika unter Donald Trump, in einer solchen Abschätzung als «sicher» gelten, ist schwer vorstellbar. Nachprüfen könnte das in der Schweiz der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), die zuständige Aufsichtsbehörde. Auf Anfrage der ZS sagt dieser aber, er könne sich als Aufsicht nicht zu konkreten Fällen äussern, die er nicht in einer Untersuchung angeschaut habe. Für Martin Steiger passt das: «Der EDÖB sieht sich nicht als Anwalt der Betroffenen.» Vielmehr versuche der Datenschutzbeauftragte, im informellen Dialog mit Unternehmen etwas zu erreichen. Doch bis im Januar hat der EDÖB schon über 1400 Anzeigen wegen Verletzungen des neuen Datenschutzgesetzes von 2023 erhalten. Viel Sichtbares passiert ist damit bislang nicht, sagt Steiger.
Cookie-Banner funktionieren nicht
Im Februar hat der EDÖB einen Leitfaden zum Einsatz von Cookies veröffentlicht, der unter anderem festhält, dass Cookies erst nach einer Einwilligung gespeichert werden dürfen. Doch dieser ist, wie Steiger sagt, nur «eine Meinung des EDÖB» und entsprechend verstossen nach ZS-Analysen unter anderem Ovomaltine, Visana und CSS und fraglos auch weitere Firmen dagegen. Bei der Visana ist das Cookie-Banner ohnehin eine Illusion: Auch wenn man auf «alle ablehnen» klickt, bleiben alle Cookies geladen. Auf Anfrage der ZS erklären Swisscom und CSS, man halte sich an das Datenschutzgesetz und habe momentan nicht vor, eine Anpassung der Cookies vorzunehmen. Ovomaltine meldet sich, nach einer ähnlichen ersten Reaktion, einige Tage nach Redaktionschluss noch einmal und erklärt, man habe das Tiktok-Pixel nun auf weiteres deaktiviert. Auch die Sanitas erklärt, man sei um Datenschutz stets bemüht und deshalb bereits daran, das TikTok-Pixel zu entfernen*. Die Visana war nicht für eine Stellungnahme zu erreichen – die ZS hat den Verstoss beim EDÖB gemeldet. Martin Steiger überraschen die Fehler nicht: «Ich gehe davon aus, dass der grösste Teil der Cookie-Banner, auch in der EU, ganz oder teilweise nicht richtig funktioniert».
Für den Anwalt sind die Banner ohnehin nur eine «Simulation von digitaler Selbstbestimmung». Ironischerweise hält sich nicht einmal der EDÖB selbst an seinen Cookie-Leitfaden und hat ein Cookie von X (ehemals Twitter) auf seiner Website integriert. Damit gehen Daten der Besucher*innen ungefragt an Elon Musk. Auf Anfrage erklärt die Sprecherin des EDÖB, das Problem bestehe bei der ganzen Bundesverwaltung im Rahmen der neuen Websites und man arbeite nun gesamthaft an einer datenschutzkonformen Lösung.
Regulierungen wegen Trump verschoben
Für Steiger wäre echter Datenschutz ohnehin, wenn die einzelnen Verantwortlichen die betroffenen Personen und deren Daten selbst schützen würden, anstatt «Einwilligungen» mit fragwürdiger Gültigkeit einzuholen: «Der Wirt ersucht ja auch nicht den Gast um Einwilligung, dass er die Lebensmittelsicherheit nicht gewährleisten kann. Einwilligungen im digitalen Raum sind fast immer symbolische Handlungen, von denen alle Beteiligten wissen, dass sie nicht dem Datenschutz dienen.» Steiger und die Digitale Gesellschaft fordern stattdessen eine wirksame Regulierung der grossen Online-Plattformen. Eine solche ist in der Schweiz eigentlich in Arbeit, wurde aber vom Bundesrat gerade auf unbestimmte Zeit verschoben – aus Angst vor einer weiteren Eskalation im Zollstreit mit Donald Trump, wie SRF berichtete.
Martin Steiger browst heute grundsätzlich mit einem Adblocker – «das ist grundlegende digitale Hygiene». Doch dem Datenhunger der grossen Digitalfirmen wirklich zu entkommen, das schätzt er trotzdem als «praktisch unmöglich» ein: «Die Realität ist, dass wir kaum Kontrolle über unsere Daten haben. Wir können nicht zuverlässig wissen, was damit passiert und Missbrauch auch nicht zuverlässig verhindern. Letztlich ist das ein politisches Versagen.»
* Korrigendum: In einer ursprünglichen Version dieses Texts stand fälschlicherweise, die Sanitas habe keine Stellungnahme abgegeben. Tatsächlich hat die Sanitas fristgerecht reagiert und erklärt, dass man das TikTok-Pixel so datensparsam wie möglich eingesetzt habe und nun am entfernen sei.
Die Textstelle wurde entsprechend angepasst – wir entschuldigen uns für den Fehler.