Überblick

Sicher surfen ohne Tracking und Werbung

Beim Surfen sind wir nie allein. Unzählige Tracker schauen uns permanent über die Schulter. Hier erfahren Sie was Tracking ist und wie Sie es unterbinden.

Inhalt:

  1. Was ist Tracking?
  2. Warum ist Tracking gefährlich?
  3. Tracking sichtbar machen
  4. Was Sie gegen Tracking tun können
  5. Wie funktioniert Tracking? In diesem Artikel erfahren Sie, was Tracking ist, weshalb es gefährlich ist, und wie verschiedene Trackingtechniken zusammenspielen. Wir informieren Sie auch über weitere Techniken, mit denen sich Facebook, Amazon und andere am großen Datensammeln beteiligen.

Wie Sie sich konkret schützen können, erläutern wir in zwei eigenen Artikeln für PC und Mobilgeräte.

Was ist Tracking?

Wenn wir im Internet surfen, hinterlassen wir Spuren. Während ein einzelner kleiner Shop nur das sieht, was Sie auf seiner Website tun, erfahren Internet-Giganten fast alles über Sie. Die haben ihre Fühler in zigtausenden von Websites und greifen dort Informationen ab, die sie speichern und für eigene Zwecke nutzen. Verwendet eine Website beispielsweise Google Analytics, sieht zwar der Betreiber nur die eigenen Besucher.innen. Google hingegen kann diese über alle Websites hinweg verfolgen, die Google Analytics einsetzen, und das sind erschreckend viele.

Im Netz werden Sie ständig gefragt, ob Websites Cookies setzen dürfen. Stimmen Sie zu, erlauben Sie Google, Sie zu verfolgen. Wie viele Firmen von Ihrem Besuch einer Website erfahren wollen, verrät ein Blick in die Einstellungen des Cookiebanners oder in die Datenschutzerklärung. Zehn, zwanzig, ja sogar dreißig „Partner“ sind keine Seltenheit. Dazu kommen noch Schriftarten, Bilder, Videos und anderes von Dritten, wie sie die meisten Websites einbinden. Auch diese bringen Websites miteinander in Verbindung. Das hat System und macht nicht nur BigBrotherAwards-Jury-Mitglied Rena Tangens richtig wütend.

Viele Smartphone-Apps geben regelmäßig den Standort und das Telefonbuch weiter, vor allem aber Merkmale, an denen sich jemand wiedererkennen lässt. Meist schicken die Apps die Daten gleich mehreren Firmen, die Zahl kann durchaus zweistellig sein. Die Firmen erhalten schon von einer einzigen App eine Menge Informationen über eine Person und können sie mit den Informationen aus anderen Apps an einer zentralen Stelle zusammenführen. Im März 2022 kam heraus, dass die Telefon-App von Google alle angerufenen Telefonnummern sowie Zeit und Dauer der Gespräche an Google überträgt, ohne die Benutzer.innen zu fragen und ohne das irgendwo auch nur zu erwähnen.

Es sind aber nicht nur die „üblichen“ Internet-Giganten, die aus persönlichen Informationen Nutzer.innen-Profile erstellen. Auch Adobe, der Bertelsmann Verlag, der Axel-Springer-Konzern, Ströer, der Otto-Versand, Unitymedia, Rakuten, RTL und viele unbekannte Unternehmen tun das, wie man an der Firmenliste im Cookiebanner erkennen kann. Dahinter steckt immer dieselbe Motivation: Nutzer.innen sollen identifizierbar sein und möglichst über das ganze Netz hinweg verfolgt werden können. Dann kann man sie einschätzen, in Raster einsortieren und im Zweifelsfall manipulieren. Bei Personalisierung geht es zwar einerseits fast immer auch ums Geldverdienen, aber oft eben auch um Macht und Einfluss.

Digitalcourage-Newsletter abonnieren und auf dem Laufenden bleiben.

Warum ist Tracking gefährlich?

Unternehmen und Staaten werten unsere Spuren im Netz aus, um möglichst viel über uns in Erfahrung zu bringen: was uns interessiert, welche Krankheiten wir haben, welche politische Meinung, welche sexuellen Vorlieben. Solches Wissen gibt den Unternehmen Macht über uns, denn Wissen ist Macht.

Im harmlosesten Fall versucht lediglich ein Shop, uns irgendetwas anzudrehen. Nicht mehr ganz so harmlos ist es, wenn wir in den sozialen Medien nur noch Meinungen und Vorlieben vorgesetzt bekommen, die den eigenen entsprechen. Dann werden wir quasi eingesperrt in einer „Filterblase“ und bekommen gar nicht mehr mit, dass es auch andere Meinungen und Erfahrungen gibt. Oder eine rassistische Partei schickt allen nicht weißen Menschen Hassbotschaften. Lebensbedrohlich kann es werden, wenn in einer Diktatur vermeintlich unabhängige Websites miteinander verknüpft werden, weil die Regierung auf diese Weise Gewerkschafter.innen, Schwule und Jüd.innen ausfindig machen will oder Menschen, die sich für den Frieden einsetzen. Aber auch für andere kann das weitreichende Konsequenzen haben, nämlich wenn der Algorithmus sie in die falsche „Schublade“ einordnet.

Wie das funktioniert, zeigt Google Analytics: Den Website-Betreiber.innen stellt Google Analytics Statistiken und bunte Diagramme zur Verfügung, denen sie entnehmen können, welche Interessen ihre Besucher.innen haben, wie alt sie sind, wo sie wohnen usw. Die wenigsten dürften allerdings genug Zeit haben, ihre Website diesen Erkenntnissen anzupassen. Den wahren Nutzen hat Google, indem es plattformübergreifend aus den Daten unzähliger Websites Nutzer.innenprofile erstellt. Sobald Sie auf nur einer Website Ihren Namen und die E-Mail- oder Postadresse angeben, werden alle dort gesammelten Informationen Ihnen als Person zugeordnet und nicht mehr einer anonymen Nummer.

Tracking auf dem Smartphone ist noch gefährlicher, denn es werden noch viel häufiger noch viel mehr Daten gesammelt. Apps, die den Standort übertragen, machen das gewöhnlich alle paar Minuten. Unternehmen — wie gesagt oft etliche pro App — wissen daher ganz genau, wo und wohin Sie sich bewegen. Die Daten werden jahrelang aufbewahrt, sodass ein Unternehmen heute feststellen kann, wo Sie vor drei Jahren am 23. Februar um 18:52 Uhr waren.

Da die Unternehmen die Standortdaten von Millionen Menschen sammeln, können sie leicht feststellen, wer sich regelmäßig mit wem trifft. Es heißt zwar gerne, die Daten würden anonymisiert, aber aus Ihrem Standortverlauf lassen sich zum Beispiel Ihr Wohn- und Ihr Arbeitsort leicht erschließen. Mit wenigen dieser eben doch nicht wirklich anonymisierten Merkmale kann man fast alle Menschen identifizieren, wie zahlreiche Studien belegen, zum Beispiel 1, 2, 3 und 4.

Wenn Sie einer App erlauben, Ihr Telefonbuch auszulesen, erfahren Unternehmen nicht nur eine Menge über Sie, sondern auch über Ihr gesamtes soziales Umfeld. Das nutzt beispielsweise WhatsApp, indem es die Telefonnummern, die im Adressbuch Ihres Smartphones stehen, einsammelt. Ihren Namen erfahren die Unternehmen übrigens ganz einfach: indem sie Ihre Telefonnummer in den Adressbüchern anderer Leute suchen.

Wir setzen uns für Ihre Privatsphäre und Ihre Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Peters Problem: in die falsche Schublade gesteckt

Profilbildung bedeutet, dass man Menschen in unterschiedliche Kategorien sortiert, die darüber entscheiden, welche Inhalte ihnen angezeigt werden, wie die Werbung für sie aussieht und manchmal auch, ob sie einen Kredit erhalten oder nur per Vorkasse bezahlen dürfen.

Doch wer lässt sich schon gerne in Schubladen stecken? Werden wir richtig zugeordnet, können wir manipuliert werden. Geraten wir irrtümlich in die falsche Schublade, ist auch das nicht selten mit Problemen verbunden und deshalb ebenfalls keine gute Nachricht. Im harmlosesten Fall sehen wir Werbung, die uns nicht gefällt. Nerviger wird es schon, wenn uns unpassende Dinge vorgeschlagen werden, zum Beispiel auf Netflix ausschließlich Kindersendungen.

Richtig schlimm wird es, wenn uns auf Facebook die Nachricht von der schweren Erkrankung einer Freundin nicht erreicht, weil die Plattform entschieden hat, dass wir in die Schublade „interessiert sich nicht für Inhalte von dieser Person“ gehören. Oder wenn wir einen Kredit nicht bekommen, weil die Nachbarn einmal eine Rate bei Mediamarkt zu spät bezahlt haben. Dieses Phänomen bezeichnet Marc-Uwe Kling in seinem Buch „Qualityland“ als „Peters Problem“.

Mehr über die Gefahren derartiger Profilbildung erfahren Sie in Rena Tangens’ Vortrag „Warum personalisierte Werbung verboten werden muss“ und in der Laudatio zum BigBrotherAward für Zeit Online. Die Zustimmung zum Sammeln der Daten erschleichen Unternehmen sich häufig auf manipulative Art, beispielsweise mit Dark Patterns.

Tracking sichtbar machen

Wenn Sie sehen möchten, wer Sie im Internet trackt, geht das mit verschiedenen Programmen.

Auf Laptop und PC: Lightbeam und Webbkoll für den Browser

Wie die Websites, die Sie besuchen, miteinander in Verbindung stehen, zeigt die Erweiterung Lightbeam für Firefox. Sie stellt die Verbindungen zwischen den Websites grafisch dar, als Netz. Nach dem Installieren der Erweiterung klicken Sie auf das Lightbeam-Logo rechts oben im Browser und gelangen auf die Lightbeam-Übersicht. Hier sehen Sie, welche Seiten Sie direkt angesurft haben und welche Seiten Dritter eingebunden wurden. Die Verknüpfung vermeintlich unabhängiger Websites wird Sie überraschen, besonders wenn Sie Cookies und Skripte von Drittanbietern nicht deaktiviert haben. Wir empfehlen, diese Erweiterung nur zu installieren, um einmal einen Blick hinter die Tracking-Fassade zu werfen. Anschließend sollten Sie sie wieder entfernen, da sie viele Berechtigungen hat und im Dauereinsatz zum Sicherheitsrisiko werden könnte. Für einen kurzen Test ist die Erweiterung jedoch unproblematisch.

Eine andere Möglichkeit ist der Dienst Webbkoll. Er simuliert den Aufruf einer Website mit einem Browser, wie er vom Hersteller ausgeliefert wurde, und listet auf, welche Maßnahmen auf der Website (nicht) ergriffen werden, um die Privatsphäre zu schützen. Damit können Sie beispielsweise erkennen, ob eine Website schon Daten an Dritte überträgt, bevor Sie dem ausdrücklich zugestimmt haben.

Digitalcourage wirkt. Wirken Sie mit!

Auf dem Smartphone: Exodus Privacy

In Smartphone-Apps finden sich zahlreiche Tracker (Details siehe unten). Die Website Exodus Privacy zeigt Ihnen, welche und wieviele Tracker eine App enthält und welche Berechtigungen sie verlangt.

Auch eigentlich seriöse Unternehmen sind hier nicht zimperlich. So sind drei, vier Tracker leider üblich, auch bei den Apps von Unternehmen wie DHL. Der DB Navigator enthält fünf Tracker (Stand Mai 2022) und will auch noch auf die Kamera und den Speicher zugreifen. Dabei muss eine App die Berechtigungen für selten genutzte Funktionen doch eigentlich erst wissen, wenn die jeweilige Funktion gebraucht wird. Die App von Facebook enthält zwar keine Tracker, will aber mit 60 Berechtigungen auf dem Telefon quasi alles machen dürfen. Und wie bei den Websites sind es auch auf dem Smartphone die Internet-Giganten, die Daten einsammeln und sie zu Profilen zusammenführen.

Was Sie gegen Tracking tun können

Wie Sie sich beim Surfen am Laptop oder PC vor Überwachung schützen können, beschreibt detailliert der Artikel Wie surfe ich sicher mit dem Laptop oder PC? Kurz zusammengefasst: Benutzen Sie den Browser Firefox und konfigurieren Sie ihn datenschutzfreundlich, installieren Sie Werbeblocker und lehnen Sie Cookies ab, auch wenn das mühsam ist. Außerdem können Sie für unterschiedliche Zwecke unterschiedliche Browser verwenden (siehe nächstes Kapitel).

Auf dem Smartphone ist die Situation schwieriger. Da in vielen Apps Tracker stecken, sollten Sie zuallererst Ihre Apps ausmisten. Was nicht benutzt wird, muss weg, was noch gebraucht wird, kommt auf den Prüfstand: Unter Android lassen sich viele Apps mit datenschutzfreundlicheren Alternativen aus dem F-Droid-Store ersetzen. Weitere Tipps, auch für iOS, beschreibt unser Artikel „Wie surfe ich sicher mit dem Smartphone?“

Unterschiedliche Browser verwenden

Um im Internet die Privatsphäre zu schützen, ist es unerlässlich, den Browser richtig zu konfigurieren. Wir empfehlen, ihn grundsätzlich so streng wie möglich einzustellen. Die höchste Sicherheitseinstellung kann allerdings dazu führen, dass auf einer Website einzelne Seiten nicht funktionieren oder dass das Bezahlen nicht klappt.

Als Kompromiss zwischen Datenschutz und Bedienbarkeit bietet sich das „Mehrere-Browser-Konzept“ an. Hierbei verwenden Sie auf demselben System (Laptop, PC oder Smartphone) verschiedene Browser, die unterschiedlich streng eingestellt sind. Normalerweise nehmen Sie den Browser, den Sie extrem sicher konfiguriert haben. Einen Zweiten stellen Sie weniger streng ein und verwenden ihn nur dann, wenn der sichere Browser nicht funktioniert.

Welche Browser sich hierfür eignen, können Sie hier nachlesen: „Wie surfe ich sicher mit dem Laptop oder PC?“ oder „Wie surfe ich sicher mit dem Smartphone?“ Ein schon etwas älterer, aber noch immer weitgehend aktueller Blogbeitrag von Mike Kuketz beschreibt dieses Konzept ausführlich.

Digitalcourage-Newsletter abonnieren und auf dem Laufenden bleiben.

Wie funktioniert das? Die Technik hinter dem Tracking

Im Folgenden erklären wir, wie Tracking technisch funktioniert. Wir nennen nur die wichtigsten Punkte, denn die Technik entwickelt sich ständig weiter. Üblicherweise werden viele Methoden gleichzeitig genutzt, die einander ergänzen.

Cookies

Cookies sind das „ausgelagerte Gedächtnis“ einer Website. Wenn Sie eine Seite, ein Bild oder etwas anderes von einer Website abrufen, kann der Webserver einen kurzen Text als Beigabe mitschicken: einen Cookie. Das legt Ihr Browser in Ihrem Computer ab. Wenn er dann wieder eine Anfrage an diese Website schickt, schickt er das Cookie mit und die Website erkennt ihn wieder.

Cookies sind nicht per se etwas Schlechtes, denn sie speichern persönliche Einstellungen und Zugriffsrechte für Websites. Das ist häufig durchaus sinnvoll oder mindestens komfortabel. Der Einkaufswagen im Online-Shop würde ohne Cookies nicht funktionieren, und beim Wetterdienst möchten Sie vielleicht nicht jedesmal erneut einstellen, ob Ihnen die Temperatur in Celsius oder Fahrenheit angezeigt wird. Wahrscheinlich werden Sie also nicht alle Cookies komplett blockieren. Aber selbst das ginge – probieren Sie es aus!

Sehr schnell kamen Website-Betreiber.innen auf die Idee, Cookies mit einer zufälligen Nummer zu versehen. Die wird dann zu einer zwar anonymen, aber trotzdem eindeutigen Benutzernummer, einer ID. Damit lässt sich gezielt aufzeichnen, welche Inhalte einer Website Sie sich ansehen. Manche Cookies halten sich jahre- oder gar jahrzehntelang. Die Website weiß dann, ob Sie schon einmal „zu Besuch“ waren, und falls Sie dort später ein Konto einrichten oder etwas kaufen, kann Ihr Profil sogar mit der ID aus dem Cookie verbunden werden. Falls nicht, genügt die anonyme, eindeutige Nummer, um Sie von anderen Besucher.innen der Website zu unterscheiden.

Aber nicht nur das: Viele Website-Betreiber.innen machen gemeinsame Sache. Sie verraten anderen Firmen, welche Cookies auf Ihrem Gerät abgelegt sind. Das bedeutet: Wenn Sie bei Laden A rote Socken angeschaut haben, weiß auch Laden B, dass Sie sich für rote Socken interessieren. Noch problematischer ist es, dass viele Websites Bilder oder andere Elemente von Drittanbietern einbinden. Auch dadurch können diese Drittanbieter Sie über mehrere Websites hinweg verfolgen. Cookies von Drittanbietern sollten Sie also in jedem Fall blockieren. Mit sehr wenigen Ausnahmen wird dadurch keine Website schlechter funktionieren.

Auch wenn heute viele die Cookies löschen und Betreiber.innen daher zu anderen Methoden greifen müssen, sind Cookies doch immer noch ein wichtiger Baustein beim Tracking.

Supercookies im LocalStorage

Als Websites immer umfangreicher wurden, erhielten Nutzer.innen die Möglichkeit, auch größere Datenmengen im Browser zu speichern. Die Idee dahinter war, auch ohne Internetverbindung Anwendungen im Browser laufen zu lassen. Dieser lokale Speicher (LocalStorage) wird inzwischen oft zum Speichern von Tracking-Cookies, den „Supercookies“ missbraucht. Daher ist es wichtig, nicht nur die Cookies, sondern den gesamten Inhalt des lokalen Speichers zu löschen.

Ein Link sagt mehr als tausend Worte

Informationen, die in URLs stecken

Manche Websites hängen an die eigentliche Adresse eine eindeutige Identifikation an. Das ist dann oft etwas wie ?utm= und eine Nummer in der Adresszeile des Browsers. Bei jedem neuen Link wird dieser Zusatz angefügt. Wie bei Cookies können die Betreiber.innen nun aufzeichnen, was Sie sich auf der Website anschauen. Wenn Sie eine derartige URL als Lesezeichen speichern, erkennen die Website-Betreiber.innen Sie beim nächsten Besuch wieder.

Übrigens: Solche Anhängsel haben oft auch Links in E-Mails. Damit lässt sich feststellen, ob Sie – ja, genau Sie! – auf den Link in der E-Mail geklickt haben.

Kleiner URL-Exkurs

Auch wenn es trivial klingt: Es ist sinnvoll, sich mit dem Aufbau einer URL vertraut zu machen. Wer eine URL zu lesen weiß, fällt sehr viel seltener auf betrügerische Tricks herein. Ein Beispiel:

So wie manche Strandverkäufer.innen versuchen, Ihnen Bauchtaschen von „Abidas“ oder Uhren von „Rölex“ zu verkaufen, versuchen Internetbetrüger.innen, Ihnen falsche Links unterzuschieben. Wenn Sie glauben, dass Sie sich auf der Website Ihrer Bank befinden, werden Sie dort unbesorgt Ihre Zugangsdaten eingeben. Oder eine Datei herunterladen, die sich dann später als Virus entpuppt. Damit dieser Trick funktioniert, schreiben die Betrüger.innen den Namen der Bank in eine sogenannte Subdomain, also dorthin, wo man Zusatzinfos einbauen kann. Für die Frage, wer eine Website betreibt, ist die Subdomain völlig egal. Der Name Ihrer Bank steht dann groß und deutlich da und Sie bemerken nicht, dass an einer entscheidenden Stelle etwas Falsches steht.

Referrer

Wenn Sie auf einer Website auf einen Link klicken, teilt der Browser dem Webserver der neu angesurften Seite (Zielseite) mit, von welcher Ursprungsseite Sie kommen. Die Adresse der Ursprungsseite ist der sogenannte Referrer. Wenn nun der Referrer Ihren Namen oder Ihre Kontonummer enthält (beispielsweise http://example.com?name=michaela-meyer), oder auch das oben genannte Anhängsel, erhält der Server der Zielseite diese Information und kann sie zum Erstellen eines Profils benutzen.

Mit ClearURLs können Sie die Referrer entfernen. Dienste wie Facebook umgehen die von solchen Addons angewandten Techniken allerdings.

Digitalcourage wirkt. Wirken Sie mit!

Browser-Fingerabdruck

Damit sie gut funktionieren, können moderne Websites viele Informationen vom Browser abrufen: über das Betriebssystem, über Typ und Version des Browsers, welche Sprache und welche Zeitzone eingestellt sind, die Bildschirmgröße, Plug-Ins, Schriftarten und vieles mehr. Die Kombination dieser Informationen ist fast immer weltweit einzigartig, wie ein Fingerabdruck und lässt sich daher gut dazu verwenden, Sie oder zumindest Ihren Browser zu erkennen.

Eine Variante ist das sogenannte „Canvas-Fingerprinting“. Dabei zeichnet die Website – für Sie unsichtbar – eine Grafik und misst kleinste Zeitunterschiede. Die ergeben sich, weil jede Grafikkarte ein kleines bisschen schneller oder langsamer ist. Die Zeitunterschiede sind ebenfalls eindeutig wie ein Fingerabdruck. Oder nehmen wir die Schrift: Die Stasi konnte seinerzeit am Schriftbild erkennen, auf wessen Maschine ein Text getippt worden war. Auf ähnliche Weise kann man heute fast jeden Browser erkennen.

Wie einzigartig Ihr Browser im Netz ist, können Sie auf der Website der Electronic Frontier Foundation überprüfen: CoverYourTracks.

Tracking in Apps

Wo ein Trog ist, sammeln sich die Schweine. Was Daten betrifft, ist das eigene Smartphone ein besonders großer Trog. Kein Gerät aus unserem Alltag weiß so viel über uns wie unser Smartphone. Die zahlreichen Sensoren und Funktionen – zum Beispiel Bluetooth, Standortbestimmung via GPS, Neigungssensoren und WLAN – erlauben sogar Rückschlüsse auf Ihr Verhalten, wenn Sie das Smartphone gar nicht benutzen. Deshalb arbeiten die meisten Apps aus den Stores von Google oder Apple mit Tracking.

Aber wie kommt das Tracking überhaupt in die Programme? Google, Microsoft und viele andere Konzerne, die mit datenbasierter Werbung Geld verdienen, bieten Entwickler.innen Softwarebibliotheken („Libraries“) an. Diese lassen sich bequem in die eigene Software einbinden und werden nicht nur dazu genutzt, Werbung auszuspielen, sondern auch, um die Aktivitäten der Nutzer.innen zu verfolgen und an die Entwickler.innen oder auch Dritte weiterzuleiten. Problematisch ist, dass viele Apps tief in Ihr Gerät eindringen können und den Datensammler.innen nicht nur Ihre Aktionen in der App übermitteln, sondern gleichzeitig Informationen über Ihr System. Anhand der Gerätedaten oder der eindeutigen Werbe-ID können Informationen aus verschiedenen Quellen, unter anderem aus den Apps, zu einem Profil zusammengeführt werden.

Über diese Bibliotheken und das Sammeln von Daten wird selten transparent informiert. Häufig sind Informationen über die Tracker weit hinten in der langen, unübersichtlichen Datenschutzerklärung versteckt, die kaum jemand von Anfang bis Ende liest. Oder Sie werden schon getrackt, bevor Sie die Datenschutzerklärung überhaupt zu Gesicht bekommen haben. Apple hält seine Entwickler.innen dazu an, im App Store bei jeder App anzugeben, welche Daten sie sammelt.

Werbe-ID

Insbesondere auf Mobilgeräten kommt die sogenannte Werbe-ID zum Einsatz – eine eindeutige Zeichenfolge, damit Nutzer.innen zur Anzeige personalisierter Werbung wiedererkannt werden können.

Inzwischen lässt sich das Tracking per Werbe-ID sowohl auf iOS als auch Android-Geräten unterbinden.. Ab Android 12 kann die Werbe-ID in den Google-Einstellungen gelöscht und bei Apple der Zugriff auf die ID in den Systemeinstellungen für alle Apps grundsätzlich unterbunden werden. Seien Sie sich jedoch bewusst, dass die Anbieter.innen sich anderer Tracking-Techniken bedienen, um weiterhin fleißig Daten zu sammeln.

Inhalte von Dritten: Werbung und andere Sachen

Wie schon gesagt binden viele moderne Websites verschiedenste Dienste von Drittanbietern ein. Offensichtlich ist das bei Werbung und bei den nervigen „Consent-Bannern“. So kommen Videos meist von Youtube, eingebundene Tweets oder Instagram-Nachrichten von Twitter und Facebook. Weniger offensichtlich ist es bei Bildern, Schriftarten, Desginvorlagen (CSS) und Javascript-Programmen. Auch hier verbindet Ihr Browser sich automatisch mit den Drittanbietern, um die eingebundenen Inhalte abzurufen.

So erfahren Drittanbieter eine Menge über die Nutzer.innen. Die Referrer zeigen ihnen, wer wann auf welcher Website surft, und zusammen mit der Antwort können sie auch ein Cookie senden. Mit SmartReferer können Sie Referer-Leaks verhindern. Da viele Websites Inhalte derselben Drittanbieter einbinden, können diese die Besucher.innen über viele Websites hinweg verfolgen – siehe „Profilbildung“ weiter oben.

Die Werbeanzeigen, die viele Websites einblenden, kommen fast immer von Drittanbietern. Einer der bekanntesten Anbieter ist Google Ads. Die Werbeplätze werden meist in Echtzeit versteigert, und für jede angezeigte Werbung bekommen die Website-Betreiber.innen ein bisschen Geld. Mehr dazu in Rena Tangens' Vortrag „Warum personalisierte Werbung verboten werden muss“.

„Consent-Banner“ enthalten die bereits erwähnte Aufforderung, dem Setzen von Cookies zuzustimmen. Meist beauftragen die Website-Betreiber.innen damit Dienstleister, also Drittanbieter. Diese werden dafür nicht nur bezahlt, sondern erhalten auch gleich die Daten der Besucher.innen.

Schriften, Designvorlagen (CSS) und Javascript-Programme beziehen Website-Betreiber.innen gerne von einem sogenannten Content Delivery Network (Auslieferungsnetz). Das ist bequem und geht vermeintlich schneller. Geradezu heimtückisch sind die Javascript-Programme: Damit sorgen Website-Betreiber.innen dafür, dass Dritte beliebige Programme im Browser der Besucher.innen ausführen können. Das macht es leicht, unbemerkt einen Browser-Fingerabdruck zu nehmen oder Schadprogramme auszuführen, was immer wieder passiert .

Gerne binden Website-Betreiber.innen Google Analytics ein. Damit wollen sie möglichst genau erfahren, wer ihre Website besucht. Ähnlich ist es mit „Social Buttons”, mit denen zum Beispiel Facebook Abonnenten zu gewinnen versucht. Technisch gilt hierbei alles, was weiter oben über die Inhalte von Dritten steht.


Digitalcourage setzt sich für Ihre Privatsphäre und Ihre Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 25.07.2022. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.