Eine neue Studie zeigt, dass viele Websites von G20-Regierungen ungefragt Cookies hinterlassen – entgegen den Vorschriften der Datenschutz-Grundverordnung. Von den 6.000 untersuchten Websites hinterlassen demnach über 90 Prozent mindestens einen Datenschnipsel, ohne dass Nutzer darüber informiert werden. Die Wissenschaftler hoffen, dass sich so mehr Aufmerksamkeit auf den fehlenden Datenschutz auch auf Websites von Regierungen und internationalen Organisationen richtet.
Wer eine Website zum ersten Mal besucht, wird seit der Umsetzung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 im Regelfall mit einem Hinweis auf Cookies begrüßt. Dies soll sicherstellen, dass die Verarbeitung personenbezogener Daten nicht ohne die Zustimmung des Nutzers, also DSGVO-konform, erfolgt. Während das Tracking auf manchen Websites verhältnismäßig leicht abgelehnt werden kann, gibt es häufig auch Cookies, die laut den Seitenbetreibern essenziell für die Nutzung sind, sowie solche, die ohne die Zustimmung oder Kenntnis des Besuchers verwendet werden.
120.000 URLs überprüft
Matthias Götze von der TU Berlin hat mit seinem Team nun untersucht, in welcher Form offizielle Regierungs-Websites Cookies verwenden und wie Datenschutz-konform das geschieht. Dazu haben sie insgesamt gut 5.500 Seiten aller G20-Mitgliedsstaaten inspiziert und fast 120.000 URLs unter die Lupe genommen. Zusätzlich überprüften die Forscher fast 250 Websites internationaler Organisationen, darunter auch solche der EU und der Vereinten Nationen, sowie gut 130 offizielle Websites, die Informationen zum Thema Covid-19 bereitstellen.
Der von den Wissenschaftlern verwendete Browser war so eingestellt, dass er beim Besuch der Website alle ihm angebotenen Cookies speichert, ohne jedoch mit der Website zu interagieren. Dazu zählt auch, dass keine Zustimmung oder Ablehnung als Reaktion auf Cookie-Hinweise stattfand. Falls eine solche Datei gespeichert wurde, geschah dies daher nicht DSGVO-konform.
Verschiedene Kategorien an Cookies
In ihrer Auswertung unterschieden die Forscher zwischen verschiedenen Arten von Datenschnipseln: „Es gibt Erstanbieter-Cookies, die von der besuchten Website selbst erstellt werden, während Drittanbieter-Cookies in der Regel von externen Akteuren durch eingebettete Inhalte erstellt werden“, erklärt Co-Autor Srdjan Matic vom IMDEA, einem Software Institut in Madrid. „Darüber hinaus gibt es das Ghostwriting, bei dem eine externe Einrichtung das Cookie im Namen einer anderen Partei erstellt und dessen Ursprung daher unbekannt ist.“
Das Augenmerk von Götzes Team lag bei der Untersuchung insbesondere auf dem Anteil der Drittanbieter-Schnipsel und der sogenannten Tracking-Cookies, die häufig zur Erstellung eines Marketing-Profils genutzt werden. Durch sie können Unternehmen beispielsweise gezieltere Werbung schalten. Tracker gelten datenschutzrechtlich als besonders bedenklich, da sie bei Besuch der Website teilweise die IP-Adresse, den Browserverlauf oder frühere Einkäufe des Nutzers erfassen und weitergeben können.
Ungefragte Cookies auf 90 Prozent der Seiten
Das Ergebnis der Studie zeigt, dass selbst die Regierungen vermeintlich datenschutzbewusster Länder sich nicht durchgehend an ihre eigenen Regeln halten. So installieren im Schnitt 93 Prozent aller untersuchten Websites ungefragt mindestens ein Cookie, wobei Japan mit lediglich 77 Prozent seiner Seiten den geringsten Wert aufweist. Deutschland landet mit 87 Prozent seiner Regierungs-Websites, die mindestens einen Datenschnipsel hinterlassen, immerhin auf Platz 17 der 19 untersuchten Länder – in Saudi-Arabien und Indonesien gab es dagegen keine einzige untersuchte Website, die dies nicht getan hat.
Während die untersuchten Länder bei der allgemeinen Betrachtung noch nah beieinander liegen, streut sich die Verteilung bei den Websites, die ungefragt Drittanbieter-Cookies installieren. Die russischen Regierungs-Seiten liefern hier den Höchstwert mit einem etwa 95-prozentigen Anteil ungefragt platzierter Cookies. „Sogar bei der Untersuchung von Deutschland, einem Land, das für seine strikten Datenschutzbestimmungen bekannt ist, mussten wir feststellen, dass über 25 Prozent der offiziellen Websites Drittanbieter-Cookies hinzufügt“, berichten die Forscher.
Die Cookies waren dabei nicht immer temporär: Durchschnittlich die Hälfte der Drittanbieter-Schnipsel nistete sich beim User länger als einen Tag ein, ein Viertel sogar länger als ein Jahr. Den Großteil der gefundenen Drittanbieter-Schnipsel machten in den meisten Ländern Tracking-Cookies aus, wie die Wissenschaftler berichten. Mit zwei Ausnahmen: Lediglich auf südkoreanischen und deutschen Websites trugen Tracking-Cookies weniger als die Hälfte bei.
Hauptsächlich Google und seine lokalen Alternativen
Auf der Suche nach der Quelle der Tracker stießen Götze und sein Team immer wieder auf einen Urheber: das Unternehmen Google und seine Tochterfirmen, bei denen neben YouTube der Marketing-Anbieter DoubleClick den Löwenanteil ausmacht. Lediglich in Ländern mit beschränktem Zugang zu ausländischen Anbietern landen die Google-Dienstleister auf den hinteren Plätzen. So stammen in Russland die meisten Tracking-Cookies von der dort verbreiteten Suchmaschine Yandex, parallel dazu liefert Baidu den größten Anteil der chinesischen Tracker.
Zwei weitere Ausnahmen zur Google-Vorherrschaft finden sich jedoch auch in Mitteleuropa. So stammen mit Abstand die meisten Tracking-Cookies auf französischen Regierungs-Websites von dem dort beheimateten Traffic-Analyse-Dienst XiTi und auch Deutschland setzt auf eine Alternative: Den ersten Platz der Cookie-Quellen belegt hierzulande – knapp vor YouTube und DoubleClick – das Hamburger Unternehmen Etracker, das seine Software selbst als datenschutzkonformes Google-Analytics-Konkurrenzprodukt bezeichnet.
Hoffnung auf Besserung
Die Untersuchung der Websites von internationalen Organisationen brachte kaum bessere Ergebnisse. So setzten 95 Prozent davon ungefragt mindestens ein Cookie, 60 Prozent einen Drittanbieter- und 52 Prozent ein Tracking-Cookie. Bei der Analyse der Covid-19-Informationsseiten sah es ähnlich aus: 99 Prozent hinterließen generell einen Datenschnipsel, 62 Prozent einen aus fremdem Hause und 60 Prozent einen Tracker.
Die Forscher hoffen, mit ihrem Bericht auf den datenschutzrechtlichen Missstand offizieller Regierungs-Websites hinzuweisen und diesen in den öffentlichen Diskurs zu rücken. Wie Seniorautor Georgios Laoutaris vom IMDEA betont, will das Team so „mehr Druck auf die Regierungen ausüben, damit sie zuerst vor ihrer eigenen Haustür kehren und dadurch ein gutes Beispiel geben. So könne n sie überzeugender zeigen, wie wichtig es ist, die Datenschutz-Grundverordnung in der Praxis umzusetzen.“ (WebSci ’22: 14th ACM Web Science Conference 2022, 2022; doi: 10.1145/3501247.3531545)
Quelle: IMDEA Software Institute