Ver-trackt: Kleiner Haken – große Wirkung (Do Not Track) 7 Mai J | E-Commerce, IT, Sicherheit, Vertrauen, Zertifizierung In den Datenschutzeinstellungen kann das Speichern und Aufzeichnen des Surfverhaltens ausgeschaltet werden Seit langem sind Kriterien zum Tracking wie auch social plugins fester Bestandteil der Datentschutzkriterien des Gütesiegels EHI Geprüfter Online-Shop. Innerhalb des Zertifizierungsprozesses erhalten Online-Händler zusätzliche wichtige Hinweise zum aktuellen Status Quo der Entwicklungen. Die DNT (Do Not Track)-Initiative soll Verbraucher vor der digitalen Verfolgung durch die Werbewirtschaft schützen – dabei hat sie sich zum handfesten Konflikt zwischen Datenschützern und Werbern ausgewachsen. Wir beleuchten die Hintergründe der gegensätzlichen Positionen. Was ist Do Not Track? Do Not Track, kurz DNT, ist eine Einstellungsmöglichkeit im Browser, die es Verbrauchern ermöglichen soll, das Speichern und Aufzeichnen ihres Surfverhaltens mit dem Ziel, gezielte Werbung zu platzieren, pauschal zu untersagen. Dazu soll dem Surfer eine Checkbox dienen, die er anhaken kann, um Websites mitzuteilen, „dass er nicht verfolgt [getrackt] werden möchte. Der Verbraucher soll selbst wählen können, wie wichtig ihm seine Privatsphäre beim Surfen ist. DNT ist ein Akt der Selbstregulierung der Wirtschaft; dies insbesondere im Zusammenhang mit der voranschreitenden Entwicklung des Europäischen Datenschutzrechts im Web. Datenschutz in der EHI-Zertifizierung Seit langem sind Tracking wie auch social plugins fester Bestandteil der Datentschutzkriterien des Gütesiegels EHI Geprüfter Online-Shop. Innerhalb des Zertifizierungsprozesses erhalten Online-Händler zusätzliche wichtige Hinweise zum aktuellen Status Quo der Entwicklungen. Die DNT-Initiative befindet sich zurzeit noch im Standardisierungsverfahren beim W3C, dem Konsortium für technische Standards im Internet. Dabei hat sie sich zu einem handfesten Konflikt zwischen Datenschützern und der Werbewirtschaft ausgewachsen. Wir beleuchten die Hintergründe der gegensätzlichen Positionen. Welche Konsequenzen hat Do not Track für den Verbraucher? Grundsätzlich klingt die geplante Entscheidungsfreiheit für Verbraucher positiv. Jeder soll selbst bewusst entscheiden können, ob er das Tracking der Werbewirtschaft zulassen möchte oder nicht. Ein Plus an Privatsphäre also und damit ein gewichtiges Argument. Erwähnen sollte man allerdings, dass die Wirksamkeit der DNT-Option im Browser vom Verbraucher selbst nicht kontrolliert werden kann. Ob der Server einer von ihm besuchten Website die Do not Track Anweisung akzeptiert, bleibt im Verborgenen. Deshalb sind bereits Stimmen lautgeworden, die Kontrollen auf Seiten von trackenden Unternehmen fordern. Kritiker der DNT-Idee führen mindestens zwei Argumente ins Feld, die für das Tracking sprechen Aufzählung: 1. Erstens können Verbraucher viele Informations- und Unterhaltungsangebote im Web nur deshalb kostenlos nutzen, weil sie durch Werbung refinanziert werden. Eben diese Werbung benötigt aber das Tracking, um für Angebote werben zu können, die auf die Interessen der Website-Besucher zugeschnitten sind. 2. Zweitens profitieren Verbraucher von gezielter Werbung deutlich mehr als von Werbebotschaften nach der Gießkannenmethode. Dies braucht aber Tracking, um herauszufinden, für wen welche Werbung relevant ist. Darf Do not Track im Browser bereits voraktiviert sein? Die Ankündigung von Microsoft Mitte 2012, den aktuellen Browser Internet Explorer 10, kurz IE10, mit standardmäßig voraktivierter Do not Track Option auszuliefern, sorgte bei den betroffenen Werbetreibenden für Entrüstung. Und man ging in die Gegenoffensive. Die Entscheidung des Verbrauchers müsse bewusst sein – eine Voreinstellung „Ich will nicht getrackt werden“ stelle eine Bevormundung des Verbrauchers dar. Es fehle an einer aktiven Entscheidung. Die Entwickler des erfolgreichsten Webservers Apache (fast 60 Prozent Marktanteil) sorgten daraufhin mithilfe eines Patches, dass der vom IE10 übermittelte Do not Track Wunsch ignoriert wird. Auch Yahoo signalisierte trotz der Nähe zu Microsoft den Boykott der Voreinstellung des IE10. Dabei ist das Vorgehen von Microsoft im Grunde die Umsetzung des Privacy-by-Default-Ansatzes, wie er in der Datenschutzgrundverordnung der EU-Kommission gefordert wird. Was bedeutet Do Not Track aus rechtlicher Sicht? Auch aus juristischer Sicht gibt es keine einheitliche Beurteilung von Do Not Track. Im Kern geht es um §15 Abs. 3 TMG (Telemediengesetz): „Der Dienstanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“ Ist die Rede von Tracking stellt sich also die Frage: Führt Tracking zwangsläufig zu Nutzungsprofilen? Wo liegen die Grenzen zu unbedenklichen Auswertungsformen, die nicht auf personenbezogenen Daten basieren? Die Beurteilungsschwierigkeiten beginnen also schon bei der Begriffsdefinition. Im Licht des §15 Abs. 3 TMG kann eine standardmäßige Voraktivierung wie von Microsoft vorgeschlagen möglicherweise zum Bumerang werden. Der Widerspruch „Ich will nicht verfolgt werden“ könnte, weil voreingestellt, juristisch daran scheitern, dass der Surfer keine aktive Entscheidung getroffen hat. Dann wäre der Widerspruch unwirksam und kein Anbieter müsste sich daran halten. Für Dr. Thilo Weichert, Landesdatenschutzbeauftragter von Schleswig-Holstein, ist DNT ein Schritt in die richtige Richtung. Er unterstützt auch die von Microsoft initiierte Voraktivierung der DNT-Option, denn sie verwirkliche das Privacy by Default (Privatheit durch Voreinstellung) Konzept der EU, einem Bestandteil der geplanten Europäischen Datenschutz-Grundverordnung. Wie ist der Status Quo von Do Not Track? Noch arbeitet das W3C an einem verbindlichen Standard für den Do not Track Mechanismus. Aktuell ist die Option in den am weitesten verbreiteten Browsern zwar enthalten, keiner der beteiligten Akteure ist aber verpflichtet, dem Wunsch des Verbrauchers „nicht verfolgt zu werden“ zu entsprechen. Es ist nicht erkennbar, dass die Vertreter der Industrie im W3C Konsortium bereit sind, DNT konsequent umzusetzen. Das ist nachvollziehbar, denn immerhin handelt es sich um ein milliardenschweres Geschäft. Neelie Kroes, als EU-Kommissarin verantwortlich für die „digital agenda“, ist besorgt über den Fortschritt des Standardisierungsverfahrens für DNT. Ihre Kritik richtet sich nicht nur auf die Geschwindigkeit sondern vielmehr auf die drohende Aufweichung des eigentlichen Ziels der Do Not Track Idee. Gemeint sind die Interventionen der digitalen Werbebranche, die natürlich darauf abzielen, dass Do Not Track beim Verbraucher nur wenig Verbreitung findet. So erklärte Ende 2012 ein Sprecher der DMA (Digital Marketing Association) gegenüber dem W3C, Marketing treibe schließlich die Welt an und sei so amerikanisch wie Apfelkuchen. So sei gerade die mittels Tracking auf die Surfer zugeschnittene Werbung einer der wichtigsten Werte der Zivilgesellschaft. Marketing von Drittanbietern und Service-Providern solle deshalb im Kontext des Tracking grundsätzlich erlaubt sein. Auch die amerikanische Wettbewerbs- und Verbraucherschutzbehörde FTC (Federal Trade Commission) wandte sich gegen den Vorstoß von Microsoft und will die Entscheidung für oder gegen Tracking explizit vom Verbraucher fällen lassen, nicht vom Software-Hersteller. Fazit Do Not Track ist kein Rundum-Sorglos-Paket, das auf einer einfachen Ja/Nein-Entscheidung beruht. Der Erfolg des Konzeptes wird davon abhängen, ob es den Entscheidern gelingt, sowohl die Position der Verbraucher wie auch die Position der Wirtschaft angemessen zu berücksichtigen, ohne den Nutzen des Webs für alle Beteiligten zu sehr zu beschneiden.