Alle Blogbeiträge

Cookiebot-Report: Verstecktes Tracking von Bürgern auf Websites der EU-Regierungen und des Gesundheitssektors

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) hat Einfluss darauf, wie Ihre Website Besucher aus der EU verfolgen kann.

Aktualisiert am 25. Oktober 2020.

Wenn EU-Bürger ihre Regierungen online besuchen oder wenn sie auf Ressourcen des öffentlichen Gesundheitsdienstes zu sensiblen Themen wie Schwangerschaft, sexuelle Gesundheit, Krebs oder psychische Erkrankungen zugreifen, verfolgen sie mehr als 100 Handelsunternehmen systematisch und unsichtbar.

Einmal erhoben, können diese Daten über Datenbroker an Unternehmen innerhalb und außerhalb der Werbebranche weiterverkauft werden.

Report: Ad Tech Surveillance on the Public Sector Web
REPORT HIER HERUNTERLADEN

Haben Sie Zweifel, ob Ihre Website der DSGVO entspricht? Prüfen Sie mit dem kostenlosen Compliance-Test von Cookiebot.

Testen Sie Cookiebot 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

Überwachungskapitalismus, personenbezogene Daten und die DSGVO

“Ich habe HIV, was jetzt?”, “Ich will meine Schwangerschaft beenden”, “Anzeichen Alkoholiker zu sein”, “Versicherung für Krebspatienten”.

Dies sind Anfragen, die schutzlose Bürger auf den Webseiten ihrer Regierungen oder des öffentlichen Sektors bei der Suche nach Hilfe und Antworten stellen könnten.

Trotz der DSGVO werden die sensiblen Daten der EU-Bürger durch Dritte in den Online-Räumen, in denen sie sich am sichersten fühlen sollten, getrackt: auf Webseiten des öffentlichen Sektors in der Europäischen Union.

Fast zehn Monate nach der Durchsetzung der DSGVO haben wir die Websites der EU-Regierungen mit der Cookiebot-Technologie gescannt und alle Cookies und Tracker, die auf diesen Websites aktiv sind, identifiziert.

Zur Auffrischung, wie Cookies und die DSGVO verbunden sind lesen Sie unseren Blogbeitrag: DSGVO & Cookies

Wir haben Anfragen wie die oben genannten in den Suchmaschinen gestellt, um die spezifischen Landing Pages des Gesundheitswesens zu identifizieren, die EU-Bürger realistisch besuchen würden, um offizielle Ratschläge einzuholen

Dann haben wir auch diese Landing Pages gescannt. Das Ergebnis ist alarmierend:

Die überwiegende Mehrheit der offiziellen Regierungs-Websites in der EU beherbergt Drittanbieter, die Daten tracken. Mehr als die Hälfte der Seiten des Gesundheitswesens erleichtern unwissentlich das Tracking.

Das bedeutet, dass Ad-Tech-Unternehmen* die Daten abhören und sammeln, wenn ungeschützte Bürger sich an ihre Regierungen und Webseiten des öffentlichen Gesundheitswesens wenden, um Informationen und Hilfe in sensiblen Angelegenheiten zu suchen.

*Im Report wird der Begriff “Ad-Tech” verwendet, um gemeinsam das kommerzielle Tracking von Website-Nutzern und den dahinterstehenden Unternehmen zu beschreiben, obwohl ein Teil dieses Trackings für andere kommerzielle Zwecke als die direkte Darstellung von Werbung durchgeführt werden kann.

Exzessives Tracking auf den Websites der Regierungen und des öffentlichen Sektors trotz DSGVO
Infografiken aus dem Report: Ad Tech Surveillance on the Public Sector Web.

Was sind Ad-Tech-Unternehmen und wie verdienen sie mit meinen Daten Geld?

Sobald die Daten von den Trackern abgefangen wurden, können sie theoretisch von jedem und für alles verwendet werden. Die Daten liegen außerhalb der Kontrolle des Benutzers und sogar der Website.

Wahrscheinlich werden sie in der Billionen-Dollar-Industrie, d.h. der Datenwirtschaft, verbreitet, wo sie mit anderen Daten kombiniert werden, um gewaltige persönliche Profile zu erstellen, die von Datenhändlern an Werbe-Netzwerke in Echtzeit-Auktionen weiterverkauft werden.

Profiling wird häufig verwendet, um Werbung gezielt zu schalten, Produkte zu verkaufen, Ideen zu verbreiten, alles von der Benutzererfahrung bis hin zu den tatsächlichen Preisen, die Ihnen angezeigt werden, anzupassen und zukünftiges Handeln vorherzusagen. In den falschen Händen kann es verwendet werden, um festzustellen, ob Sie Anspruch auf eine Versicherung haben oder nicht, und ob ein potenzieller Arbeitgeber Sie einstellen sollte oder nicht…

Die persönliche Profilerstellung kann Folgendes beinhalten…

  • Daten über Ihren Standort und Ihre Bewegungen bis hin zu den Hausnummern und sogar der Etage der Gebäude,
  • Ihre Gewohnheiten und Interessen,
  • Ihr Freundeskreis, Ihre Familie und Ihre Herkunft,
  • Ihren Beruf und Ihr Einkommen,
  • politische und religiöse Überzeugungen,
  • Ihr Alter, Geschlecht und Ihre sexuelle Orientierung,
  • Ihre Beschwerden und Ängste,
  • Ihre Pläne, Träume und Hoffnungen.

Dieses Wissen wird beim Scrollen und Anklicken im Internet oder beim Bewegen in der physischen Welt, mit Gerät in der Tasche, aufwendig zusammengestellt. Dafür werden unsichtbare und scheinbar harmlose Cookies und ähnliche Tracking-Technologien, als Drittanbieter auf Websites und Apps und, wie unser Report zeigt, sogar auf offiziellen öffentlichen Websites der EU-Länder, verwendet.

Das ist im Wesentlichen die Logik des Überwachungskapitalismus. Der Überwachungskapitalismus ist ein Begriff, der die Zeit beschreibt, in der wir versehentlich angekommen sind. Im Überwachungskapitalismus, wie von Shoshana Zuboff in “The age of surveillance capitalism” beschrieben, gilt: Umso mehr Daten man hat, desto mehr besitzt man die Märkte. 

Der Überwachungskapitalismus ist das Ergebnis von 20 Jahren eines weitgehend unregulierten Internets, und die DSGVO und die bald erscheinende ePrivacy-Verordnung sind Reaktionen darauf, die versuchen, die Rechte und den Online-Datenschutz der Internetnutzer wiederherzustellen.

Sobald sie abgefangen wurden, sind Ihre persönlichen Daten außerhalb Ihrer Kontrolle und können theoretisch für alles verwendet werden. Erfahren Sie in unserem Report, wie die Ad-Tech-Industrie vorgeht und wer an der Macht ist.

Wie kommen die Website-Tracker rein?

Im Bericht zeigen wir, dass 89% der offiziellen Regierungs-Websites der EU-Mitgliedstaaten und 52% der gescannten Landing Pages der nationalen Gesundheitsdienste das Tracking zu Werbezwecken ermöglichen.

Der interessante Teil dabei ist, dass diese Websites nicht nur die EU-Mitgliedstaaten repräsentieren, die die DSGVO durchsetzen, sondern auch öffentliche Websites sind, die somit nicht auf Werbeeinnahmen angewiesen sind.

Also, was machen die Tracker überhaupt dort, und wie kommen sie da rein?

Die kurze Antwort ist, dass sie über eingebettete Dienste wie Video-Player, Social Sharing Widgets, Web Analytics, Galerien und Kommentarbereiche eindringen.

Warum?

Viele kostenlose Website-Plug-Ins von Drittanbietern erzielen Einnahmen, indem sie Tracker einschmuggeln. Sie können als Trojanische Pferde handeln und Hintertüren zur Website öffnen, so dass Ad-Tech-Unternehmen ihre Tracker geräuschlos einfügen können.

Zusammenfassend lässt sich sagen, dass viele dieser Technologien von Drittanbietern zwar angeblich kostenlos sind, aber dennoch einen Preis haben: die Privatsphäre der Nutzer.

Empfehlung für Website-Besitzer

Der Report zeigt, wie weit verbreitet das Tracking auf staatlichen und öffentlichen Websites ist, die nicht durch Anzeigen finanziert werden.

Diese Ergebnisse deuten darauf hin, dass viele andere nicht werbefinanzierte Websites wahrscheinlich auch unbeabsichtigt als Plattformen für Onlineüberwachung dienen.

Die gute Nachricht ist: Es kann verhindert und gestoppt werden.

Wenn Sie Komponenten von Drittanbietern auf Ihrer Website einbinden, unternehmen Sie diese Schritte, um konform zu bleiben und die Privatsphäre Ihrer Benutzer zu schützen:

  • Verschaffen Sie sich einen detaillierten Überblick über den aktuellen Tracking-Status auf der Website.
  • Entfernen Sie alle unerwünschten Tracker aus dem Quellcode der Website.
  • Bieten Sie Ihren Besuchern volle Transparenz und Kontrolle über die Tracker auf der Website – d.h. ermöglichen sie ihnen, die Tracker nach ihren eigenen Wünschen ein- und auszuschalten.

Sind Sie besorgt über Tracking auf Ihrer Website? Probieren Sie unser Website-Audit aus und finden Sie sofort heraus, ob Sie konform sind.

Beispiel: ShareThis als Trojanisches Pferd

Irlands öffentlicher Gesundheitsdienst, the Health Service Executive (HSE), hat auf seinen Webseiten das beliebte Social Sharing Tool ShareThis installiert. ShareThis fügt automatisch Schaltflächen zu jeder Seite hinzu, um es den Besuchern zu erleichtern, Informationen über Social Media Plattformen hinweg auszutauschen.

Als kostenloser Service mag ShareThis für viele Webseiten-Betreiber wie ein Geschenk erscheinen, aber es ist eher ein Trojanisches Pferd, das Tracker von mehr als 20 Ad-Tech-Unternehmen auf jeder Webseite freigibt, auf der es installiert ist.

Bei der Analyse von Webseiten auf HSE.ie haben wir festgestellt, dass ShareThis 25 andere Tracker lädt, die Benutzer ohne Erlaubnis verfolgen.

Dieses Ergebnis wurde auf Seiten bestätigt, die mit Suchanfragen nach “Sterblichkeitsraten von Krebspatienten” und “Symptomen einer postnatalen Depression” verknüpft sind.

Obwohl Website-Betreiber wie die HSE kontrollieren, welche Drittanbieter sie zu ihren Websites hinzufügen, haben sie keine direkte Kontrolle darüber, welche zusätzlichen “Viertanbieter” diese Drittanbieter einschleusen könnten.

ShareThis scheint auf jeder einzelnen Webseite von www.HSE.ie. installiert zu sein. Dies deutet darauf hin, dass ein breites Spektrum von Gesundheitsdaten irischer Bürger kontinuierlich und unsichtbar an kommerzielle Akteure weitergegeben wird.

Obwohl die HSE.ie-Cookie-Richtlinie auf ShareThis’ eigenes Cookie verweist, bezieht sie sich nicht auf die 25 anderen von ShareThis geladenen Tracker, was darauf hindeutet, dass die HSE ihre Aktivitäten nicht kennt.

Eingebettete Inhalte dienen als trojanische Pferde für Website-Tracker
Auf der Website des irischen öffentlichen Gesundheitsdienstes verhält sich ShareThis wie ein Trojanisches Pferd, das 25 Trackern Zugang zu hochsensiblen personenbezogenen Daten gewährt.

Wer trackt die Besucher der Website?

Sowohl auf Regierungs- als auch auf Gesundheitswebsites fanden wir 112 Datenverfolgungsunternehmen, die Daten an insgesamt 131 Tracking-Domains von Drittanbietern übermittelten.

Zwei Aspekte sind besonders beunruhigend:

1. Zehn dieser Unternehmen maskieren aktiv ihre Identität, da keine Website auf ihren Tracking-Domains gehostet wird und ihre Domainbesitzerdaten von den Datenschutzdiensten versteckt werden. Wer sind diese Tracker?

Anonyme Tracker von vertraulichen Daten
Wer trackt Sie hinter diesen verdeckten Identitäten?

2. Google führt mehr als doppelt so viel Tracking durch wie jedes andere Unternehmen. Google kontrolliert die drei Haupt-Tracker, die in dieser Studie gefunden wurden: YouTube, DoubleClick und Google.com.
Durch die Kombination dieser Dienste kann Google die Website-Besucher auf 82% der wichtigsten Websites der EU-Regierung und 43% der gescannten Landing Pages der Gesundheitsdienste verfolgen.
Angesichts der Kontrolle über viele der Top-Plattformen des Internets wie Google Analytics, Google Maps, YouTube usw. ist es nicht verwunderlich, dass Google mehr Erfolg hat, Trackingzugriff auf mehr Webseiten zu erlangen als jeder andere.
Es ist besonders bedenklich, dass Google in der Lage ist, seine Tracker mit seinen First-Party-Kontoinformationen aus beliebten Endbenutzerdiensten wie Google Mail, Google Search und Android-Apps (um nur einige zu nennen) zu vergleichen, um Online-Verhalten leicht mit den Identitäten echter Personen in Verbindung zu bringen.

Abbildung 1: Top 5 Tracker auf EU-Regierungs-Domains

Google Top Tracker auf EU-Regierungs-Domains

Abbildung 2: Top 5 Tracker auf den Landing Pages der öffentlichen Gesundheitsdienste

Google Top Tracker auf Websites des öffentlichen Sektors

Zusammenfassung zum Thema “Ad-Tech Überwachung im Web des öffentlichen Sektors”

In diesem Blogbeitrag haben wir einige der Ergebnisse unseres Reports vom 18. März 2019 beschrieben.

REPORT HIER HERUNTERLADEN

Dieser Report wurde aus Empörung erstellt. Mit unserer Scantechnologie können wir die zunehmende Epidemie der unkontrollierten Online-Überwachung beobachten, die im gesamten Internet wächst.

Für einige Leser könnten die Ergebnisse und Schlussfolgerungen schockierend sein. Für andere wohlbekannt.

Für beide ist unsere Botschaft, dass es verhindert und gestoppt werden kann.

Wir fordern alle Website-Besitzer auf – öffentliche und private -, die Verantwortung für das Tracking zu übernehmen, das auf ihren Websites in Übereinstimmung mit den Anforderungen der DSGVO und anderer Gesetze stattfindet.

Schaffen Sie Transparenz – sowohl für sich selbst als auch für die Nutzer Ihrer Website – und geben Sie Ihren Nutzern eine echte Wahlmöglichkeit darüber, wie die auf Ihrer Website erzeugten Daten für kommerzielle Zwecke verwendet werden.

FAQ

Was ist Cookiebot?

Cookiebot ist eine Plug-and-Play Consent Management-Plattform (CMP), die Ihre Website tiefgreifend scannt, um alle Cookies und Tracker von Drittanbietern in Betrieb zu erkennen und zu kontrollieren. Cookiebot behandelt die Benutzereinwilligungen auf Ihrer Website in voller Übereinstimmung mit der DSGVO und dem CCPA.

Testen Sie Cookiebot 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

Was ist die DSGVO?

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz, das die Verarbeitung personenbezogener Daten von Personen innerhalb der Europäischen Union regelt. Die DSGVO schreibt vor, dass Websites vor der Verarbeitung von personenbezogenen Daten die klare und positive Einwilligung der Nutzer einholen müssen.

Welche Cookies verwendet meine Website?

Welche Cookies Ihre Website verwendet, hängt davon ab, welche Funktionalitäten und Drittanbieterdienste Sie auf Ihrer Domain integriert haben. Wenn Sie zum Beispiel Google Analytics auf Ihrer Website verwenden, werden Third-Party-Cookies gesetzt. Die Verwendung von Drittanbieter-Diensten bedeutet, dass Sie Cookies von diesen Drittanbietern auf Ihrer Website haben – alle diese Cookies erfordern die vorherige Zustimmung von Endnutzern in der EU/UK und Opt-Out-Optionen für Nutzer in Kalifornien, neben anderen Ländern und Regionen.

Testen Sie den Cookiebot CMP-Cookie-Checker noch heute kostenlos

Wie kann meine Website DSGVO-konform werden?

Wenn Ihre Website Cookies und Tracker von Dritten verwendet (z. B. durch die Verwendung von Social-Media-Links, Analytics-Tools oder Marketing-Plug-ins), müssen Sie die vorherige und ausdrückliche Einwilligung Ihrer Website-Besucher erfragen und einholen.

Ressourcen

Der Report: Ad Tech Surveillance on the Public Sector Web

Der offizielle DSGVO Gesetzestext

Shoshana Zuboff: The age of surveillance capitalism

    Bleiben Sie auf dem Laufenden

    Werden Sie jetzt Teil unserer wachsenden Community von Datenschutz-Befürwortern. Abonnieren Sie den Cookiebot™-Newsletter und erhalten Sie die neuesten Updates und spannende Informationen direkt in Ihren Posteingang.

    Mit einem Klick auf „Abonnieren“ bestätige ich, dass ich den Cookiebot™-Newsletter abonnieren möchte. Ich kann das Abonnement des Cookiebot™-Newsletters und die Einwilligung in die Verwendung meiner Daten ganz einfach widerrufen, indem ich auf den Abmeldelink klicke. Oder ich kann mich schriftlich an [email protected] wenden, um eine Anfrage zu stellen. Datenschutz­richtlinie.

    Machen Sie noch heute die Nutzung von Cookies und Online-Tracking auf Ihrer Webseite datenschutzkonform

    JETZT KOSTENLOS TESTEN