In einem Artikel der dailytech vom 8. Dezember “Mozilla Kills “Do Not Track” Tool, Microsoft Adds One to IE9″ wird darüber berichtet, dass Mozilla für die Firefox-Version 4 auf Druck der Werbeindustrie die sogenannte “do not track”-Funktion wieder ausbaut und gleichzeitig aber Microsoft eine “Tracking Protection”-Funktion in seiner neuen Version 9 des Internet-Explorers einführen wird.
Es wird weiterhin vermutet, das Microsofts Beweggründe darin zu suchen sind, eventuell verloren gegangenes Terrain bei der Browservorherrschaft wieder gut machen zu können.
Was ist denn eine “Do-not-Track” Funkton oder eine “Tracking Protection”?
Im IEBlog kann man dazu folgendes Lesen:
Heutige Websites beinhalten diverser Aufrufe, um weiteren Content, Bilder, Cookies, Zählpixel, HTML oder ausführbare Skripte aufzurufen. Diese Datenanfragen sollen mithilfe der Tracking Protection eingeschränkt werden und somit die Datensammlung und das Tracking ebenfalls zu limitieren. Hierzu muss im IE9 der Anwender eine Tracking Protection List (TPL) pflegen, welche zunächst leer ausgeliefert wird. In die TLP werden Webadressen, wie z. B. BoeseSite.de eingetragen. Ruft man allerdings eine Webadresse direkt auf oder klickt auf einem Link, so wird sie auch ausgeführt. auch wenn diese Adresse in der TPL aufgeführt wird. Neben dieser Liste der “bösen” Webadressen soll es auch die Möglichkeit geben Ausnahmen zu deklarieren, unter welchen Restriktionen die “böse” Adresse doch aufgerufen werden kann.
Mit Hilfe des neuen IE-Mechanismus können Anwender aktiv darauf Einfluss nehmen, was von Ihnen gemessen werden darf und was nicht. Anders ausgedrückt: Hiermit kann sich jeder Anwender seine persönliche “black” und “white” Liste an Webadressen erstellen. Einige dieser Funktionen werden bereits von IE8 im InPrivate Mode unterstützt. Neu hierbei ist das Format der Black und White Lists, diese werden für den IE nämlich als RSS-Feeds bereitgestellt. Somit kann beispielsweise der Systemverwalter im Unternehmen zentral viele der vermeintlich “bösen” Webadressen pflegen und als Anwender abonniere ich lediglich diesen Service und brauche mir um die angebliche “Sicherheit” keine Sorge mehr machen.
Neu sind diese Funktionen aber nicht, werden sie doch als Add-On z. B für den Firefox seit längerem angeboten - Adblock Plus.
“Die Erweiterung wird von über vierzig Filterabonnements für Dutzende Sprachen unterstützt, mit denen sie automatisch für verschiedene Einsatzzwecke konfiguriert wird, angefangen beim Blockieren von Werbung bis hin zum Blockieren bekannter bösartiger Webseiten.Mit Adblock Plus können Sie auch eigene Filter erstellen, unterstützt durch viele hilfreiche Features, z.B. ein Kontextmenü-Eintrag für Bilder, ein Tab zum Blockieren von Flash und Java, und die Liste blockierbarer Elemente zum Entfernen von Skripten.”
Nehmen wir einmal an, alle Browser würden über eine “Do-not-Track”-Funktion verfügen und sie wären permanent eingeschaltet: Was wären die Auswirkungen auf die Web Analytics und den Werbemarkt?
- Domains von Web Analytics Anbietern oder Adservern sowie Scripte wären gezielt blockbar.
- Die Web Analytics wird komplizierter, weil man permanent darauf achten muss, nicht in den TLPs zu landen.
- Für Anwender, die gezielt das Zählpixel blocken, müssen alternative Messmethoden (z. B. serverseitiges Messen, Logfiles) aktiviert werden.
- Werbung wird komplizierter, da die Adserver und Affiliates wie mit einem Adblocker einfach ausgelistet werden könnten. Somit könnten auch einige aktuellen Geschäftsmodelle Ihre Daseinsberechtigung verlieren. Die Werbewirtschaft insgesamt würde deutlich an Umsatz einbüßen.
Die Auswirkungen auf die Werbewirtschaft und den gesamten Online Markt sind nur schwer abzuschätzen. Der Online Markt lebt davon Werbung messbar und zielorientiert auszusenden. Genau das unterscheidet den Online Markt von anderen Werbemärkten. Viele Webangebote sind werbe-finanziert und können nur aufgrund der Werbeeinnahmen kostenlos angeboten werden. Websitebetreiber werden dazu übergehen müssen die Werbung auf ihre Site einzubinden und über Ihre Domains auszusenden.
Könnte man die IE9 Tracking Protection technisch umgehen?
Das Umgehen der Tracking Protection und ähnlicher, auf URLs basierender Mechanismen ist temporär möglich. Da hier lediglich auf Domainnamen oder URL’s abgeprüft wird, kann man durch tracken über die Primäradresse der Website und Reverse-Proxy-Methoden relativ simpel diesen “Schutzmechanismus” aushebeln. Allerdings muss davon ausgegangen werden, dass dies relativ schnell erkannt wird und die TLPs angepasst werden.
Letztendlich werden alle “Do-not-Track”-Funktionen und ähnliche Maßnahmen dazu führen, das beide Seiten aufrüsten. Hier wäre mehr Aufklärung und Offenheit sinnvoller. In den meisten Fällen wird das Nutzungsverhalten von anonymen Webbesuchern getrackt und analysiert mit dem Ziel den Content, die Navigation und Konversion zu optimieren,m was letztendlich auch dem Besucher zu gute kommt.
Aber vielleicht führen diese “Do-not-Track”-Diskussionen auch dazu mehr Augenmerk darauf zu legen, aus den anonymen Besucher gute Bekannte zu machen und mit dessen ausdrücklichen Genehmigung zu tracken.
Vorteile durch Web Tracking für Websitebesucher?
- Der Websitebetreiber oder Werbetreibende bekommt Informationen was beim anonymen Anwender funktioniert und was nicht? Dadurch könnte sich die Website und die Werbung positiv verbessern - in der Funktion, Aufmachung und Content.
- Durch Targeting-Lösungen bekommt der Anwender sicherlich einen höheren Anteil an “guter” Werbung, der ihn interessiert als ohne Targeting?
Wo ist eigentlich die Tracking Protection, wenn wieder einmal die Marktforscher das Einkaufsverhalten in Supermärkten analysieren und anschließend die Ware umgeräumt wird und Laufwege geändert werden, so dass man nichts wieder findet.
Die Lösung
Oder liegt vielleicht die Lösung in den bewährten Kundenkartenmodellen - Web Tracking findet nur noch dann statt, wenn wir über Bonuspunkte dem Anwender Vorteile beim Einkauf verschaffen - ab 5.000 Trackingpunkte gibt es einen 5€ Einkaufs-Gutschein.
Aus Datenschutzgründen wird Internet-Nutzern immer wieder geraten, sie sollten doch die “gefährlichen Cookies” in ihren Browsern löschen, diese auf keinen Fall akzeptieren und überhaupt alles Erdenkliche anstellen, um diese von der Festplatte zu radieren. Das ist bestimmt gut gemeint und im Sinne einer Anonymisierung und des Schutzes der Privatsphäre auch superkorrekt!
Aber ich bekenne: Ich gehöre zu den Verweigerern dieser Ratschläge - ich lösche keine Cookies. Aktuell habe ich rund 500 Cookies auf meinem PC. Und es ist mir egal, von wem und warum die dort sind. Ich lösche sie nicht und lasse sie, wo sie sind. Im Gegenteil: Ich habe sogar meinem Virenscanner und meinem CCleaner beigebracht, Cookies nicht zu löschen.
Der Grund ist ein ganz einfacher: Ich mag es, wenn man mich auf einer Website wiedererkennt - genauso, wie ich es mag, wenn mich die Bäckereifachverkäuferin morgens begrüßt. Ich würde nicht auf die Idee kommen, solche Läden mit Verkleidung zu betreten, jeden Morgen mit einer anderen, damit ich um Gottes willen nicht wiedererkannt werde. Kurzum: Ein bisschen Eitelkeit darf sein, deshalb lösche ich meine Cookies nicht.
Zugegeben, das klingt etwas pathetisch, aber es ist einfach an der Zeit, mal etwas Gutes über Cookies zu sagen. Es sind kleine Helfer, die viele Dinge im Internet einfacher und bequemer machen:
- Man wird automatisch auf Websites eingeloggt.
- Websites speichern individuelle Einstellungen in Cookies und ich muss nicht jedesmal neu konfigurieren.
- Shops wissen, was ich mag und bieten mir interessante Dinge an.
- Ich genieße Einkaufsvorteile, weil ich einen Cookie besitze und der Shop mich als Stammkunden wiedererkennt.
- Websites tauschen untereinander Daten aus und Social-Media-Applikationen “sprechen” untereinander, weil ich deren Cookies akzeptiere.
Cookies wurden weder von der CIA, noch von der NSA und schon gar nicht vom BND erfunden, sondern von Site-Betreibern und Webserver-Programmierern, die einfach wissen wollen, wer da virtuell vor ihnen steht. Diese erfahren auch nichts “von mir”, sondern lediglich über mein Internet-Benutzungsverhalten, also einen recht schmalen und einseitigen Ausschnitt meiner “Persönlichkeit”.
Für wesentlich “gefährlicher” halte ich Rabattkartensysteme, weil sie in der Lage sind, mein gesamtes Offline-Verhalten lückenlos nachzuvollziehen. Damit habe ich tatsächlich ein Problem, und darum besitze ich keine einzige dieser Karten.
Also, liebe Rabattkarten-Besitzer: Macht bitte nicht so viel Getöse um die angebliche Schädlichkeit von Cookies, diese haben aus meiner Sicht einen berechtigten Daseinszweck.
Im Übrigen kennt die oben erwähnte Bäckereifachverkäuferin die Größe meiner Familie, deren Essgewohnheiten, die Anzahl Autos und deren Marken sowie die Zahl unserer Fahrräder. Und sie weiß, wie viele Kreditkarten ich besitze. Sie weiß auch, dass ich selten Kekse kaufe. Und das alles ganz ohne Browser-Cookies.
In den Medien herrscht derzeit große Aufregung. Denn in der Web Analytics soll es mit dem Datenschutz nicht zum Besten stehen. Im Wesentlichen geht es in der aktuellen Debatte um IP-Adressen und deren Anwendung. Der Vorwurf lautet, sehr grob formuliert: Mit Hilfe von IP-Adressen könne man anonyme (und damit erlaubte) Daten, die aus der Web Analytics gewonnen werden, Personen zuordnen. Und diese Personalisierung ist verboten. Die kurz gefasste Schlussfolgerung der Medien: Weil die Verknüpfung von IP-Adressen mit anderen Daten in der Web Analytics ein Leichtes ist, öffnet sie dem Rechtsbruch Tür und Tor.
Kein Wunder also, dass derzeit zahlreiche Web-Analytics-Anwender nach einer solchen Lektüre besorgt bei uns, bei Agenturen und Rechtsanwälten um Rat fragen. Unser Tipp: Gelassen bleiben. Die aktuelle Diskussion entbehrt aus unserer Sicht jeder sachlichen Grundlage, und zwar aus mehreren Gründen:
- Es ist nicht Aufgabe des Tools, vor Missbrauch zu schützen! Derzeit entsteht der Eindruck, dass es Tools wie Google Analytics sind, die den Datenschutz unterwandern. etracker etwa wirbt mit einem selbst entworfenen Bundesdatenschutzgesetz-Siegel und auch WiredMinds will mit einem Datenschutz-Zertifikat punkten. Diese Siegel sollen belegen, dass ihre Tools datenschutzkonform sind. Mit Verlaub: Was für ein Unsinn. Selbstverständlich können auch mit etracker IP-Adressen generiert werden. Es ist nicht die Software, die den Datenschutz verletzt, sondern immer der Anwender! Ein WA-Betreiber wollte sich kürzlich von seinem Toolanbieter schriftlich bestätigen lassen, dass sein Produkt rechtskonform ist. Die Antwort kam prompt: Der Toolanbieter fühlt sich nicht zuständig und unterschrieb gar nichts. Zu Recht: Das wäre so, als würde ein Koch den Herdhersteller dafür verantwortlich machen, dass er keine giftige Suppe kocht. Stattdessen läuft die Sache umgekehrt: Große Toolanbieter wie Omniture und coremetrics sichern sich vor ihren Kunden ab. Diese müssen schriftlich bestätigen, dass sie im Umgang mit dem erworbenen Tool den Datenschutz einhalten werden.
- Auch ohne IP-Adresse kann der Datenschutz verletzt werden! Durch geschickte Kombination von Daten mit zusätzlichen Informationen - etwa aus dem Warenwirtschaftssystem – können personalisierte Daten generiert werden, man muss nur filigran genug messen. Zum Missbrauch braucht es also keine IP-Adressen. Deshalb wäre es für die aktuelle Diskussion sehr sachdienlich, die Perspektive zu erweitern.
- Google Analytics wird zu unrecht an den Pranger gestellt. Vor allem das kostenlose Tool Google Analytics wird in den Medien angegriffen, weil es den Datenschutz nicht einhalten soll. Fakt aber ist: Google Analytics liefert keine IP-Adressen an seine Anwender aus. Ob Google allerdings dennoch IP-Adressen sammelt und diese bloß nicht weiterleitet, ist eine interessante Frage – die Google leider nicht beantwortet.
- Die aktuelle Diskussion hätte bereits vor vielen Jahren geführt werden können. Es gibt derzeit keine neue oder veränderte Gesetzgebung, die eine erhitzte Diskussion wie die aktuelle rechtfertigen würde. Die Datenschutzrichtlinie der EU, nach der Website-Besucher über die Verwendung von Cookies informiert werden sollen, ist gerade erst in Planung und es wird dauern, bis diese in Kraft tritt und in die deutsche Gesetzgebung einfließt.
Was empfehlen wir derzeit unseren Kunden? Das, was wir seit jeher empfehlen:
- Seid Euch Eurer Verantwortung bewusst! Holt zwei Rechtsexperten: einen Medienrechtler, einen für Datenschutz. Mit deren Rat sollen die WA-Projekte so aufgebaut und durchgeführt werden, dass das Generieren personenbezogener Daten nicht möglich ist.
- Website-Besuchern muss die Möglichkeit angeboten werden, das Verfolgen anhand von Cookies zu unterbinden. Ein guter Platz dafür sind die Datenschutzbedingungen, die gut erreichbar sein sollten. Gutes Beispiel: unser Kunde Weltbild
- Personenbezogenen Daten sind für effiziente Webanalyse nicht nötig. Es reichen Cluster, die anhand soziografischer Informationen wie Geschlecht und PLZ gebildet werden, um gute Analysen durchführen zu können.
- Und: Bitte gesunden Menschenverstand einschalten und die Originaltexte lesen – nicht nur Medienberichte. Selbst einige Rechtsanwälte lassen sich derzeit von der hitzigen Debatte anstecken und scheinen nicht immer klar zu sehen. Als Lektüre empfehlen wir den Beschluss des „Düsseldorfer Kreises“ (ein Zusammenschluss der Datenschutz-Aufsichtsbehörden der Länder). Darin werden kompakt und lesbar essentielle Grundlagen der Web Analytics zusammengefasst, zum Beispiel:
- Man darf Web Analytics Tools einsetzen, um anonymisierte Profile zu bilden.
- Man darf diese Profile aber nicht in einen Personenbezug bringen.
- Dies ist gestattet, wenn der Betroffene zustimmt - was etwa beim Online-Kauf über die AGBs geregelt ist.
Fazit: Datenschutz in der Web Analytics ist ein wichtiges Thema – aber ganz bestimmt kein aktuelles. Und es muss anders darüber diskutiert werden als es aktuell der Fall ist. Es wäre an der Zeit, dass Verbände wie der BVDW, die BITKOM und auch der OVK sich einschalten und Medien, Anwälten und auch Toolherstellern fachlich belegen, dass ihr IP-Adressen-Getöse zur falschen Zeit stattfindet, den Kern nicht trifft, und, gelinde gesagt, Unsinn ist.
Verfasst von Axel Amthor
am 10. Dezember 2009 unter
Analytics
Es gibt - glaubt man aktuellen Veröffentlichungen - die ultimative Lösung für das Cookie-Löscher-Problem
Benutzer löschen Cookies, weil ihnen permanent eingeredet wird, Cookies sind so was wie Viren und deshalb sind sie in jedem Falle in Grund und Boden zu verdammen und spurlos von der Festplatte zu entfernen, am besten mit der Drahtbürste ….
Und weil das so ist und die Protagonisten dieser Fehlinformation nicht müde werden diese überall und immer zu verbreiten, steigt die Zahl der Benutzer die Cookies löschen ins gigantische. Mithin: Web Analytics wird völlig unbrauchbar und wir müssen sofort eine neue Lösung haben. Siehe da: es gibt einen Silberstreif am Horizont: Flash Cookies. Flash Cookies sind die Lösung schlechthin: man kann sogar mehr Daten abspeichern wie nur ein paar Bytes usw. usw.
Zu den Fakten:
- Cookies werden weit weniger häufig gelöscht, als das allgemein angenommen wird. Wie bereits mehrfach ausgeführt, liegt die Rate derjenigen, die persistente Cookies generell verbieten unter 8%. Segmentiert man z.B. nach IT- oder Marketinglastigen Websites (ct’ oder WuV z.B.) liegt die Quote bei rd. 20%.
- “Flash Cookies” gibt es nicht. Sehr wohl erlauben neuere Versionen des Flash Plugins, das Server Daten lokal speichern. Derzeit liegt die Verbreitung dieser Versionen aber unterhalb der Cookie-Akzeptanz-Quote, mal davon abgesehen, das obige Diskussion den Flash-Player noch nicht erreicht hat. Man kann im übrigen dieses Speichern von Daten im Plugin sowohl zeitlich als auch Mengenmäßig beeinflussen - da stelle man sich mal vor, der Server möchte 4 KB ablegen, darf aber nur 500 Bytes. Hier gibt es also drei Hürden: a) Plugin installiert und aktiviert, b) Richtige Version, c) Datenspeichererlaubnis in entsprechender Größe. Mit Verlaub: Das soll dann am Ende genauere Daten liefern?
- Die “sporadisch Löscher”: Benutzer, die Cookies temporär akzeptieren, diese aber sporadisch oder per Browsereinstellung nach der Session entfernen. Diese erzeugen statistisch betrachtet eine geringe “Störung” der Daten. Man kann die Quote relativ leicht aus den eigenen Daten ermitteln und hat somit eine Fehlerquote, die auf alle Daten anzuwenden ist, die auf der Metrik “Unique Visitor” basieren - mehr nicht. Aus unseren Erfahrungen heraus liegt diese Quote bei rd. 5% - mit den obigen Einschränkungen bez. Zielgruppe.
Verfasst von Axel Amthor
am 11. August 2007 unter
Analytics
Die aktuelle F&M W3B Studie lässt hinsichtlich der Ergebnisse einige Fragen offen, da effektive Messungen über eine Vielzahl von Websites und Benutzern andere Zahlen zu Tage fördern.
Studie: Web-Nutzer tarnen sich gut
http://www.emar.de/emar/NL/news/mdt/index.html
Die aktuelle F&M W3B Studie hat hinsichtlich ihrer Ergebnisse einige Fragen bei uns aufgeworfen. So wird berichtet, dass z.B. 40% der Anwender Cookies komplett oder selektiv ausschalten. Unsere Messergebnisse über dutzende von Websites und zig-tausende von Anwendern aus Deutschland, Österreich und der Schweiz zeigen da ganz andere Ergebnisse. Nimmt man die USA noch hinzu, wird es noch drastischer: 90 - 95% der Anwender haben Cookies eingeschaltet.
Woher rühren diese Unterschiede? Eine Erklärung liegt in der Art der W3B Befragung. Sie richtet sich an Anwender, die direkt oder indirekt über das W3B und F&M angesprochen werden. Naturgemäß ergibt sich in dieser Anwendergruppe eine hohe Affinität zur IT und zum Internet (Wer von den Otto-Normal-Verbauchern weiß schon was das W3B ist?) Und in dieser Zielgruppe ist nach unseren Beobachtungen die Zahl der Anwender, die mit den Browsereinstellungen spielen, erheblich höher als im Rest der Internet nutzenden Bevölkerung.
Unsere Beobachtungen haben z.B. gezeigt, dass Anwender aus Berufsgruppen oder Bevölkerungsschichten, die nicht mit IT oder Internet beruflich zu tun haben, kaum wissen, wie sie auch nur die Startseite im Browser ändern, geschweige denn die Cookie-Einstellungen Website-spezifisch modfizieren können.
Insofern ist diese Studie (mal wieder) mit sehr viel Vorsicht zu betrachten, wenn man auf dieser Basis Entscheidungen für die eigene Website treffen möchte. Valide Zahlen erhält man hier nur, wenn man “seine” Anwender über einen gewissen Zeitraum beobachtet. Die Ergebnisse schwanken mitunter sehr stark von Website zu Website, was an der unterschiedlichen Ausrichtung und Zielgruppenorientierung liegt.
Verfasst von Axel Amthor
am 28. September 2004 unter
Analytics
