Politikern dient die Website längst nicht mehr nur als nette Visitenkarte im Internet. Gerade in Wahljahren nutzen National- und Ständeräte sie vermehrt dazu, Daten über Onlinebesucher zu sammeln und zu analysieren — unter anderem, um ihre potenziellen Wähler besser kennen zu lernen.
Der «Tages-Anzeiger» hat alle Websites der National- und der Ständeräte mit einem Spezialprogramm unter die Lupe genommen. Das Ergebnis: Auf zwei Dritteln der 225 Websites — 21 Räte haben keinen Internetauftritt — sind 142 versteckte Programme im Einsatz. Über die umfangreichste Spionage-Software verfügt Céline Amaudruz, SVP Genf; gefolgt von Josias Gasser, Grünliberale Graubünden, und Bastien Girod, Grüne Zürich. Die Webtechnologien sammeln Informationen über den Standort des Nutzers oder ermitteln, ob die Seitenaufrufe per Mobiltelefon oder per Computer erfolgten. Diese Daten werden teilweise an Drittanbieter wie beispielsweise Google weitergeleitet, die aus den Informationen Rückschlüsse auf Kaufkraft, Geschlecht, Alter und politische Ausrichtung der User ziehen. Diese Profile ermöglichen es dann, auf die Website-Besucher massgeschneiderte Reklame zu schalten.
Auch der «Tages-Anzeiger» hat Dutzende solcher Miniprogramme im Einsatz, die, vom Website-Besucher in der Regel unbemerkt, Daten sammeln und analysieren. Im Gegensatz zur Mehrheit der Politiker weisen Onlinemedien in den allgemeinen Geschäftsbedingungen allerdings ausführlich aus, wie die Daten gesammelt und verarbeitet werden.
Für den Eidgenössischen Datenschutzbeauftragten Hanspeter Thür ist der sorglose Umgang der Politiker mit Internet-Nutzungsdaten problematisch: «Fehlen die Erkennbarkeit und die Zweckbindung der Datenbearbeitung, liegt eine Verletzung des Datenschutzgesetzes vor.» Zudem sollten Politiker, so Thür weiter, die Website-Besucher darüber informieren, wie sie verhindern können, dass Daten an Dritte ins Ausland fliessen, beispielsweise zu Google oder Facebook.
Über 10 Prozent der Nationalräte hosten gar ihre gesamte Website im Ausland. Dies hat die Schweizer Firma Hostpoint für den «Tages-Anzeiger» geprüft. Sebastian Frehner, SVP Basel-Stadt, nutzt zum Beispiel einen Anbieter in den USA. Auf die Frage, weshalb er dafür keine Schweizer Firma verwende, antwortete er: «Ehrlich gesagt, ist mir völlig egal, wo das gemacht wird.»
Kommentar: Nutzer müssen mehr Kontrolle über die eigenen Daten erhalten. — Seite 2.
So liefern die Parlamentarier Informationen an Firmen in den USA. — Seite 4.
* * *
Kommentar Barnaby Skinner, Datenjournalist, über die Sorglosigkeit der Politiker. |
Ungehemmt sammeln und analysieren viele Politiker die Daten ihrer Website-Besucher. Sie tun das, um ihre potenziellen Wähler besser kennen zu lernen. Im World Wide Web ist das gang und gäbe. Unternehmen wie Google sind mit Datenanalyse gross geworden.
Es gibt dabei allerdings ein Problem: Die meisten Politiker fragen nicht, ob sie die Daten ihrer Nutzer bearbeiten dürfen, obwohl das Gesetz das vorschreibt. Darauf aufmerksam gemacht, geben sich ausgerechnet jene Politiker am uneinsichtigsten, die angeblich für eine unabhängige Schweiz und gegen fremde Richter kämpfen. Die SVP-Nationalrätin Céline Amaudruz antwortete auf eine entsprechende Frage: «Ich verstehe nicht, was Sie wollen.» Der Baselbieter SVP-Nationalrat Sebastian Frehner meint: «Es interessiert doch niemanden, wer auf meiner Seite ist.»
Frehner täuscht sich. Im Internet ist von Link bis Like alles interessant. Wer im Web surft, sammelt im Browser Dutzende von Wanzen an. Sie zeichnen auf, was ein Nutzer anklickt, welches Gerät er nutzt, angereichert mit GPS-Koordinaten des Handys oder der IP-Nummer. Letzteres ist die Identifikationskarte jedes Gerätes im Internet. Die Daten landen in der Regel auf Servern in den USA. Gewiefte Firmen wie Google oder Facebook können damit etwa auf die Kaufkraft eines Nutzers schliessen. Vielleicht lässt sich dank dem Surfverhalten auf den Sites der Nationalräte gar die politische Ausrichtung errechnen.
Dem Vorbild von Google oder Facebook folgend, wirken mittlerweile auch Onlinemedien nach Kräften dabei mit, dass Bürger immer gläserner werden. Auch der «Tages-Anzeiger» sammelt im Netz Leserdaten, um Werbung zu verkaufen. Allerdings deklariert er dies auch, wie es das Gesetz verlangt. Möglicherweise ist das Problem für Leute wie Herrn Frehner oder Frau Amaudruz einfach noch zu abstrakt. Trotzdem stehen sie und alle ihre Ratskollegen in der Pflicht, sich ernsthafter damit auseinanderzusetzen, wie Herr und Frau Schweizer wieder mehr Kontrolle über ihre persönlichen Daten im Internet bekommen. Mehr Transparenz auf den eigenen Websites zu schaffen, wäre ein guter Anfang.
* * *
«Vielen Dank für Ihre Anfrage», antwortet die Berner SP-Nationalrätin Evi Allemann, «mit dem heutigen Wissen erachte ich die Nutzung des Dienstes nicht mehr als angebracht, und ich habe ihn sofort deaktivieren lassen.» Die Rede ist von einem Angebot der US-Firma Sharethis. Bis zur Anfrage des «Tages-Anzeigers» vergangene Woche ist deren Technologie auf der Homepage der einst jüngsten Nationalrätin der Schweiz im Einsatz gewesen. Sie erlaubte es, mit einem Klick Inhalte gleichzeitig via mehrere Social-Media-Dienste zu teilen. Zum Beispiel Allemanns Artikel zum Thema «Nachrichtendienst ohne Freipass für Schnüffeleien». So weit, so problemlos.
Doch gleichzeitig zeichnete die Technologie die Klicks von Besuchern auf der Site der SP-Nationalrätin minutiös auf; angereichert mit Informationen über den Standort des Nutzers, das eingesetzte Gerät und dessen IP-Nummern. Letzteres ist die Identifikationskarte jedes Gerätes, das am Internet hängt. Die gesammelten Daten wurden dann auf Server in die USA übermittelt und 14 Monate abgespeichert. «Wir teilen Informationen mit Drittanbietern, um so Web-User massgeschneiderte Reklame vorzusetzen», heisst es auf der Website der Firma. Die Daten, wie sie Sharethis anlegt, reichen Internetkonzernen wie Google, um Rückschlüsse auf Kaufkraft, Alter, Geschlecht und politische Ausrichtung eines Internetnutzers zu ziehen.
Die versteckten Webdieste der Politiker
TA-Grafik mrue/Quelle Lightbeam, TA
Die versteckten Webdieste der Politiker
TA-Grafik mrue/Quelle Lightbeam, TA
Nationalrätin Evi Allemann als ahnungslose Gehilfin des boomenden Geschäfts mit Onlinewerbung also? Eigentlich erstaunlich, nachdem die Bernerin diese Woche im Nationalrat gegen die Revision des Nachrichtendienstes gestimmt hat. Diese verankert das geheime Ausspionieren von Privatnutzern im Internet im Gesetz.
Ähnlich wie Allemann bewegen sich viele National- und Ständeräte in der immer komplexer werdenden Onlinewelt. Der «Tages-Anzeiger» hat mithilfe der Spezialsoftware Lightbeam analysiert und visualisiert, welche Räte auf ihren Homepages versteckte Zusatzprogramme haben; entstanden ist ein komplexes Netzwerk mit 225 Websites. So viele National- und Ständeräte verfügen über einen eigenen Internetauftritt.
Insgesamt grub die Software 142 Drittdienste aus, die auf den Websites der Politiker im Einsatz sind. Am meisten Drittdienste führt die Genfer SVP-Nationalrätin Céline Amaudruz. Wer ihren Blog aufruft, wird von 20 Programmen beobachtet mit Namen wie Quantserve, Adlooxtracking oder Doubleclick. Das erklärt sich damit, dass Amaudruz Overblog nutzt, ein französisches Gratis-Blog-Werkzeug. Statt für den Dienst zu zahlen, leitet sie dem Unternehmen die Besucherdaten ihrer Homepage ins Ausland weiter. Auf die Frage, ob ihr wohl dabei sei, antwortet die Nationalrätin, sie verstehe nicht, wo das Problem liege.
Bastien Girod (Grüne, ZH) nimmt das Problem ernster. Zumindest behauptet er das. In der Auswertung hat er am drittmeisten Überwachungssoftware im Einsatz. Doch wie Evi Allemann gelobt er Besserung: «Ich plane ein Plug-in zu installieren, welches die Weitergabe der Nutzerdaten einschränkt.» Zudem werde in Kürze ein Hinweis auf seiner Website aufgeschaltet, was er an Daten seiner Website-Besucher sammle und wie er sie nutze.
Christian Wasserfallen wehrt sich. Der Berner FDP-Nationalrat erscheint deshalb so weit oben in der Auswertung, weil er auf seiner Website mit Modulen von Twitter oder Facebook arbeitet. Sie erlauben es zum Beispiel, automatisiert Inhalte einzublenden. Wasserfallen sagt: «Die Datenströme beziehen sich alle auf Onlinetools, insbesondere Social Media. Die Nutzer bestimmen gerade bei Social Media, aber auch bei Analysedaten selber, was sie von sich preisgeben wollen.»
Das stimmt nur bedingt. Wenn jemand die Homepage des Berner Nationalrats besucht, registrieren dies Drittdienste in den USA. Egal, ob der Nutzer dies will oder nicht. Denn die interaktiven Elemente von Facebook und Twitter zeigen nicht nur die schönen Bilder und geistreichen Kurznachrichten an, die Wasserfallen veröffentlicht hat. Im Hintergrund funktionieren sie auch als Einflüsterer. Sie informieren Dritte, ob und allenfalls wie lange ein bestimmtes Gerät eine Website besucht hat. Facebook und Twitter nutzen diese Informationen, um Werbeeinblendungen zu verbessern.
Balthasar Glättli reicht den Schwarzen Peter zurück. Der grüne Nationalrat und Internetexperte weist darauf hin, dass die Medien in viel grösserem Mass Daten ihrer Webbesucher sammelten und auswerteten. Tatsächlich arbeitet allein der «Tages-Anzeiger» online mit über 60 Angeboten von Drittfirmen, die der Besucher auf Anhieb nicht sieht. Er tut dies, um den Webverkehr zu messen oder zu analysieren. Doch er erklärt unter der Rubrik «AGB und Datenschutz» ausführlich, was mit den Nutzerdaten geschieht. So, wie es das Gesetz vorschreibt. Glättli ist einer der wenigen Parlamentarier, die dieser Pflicht ebenfalls nachkommen. Auf den meisten anderen Politiker-Homepages fehlt diese Information, genauso wie der Hinweis, wie Nutzer die Weitergabe ihrer Daten an Drittdienste verhindern könnten.
Für den eidgenössischen Datenschützer Hanspeter Thür ist das Verhalten der Parlamentarier problematisch. «Webseitenbetreiber müssen ihre Besucher transparent über den Einsatz von Webtracking und über den Zweck der Bearbeitung und die Datenanalyse informieren. Eine solche Information kann beispielsweise in einer Datenschutzerklärung erfolgen», so Thür. Fehle eine solche Information, liege eine Verletzung des Datenschutzgesetzes vor, weil Erkennbarkeit und Zweckbindung der Datenbearbeitung nicht respektiert würden. Thür weist auf sogenannte 2-Klick-Lösungen hin, ein Programm namens Shariff zum Beispiel. Dieses würde Daten erst auf Veranlassung des Webseitenbesuchers an die Betreiber übermitteln.
Thomas Brühwiler, Mediensprecher der Schweizer Hostingfirma Hostpoint, sagt: «Wenn Parlamentarier nicht wissen, welche Dienste auf ihren Websites Daten sammeln, ist das ein etwas gar sorgloser Umgang mit den Daten ihrer Wähler.» Er weist zudem darauf hin, dass es genügend Alternativen zu Werkzeugen wie Google Analytics gebe. Angebote also, bei denen Daten in der Schweiz bleiben und nicht auf US-Servern herumschwirren.
* * *
Wer im Web surft, bleibt nicht unentdeckt. Die Frage ist, wie viel Nachverfolgung man als Webnutzer goutieren soll.
Wer im Web surft, bleibt nicht unentdeckt. Die Frage ist, wie viel Nachverfolgung man als Webnutzer goutieren soll.
Beim Surfen hinterlässt man als Nutzer eine Datenspur. Das ist technisch unvermeidlich. Jeder Seitenaufruf generiert einen Dialog zwischen dem Browser als Client und dem Server, der die Informationen ausliefert. Der Server erfährt die IP-Adresse des Endgeräts sowie eine ganze Reihe von technischen Daten zu Browser und Computer. Was der Server damit tut, ist allein seine Sache. Die meisten Server loggen die Daten, um sie in einer Zugriffsstatistik auszuwerten.
Eine Identifizierung ist anhand der IP-Adresse nicht möglich: Die Adresse wird vom Provider nicht permanent zugewiesen, sondern wechselt alle paar Stunden oder Tage. Da die IP-Adressen knapp sind, wird oft eine Technik namens NAT verwendet. Mit ihr fasst ein Router mehrere lokale IP-Adressen zusammen, die per Internet unter einer einzigen öffentlichen IP-Adresse gebündelt werden. Die Technik führt dazu, dass unter einer IP-Adresse mehrere Benutzer zu finden sind, die sich ein Firmen- oder Heimnetzwerk teilen. Umgekehrt verwenden die meisten Leute unterschiedliche IP-Adressen, wenn sie über den heimischen Internetzugang, per Firmennetz und über Mobilfunk surfen. Im Rahmen der Vorratsdatenspeicherung müssen die Internetprovider sechs Monate lang speichern, wann welche IP-Adresse einem Internetnutzer zugewiesen war. Diese Informationen sind nicht öffentlich, können aber bei Ermittlungsverfahren offengelegt werden.
Da es keine eindeutige Zuordnung zwischen IP-Adresse und Anwender gibt, kommen oft Cookies zum Einsatz. Das sind kleine Dateneinheiten, die vom Browser gespeichert werden. Sie haben den Zweck, einen wiederkehrenden Nutzer zu erkennen. Das hat für den Betreiber einer Website den Vorteil, dass er zwischen der Gesamtzahl der Seitenaufrufe und der Zahl der Besucher unterscheiden kann. Auch für den Surfer haben Cookies einen Nutzen. Sie ermöglichen automatische Logins und individuell angepasste Webangebote.
Cookies sind, trotz ihres schlechten Rufs, an sich unproblematisch: Der Anwender kann konfigurieren, wie der Browser mit Cookies umgehen soll. Die Cookies können — normalerweise — nur von der Site ausgelesen werden, die sie auch gesetzt hat. Eine Verfolgung eines Surfers über mehrere Sites hinweg ist dadurch eigentlich ausgeschlossen.
In der Praxis wird diese Einschränkung unterlaufen, indem viele Websites Codes von Dritten eingebunden haben. Dabei kann es sich um sichtbare Elemente wie Werbebanner oder Social-Media-Komponenten handeln, die die Anzahl Likes oder Tweets anzeigen. Es gibt auch unsichtbare Elemente von Google Analytics oder anderen Statistikdiensten. Diese Code-Schnipsel können ebenfalls Cookies setzen und sind auf so vielen Sites verbreitet, dass ein weitreichendes Tracking möglich wird. Durch die Verbindung mit Google, Facebook oder Twitter ist eine Querverbindung zu einem persönlichen Benutzerprofil möglich. Zum Glück lässt sich die Auskunftsfreude der Browser eindämmen:
Wem diese einfachen und pflegeleichten Schutzmethoden nicht ausreichen, der hat weitergehende Möglichkeiten. Sie gehen allerdings mit einer Einbusse an Surfkomfort und −geschwindigkeit einher und sind relativ aufwendig in der Konfiguration. Die Erweiterungen No Script für Firefox beziehungsweise Script Safe für Chrome deaktivieren Scripts und machen die eingebetteten Trackingmodule unwirksam. Installiert werden sie bei Firefox über die Menü-Schaltfläche und «Add-ons», bei Chrome über das Menü und «Weitere Tools > Erweiterungen».
Die Deaktivierung aller Scripts erhöht nicht nur den Privatsphärenschutz, sondern auch die Sicherheit generell. Sie ist aber mit einem relativ hohen Preis in Form von Funktionseinbussen bei den Websites verbunden. Komplexe Sites können gänzlich unbrauchbar werden. Es ist möglich, vertrauenswürdige Sites als Ausnahmen zu definieren. Das erfordert während des Surfens aber immer wieder einen Extraklick.
Eine weitere Methode zum Selbstschutz ist, die Herkunft einer Webanfrage zu verschleiern. Auf diese Weise lassen sich auch geografische Sperren aushebeln. Beim sogenannten Geofencing wird eine grobe Lokalisierung des Nutzers durchgeführt und der Zugang zu Inhalten, die nicht für die entsprechende Region freigegeben sind, wird verweigert. Um diese Sperre zu umgehen, wird der Datenverkehr über eine zwischengeschaltete Relaisstation geleitet. Es kann sich um einen Proxyserver oder um einen VPN-Tunnel handeln. VPNs werden normalerweise dazu benutzt, Anwender über eine gesicherte Verbindung via Internet ans Firmennetz anzubinden, sodass diese Ressourcen nutzen können, wie wenn sie vor Ort arbeiten würden. Verschleierungsdienste sind etwa Hidemyass.com oder Anonymouse.org. Die Nutzung ist nicht ohne Risiko, da der Anonymisierer Daten mitschneiden oder verändern kann.
Bekannt wurde zuletzt auch The Onion Router alias Tor. Diese Software nutzt eine Anonymisierungstechnik, bei der die Daten in verschlüsselter Form über stets wechselnde Router geleitet werden. Dadurch lässt sich die wahre Herkunft seitens des Servers nicht mehr erkennen. Die Methode ist effektiv, hat jedoch auch Nachteile: Sie verringert die Surfgeschwindigkeit, und sie muss mit viel Selbstbeschränkung benutzt werden, da aktive Inhalte im Browser die Ursprungsadresse ermitteln und enttarnen können. Ausserdem ziehen Tor-Nutzer die Aufmerksamkeit der Geheimdienste auf sich.
Fazit: Mit der sicheren Browser-Konfiguration ist schon viel gewonnen. Darüber hinaus hilft wie immer der gesunde Menschenverstand: Üben Sie Zurückhaltung mit persönlichen Daten im Netz — dann ist es für die Datensammler schwieriger, diese mit anderweitig erhobenen Daten zu verknüpfen.
Nachverfolgung: Tipps zur Browser-Konfiguration tracking.tagesanzeiger.ch.
* * *
Alle Webseiten dieser Domäne
verwenden "Javascript"
für für die Steuerung von Kopf- und Fusszeilen in den
verschiedenen Ausgabe-Formaten.
Es werden keine Daten gesammelt und keine "Cookies" verwendet.