MarTech

Wie sich das Datenmarketing selbst kaputt macht

Eine neue Studie mehrerer Universitäten zeigt, dass Websites und Werbesysteme massiv User-Daten ohne Zustimmung abgreifen. Unter den Angeklagten finden sich auch populäre Medienseiten und scheinbar integre technische Dienstleister.

Frank Puscher24.05.2022 13:50

Achtung: Website und Advertising lesen bei der Passworteingabe mit, sagt eine neue Studie – Foto: Imago / Zuma Press

Es ist wie beim aktuellen Klimabericht: Eigentlich hätte es einen riesigen Aufschrei in der Branche geben müssen, aber der fand nicht statt. Das mag daran liegen, dass die Autoren der Studie den so harmlos anmutenden Titel wählten: „Löchrige Formulare“. Die „Zeit“ interpretierte das Thema mit: „Ich sehe, was Du eintippst“. Solche Headlines verraten nicht wirklich, was die Studie herausgefunden hat. Möglicherweise liegt das mangelnde Medienecho aber auch darin begründet, dass die Medien selbst betroffen sind. Pssst.

Worum geht es: Forscher der Universitäten von Leuven (BE), Lausanne (SUI) und Radboud (NL) haben herausgefunden, dass zahlreiche Websites bereits dann Daten speichern und an Dritte übertragen, wenn der User noch gar keiner Übertragung zugestimmt hat. Das gilt vor allem dann – und daher der Titel – wenn der User Daten in ein Formular eingibt, dieses aber nicht abschickt. Man kennt das vom E-Commerce: Man bekommt eine Erinnerungsmail vom Shop-Betreiber, in der auf den versehentlich stehen gelassenen Warenkorb hingewiesen wird. Doch woher hat der Shop eigentlich die Mailadresse?

Die Übertragung der Daten geschieht auch ohne die Einwilligung des Nutzers - Foto: Screenshot

Besorgniserregend am aktuellen Fall ist, dass nicht nur die Websitebetreiber selbst mitlesen, wenn der User ins Formular schreibt, sondern auch die Werbesysteme Dritter, namentlich vor allem Meta, TikTok und die native Advertiser von Taboola. Und ein Formular ist eben nicht nur auf der Kontaktseite zu finden. „Formular“ ist im Sprachduktus der Coder auch die Anmeldemaske. Nicht überraschend also, dass die Forscher 52 Domains entdeckt haben, die nicht nur die E-Mail-Adresse mitlesen, sobald man per Tab oder Mausklick ins Passwortfeld wechselt, sondern auch das Passwort selbst.

Namhafte Marken sind unter den 10.000 Websites zu finden

10.000 Websites haben die Forscher aus den Niederlanden, Belgien und der Schweiz automatisch getestet. Darunter finden sich zahlreiche US-Domains und europäische Unternehmen, aber auch Angebote in Kanada, Australien oder Russland. Neben vergleichsweise „windigen“ Angeboten für Sportwetten finden sich große Marken und Medien, die tatsächlich einen Ruf zu verlieren haben. Namentlich zum Beispiel Shopify, Marriott, Udemy, Estée Lauder, "Business Insider", Ispot.TV, Tampa Bay Times", Newswire, Bose, Harley Davidson und viele mehr.

Die Websites wurden vom Browser aufgerufen und ein Script füllte das LogIn-Formular aus. Gleichzeitig wurde beobachtet (und aufgezeichnet), welchen Datenverkehr das zwischen Browser und Server auslöste. Bei den betroffenen Seiten wurde die E-Mail-Adresse, die ja meistens als User-Name im LogIn benutzt wird, unmittelbar nach Ausfüllen des Formularfelds auf die Reise geschickt. Die Übertragung funktioniert nicht im Klartext, sondern in verschlüsselter Form. Allerdings steht zu vermuten, dass derjenige, der eine solche Logik baut, auch die Entschlüsselung wieder vornehmen kann. Zumindest könnte.

Lesen Sie weiter: Wie der Tracking-Spezialist Christian Bennefeld mit seiner Branche ins Gericht geht

"Mir ist keine Methode bekannt, wie man Google Analytics legal nutzen könnte"

Diese Übertragung geschah in aller Regel unabhängig davon, ob ein User seine Einwilligungserklärung zur Datenspeicherung und Weitergabe erteilt hat. Insofern handelt es sich aller Vermutung nach um einen klaren Verstoß gegen die Datenschutz-Grundverordnung und wäre somit mit bis zu vier Prozent vom Jahresumsatz strafbewehrt.

Was aber noch gravierender ist, ist die Tatsache, dass nicht nur die 1st-Party mitliest. Auch die verbauten Werbesysteme tracken E-Mail-Adressen mit. Namentlich nennt der Forschungsbericht das System von Taboola, also der Feed eines Native Advertisers. Zur Erinnerung: Deren Geschäftsmodell war entstanden als der Gegenentwurf zu Datenmarketing: User sollen sich selbst spannende Inhalte aus dem Feed aussuchen.

Es finden sich aber auch ganz andere „Schwarzleser“ in der Liste des Berichts. Da sind prominente Tech-Companies aus der MarTech-Szene munter vertreten. Ganz vorne dabei ist LiveRamp, welche Ironie. Ausgerechnet LiveRamp positioniert sich bei ID-Lösungen ganz vorne, um ein Targetingsystem für die Zeit nach den 3rd-Party-Cookies zu haben. Insider wissen längst, dass die IDs auf Serverseite nicht wirklich mehr Datenschutz gewährleisten als solche, die durch Cookies zusammengebaut werden. Nun haben es die Verbraucherschützer und Regulierer Schwarz auf Weiß. Mit dabei sind neben LiveRamp auch andere Branchengrößen wie Adobe, Criteo, Oracle oder Google.

Deutsche Medien-Websites fehlen, internationale Medien auf der "Leak-Liste" aber weit vorne

Dienstleister sind austauschbar. Es gibt sehr viele Branchengrößen, die hier in den Listen nicht auftauchen. Aber was ist mit den Medien und Marken? Die gute Nachricht: Deutsche Medien-Websites werden im Bericht nicht aufgezählt. Aber dafür bekommen große internationale Medien ihr Fett ab. Ganz vorne in der „Leak-Liste“ landet "USA Today". Der britische "Independent" rangiert kurz dahinter. "Newsweek", "Business Insider", Fox News; die Liste ließe sich lange fortsetzen. Auch bei den Marken gibt es einen bunten Mix aus allen Branchen. Marriott klaut Daten, Estée Lauder, Bose oder Starbucks auch. Fast noch heikler wird es bei Dienstleistern, die Marketing-Tools anbieten, namentlich Trello, Prezi oder Cision.

Große Marken setzen die Technik bewusst oder unbewusst ein und schaden damit dem gesamten System Datenmarketing - Foto: Screenshot

Eine gesonderte Erwähnung finden Meta und TikTok. Die unsichtbaren Pixel der großen Social Media Anbieter, die deshalb in die Seiten eingebaut werden, damit Retargeting auf den Plattformen möglich wird – ein Hebel dafür ist das „Sign on with …“ – lesen auch in den Formularen mit, obwohl sie eigentlich versprechen, sich auf den Kontext zu konzentrieren. Wohlgemerkt: Der Testbrowser der Uni-Forscher war nicht in einen der Dienste eingeloggt.

Was lehrt uns die Untersuchung?

Was zum Aufschrei in der Branche führen sollte, ist nicht unbedingt die Tatsache, dass irgendwo Daten verloren gehen. Das wird immer wieder passieren. Besorgniserregend an der Studie ist, dass „Keylogging“ verwendet wird, also eine Methode, die eigentlich eher dem kriminellen Milieu zugeordnet wird. „Hauptsache der User merkt nichts davon“, so scheint das Credo zu lauten.

Das gibt den Regulierern und allen Aktivisten in Sachen Datenschutz neue Munition in die Hand, um auf noch schärfere Regulierung zu drängen. Irgendwann wird Tracking vollständig verboten werden. Und dann – da kann man sicher sein – wird es einen großen Aufschrei geben. Zumindest in dieser Branche.