Every Scroll You Make, Every Data We Take
Sie löschen ungesendete Formulardaten und glauben ernsthaft, niemand hat's gesehen? Süß. Dank "Session Replay" speichern Website-Betreiber jeden Ihrer Klicks, Scrollvorgänge und Tastenschläge längst als heimliches Überwachungsvideo ab.
Wann haben Sie zuletzt ein Formular auf einer Website ausgefüllt? Wahrscheinlich ist es gar nicht so lange her, oder?
Vielleicht beim letzten Einkauf von im Internet: Sie stöbern nach Produkten im Online-Sortiment, legen dies und das in den Warenkorb, beginnen den Bezahlprozess, tippen Ihre Kreditkartennummer ins dafür vorgehesehne Feld, wie immer - aber im letzten Moment entscheiden Sie sich doch anders, brechen den Bezahlvorgang ab. Vielleicht meldet sich eine Art Sicherheitsbedürfnis, man hört ja manches über Cyberkriminalität, und Sie löschen die Kreditkartendaten aus dem Eingabefeld, falls Ihr Warenkorb Brisantes enthält, leeren Sie den eventuell auch noch. Danach schließen Sie den Tab und machen irgendwas anderes.
Die Sache ist aus dem Kopf. Warum sollte es da ein Problem geben, schließlich haben Sie die Bestellung nicht abgeschickt. Es liegt intuitiv einfach nah, dass die eingegebenen Daten erst dann übertragen werden, wenn Sie den Auftrag geben, die Daten zu übertragen, indem Sie sie verschicken.
Leider gibt es mit hoher Wahrscheinlichkeit aber durchaus ein Problem.
Einen kleinen Eindruck können Sie sich hier verschaffen:
Demo
Hier können Sie live ausprobieren, wie genau man Sie analysiert
Website-Betreiber wollen Ihre Daten. Streaming-Dienste, Online-Shops, Fanseiten, Foren, Social Media, Bildungsseiten, völlig egal, worum es geht: Ihre Daten sind Gold wert. ALLE Ihrer Daten, jeder einzelne eingegebene Buchstabe, jede Mausbewegung, jeder Klick, wie lange Sie den Cursor auf welchem Bereich der Website still halten, welche Website Sie aufrufen, nachdem Sie die aktuelle Website verlassen haben, .... Sie verstehen worauf das Ganze hinausläuft, nicht wahr?
Auch das, was sie "rückgängig machen" oder "löschen": denn das verschwindet nicht einfach im Nirgendwo, nur weil Sie die Taste mit dem Pfeil nach Links drauf drücken, sei es auf einer richtigen Tastatur am Laptop oder die kleine digitale Touch-Schaltfläche auf den Bildschirmtastaturen auf Smartphones und Tablets. Schön wär's!
Die Daten fließen live, in Echtzeit, direkt über für Sie verborgene Kanäle hinter dem, was Sie als Website auf Ihrem Bildschirm sehen und bedienen, auf die Server von Drittanbietern, mit denen die Website-Betreiber Verträge abgeschlossen, um mit Ihren Daten Geld zu verdienen.
Was, dem haben Sie nicht zugestimmt?
Doch haben Sie.
Stationäre Kameras in Supermärkten, Banken, im öffentlichen Raum und wo sie nicht inzwischen überall zu finden (buchstäblich überall) zu erkennen ist meist kein Problem, wenn man hinguckt.
Die Technik, die für Sie nicht zu erkennen ist, die darauf ausgerichtet ist, größtmöglich invasiv Ihr Online-Verhalten auszuspionieren, nennt sich "Session Replay". Nie gehört? Warum sollten Sie auch, Sie sind das Produkt, nicht der potentielle Käufer.
Der Käufer dieser Software, also der Website-Betreiber, steht im Prinzip die ganze Zeit hinter Ihnen unbemerkt, und guckt Ihnen sehr genau zu. Ihn interessiert einfach ALLES was Sie tun, sobald Sie die Website öffnen. Alles wird aufgezeichnet und gemessen: in Pixel * Pixel, nämlich die millimeterbruchteilgenaue Position Ihres Mauszeigers, die Zeit in Millisekunden, die vergeht, bevor Sie sich nach dem Vergrößern eines Produktbildes im Online-Shop Ihres Vertrauen dafür entscheiden, das Bild wieder zu verkleinern, you get the idea ...
Klingt nach komplizierter Technik, sowas können doch eigentlich sich große Unternehmen mit einer Heerschar an IT-Leuten einsetzen, könnte man denken, aber so ein Session Replay-Tool einzubauen, das erfordert lediglich das Einbetten eines kleinen JavaScript-Schnippselchens in den Quellcode der Seiten, die Sie halt so besuchen. Dauert keine 5 Minuten.
Sobald Sie die Seite laden, führt Ihr Browser dieses Code-Schnipsel auf Ihrem Gerät aus. Vielleicht haben Sie den Begriff "Keylogger" schon mal gehört, im Zusammenhang mit Schadsoftware und dem was der Volksmund "Hacking" nennt.
Seit dieser Minute wissen Sie, dass das Internet zu bedienen heißt, beständig unfreiwillig einen unsichtbaren Keylogger zu betreiben, um den Unternehmen, deren Websites Sie besuchen, ein kleines Zusatzeinkommen zu generieren. Schon ein bisschen mies.
Aber sicher wird das alles einfach aggregiert und hübsch anonymisiert mit Millionen Daten von anderen Nutzern in einen riesigen Topf geworfen, umgerührt und findige Statistiker und Datenwissenschaftler extrapolieren dann wolkige Wahrscheinlichkeit beruhend auf so und so durchgefilterten Teilgruppen aus der Menge alle vorhandenen Nutzer. Mit anderen Worten: Ihr individuelles Nutzungsverhalten löst sich quasi in einen abstrakten Datenwust auf. Nicht. Bzw. auch. Aber eben: nicht nur.
Denn Session Replay-Software rekonstruiert aus Daten, die - wie oben skizziert - aus der Aufzeichnung Ihrer Interaktion mit der Website (dem Online-Shop, dem Lernkurs-Anbieter, dem News-Reader, usw.) bestehen, bei Bedarf ein Video, das von Anfang bis Ende darstellt, wie sie die Website bedient haben. Alles ist da drin, alles.
Besonders unangenehm stößt das wahrscheinlich auf, falls Sie - was Sie natürlich nicht tun - sich auf Porno-Seiten herumtreiben, einen überdurchschnittlichen Bedarf an Haehmorrhoiden-Salben bedienen müssen, gern gesellschaftlich verrufene Polit-Devotionalien ordern - es gibt einfach ne ganze Menge denkbarer Sachen, da will man lieber nicht, dass jemand einem die ganze Zeit mit unfehlbaren Adleraugen über die Schulter guckt.
Sie erinnern sich, dass Sie sich nicht erinnern, in diesen ziemlich krasse Übergriffigkeit eingewilligt zu haben, und Sie ahnen, dass das was mit den Cookie Bannern zu tun haben muss. Es stellen sich tausend Fragen, z.B. hat die EU das nicht geregelt, wo sie doch sonst alles durchregelt? Jein.
Bevor wir uns das genauer ansehen, hier - noch mal zur Auffrischung - wie Sie verdächtige Cookie Einwilligungs-Banner erkennen:
- Asymmetrisches Design und nudging:´der Button mit der Aufschrift "Alles akzeptieren" ist prominent platziert und/oder farblich hervorgehoben und/oder er befindet sich auf der rechten Seite, denn Nutzer klicken lieber rechts als links.
- Ein "Ablehnen"-Button existiert scheinbar gar nicht: stattdessen können Sie zunächst mal nur wählen zwischen "Alle akzeptieren" und ""Einstellungen" oder auch "Mehr". Der Nutzer wird genötigt, sich durch Untermenüs zu klicken, schlimmstenfalls jeden einzelnen der gern mal über zwanzig, dreißig oder vierzig Schieberegler deaktivieren.
- Opt-Out statt Opt-In: siehe Punkt 2, nur dass Sie vorausgewählte Checkboxen deaktivieren müssen, eine Praxis, der der Europäische Gerichtshof zwar einen juristischen Riegel vorgeschoben hat. Aber dies illegale Design auch zu ahnden, nun ja, gibt einfach zu viele Websites im Internet für effektive Durchsetzen von Vorschriften.
- Moralischer Druck: Die Texte um den "Ablehnen"-Button herum appellieren an Ihr Schuldgefühl. Für dieses Einpflanzen von schlechtem Gewissen hat sich übrigens das nicht sehr schöne Wort "confirmshaming" etabliert.
- Automatische Einwilligung: Ihre Daten fließen auch ohne Interaktion mit irgendwelchen Einwilligungsformularen. Pro forma wird ein Banner gezeigt, das suggiert, dass bereits Ihr Weitersurfen auf der Seite auch ohne ausdrücklichen Klick in einem Zustimmungsfenster, z.B. durch Herumscrollen, eine implizite Zustimmung bedeutet. Auch dies ist illegal. Auch dies kommt extrem häufig vor.
Sollte Ihnen irgendetwas von dieser Liste auf einer Website begegnen, können Sie pi mal Daumen davon ausgehen, dass Sie gerade mehreren dutzend oder hunderten Datenvermarktungsfirmen tausende Datenpunkte geschenkt haben und dem Website-Betreiber ein automatisiert zu einem Filmchen rekonstruierten Verlauf ihrer Seitennutzung.
Bedauerlicherweise bedeuten EU-konforme Cookie-Banner aber keineswegs, dass sich der Betreiber der Website auch an geltendes Recht hält.
Mit Klick auf den Link unten können Sie sich anschauen, was Sie sonst nicht sehen.
Demo
