3 Mithelfen
Matthias Eberl edited this page 4 weeks ago

Unterstützung gesucht

Tracktor.it! braucht deine Hilfe! So kannst du uns helfen:

Spenden

Die Weiterenticklung von Tracktor.it! ist sehr stark von Spenden abhängig: Umso weniger ich mit meinem Lebensunterhalt als Freiberufler beschäftigt bin, umso mehr Zeit kann ich in Tracktor.it! und andere Datenschutzprojekte stecken. Daher wäre ich für Spenden sehr dankbar: https://rufposten.de/blog/spenden/ Danke an alle Unterstützer, die mich bisher mit meiner Arbeit unterstützt haben!

Neue Tracker einfügen

Vor allem im Bereich "App" gibt es momentan kaum Tracker, aber auch "Web" wartet auf viele, teilweise weit verbreitete Einbettungen. Dabei ist es nicht so schwierig, hier neue einzufügen. Du kannst einfach eine neue .json-Datei unter /data/tracker anlegen. Hauptaufgabe dabei ist die Recherche und der Text für den Generator, der unter der Variablen "template" eingefügt wird. Er muss den Seitenbetreiber und die Datenschutzbehörde überzeugen. Das heißt, er muss belegen, dass der Tracker für Werbung oder Marktforschung pseudonyme IDs nutzt.

So sieht beispielsweise der Eintrag vom Facebook Tracker aus:

{
    "slug": "fb-pixel",
    "name": "Facebook Pixel",
    "priority": 99,
    "tracking-urls": [
        "facebook.com/tr/"
    ],
    "template": "Facebook Pixel\nÜber die Tracking-Einbettung \"facebook.com/tr\" werden für einzelne Seitenaufrufe die URL und eine eindeutige, personenbeziehbare ID an Facebook übertragen: Unter anderem im Cookie \"fr\" sowie im Parameter \"fbp\".\nhttps://developers.facebook.com/docs/marketing-api/server-side-api/parameters/fbp-and-fbc\n Das Trackingtool sendet auch Verhaltensdaten wie Button-Klick-Daten und Formularfeldnamen. Facebook aggregiert diese Daten mit den Meldungen von anderen Seiten. Damit kann Facebook ein Profil meiner Websitebesuche anlegen. Der Seitenbetreiber kann damit die Besuche auf seiner Seite analysieren.\nhttps://de-de.facebook.com/business/help/742478679120153\nAuf Grundlage der Daten können personalisierte Werbeanzeigen gekauft werden. Durch mein Verhalten auf der Seite bin ich also Zielgruppen zugeordnet worden.\nhttps://de-de.facebook.com/business/ads/dynamic-ads\nBeachten Sie auch, dass Facebook selbst in seinen AGBs fordert, dass der Einsatz des Tools nur mit Einwilligung vorgesehen ist:\nhttps://www.facebook.com/legal/technology_terms"
}
Variable Bedeutung
slug der interne, eindeutige Name für unser Projekt
name der Name, der für die Endanwender zu sehen ist
priority die Reihenfolge in unserer Trackerliste, im Zweifel eine niedrige Zahl wählen
tracking-urls der Identifizierungs-String, den man sich z.B für die Netzwerkanalyse kopieren kann
template der eigentliche Text, der im Anschreiben erscheint

Am besten geht man so vor:

1. Feststellen, ob die Einbettung pseudonyme IDs versendet

Wenn man auffällige IDs gefunden hat, versucht man zunächst herauszufinden, ob sie gleichbleibend und immer wieder bei nachfolgenden Klicks an den Drittanbieter gesendet werden. Dafür kann man die IDs auch in die Netzwerkanalyse eingeben, das zeigt zumindest die Requests, bei denen die ID im Header steht (sie können auch z.B. im Body einer JSON-Datei gesendet werden). Anschließend versucht man herauszufinden, wo diese gleichbleibende ID gespeichert wurde. Im Normalfall dürften das Cookies sein, die man im Tab "Webspeicher" der Netzwerkanalyse finden kann. So können Aufrufe zu einer Sitzung zusammengeknüpft werden. Cookies einer Einbettung können auch in der First-Party-Domain der aufgerufenen Seite gespeichert sein (wie "_ga" bei Google Analytics). Auch der Local Storage kann dafür verwendet werden, den findet man im gleichen Tab.

Dann kommt der Gegencheck: Sind die IDs nach einem Browser-Neustart bzw. Löschen von Cookies und Cache andere? Denn oftmals gibt es Anbieter-IDs, die der Betreiber einer Seite erhalten hat und bei Request mitsendet. Das ist auch nicht zu beanstanden.

Sind die IDs nach dem Löschen der Cookies andere, aber während einer Sitzung die gleichen, hat man einen Hinweis darauf, dass die IDs für ein pseudonymes Profil genutzt wird und irgendwie aus dem Computer ausgelesen wird. Bleiben sie hingegen nach dem Löschen gleich, sind es höchstwahrscheinlich Anbieter-IDs. Ein letzter Check mit einem anderen Browser prüft noch auf Fingerprinting: Dadurch würde sich die ID nochmals ändern (im glöeichen Browser aber gleichbleiben). Im Zweifelsfall kann man mit dem Debugger nachforschen, wie die ID gebaut wird.

Nicht zu beanstanden wäre schließlich, wenn die IDs in URL-Parametern zwischen Seitenaufrufen weitergegeben werden, weil sie dann nicht im Endgerät gespeichert werden.

Bei Apps ist es einfacher, da hier sehr oft die Android Advertiser ID verwendet wird. Eine Übertragung ist dann grundsätzlich nicht ohne Einwilligung erlaubt. Allerdings muss man das bei Apps durch ein Entschlüsseln des Datenverkehrs überprüfen, bevor man den Tracker in unserem Repository einstellt. Hier kann man meiner Anleitung für die Endanwender folgen.

2. String finden, der den Tracker eindeutig identifiziert

Normalerweise ist das die aufgerufene URL, z.B. "googleads.g.doubleclick.net/pagead". Bei Apps ist es der Server, zu dem eine Verbindung angezeigt wird, z.B. app.adjust.com. In Einzelfällen, vor allem bei First-Party-Trackern, können das auch einzelne Bestandteile der aufgerufenen Datei oder sogar Parameter sein wie "mcorgid" bei der Adobe Experience Cloud.

2. Argument Laufzeit

Bei Cookies kann es helfen, die Laufzeit zu prüfen. Wenn das Cookie ein oder zwei Jahre gültig ist, ist das ein gutes Argument für die Behörden. Das überschreitet die meisten zulässigen Anwendungen wie die Botabwehr. Aber Achtung: Wenn Firefox so eingestellt ist, dass er die Cookies nach Beenden löscht, dann sieht man in Firefox auch nur die Laufzeit "Sitzungsende". Man braucht also ein weiteres Firefoxprofil mit unbegrenzter Cookie-Laufzeit, um die echte, vom Server ausgegebene Laufzeit zu sehen (bei Googles "_ga"-Cookie z.B. zwie Jahre).

3. Argumente aus der Marketingabteilung des Trackers

Auf der Seite des Trackingtools nach Hinweisen suchen, was das Tool in den Bereichen Marktforschung und personalisierte Werbung verspricht: Zum Beispiel "Analysieren Sie, was die Kunden auf Ihrer Seite anschauen" (= Marktforschung) oder "reach more relevant audiences" (= personalisierte Werbung).

4. Argumente aus der Datenschutzerklärung des Trackers

In den Datenschutzerklärungen zu diesem Tool suchen, welche IDs welche Funktion haben. Manche Funktionen brauchen nämlich keine Einwilligung, insbesondere pseudonyme Cookies, die Botangriffe verhindern. Aber auch Warenkorb-Cookies brauchen keine Einwilligung. Aufgepasst: Viele Anbieter teilen ihre Datenschutzerklärung in eine "Site-Policy" für die Besucher ihrer eigenen Seite und eine "Plattform-Policy" für die Trackingtools, die sie ihren Kunden anbieten. Uns interessiert nur letztere. Wichtig: Solche Beleg müssen ausnahmslos direkt vom Hersteller sein. Verweise auf Texte z.B. aus Cookiepedia sind gegenüber einer Behörde praktisch nutzlos.

5. Den Text nach folgendem Schema schreiben

  1. Was verspricht das Tool im Bereich Marktforschung und personalisierte Werbung. Nach Möglichkeit einen Link/Beleg dafür einfügen
  2. Welche Daten werden zu welchem Zweck übertragen? Auch hier mit URL als Beleg, falls möglich.
  3. Evtl: Wie lange ist die Laufzeit von dem Cookie.
  4. Den Identifizierungs-String einer Tracking-URL unter "tracking-urls" ins .json eintragen. Ist es keine URL, sollte der Parameter ""search-by" verwendet werden. Bei Apps heißt der String, zum dem Verbindungen aufgebaut werden "connections-to".

Was die Sache noch kompliziert machen kann: Manche Einbettungen setzen nicht immer und nicht sofort Cookies. Dann muss man den Benutzer des Tools mit einem Hinweiskasten ("note") darauf hinweisen, dass er auf die Übertragung eines bestimmten Cookies achten soll. Das sieht man beispielsweise im adex.json:

    "name": "The Adex (mit Cookie \"axd\")",
    "tracking-urls": ["dmp.theadex.com"],
    "note": {
        "image": "/images/screenshot_adex_axd.png",
        "title": "axd-Cookie Screenshot",
        "text": "Einbettungen von dmp.theadex.com sind ohne Einwilligung immer dann rechtswidrig, wenn das profilbildende Cookie \"axd\" geschrieben oder gelesen wird. Für die Beschwerde einen Beleg dieser Cookie-Übertragung anfügen, z.B. Screenshot oder HAR-Datei"

Internationalisierung

Tracktor.it! möchte sobald wie möglich seinen Dienst auf englisch und für andere Länder der EU anbieten. Technisch ist die Seite bereits darauf ausgelegt. Hier brauchen wir vor allem rechtliche Unterstützung bei der Transformation der Texte: Erstens ist die Rechtslage etwas anders, man kann sich nicht direkt auf das BGH-Urteil beziehen sondern muss Bezug auf Landesgesetze oder das übergeordnete EuGH-Urteil Eugh-C-673/17 nehmen. Zum anderen müssen die Beschwerden auch etwas anders formuliert sein - so wurde beispielsweise bereits eine mit Tracktor verfasste Bescherde in Österreich zurückgewiesen, weil das verletzte Recht nicht genannt war. Wer bereits erfolgreich Tracking-Beschwerden in anderen Ländern durchgeführt hat, kann uns gerne die verwendete Formulierung zukommen lassen. Wenn diese Grundlage geschaffen ist, kann man die Tracker auf englisch oder die jeweilige Landessprache übersetzen.