Lehrstuhl Privatsphäre und Sicherheit in Informationssystemen Impressum

Tracker-Scan

Analyse von Cookie-Bannern und Drittanbieter-Tracking auf deutschen Internetseiten

Die auf dieser Seite vorgestellte Studie wurde am Lehrstuhl Privatsphäre und Sicherheit in Informationssystemen an der Universität Bamberg durchgeführt.

Zusammenfassung

Sind Cookie-Banner auf deutschsprachigen Webseiten wirksam eingebunden? Macht es überhaupt einen Unterschied, welche Auswahl man im Banner trifft? Werden Tracking-Dienste eingebunden, auch wenn man Cookie-Banner mit einem Bannerblocker-Plugin unterdrückt?

Konkret wurde untersucht, ob

  1. Webseiten bereits beim Aufruf Drittanbieter-Tracker einbinden, also noch bevor eine Auswahl im Cookie-Banner vorgenommen wurde (was problematisch wäre),
  2. das Einwilligen („Alle akzeptieren“) im Cookie-Banner die Anzahl der eingebundenen Drittanbieter-Tracker erhöht (was man bei einem ordnungsgemäß funktionierenden Banner erwarten würde),
  3. das Widersprechen („Alle ablehnen“, „Nur erforderliche akzeptieren“) wirksam ist, insofern keine weiteren Drittanbieter-Tracker eingebunden werden als vor der Interaktion mit dem Banner, und
  4. wie sich die vorigen Fälle von der Situation unterscheiden, wenn ein Bannerblocker im Browser zum Einsatz kommt (wird kein Banner angezeigt, erhält man keine Informationen über eingebundene Drittanbieter; es sollten dann auch keine Drittanbieter-Tracker eingebunden werden).

Zur Beantwortung dieser Fragen haben wir im Sommer 2022 einige deutschsprachige Webseiten analysiert. Jede untersuchte Webseite wurde mit einem Web-Browser vier mal unmittelbar hintereinander besucht. Jede dieser Aufrufvarianten zeichnete sich durch ein bestimmtes Nutzerverhalten aus:

  1. Es wird nicht mit einem vorhandenen Cookie-Banner interagiert (keine Interaktion).
  2. Es wird im Cookie-Banner „Alle akzeptieren“ ausgewählt.
  3. Es wird im Cookie-Banner „Alle ablehnen“ (o.ä.) ausgewählt.
  4. Es wird ein Bannerblocker verwendet, d.h. das Cookie-Banner wird überhaupt nicht angezeigt.

Um die Aufrufvarianten miteinander vergleichen zu können, wurde jeder Aufruf mittels der Entwicklerkonsole des Browsers in einer HAR-Datei archiviert. Anhand der HAR-Dateien wurde nach Abschluss der Datenerhebung ermittelt, welche Drittanbieter-Tracker beim Aufruf der jeweiligen Webseite kontaktiert wurden.

Die Ergebnisse unserer Untersuchungen zeigen, dass sich die Aufrufvarianten bei vielen Webseiten kaum hinsichtlich der Anzahl der eingebundenen Drittanbieter-Tracker unterscheiden – also auch dann personenbezogene Daten an die Drittanbieter übertragen werden, wenn die Benutzer keine Einwilligung abgegeben haben. Im Mittel binden die betrachteten Webseiten bereits 2 Drittanbieter-Tracker beim Aufruf der jeweiligen Webseite ein – und zwar auch dann, wenn das Cookie-Banner durch einen Bannerblocker ausgeblendet wird. Die Variante „Alle akzeptieren“ führt wie erwartet zu einem deutlichen Anstieg der Anzahl der eingebundenen Tracker (im Mittel auf 18 Tracker). Die geringen zahlenmäßigen Unterschiede zwischen den anderen Aufrufvarianten deuten darauf hin, dass Cookie-Banner auf vielen Webseiten nicht wirksam implementiert sind. In diesen Fällen werden personenbezogene Daten, etwa die IP-Adresse der Benutzer, ohne vorherige Einwilligung an Drittanbieter übertragen.

Durchführung der Studie

Im Rahmen der Studie wurden 100 deutschsprachige Webseiten zufällig aus der Webseiten-Top-Liste Tranco ausgewählt. Die Datenerhebung erfolgte am 22. Juli 2022. Webseiten ohne Cookie-Banner wurden aus dem Datensatz entfernt. Dies betrifft 19 von den ursprünglich 100 zufällig ausgewählten Webseiten. Die entfernten Webseiten werden im Folgenden nicht mehr betrachtet und sind aus allen Analysen ausgeschlossen.

Jede Webseite wurde in vier Varianten (Aufrufvarianten) aufgerufen, um Unterschiede hinsichtlich der Verwendung von Drittanbieter-Tracking-Diensten zu ermitteln.

In der ersten Aufrufvariante, Keine Interaktion, wird ein Browser (Firefox) ohne Add-ons und zusätzliche Konfiguration verwendet. Die Webseite wird aufgerufen und es wird versucht ans Seitenende zu scrollen. Dabei wird mit dem Cookie-Banner nicht interagiert.

Die zweite Aufrufvariante, Alle akzeptieren, unterscheidet sich vom ersten Aufruf darin, dass im Cookie-Banner die Akzeptieren-Schaltfläche gedrückt wird, bevor ans Seitenende gescrollt wird. Durch die Auswahl der Akzeptieren-Schaltfläche wird der Verwendung jeglicher Cookies und Drittanbieter-Trackern zugestimmt.

In der dritten Aufrufvariante, Alle ablehnen, wird die Schaltfläche ausgewählt, mit der der Verwendung von Drittanbieter-Trackern widersprochen wird („Alle ablehnen“, „Nur notwendige Cookies akzeptieren” o.ä.). Sollte es keine solche „Alle ablehnen“-Schaltfläche geben, wird die üblicherweise dann vorhandene „Einstellungen“-Schaltfläche des Cookie-Banners geöffnet. Im Einstellungen-Dialog des Cookie-Banners werden keine Anpassungen vorgenommen, sondern es werden direkt die vorausgewählten Einstellungen beibehalten; schließlich ist die Einbindung von Drittanbieter-Trackern – wenn überhaupt – nur mit aktiver Zustimmung der Nutzer erlaubt. Anschließend wird bis zum Ende der Webseite heruntergescrollt.

In der letzten Aufrufvariante, Bannerblocker, wird ein Bannerblocker-Add-on verwendet (uBlock Origin, ausschließlich mit den Bannerfiltern der Easy-Cookie-Liste). Die Seite wird mit aktiviertem Bannerblocker aufgerufen und es wird wieder bis ans Seitenende gescrollt.

Vor jedem Aufruf werden alle Daten des Browsers zurückgesetzt, sodass vorherige Aufrufe einen möglichst geringen Einfluss auf die Messdaten des aktuellen Aufrufs haben.

Zur Datenerhebung wurde jeder Aufruf einer Webseite in einer HAR-Datei archiviert. Nach Abschluss der Datenerhebung wurden anhand der HAR-Dateien die Drittanbieter-Tracker ermittelt, die bei den einzelnen Aufruf kontaktiert wurden. Dazu wurden drei einschlägige Listen mit bekannten Drittanbieter-Trackern herangezogen:

  • die EasyPrivacy-Liste (Github, basierend auf URLs)
  • die Ghostery-WhoTracksMe-Datenbank (Github, basierend auf Second-Level-Domains)
  • die Disconnect-Liste (Github, basierend auf Second-Level-Domains)

Die HAR-Dateien enthalten alle HTTP-Anfragen, die beim Abruf der jeweiligen Webseite in der jeweiligen Aufrufvariante übermittelt wurden. Für jede Anfrage wurde überprüft, ob der kontaktierte Dienst in den oben genannten Listen enthalten ist. Wenn zwei von drei der verwendeten Listen einen Dienst als Drittanbieter-Tracker ausweisen, wird der Aufruf als Drittanbieter-Aufruf gewertet.

Limitierungen der Studie

Analysierte Daten: In dieser Studie wird nur betrachtet, zu welchen Drittanbieter-Trackern Verbindungen aufgebaut werden. Die dabei übertragenen Daten (etwa die URL-Parameter und der Inhalt der Anfragen, z.B. Tracking-IDs) wurden im Rahmen dieser Studie nicht ausgewertet; es kann also vorkommen, dass ein Tracker kontaktiert wird, aber gar keine detaillierten Hinweise zum Nutzungsverhalten dorthin übermittelt werden. Allerdings stellt bereits das Kontaktieren eines Drittanbieter-Trackers einen Eingriff in die Privatsphäre der Nutzer dar, da personenbezogene Informationen, etwa die aktuelle IP-Adressen, Hinweise zum verwendeten Browser (wie User-Agent, unterstützte Kompressionsverfahren, etc.) und bereits gesetzte Cookies dem Drittanbieter in jedem Fall bekannt werden. Häufig lassen sich schon anhand dieser Daten Rückschlüsse auf Nutzergruppen oder einzelne Nutzer ziehen.

Qualität der Ergebnisse: Die Erkennung von Drittanbieter-Trackern basiert auf drei Tracker-Listen. Die in dieser Studie verwendeten Tracker-Listen werden zwar kontinuierlich aktualisiert, allerdings können die Listen trotzdem fehlerhafte Einträge enthalten. Es kann nicht ausgeschlossen werden, dass Drittanbieter-Tracker in einer oder mehreren Listen fehlen. Fehlende Einträge in den Listen sorgen dafür, dass tatsächlich eingebundene Drittanbieter-Tracker nicht als solche erkannt werden. Falsche Einträge können auch dazu führen, dass ein Drittanbieter fälschlicherweise als Tracker eingestuft wird. In dieser Studie wird versucht, den Einfluss falscher Einträge zu minimieren, indem ein eingebundener Dienst in der Mehrheit (zwei von drei) der Listen enthalten sein muss. Die Ergebnisse stellen also eine konservative Schätzung dar, die die wahre Anzahl der Drittanbieter-Tracker unterschätzt.

Ergebnisse

Einbindung von Trackern nach Aufrufvariante und Webseite

Im Folgenden wird die Anzahl der eingebundenen Drittanbieter-Tracker für jede besuchte Webseite abhängig von der Aufrufvariante untersucht.

In den folgenden Analysen wird jeder eingebundener Tracker nur einmal gezählt. Zur Identifikation von Trackern wurden die Second-Level-Domains der HTTP-Aufrufe ausgewertet. Werden beim Abruf einer Webseite HTTP-Anfragen zu server1.tracker.de und server2.tracker.de gestellt, wird dies als ein Tracker (tracker.de) gezählt.

Die Daten zeigen, wie erwartet, dass die meisten Webseiten mehr Drittanbieter-Tracker einbinden, wenn im Cookie-Banner alles akzeptiert wird. Im Durchschnitt werden in diesem Fall 18 unterschiedliche Drittanbieter-Tracker pro Webseite eingebunden. Ein Viertel der Webseiten bindet weniger als 8 Tracker ein, ein Viertel mehr als 26.

Problematisch erscheint die folgende Beobachtung: 64 der 81 besuchten Webseiten mit Cookie-Banner (79 %) binden bereits Drittanbieter-Tracker ein, bevor der Nutzer überhaupt mit dem Cookie-Banner interagiert hat. Im Mittel wurden zu diesem Zeitpunkt bereits 3 Tracker kontaktiert, auf einer Seite sogar 13.

Hat ein Nutzer einen Bannerblocker installiert (in diesem Fall uBlock Origin mit Bannerfiltern), binden 62 Webseiten (77 %) trotzdem Drittanbieter-Tracker ein. Im Mittel werden – ähnlich zur Aufrufvariante „Keine Interaktion“ – 3 Tracker pro Webseite kontaktiert. Dieses Ergebnis deutet darauf hin, dass ein Bannerblocker keinen wesentlichen Vorteil (aber auch keinen Nachteil) für den Schutz der Privatsphäre bringt.

Widerspricht ein Nutzer im Cookie-Banner der Verwendung von Drittanbietern, werden durchschnittlich trotzdem etwa 4 Drittanbieter-Tracker eingebunden. Ein Viertel aller Webseiten bindet hierbei mehr als 5 verschiedene Tracker ein, ein weiteres Viertel höchstens 2. Auf einer Webseite wurden sogar 20 Drittanbieter eingebunden, obwohl der Nutzung explizit widersprochen wurde. Eine manuelle Durchsicht der HTTP-Verbindungen zu den Trackern deutet darauf hin, dass einige Webseiten mit diesen Verbindungen die kontaktierten Tracker darüber informieren, dass ein Nutzer widersprochen hat – dabei werden jedoch unnötigerweise personenbezogene Daten, etwa die IP-Adresse des Nutzers, an die Tracker übermittelt.

11 der untersuchten Webseiten (14 %) binden unabhängig von der Aufrufvariante immer die gleichen Drittanbieter-Tracker ein. Ob bei diesen Seiten das Cookie-Banner und die dort getroffene Auswahl überhaupt einen Einfluss auf die Drittanbieter-Tracker hat, wäre im Einzelfall zu prüfen.

Nur 14 der 81 Webseiten (17 %) sind datensparsam implementiert: Sie kontaktieren erst und nur dann Drittanbieter-Tracker, wenn der Nutzer über das Cookie-Banner eingewilligt hat. Nur eine Webseite bindet überhaupt keine Tracker ein.

Die folgende interaktive Auswertung ermöglicht es, die Ergebnisse anhand verschiedener Filter aufzubereiten.

Datenauswahl für die Abbildung:
Trackeranzahl pro Webseite
Perzentile
Aufrufvariante Mittelwert 25% 50% 75% Max

Hinweis: Durch Klicken auf die Legende können Daten aus- und eingeblendet werden.

Trackeranzahl pro Webseite nach Aufrufvariante

Die folgende Abbildung aggregiert die Daten aus der ersten Abbildung und visualisiert die Anzahl der eingebundenen Drittanbieter-Tracker pro Webseite. Die Abbildung zeigt, dass viele Webseiten auch dann bis zu 4 Drittanbieter-Tracker einbinden, wenn ein Bannerblocker verwendet wird, nicht mit der Seite interagiert wird oder im Cookie-Banner dem Tracking nicht zugestimmt wird. Erwartungsgemäß werden deutlich mehr Tracker kontaktiert, wenn im Cookie-Banner „Alle akzeptieren“ ausgewählt wird.

Hinweis: Durch Klicken auf die Legende können Daten aus- und eingeblendet werden.

Anfragen zu Trackern pro Webseite nach Aufrufvariante

In den bisherigen Auswertungen wurde die Anzahl der eingebundenen Tracker-Dienste (Second-Level-Domains) betrachtet. Im Folenden wird die Anzahl der HTTP-Anfragen zu Drittanbieter-Trackern analysiert. Werden an einen Drittanbieter mehrere HTTP-Anfragen übermittelt, fallen die Zahlen entsprechend höher aus als zuvor. Erwartungsgemäß kann erneut beobachtet werden, dass deutlich mehr Anfragen geschickt werden, wenn im Cookie-Banner auf „Alle akzeptieren“ geklickt wird. In allen Aufrufvarianten gilt: viele Webseiten übermitteln mehrere HTTP-Anfragen an die einzelnen Tracker-Dienste.

Einige der besuchten Webseiten schicken bis zu 1000 Anfragen zu Diensten von Drittanbieter-Trackern, wenn dem Tracking im Cookie-Banner zugestimmt wurde. Wenn nicht mit dem Cookie-Banner interagiert wird oder ein Bannerblocker eingesetzt wird, werden immer noch bis zu 80 Anfragen übermittelt. Wird im Cookie-Banner dem Tracking widersprochen, werden bis zu 94 Anfragen an Drittanbieter-Tracker geschickt. Die höhere Anzahl der Anfragen kommt möglicherweise dadurch zustande, dass der Widerspruch an die Tracking-Dienstleister übermittelt wird.

Hinweis: Durch Klicken auf die Legende können Daten aus- und eingeblendet werden.

Anzahl der Tracker-Cookies pro Webseite nach Aufrufvariante

Unter welchen Umständen versuchen die Drittanbieter-Tracker Cookies zu setzen? Zur Beantwortung dieser Frage werden die Set-Cookie-Header in den HTTP-Antworten herangezogen; mittels JavaScript gesetzte Cookies werden also nicht mitgezählt. Wie zuvor werden bei dieser Auswertung Tracker durch die Second-Level-Domains repräsentiert. Wenn ein Drittanbieter-Tracker also mehrere Cookies für die gleiche Second-Level-Domain setzt, wird dies als ein Cookie-setzender Tracker gezählt.

Die folgende Abbildung zeigt, dass auf den meisten Webseiten Tracker nur dann Cookies setzen wollen, wenn im Cookie-Banner „Alle akzeptieren“ ausgewählt wird. Etwa ein Viertel der besuchten Webseiten bindet allerdings einen oder zwei Cookie-setzende(n) Drittanbieter-Tracker ein. Das daraus resultierende Risiko für die Privatsphäre ist relativ gering, da gängie Browser das Setzen von Drittanbieter-Cookies inzwischen blockieren. Im Rahmen der Studie wurde dieser Tracking-Schutz im Browser deaktiviert.

Hinweis: Durch Klicken auf die Legende können Daten aus- und eingeblendet werden.

Popularität unterschiedlicher Drittanbieter-Tracker

Die folgende Abbildung zeigt für alle in der Studie aufgetretenen Drittanbieter-Tracker die Anzahl der Webseiten, die diesen Tracker eingebunden haben. Die Unterschiede zwischen den betrachteten vier Aufrufvarianten decken sich mit den bisherigen Beobachtungen.

Insgesamt ist erkennbar, dass eine kleine Menge von Drittanbieter-Trackern auf dem Großteil der Webseiten präsent sind und damit einen großen Marktanteil haben. Populärere Tracker können also Informationen über einen Großteil der Nutzer sammeln und erhalten umfangreiche Einblicke in das Nutzungsverhalten (Webseitenbesuche) einzelner Nutzer. Daneben gibt es eine große Menge an Drittanbieter-Trackern, die nur auf sehr wenigen (1-2) Webseiten eingebunden sind. Diese Ungleichverteilung in der Popularität von Drittanbietern wurde bereits in anderen Studien (z.B. Englehardt und Narayanan) festgestellt.

Datenauswahl für die Abbildung:

Reproduzierbarkeit und gesammelte Daten

Die folgenden Informationen erlauben eine Wiederholung der Studie und eigene Auswertungen anhand der erhobenen Daten.

Vorbereitungen: Firefox einrichten

  • in den Einstellungen (Browser-Datenschutz): jegliche Inhalte zulassen und Aktivitätsverfolgung erlauben
  • in den Einstellungen: Cookie und Webseite-Daten beim Beenden löschen
  • in den DevTools (Reiter Netzwerkanalyse): Haken bei Disable Cache setzen
  • in about:config: Eintrag clearonshutdown=true setzen
  • ein zusätzliches Firefox-Profil mit uBlock Origin einrichten und alle Filter ausschließlich EasyList Cookie deaktivieren

Für jede Webseite werden folgende Schritte durchgeführt:

1) Aufrufvariante: Keine Interaktion

  • Firefox im normalen Profil starten
  • Webseite aufrufen
  • Ans Seitenende scrollen (sofern möglich)
  • Alles als HAR speichern
  • Suffix N im Dateinamen anhängen
  • Firefox beenden

2) Aufrufvariante: Alle akzeptieren

  • Firefox im normalen Profil starten
  • Webseite aufrufen
  • Im Cookie-Banner auf Akzeptieren klicken
  • Ans Seitenende scrollen (sofern möglich)
  • Alles als HAR speichern
  • Suffix A im Dateinamen anhängen
  • Firefox beenden

3) Aufrufvariante: Alle ablehnen

  • Firefox im normalen Profil starten
  • Webseite aufrufen
  • Im Cookie-Banner auf Ablehnen klicken (oder in den Einstellungen die Standardeinstellungen übernehmen)
  • Ans Seitenende scrollen (sofern möglich)
  • Alles als HAR speichern
  • Suffix R im Dateinamen anhängen
  • Firefox beenden

4) Aufrufvariante: Bannerblocker

  • Firefox im uBlock Profil starten
  • Webseite aufrufen
  • Ans Seitenende scrollen (sofern möglich)
  • Alles als HAR speichern
  • Suffix B im Dateinamen anhängen
  • Firefox beenden

Die im Rahmen der Studie erhobenen Rohdaten können als Basis für weitergehende Auswertungen dienen. Die Rohdaten liegen in Form von HAR-Dateien (für jede Webseite und jede der vier Aufrufvarianten) vor, welche jeweils die vom Browser gesammelten Informationen zu einem Aufruf einer Webseite enthalten. Die Dateien können hier heruntergeladen werden: