Die Inkraftsetzung der Datenschutzgrundverordnung (DSGVO) hat Nutzern mehr Kontrolle über ihre Daten gebracht. Zustimmungsbanner für Browser-Benachrichtigungen und Datenschutzbedingungen sind allerdings auch ein nerviger Quell für Ärgernisse. Zudem versuchen Werbefirmen und andere Unternehmen immer wieder, die neuen Regeln ans Limit zu bringen oder überhaupt zu umgehen – etwa mit Supercookies.

Der Versuch, Daten zu sammeln, hört aber nicht im Browser auf. Auch bei E-Mails gibt es rege Bemühungen, möglichst viel über Empfänger in Erfahrung zu bringen, wie die BBC berichtet. Der E-Mail-Service Hey hat seinen Traffic analysiert und ist zur Erkenntnis gelangt, dass in zwei Dritteln aller Mails, selbst nach Exklusion von Spam, "Spionage-Pixel" enthalten waren.

Kleine Grafik, große Wirkung

Die Verwendung dieser Pixel sei mittlerweile "endemisch", also in der Mailkommunikation von vielen Unternehmen gang und gäbe, resümiert man. Doch worum handelt es sich eigentlich?

Konkret geht es um Grafiken, die üblicherweise gerade einmal einen Pixel groß sind. Sie kommen meist im GIF- oder PNG-Format, haben entweder die Farbe des Hintergrunds oder sind überhaupt transparent. Im Prinzip funktionieren sie wie Cookies auf einer Website. Wird eine Mail geöffnet, so erlaubt ihr Aufruf dem Absender, einiges über den Empfänger in Erfahrung zu bringen.

Dokumentieren lässt sich etwa, wann und wie oft eine Mail geöffnet wird, auf welchem Gerät bzw. Geräten das passiert und von welcher IP-Adresse aus. Über letztere lässt sich auch der Aufenthaltsort bestimmen, wenn auch meist nur grob. All diese Informationen spielen eine Rolle bei der Analyse des Erfolgs von Newslettern und anderen Mails. Man kann etwa herausfinden, wann der ideale Zeitpunkt für den Versand ist oder welche Betreffzeilen besonders häufig angeklickt werden. Zudem fließen sie in Kundenprofile ein und werden dort mit anderen Daten kombiniert.

"Groteske Invasion in die Privatsphäre"

Hey-Mitgründer David Hansson findet für diese Form der Datensammlung deutliche Worte. Seiner Ansicht nach handelt es sich um eine "groteske Invasion in die Privatsphäre". Genutzt werden sie von zahlreichen bekannten Firmen, erstaunlicherweise mit Ausnahme der in diesem Bezug sonst oft kritisierten großen Techkonzerne. Genannt werden als "Sünder" in Bezug auf Großbritannien etwa British Airways, Tesco, Vodafone und Unilever.

Die Auswertung geht manchmal vielleicht sogar darüber hinaus, legt eine Untersuchung der Princeton University nahe. So ist es möglich, die Daten mit den Informationen zu verknüpfen, die über Browser-Cookies gesammelt werden. Damit lasse sich etwa die Analyse des Nutzungsverhaltens beim Internetsurfen einer E-Mail-Adresse zuordnen, auch über mehrere Geräte hinweg.

Hey selbst bietet eine kostenpflichtige Schiene, über die sich Spionage-Pixel und andere Tracking-Maßnahmen blockieren lassen. Alternativ können Nutzer auch auf Browsererweiterungen setzen oder die Anzeige von Bildern in Mails standardmäßig deaktivieren.

Fehlende Durchsetzung bestehender Regeln

Tracking dieser Art setzt rechtlich gesehen die Einwilligung der Nutzer voraus. Gemäß einem Urteil des Europäischen Gerichtshofs als Resultat einer Klage des deutschen Bundesverbands der Verbraucherzentralen gegen den Online-Lottobetreiber Planet 49 dürfe diese auch nicht beiläufig eingeholt werden, sondern muss durch eine klare Bestätigung erfolgen.

Den Umstand einfach nur in die Datenschutzbedingungen zu schreiben sei nicht genug, heißt es dazu seitens des Datenschützers Pat Walshe. Er ortet auch kein Problem auf regulatorischer Seite. Die Gesetze seien deutlich formuliert, es fehle aber an der Durchsetzung. Nur weil sich viele Absender nicht an die Regeln hielten, könne man den Zustand nicht als akzeptabel hinnehmen. (gpi, 18.2.2021)