Abschlussvortrag: Analyse von Facebook Web-Tracking auf deutschen Webseiten: Umfang, Schutzmaßnahmen und Demonstrator

Betreuer: Prof. Dr. Konstantin Knorr

Kurzfassung
Die Finanzierung digitaler Webangebote erfolgt vorwiegend durch die Erhebung und Analyse von Nutzerdaten zur Anzeige individualisierter Werbung. Zum Schutz der digitalen Privatsphäre definieren rechtliche Rahmenbedingungen wie die Datenschutz Grundverordnung (DSGVO) strikte Vorgaben für diese Datenerhebung, welche in der Praxis primär über Einwilligungsbanner umgesetzt werden. Die technologische Komplexität moderner Tracking-Verfahren führt zu Abweichungen zwischen den rechtlichen Vorgaben und der tatsächlichen Datenerfassung. Vor diesem Hintergrund untersucht die vorliegende Arbeit das Web-Tracking des Meta-Konzerns. Gegenstand der empirischen Evaluation ist die Erfassung der eingesetzten Tracking-Technologien innerhalb einer repräsentativen Stichprobe deutscher Webseiten sowie der Domains deutscher Hochschuleinrichtungen. Ziel der Untersuchung ist die Quantifizierung der Datenerfassung sowie die systematische Bewertung technischer Schutzmaßnahmen. Ein im Rahmen dieser Arbeit implementierter Web-Scraper führt die Messungen automatisiert durch. Der Prüfablauf protokolliert Netzwerkaktivitäten sowie lokale Speichervorgänge getrennt nach den Phasen vor und nach der Interaktion mit dem Einwilligungsbanner. Qualitative manuelle Tests ergänzen diese Daten durch die Verifikation technischer Eingriffe verschiedener Browser-Architekturen und Filterlisten. In den Testreihen findet eine Datenerfassung vor der Nutzereinwilligung statt. Diese Quote beträgt bei den deutschen Webseiten bis zu 6,1% und im akademischen Sektor 5,1%. Nach einer Zustimmung liegt die Erfassungsquote bei den Webseiten bei bis zu 37,2% und bei den Hochschulen bei 28,2%. Die Analyse identifiziert dabei den Einsatz von First-Party-Cookies und URL-Parametern zur Nutzerverfolgung. Bei einer expliziten Ablehnung reduziert sich die Datenübermittlung von 41,6% auf 0,9%. Die Evaluation clientseitiger Gegenmaßnahmen belegt technische Defizite in den Standardkonfigurationen gängiger Webbrowser. Google Chrome und Mozilla Firefox verhindern in ihrer Standardkonfiguration die Datenerfassung durch das Meta-Pixel nicht. Ausschließlich der Brave-Browser unterbindet die Datenerhebung durch Skript-Interventionen und automatisierte URL-Bereinigung. Netzwerkbasierte Filterlisten reduzieren die Tracking-Aktivitäten ebenfalls messbar, indem sie die Domänenauflösung blockieren oder die Datenübermittlung bei aktiver Skriptausführung gezielt verhindern. Zudem veranschaulicht ein im Rahmen dieser Arbeit entwickelter Demonstrator die Funktionsweise des Meta-Pixels.