Do Not Track (Software)
Do Not Track (DNT; englisch für „nicht verfolgen“) ist ein HTTP-Header-Feld und signalisiert einer Website oder Webanwendung den Wunsch, dass diese über die Aktivitäten des Besuchers kein Nutzungsprofil erstellt. DNT wurde 2009 von Christopher Soghoian, Sid Stamm und Dan Kaminsky[1] vorgeschlagen. Der Standardisierungsprozess durch das W3C wurde im Januar 2019 beendet, ohne dass ein abschließender Standard beschlossen wurde.[2] Firefox war der erste Browser, der dieses Feld unterstützte, später folgten Internet Explorer (ab Version 9),[3] Safari, Opera, Chrome und Edge.
Geschichte
Im Jahr 2007 fragten mehrere Verbraucherschutzgruppen die Federal Trade Commission (FTC, die Bundeshandelskommission der USA), ob es möglich sei, eine DNT-Liste für Online-Werbung zu schaffen. Es wurde vorgeschlagen, dass Online-Werber ihre Informationen bei der FTC vorlegen müssen, damit diese eine maschinenlesbare Liste der Domain-Namen von denjenigen Unternehmen erstellen können, die Cookies platzieren oder andere Möglichkeiten nutzen, um Verbraucher zu verfolgen.[4]
Die DNT-Funktion wurde 2009 von den Forschern Christopher Soghoian, Sid Stamm und Dan Kaminsky vorgeschlagen[5] und wurde 2012 vom World Wide Web Consortium (W3C) standardisiert.[6] Im Juli 2009 erstellten Christopher Soghoian und Sid Stamm ein erstes Prototyp-Add-on für den Firefox Web-Browser, welches die Unterstützung für die DNT-Header-Funktion implementierte. Stamm war zu der Zeit Datenschutz-Ingenieur bei Mozilla. Soghoian begann bald danach für die FTC zu arbeiten.[7]
Ein Jahr später gab der FTC-Vorsitzende Jon Leibowitz während einer Anhörung des US-Senats zum Thema Privatsphäre dem Senate Commerce Committee gegenüber an, dass die Kommission die Idee einer „Do-Not-Track“-Liste erforsche.[8]
Im Dezember 2010 gab die FTC einen Datenschutzbericht heraus, in dem zur Entwicklung eines “do not track”-Systems aufgerufen wurde. Dieses System solle es den Internetnutzern ermöglichen zu verhindern, dass ihre Aktionen online überwacht werden.[9]
Eine Woche später, ebenfalls im Dezember 2010, kündigte Microsoft die Unterstützung der DNT-Funktion für ihren Webbrowser Internet Explorer 9 (IE 9) an. Zukünftig sollte dieser den Nutzern sogenannte Blacklists (dt. Schwarze Listen) von Dritten bieten, die sie vor Verfolgung schützen.[10] Ab dem Internet Explorer 10 war die DNT-Funktion standardmäßig auf aktiv gesetzt.[11][12] 2015 kündigte Microsoft ein Ende dieser Standardeinstellung an, zukünftig hat der Nutzer die DNT-Aktivierung selbst vorzunehmen.[13]
Im Januar 2011 gab Mozilla bekannt, dass ihr Browser zukünftig DNT-Header unterstützen werde, was erstmals im Mozilla Firefox 4.0 Beta 11 umgesetzt wurde.[14] Am 7. März 2011 wurde ein Entwurf von Mozillas DNT bei der IETF eingereicht.[15]
Unterstützt wird DNT mittlerweile auch von Apple Safari,[16][3] Opera[17] sowie Google Chrome, von Letzterem ab Version 23.
Im Januar 2019 wurde das DNT-Standardisierungsgremium beim W3C geschlossen, ohne dass der Status eines W3C-Standards erreicht wurde. Als Gründe wurden die nicht ausreichenden Implementierungszahlen und fehlende Anzeichen für die Unterstützung von DNT seitens der Browser-Hersteller und anderer Beteiligter angegeben. Im Februar 2019 wurde die DNT-Unterstützung aus Safari entfernt. Nach Aussage von Apple wurde diese Entscheidung getroffen, um Fingerprinting zu erschweren.[18]
Funktionsweise
GET / HTTP/1.1 |
Host: www.wikipedia.org |
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6) |
rv:2.0.1) Gecko/20100101 Firefox/4.0.1 |
Accept: |
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 |
Accept-Language: en-us,en;q=0.5 |
Accept-Encoding: gzip, deflate |
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 |
Keep-Alive: 115 |
DNT: 1 |
Connection: keep-alive |
If-Modified-Since: Mon, 23 May 2011 07:29:40 GMT |
HTTP/1.0 304 Not Modified |
Date: Wed, 25 May 2011 03:53:03 GMT |
Content-Type: text/html; charset=utf-8 |
Last-Modified: Mon, 23 May 2011 07:29:40 GMT |
Age: 7 |
X-Cache: HIT from sq73.wikimedia.org |
X-Cache-Lookup: HIT from sq73.wikimedia.org:80 |
Connection: keep-alive |
Das Header-Feld namens "DNT" akzeptiert aktuell drei Zustände:
- „1“ = in diesem Fall möchte der Nutzer nicht verfolgt werden (opt out)
- „0“ = in diesem Fall stimmt der Nutzer einer Verfolgung zu (opt in) oder
- „null“ (Kein Versand des Headers) = Der Nutzer hat keine entsprechende Präferenz gesetzt.
Standard ist der letztgenannte Fall, also dass der Header nicht gesendet wird. Erst wenn der Nutzer im Browser die entsprechenden Einstellungen vornimmt, wird je nach Auswahl eine der anderen Optionen ausgeführt, sofern der Nutzer dies möchte. Eine Ausnahme ist hier der Internet Explorer ab Version 10, der standardmäßig „1“ sendet (siehe oben).
Wenn ein Web-Browser Inhalte anfordert oder Daten über HTTP sendet, kann er optional zusätzliche Informationen in einen oder mehrere als „Header“ bezeichnete Felder einfügen. Ist der DNT-Header auf den Wert 1 gesetzt, impliziert dies, dass der Nutzer nicht verfolgt werden möchte.[20][21]
Die Ausführung dieser Nicht-Tracking-Richtlinie kann nur auf dem HTTP-Server implementiert werden, die Einhaltung ist freiwillig. In dieser Hinsicht ist DNT vergleichbar mit dem Robots Exclusion Standard. Dieser Mechanismus für HTTP-Server sorgt dafür, dass automatische Web-Clients (sogenannte „Webcrawler“ oder „Robots“, zu dt. Roboter) Dateien auslesen können, in denen vom jeweiligen Betreiber einer Website festlegt wurde, ob und wie seine Website von Webcrawlern durchsucht werden soll. Auch hier ist keine Berücksichtigung garantiert, da die Einhaltung dieses Wunsches durch den Webcrawler selbst erfolgen muss.
Effektivität und datenschutzrechtliche Bedeutung
Weltweit sind Websites gesetzlich noch nicht verpflichtet, DNT-Anfragen zu respektieren und zu beachten. Der W3C konnte bislang noch keinen Konsens zwischen der Werbeindustrie und der Federal Trade Commission in den USA herstellen. In Europa erfüllt der vorgeschlagene DNT-Header in der „null“-Stellung nicht die Anforderungen der Art. 5 Abs. 3 ePrivacy-Richtlinie, die das informierte Einwilligung für das Setzen und Auslesen von Cookies definiert (sog. Cookie-Artikel). Websites, die die IE-10-default-Einstellung „1“ ignorieren, verstoßen gegen den Cookie-Artikel. Verstöße gegen den Cookie-Artikel wurden in den ersten zwei Jahren nach seiner Einführung durch die deutschen Datenschutzaufsichtsbehörden nicht verfolgt.
Die deutschen Datenschutzaufsichtsbehörden waren sich einig, dass das Setzen des DNT-Headers auf 1 „der Erklärung eines Widerspruchs im Sinne von § 15 Abs. 3 TMG gleichkommt“.[22] Solche Widersprüche seien von Anbietern von Telemedien zu beachten. Diensteanbieter dürfen also, wenn diese Option gesetzt ist, auch dann keine Nutzungsprofile erstellen, wenn sie auf den Einsatz von Cookies verzichten.
Nunmehr regelt Art. 21 Abs. 5 der Datenschutz-Grundverordnung ausdrücklich, dass Do-Not-Track Signale als wirksamer Widerspruch für die Bildung von Profilen gelten.
Laut Bloomberg.com aktivierten weltweit 12 % der Firefox-Nutzer die DNT-Einstellung.[23] Yahoo ignoriert die Do-Not-Track-Einstellungen in Webbrowsern bewusst, und im "Yahoo Privacy Center" kann es nicht eingeschaltet werden. Dies ging aus einer offiziellen Blog-Nachricht des "Yahoo Privacy Teams" im Mai 2014 auf tumblr hervor: "Do-Not-Track-Einstellungen in Webbrowsern sind nicht mehr aktiviert auf Yahoo (..) Wir haben noch nicht gesehen, dass sich ein einziger Standard durchsetzt, der wirksam und einfach zu nutzen ist und der von der IT-Industrie angenommen worden wäre". Bereits seit 2012 ignoriert Yahoo die Do-Not-Track-Informationen des Browsers Internet Explorer (ab Version 10).[24]
In der sogenannten DNT-Liste, die alle Unternehmen auflistet, die nach eigenen Angaben den DNT-Einstellungen in Webbrowsern Folge leisten, sind Google und Yahoo nicht verzeichnet, über die beiden Suchmaschinen werden fast 80 % aller Suchanfragen weltweit abgewickelt.[25] Suchmaschinen mit einem Datenschutz-sensitiven Geschäftsmodell sind Ixquick (April 2018 deaktiviert)[26], DuckDuckGo und Startpage.
Seit August 2017 fordert Spiegel Online von seinen Usern auf einem Nag-Screen neben dem Abstellen von Werbeblockern auch die DNT-Deaktivierung.[27]
Rezeption
Seit dem Frühjahr 2015 klärt die Webserie Do Not Track[28] über die Überwachung im Internet sowie mögliche Gegenmaßnahmen auf.[29]
Siehe auch
Weblinks
- DNT bei Mozilla Firefox (FAQ) (englisch)
- DNT (englisch) bei EFF (Electronic Frontier Foundation)
- Understanding your online privacy (englisch), Abruf: 8. Februar 2012
- How to Turn on Do Not Track in Your Browser (englisch), Abruf: 7. September 2011
Einzelnachweise
- Christopher Soghoian: The History of the Do Not Track Header. In: Slight Paranoia. Abgerufen am 22. Februar 2012.
- Tracking Protection Working Group. In: W3C. Abgerufen am 22. Februar 2012.
- "Web Tracking Protection: Minimum Standards and Opportunities to Innovate". Abruf: 16. Juni 2012.
- "The History of the Do Not Track Header" (PDF; 101 kB). Center for Democracy and Technology. Vom 31. Oktober 2007. Abruf: 16. Juni 2012.
- Soghoian, Christopher. "The History of the Do Not Track Header". Slight Paranoia. Abruf: 16. Juni 2012.
- "Tracking Protection Working Group". W3C. Abruf: 16. Juni 2012.
- Zetter, Kim (17. August 2009). "Outspoken Privacy Advocate Joins FTC". Wired News. Abruf: 16. Juni 2012.
- Corbin, Kenneth (28. Juli 2010). "FTC Mulls Browser-Based Block for Online Ads". Internet News. Abruf: 16. Juni 2012.
- Angwin, Julia (2. Dezember 2010). "FTC Backs Do-Not-Track System for Web". Wall Street Journal. Abruf: 16. Juni 2012.
- IEBlog (7. Dezember 2010), "IE9 and Privacy: Introducing Tracking Protection". Abruf: 16. Juni 2012.
- Microsoft aktiviert "Do Not Track" in Internet Explorer 10. In: Heise.de. 1. Juni 2012, abgerufen am 16. Juni 2012.
- Fahmida Y. Rashid (2. Juni 2012). "Microsoft Turns on Do Not Track By Default in IE10". Abruf: 17. Juni 2012.
- Parwez Farsan: „Do Not Track muss künftig explizit aktiviert werden“ Computerbase.de, vom 5. April 2015.
- Angwin, Julia (21. Januar 2011). "Web Tool On Firefox To Deter Tracking". Wall Street Journal. Abruf: 17. Juni 2012.
- IETF "Do Not Track: A Universal Third-Party Web Tracking Opt Out". Abruf: 16. Juni 2012.
- Nick Wingfield (14. April 2011), "Apple Adds Do-Not-Track Tool to New Browser", Wall Street Journal, Abruf: 16. Juni 2012.
- Opera Desktop Team (11. Februar 2012), "Core update with Do Not Track, and mail and theme fixes" (Memento vom 16. Februar 2012 im Internet Archive), opera.com, Abruf: 16. Juni 2012.
- Safari 12.1 Beta 3 Release Notes. Abgerufen am 15. Dezember 2020.
- How Do Not Track works – The Do Not Track Field Guide. In: developer.mozilla.org. 17. April 2014, abgerufen am 15. Januar 2015.
- Do Not Track – Universal Web Tracking Opt-Out, Abruf: 17. Juni 2012.
- "Try out Do-Not-Track-HTTP-Header". Abruf: 17. Juni 2012.
- Berliner Beauftragter für Datenschutz und Informationsfreiheit: Bericht 2011 (Memento vom 15. Oktober 2013 im Internet Archive) (PDF; 3,1 MB), S. 169.
- Bloomberg.com, Abgerufen: 5. April 2015 Olga Kharif: „The Cookies You Can't Crumble“
- Yahoo ignoriert Do Not Track bewusst, Heise News, 3. Mai 2014.
- "Do Not Track: Implementations", Jonathan Mayer und Arvind Narayanan, affiliiert dem 'Center for Internet and Society', Stanford Law School, Do Not Track Implementations, (Datum des Zugriffs: 18. Juni 2015)
- Warum gibt es Ixquick nicht mehr? Startpage, 17. Mai 2018, abgerufen am 26. Juni 2018.
- So schalten Sie Ihren Adblocker für SPIEGEL ONLINE aus, Spiegel Online, 16. August 2017.
- donottrack-doc.com
- badische-zeitung.de, 21. April 2015, Laura Sophia Jung: „Do Not Track“ klärt über die Überwachung im Internet auf (25. April 2015)