July 13, 2019

Cookie Banner sind übrigens ein Witz

Cookie Banner sind nicht nur nervig und (nach DSGVO auch) unnötig wenn man keine externen Tracker verwendet, sondern lenken zudem völlig vom tatsächlichem Problem ab.

Um Trackingcookies auf Webseiten würde ich mir wenig Sorgen machen. Die konnte man schon immer mit Bordmitteln in den Griff kriegen. Bei Firefox z.B. einfach unter Bearbeiten | Einstellungen | Datenschutz & Sicherheit einstellen, dass Cookies beim Beenden gelöscht werden sollen. Das bietet, zumindest auf dem Desktop, schon mal recht guten Schutz.

Das wirkliche Problem ist aber, wie üblich, mal wieder Android. Wenn ihr mit eurem Mobilgerät unterwegs seit, habt ihr gleich zwei Supercookies an der Backe, vor denen ihr weder gewarnt wurdet, noch vor denen ihr euch schützen könnt:

  • Ad ID
  • GSF ID

Die GSF ID kriegt euer Telefon verpasst, sobald ihr es mit einem Konto verknüpft. Sie ist eine eindeutige Kennung, die jedes Mal übertragen wird (X-DFE-Device-Id HTTP Header), wenn die offizielle Play App Daten mit Google Kontakt aufnimmt. Also immer dann, wenn ihr aktiv auf Play unterwegs seit, aber eben halt auch im Hintergrund wenn euer Gerät seine regelmäßige Checkin Anfrage durchführt, oder wenn irgendeine andere App ihren Netzwerkverkehr über Play tunnelt (App Entwickler sind dazu angehalten, das Gerät nicht aufzuwecken, um “Hintergrunddaten” zu empfangen, sondern “Sammelaufträge” an die Play App zu stellen).

Die Illusion der Kontrolle
Bei der Ad ID hatte Google wohl ein Einsehen, dass die GSF ID vielleicht doch ein wenig zu sensibel ist, um anderen Werbetreibenden den Zugriff zu erlauben. Deshalb gibt es für nicht Google Tracker seit Version 4.0 der Play Dienste eine eigene eindeutige Kennung, die ihr sogar selber in den Systemeinstellungen zurücksetzen, aber halt nicht unterdrücken könnt (Das “opt out” Kästchen sagt Apps nur, dass sie Werbung nicht personalieren dürfen, zwingt sie aber nicht, sich daran zu halten). Genau wie die GSF ID, wird auch die Ad Id bei jedem Zugriff auf Play mit übertragen (X-Ad-Id HTTP Header). Paradoxerweise wird die Ad ID von Google sogar als Datenschutzmerkmal verkauft. Laut den Play Regeln dürfen Tracker User nur anhand dieser ID wiedererkennen und sie auch nicht mit weiteren Identifikationsmerkmalen verknüpfen. Das wäre vielleicht glaubhaft, wenn a) sich Werbetreibende daran halten würden und b) man einstellen könnte, dass für jede Nutzung eine neue ID zufällig generiert wird. Die Idee ist hier jedenfalls eindeutig nicht, dass personalisierte Werbung das Problem sein könnte, sondern lediglich, dass Werbung vielleicht falsch personalisiert ist und dem Nutzer nur uninteressante Produkte anbietet. Ein Zurücksetzen der Ad Id hilft also eher der Werbeindustrie, als sie zu behindern.

Könnt ihr euch dagegen wehren? Naja, wenn ihr keine GSF ID haben wollt (wollt ihr nicht), dann dürft ihr halt kein Konto mit dem Gerät verknüpfen (egal wie sehr es euch damit nervt - gerade das Rumgenerve sollte schon Grund genug sein, es nicht zu tun). Des weiteren solltet ihr unter Einstellungen | Apps alles deaktivieren, was mit “Google” anfängt. Ja, da kriegt man fürchterliche Warnungen, dass dann möglicherweise irgendwas nicht mehr funktioniert. Aber das das nicht mehr funktioniert ist ja auch Sinn und Zweck der Übung. Danach sollte auch die Ad ID Geschichte sein.