Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection

Diese Studie zeigt, dass Google und Meta Webmaster durch ihre Dokumentation und Benutzeroberflächen zur Konfiguration von Trackern zur automatischen Erfassung personenbezogener Daten aus Formularen anregen, wobei Meta dies sogar im Basis-Setup integriert und dabei trotz höherer Prävalenz bei Google eine deutlich häufigere Fehlkonfiguration zur PII-Erfassung bei Meta-Trackern festgestellt wird.

Das Wesentliche

🕵️‍♂️ Die große Untersuchung: Warum Tracker nicht alle gleich sind

Stell dir vor, du betrittst einen Laden. Normalerweise ist das okay. Aber in diesem Laden gibt es unsichtbare Kameras (die sogenannten Tracker), die nicht nur zählen, wie viele Leute hereinkommen, sondern auch versuchen, deine Telefonnummer, deinen Namen und deine E-Mail-Adresse zu stehlen, sobald du ein Formular ausfüllst.

Diese Studie von Forschern der NYU und der Northeastern University hat herausgefunden, dass die beiden größten Anbieter dieser Kameras – Google und Meta (Facebook) – ihre Kunden (die Webseiten-Betreiber) auf sehr unterschiedliche Weise dazu bringen, diese Kameras zu aktivieren.

Hier ist die Aufschlüsselung:

1. Der Vergleich: Der "Drängende Verkäufer" vs. Der "Verwirrende Architekt"

Stell dir vor, du möchtest eine Überwachungskamera für dein Geschäft installieren.

• Meta (Facebook) ist wie ein drängender Verkäufer:
  Meta führt dich durch einen sehr einfachen, glatten Prozess. Wenn du die Kamera installierst, sagt der Verkäufer: "Hey, willst du nicht auch wissen, wie die Kunden heißen und wo sie wohnen? Klick einfach hier auf 'Ja', dann funktioniert alles perfekt!"

  • Der Trick: Die Option, Daten zu sammeln, ist standardmäßig schon an ("Ja" ist voreingestellt). Du musst aktiv etwas tun, um es auszuschalten. Meta sagt sogar: "Das ist der beste Weg, um deine Werbung zu optimieren!" und verschweigt dabei, dass es deine Privatsphäre gefährdet.
  • Das Ergebnis: Fast 62 % der Webseiten, die Meta nutzen, sammeln tatsächlich Daten aus Formularen.

• Google ist wie ein verwirrter Architekt:
  Bei Google ist der Prozess komplizierter. Es gibt viele verschiedene Räume und Schalter. Man muss sich durch ein Labyrinth klicken, um überhaupt zu finden, wo man Daten sammeln kann.

  • Der Trick: Google sagt zwar auch, dass man Daten sammeln soll, aber der Schalter dafür ist standardmäßig aus. Man muss sich extra Mühe geben, ihn einzuschalten. Zudem gibt es widersprüchliche Anweisungen: "Wir sammeln keine persönlichen Daten!" steht in einem Dokument, während ein anderes sagt: "Hier ist, wie du E-Mail-Adressen sammelst."
  • Das Ergebnis: Nur etwa 11,6 % der Webseiten mit Google-Trackern sammeln tatsächlich Daten aus Formularen.

2. Der gefährliche Mythos vom "Hashing" (Der unsichtbare Tarnanzug)

Beide Firmen sagen den Webseiten-Betreibern: "Keine Sorge! Wir verschlüsseln die Daten (hashen sie), bevor wir sie speichern. Das ist sicher wie ein Tarnanzug!"

• Die Realität: Die Forscher und auch die US-Behörden sagen: Das ist ein Scherz. Ein Hash ist wie ein Tarnanzug, der nur aus einem Stück Papier besteht. Wenn man den Namen "Max Mustermann" in einen Hash umwandelt, sieht er zwar anders aus, aber Google und Meta können ihn sofort wieder entschlüsseln und mit dem echten Profil von Max Mustermann verknüpfen. Es ist also gar nicht sicher. Es ist, als würde man sagen: "Ich habe dein Geld in eine Schachtel gepackt, die ich selbst öffnen kann – das ist sicher für dich!"

3. Die sensiblen Bereiche: Krankenhäuser und Banken

Es gibt Bereiche, in denen das Sammeln von Daten streng verboten ist, wie bei Krankenhäusern (Gesundheitsdaten) oder Banken (Finanzdaten).

• Das Problem: Meta und Google haben zwar eine Regel: "Wenn du ein Krankenhaus bist, darfst du keine Daten sammeln."
• Die Lücke: Aber sie verlassen sich darauf, dass die Webseiten-Betreiber selbst ehrlich sagen: "Wir sind ein Krankenhaus."
• Die Entdeckung: Die Forscher haben herausgefunden, dass viele echte Krankenhäuser und Banken (wie Suchtberatungsstellen oder Kreditkartenfirmen) diese Tracker installiert haben und Daten sammeln – oft, weil sie sich fälschlicherweise als "normale Firmen" eingestuft haben oder die Einstellungen einfach nicht geprüft haben.
  • Bei Meta sammeln nur 30 % der Gesundheitsseiten Daten (die Regel wirkt also teilweise).
  • Bei Google sammeln fast alle Seiten Daten, egal ob sie ein Krankenhaus sind oder nicht (die Regel wirkt hier kaum).

4. Was wird eigentlich gesammelt?

Wenn die Tracker aktiv sind, sammeln sie fast immer die gleichen Dinge, weil die Standard-Einstellungen von Meta das so vorgeben:

• E-Mail-Adresse (99,5 % der Fälle)
• Vor- und Nachname (93,7 %)
• Telefonnummer (93,5 %)

Das ist wie ein Dieb, der nicht nur deine Adresse stiehlt, sondern auch deine Telefonnummer und deinen Namen, um dich überall im Internet zu verfolgen.

🎯 Die große Erkenntnis

Die Studie zeigt, dass die Art und Weise, wie man eine Software bedient, genauso wichtig ist wie die Software selbst.

• Meta hat das Design so gebaut, dass man fast automatisch Daten preisgibt (wie ein Buffet, bei dem das Beste schon auf dem Teller liegt).
• Google ist so unübersichtlich, dass man oft gar nicht merkt, dass man Daten preisgibt (wie ein Labyrinth, in dem man versehentlich eine Tür öffnet).

Was bedeutet das für dich?
Viele Webseiten, die du besuchst – besonders im Gesundheits- oder Finanzbereich – sammeln vielleicht mehr von deinen Daten, als du denkst. Nicht weil die Webseiten-Betreiber böse sind, sondern weil die Anleitung der großen Tech-Firmen sie in die Irre führt oder sie zu leichtsinnig macht.

Die Lösung?
Die Forscher schlagen vor, dass die Behörden (wie die FTC in den USA) strengere Regeln machen müssen. Die Firmen müssen aufhören, das Sammeln sensibler Daten als "Best Practice" zu verkaufen und ehrliche, klare Warnungen geben müssen. Bis dahin ist es ratsam, bei sensiblen Formularen vorsichtig zu sein oder Browser-Erweiterungen zu nutzen, die diese Tracker blockieren.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection" auf Deutsch:

1. Problemstellung

Die Studie adressiert das Problem, dass Online-Tracking-Scripts (insbesondere von Google und Meta) oft so konfiguriert werden, dass sie automatisch Personenbezogene Daten (PII) aus Webformularen extrahieren. Während frühere Studien das Vorhandensein von Trackern als binäres Ereignis (vorhanden/nicht vorhanden) betrachteten, ignorierten sie die Nuancen der Konfiguration.

Das Kernproblem besteht darin, dass Website-Administratoren durch die Dokumentation und Benutzeroberflächen der Tracker-Anbieter oft zu Konfigurationen gedrängt werden, die die Privatsphäre der Nutzer gefährden. Dies ist besonders kritisch in sensiblen Branchen wie Gesundheitswesen und Finanzdienstleistungen, wo gesetzliche Vorschriften (z. B. HIPAA in den USA, Gramm-Leach-Bliley Act) die Weitergabe sensibler Daten an Dritte einschränken. Trotz dieser Regulierungen und der Richtlinien der Anbieter selbst werden Tracker oft so eingestellt, dass sie E-Mail-Adressen, Namen und Telefonnummern sammeln, was zu Datenlecks und Compliance-Verstößen führt.

2. Methodik

Die Autoren verfolgten einen gemischten Ansatz aus qualitativer Analyse und quantitativer Messung:

A. Qualitative Analyse (Dokumentation & UI)

• Reverse Engineering: Die Autoren erstellten Test-Websites, installierten Meta Pixel und Google Tag und analysierten den Setup-Prozess. Sie modifizierten den Code und beobachteten die Netzwerkverkehrsmuster, um zu verstehen, wie Konfigurationen umgesetzt werden.
• Dokumentationsanalyse: Sie untersuchten 17 Seiten Meta-Dokumentation und 60 Seiten Google-Dokumentation (Stand Mai/Juni 2024).
• Coding-Rahmenwerk: Sie entwickelten einen Codebuch-Ansatz, um „Dark Patterns" und irreführende Sprache zu identifizieren. Dazu gehörten Kategorien wie:
  • Hidden Risk: Risiken werden verschleiert.
  • Least Private Defaults: Standardeinstellungen maximieren die Datensammlung.
  • Contradictory Language: Widersprüchliche Aussagen (z. B. Behauptung, Hashing sei sicher, während gleichzeitig PII gesammelt wird).

B. Quantitative Messstudie

• Datensatz: Analyse von 40.150 Websites (aus der Tranco-Liste der Top 1 Million), darunter 3.406 Gesundheits- und 1.633 Finanz-Websites.
• Infrastruktur: 50 parallele virtuelle Maschinen in der Google Cloud (US-Zentral), die Chrome-Browser-Instanzen nutzten.
• Datenbeschaffungs-Pipeline:
  1. Formular-Injektion: Ein automatisiertes Formular mit Platzhalter-PII (E-Mail, Name, Telefon, etc.) wurde in die Startseite jeder Website injiziert und abgesendet.
  2. Netzwerk-Monitoring: Es wurde überwacht, ob Netzwerkanfragen an Meta- oder Google-Server gesendet wurden, die die gehashten Platzhalterdaten enthielten.
  3. Statische Analyse: Für Meta Pixel wurden die geladenen JavaScript-Konfigurationsdateien analysiert, um zu prüfen, ob die Option „Automatische Datenerfassung" aktiviert war (erkennbar an Schlüsseln wie selectedMatchKeys).
• Validierung: Mehrere manuelle Stichprobenprüfungen wurden durchgeführt, um False Negatives (z. B. durch Cookie-Banner oder Bot-Erkennung) zu minimieren und die Genauigkeit der Injektionsmethode zu bestätigen.

3. Wichtige Beiträge

1. Methodologie: Entwicklung eines Pipelines zur großflächigen Messung von Tracker-Konfigurationen und einer qualitativen Analysemethode für Tracker-Dokumentation.
2. Enthüllung von Praktiken: Nachweis, dass Google und Meta Administratoren dazu anleiten, die am wenigsten datenschutzfreundlichen Standardeinstellungen zu wählen, und dabei falsche Behauptungen über die Privatsphärensicherheit von Hashing aufstellen (widerlegt durch die FTC).
3. Konfigurationsunterschiede: Aufdeckung, dass Meta Pixel deutlich häufiger so konfiguriert ist, dass es Formulardaten sammelt, verglichen mit Google Tag, was auf unterschiedliche UI-Designs zurückzuführen ist.
4. Identifikation von Verstößen: Aufspüren spezifischer Gesundheits- und Finanz-Websites, die Tracker so konfiguriert haben, dass sie PII sammeln, was gegen die Richtlinien der Anbieter und potenziell gegen US-Gesetze verstößt.

4. Ergebnisse

A. Qualitative Ergebnisse (Dokumentation & UI)

• Meta Pixel: Der Setup-Prozess ist stark optimiert auf Datensammlung. Ein Wizard zwingt den Administrator, über die automatische Datenerfassung zu entscheiden, und wählt standardmäßig alle 11 unterstützten PII-Felder (E-Mail, Name, Telefon, Adresse, etc.) aus. Die Dokumentation suggeriert, dass Hashing (SHA-256) ausreicht, um die Privatsphäre zu schützen, obwohl dies technisch nicht der Fall ist.
• Google Tag: Der Prozess ist komplexer und weniger direkt. Die Option zur Form-Datenerfassung ist im Setup-Flow nicht explizit hervorgehoben und standardmäßig deaktiviert. Die Dokumentation enthält jedoch widersprüchliche Aussagen: Einerseits wird behauptet, keine PII zu sammeln, andererseits wird die Sammlung von „erstem Partei-Daten" (First-Party Data) empfohlen.
• Sensible Kategorien: Beide Anbieter verlangen eine Selbstauskunft der Website-Kategorie (Health/Finance), um die automatische Erfassung zu blockieren. Da diese Einstufung jedoch selbst erfolgt und nicht klar erklärt wird, ist sie leicht zu umgehen.

B. Quantitative Ergebnisse (Messung)

• Verbreitung:
  • Google Tag ist auf 72,6 % der Websites installiert.
  • Meta Pixel ist auf 28,2 % der Websites installiert.
• Konfiguration zur Datenerfassung (Form Data Collection - FDC):
  • Von den Websites mit Meta Pixel sind 62,3 % so konfiguriert, dass sie Formulardaten sammeln.
  • Von den Websites mit Google Tag sind nur 11,6 % so konfiguriert.
• Sensible Branchen:
  • Bei Meta Pixel ist die Erfassung in sensiblen Branchen signifikant niedriger als in nicht-sensiblen (Gesundheit: 30,8 %, Finanzen: 20,3 % vs. Nicht-sensibel: 68,0 %). Dies deutet darauf hin, dass die technischen Sperren teilweise wirken, aber nicht vollständig.
  • Bei Google Tag gibt es keinen signifikanten Unterschied zwischen sensiblen und nicht-sensiblen Branchen (ca. 11–13 % in allen Kategorien).
• Typen der gesammelten Daten (Meta Pixel):
  • 99,5 % der konfigurierten Meta Pixel sammeln E-Mail-Adressen.
  • 93,7 % sammeln vollständige Namen.
  • 93,5 % sammeln Telefonnummern.
  • Über 50 % der Websites nutzen die Standardkonfiguration (alle Felder aktiviert).

C. Spezifische Verstöße

Die Studie identifizierte konkrete Websites in regulierten Branchen (z. B. Drogenrehabilitation, Banken, Krankenhäuser), die Tracker aktiv zur Sammlung von PII nutzten. Ein Beispiel ist die NAMI (National Alliance on Mental Illness), die nach der Offenlegung durch die Autoren ihre Konfiguration korrigierte.

5. Bedeutung und Implikationen

• Rolle der Dokumentation: Die Studie zeigt, dass die Art und Weise, wie Tracker-Anbieter ihre Produkte dokumentieren und konfigurieren, einen direkten Einfluss auf die Privatsphäre der Endnutzer hat. „Bad Defaults" und irreführende Anleitungen führen zu unbeabsichtigten Datenschutzverletzungen.
• Regulatorische Lücken: Selbst wenn Anbieter technische Sperren für sensible Branchen einbauen, sind diese wirkungslos, wenn die Website-Betreiber ihre Branche falsch deklarieren oder die Sperren durch manuelle Code-Änderungen umgehen.
• Technische Gegenmaßnahmen: Die Autoren entwickelten einen Proof-of-Concept-Browser-Erweiterung, die Nutzern vor dem Ausfüllen von Formularen warnt, wenn ein Tracker so konfiguriert ist, dass er Daten extrahiert.
• Fazit: Es bedarf einer Kombination aus strengeren regulatorischen Durchsetzungen (insbesondere gegen die Behauptung, Hashing sei sicher), verbesserter Dokumentation der Anbieter und technischer Lösungen, um die automatische Sammlung von PII durch Tracker zu reduzieren.

Die Studie unterstreicht, dass die bloße Installation eines Trackers nicht das Problem ist, sondern die Konfiguration, die oft durch die Gestaltung der Schnittstellen der Anbieter (UI/UX) und deren Dokumentation gesteuert wird.