Wie in meinem Artikel über die Google-Dienste, die Ihre personenbezogenen Daten erfassen erwähnt, bietet Google zahlreiche Dienste an, die personenbezogene Daten sammeln. Die breite Öffentlichkeit kennt die B2C-Dienste, weiß aber oft nicht, dass sie auf Websites Dritter auch von Googles Werbe- und Analytics-Diensten getrackt wird.
Am Anfang stand die Übernahme des Werbetools Doubleclick
Diese allgemeine Überwachung im Web und in Apps begann mit der Übernahme von Doubleclick im Jahr 2008. Bis 2016 untersagte sich Google jedoch selbst, Ihre Doubleclick-Surfdaten ohne Ihre ausdrückliche Einwilligung mit Ihren personenbezogenen Daten zu verknüpfen.
- Das verkündete Google bis Oktober 2016: „we will not combine DoubleClick cookie information with personally identifiable information unless we have your opt-in consent“
- Und hier die neue Google-Regelung nach Oktober 2016: „Depending on your account settings, your activity on other sites and apps may be associated with your personal information in order to improve Google’s services and the ads delivered by Google.“
Dank des Framasoft-Teams wurde die bemerkenswerte Studie „Google data collection“ ins Französische übersetzt. Diese Studie zeigt, wie Google Ihre Doubleclick-Daten mit Ihren personenbezogenen Google-Daten verknüpft: Wenn Sie bereits ein Doubleclick-Cookie haben, senden Sie bei der Anmeldung in Ihrem Google-Konto Ihr Google-Authentifizierungstoken und Ihr Cookie in derselben Anfrage an Doubleclick. Dadurch lassen sich Ihre Daten zusammenführen.
Kann man diese Verknüpfung deaktivieren?
Schauen wir uns an, ob man diese Verknüpfung über die Einstellungen seines Google-Kontos deaktivieren kann. Dem Anschein nach ja: In Google-Konto > Daten und Personalisierung > Aktivitätseinstellungen muss man „Chrome-Verlauf und Aktivitäten auf Websites, in Apps und auf Geräten, die Google-Dienste nutzen, einbeziehen“ abwählen.
Folgen Sie dann diesen Schritten:
- Deaktivieren Sie Ihren Adblocker
- Löschen Sie die Cookies in Chrome (Einstellungen > Erweiterte Einstellungen > Browserdaten löschen)
- Surfen Sie dann auf lemonde.fr, einer Website, die Doubleclick-Dienste nutzt (Google Ad Manager, den Publisher-Adserver und die von Google angebotene SSP)
- Öffnen Sie die Chrome-Konsole (⌘+Option+J auf dem Mac, Strg, Umschalt und J auf dem PC), den Tab „Network“, und filtern Sie nach doubleclick
- Scrollen Sie auf der Seite (lemonde.fr betrachtet Scrollen als Zustimmung zu Cookies und löst danach das Werbetracking aus)
- Prüfen Sie im Tab „Network“ der Konsole Ihr Doubleclick-Cookie
Über lemonde.fr folgt Ihnen Doubleclick nun mit dem Cookie „IDE“ durchs Web:
Jetzt melden Sie sich in Ihrem Google-Konto an:
- Gehen Sie zu google.com und öffnen Sie die Chrome-Konsole
- Melden Sie sich an und filtern Sie die Chrome-Konsole nach doubleclick
Google sendet doubleclick Ihr Authentifizierungstoken sowie Ihr Doubleclick-Cookie „IDE“. Damit können Ihre pseudonymisierten Doubleclick-Daten mit Ihren personenbezogenen Google-Daten verknüpft werden. Anders als im Bericht „Google Data Collection“ haben Sie hier aber die Einbeziehung der Aktivität auf Websites deaktiviert, die Google-Dienste nutzen. Warum stellt Google diese Verbindung trotzdem her?!
Doubleclick speichert diese Verknüpfung in einem neuen Cookie, „DSID“:
Schauen wir uns an, was Google in seinen Datenschutzregeln zu diesem Cookie sagt: „Wir verwenden außerdem Cookies namens „AID“, „DSID“ und „TAID“, um Ihre geräteübergreifende Aktivität zu verfolgen, wenn Sie bereits auf einem anderen Gerät in Ihrem Google-Konto angemeldet sind. Wir tun dies, um die Werbung, die Sie auf verschiedenen Geräten sehen, zu koordinieren und Conversion-Ereignisse zu messen“.
Tatsächlich ist Google in der Online-Hilfe seiner B2B-Tools gesprächiger:
- Google Analytics: „Wenn Nutzer die Personalisierung von Werbung aktivieren, kann Google einen Gesamtüberblick über ihre Interaktion mit einer Online-Property über verschiedene Browser und Geräte hinweg erhalten. So können Sie zum Beispiel analysieren, wie Nutzer Produkte auf Ihrer Website auf ihrem Smartphone ansehen und später zurückkehren, um einen Kauf über ihr Tablet oder ihren Laptop abzuschließen. Dank des großen Datenvolumens, das von Nutzern erzeugt wird, die die Personalisierung von Werbung aktiviert haben, kann Google Schätzungen zum geräteübergreifenden Verhalten Ihrer gesamten Nutzerbasis erstellen.“
- Doubleclick Campaign Manager (Googles Adserver für Werbetreibende): „Berichte zu umgebungsübergreifenden Conversions verknüpfen Cookies (für das Web), zurücksetzbare Geräte-IDs (für mobile Apps) und anonyme Google-Anmeldungen, um einen Nutzer über verschiedene Umgebungen hinweg zu identifizieren.“
Wenn Sie diesem geräteübergreifenden Tracking widersprechen wollen, wird es also kompliziert. Sie können die Personalisierung von Werbung deaktivieren: „Diese Cookies können von den Websites google.com/ads, google.com/ads/measurement oder googleadservices.com stammen. Wenn Sie nicht möchten, dass die Werbung, die Sie sehen, zwischen Ihren Geräten koordiniert wird, können Sie der Personalisierung von Werbung in den Anzeigeneinstellungen widersprechen“.
Damit können Sie offenbar aus Google-Analytics-Berichten verschwinden, aber nicht aus den Berichten von Doubleclick Campaign Manager.
Schlussfolgerungen
Dieser Test lässt Zweifel daran aufkommen, wie sehr Google Ihre Entscheidungen zu Ihren personenbezogenen Daten respektiert:
- Sie können „Chrome-Verlauf und Aktivitäten auf Websites, in Apps und auf Geräten, die Google-Dienste nutzen, einbeziehen“ abwählen, aber Google sendet Ihr Authentifizierungstoken weiter an Doubleclick und ermöglicht damit die Verknüpfung Ihrer pseudonymisierten Daten mit Ihren personenbezogenen Daten. Wie lässt sich kontrollieren, dass Google diese Daten nicht tatsächlich verknüpft? Abgesehen von einem internen Audit ist das heute unmöglich.
- Doubleclick verfolgt Sie dank des Cookies „DSID“ über alle Geräte hinweg, wenn Sie in Ihrem Google-Konto angemeldet sind; Ihre Google-Kontoeinstellungen ändern daran nichts.
- Wenn Sie in Ihrem Google-Konto angemeldet bleiben möchten, ist die direkteste Möglichkeit, diese Überwachung zu stoppen, die Installation eines Adblockers.