Datenlecks durch Werbetracker auf Gesundheitsportalen entdeckt

Das Internet ist zweifelsfrei ein enormer Werbemarkt. In der Hinsicht sind sich alle Experten einig. Und wie eine aktuelle Befragung, der Media Innovation Report von nextMedia.Hamburg, jetzt zeigte, sind fast die Hälfte der repräsentativ Befragten nicht bereit, Geld für journalistische Inhalte im Netz zu bezahlen, dementsprechend wird Werbung auch in Zukunft eine wichtige Quelle bleiben, um solche Inhalte im Internet zu finanzieren.

Zu den journalistischen Inhalten im Netz gehören auch die bei Nutzern sehr beliebten Ratgeber-Seiten, darunter zahlreiche Gesundheitsportale. Gern genommen sind dabei auch Tests, mit denen sich etwa herausfinden lässt, ob man etwa an einer Depression leidet – Internet-Nutzer geben dabei auch Informationen preis, die sie vielleicht nicht einmal ihren besten Freunden erzählen würden, sich anonym wähnend im Internet.

Dass das offensichtlich ein Trugschluss ist, deckte nun die Nichtregierungsorganisation (NGO) Privacy International (PI)  auf. In einer jetzt veröffentlichten Studie mit dem Titel „Your Mental Health for Sale“ legte die britische NGO dar, dass zahlreiche Webseiten in Deutschland, Frankreich und dem Vereinigten Königreich von Usern eingegebene Daten zum Thema Depression in unterschiedlicher Form an werbetreibende Drittanbieter weitergeben.

An erster Stelle fanden die Experten dabei eingebaute Tracker von Google, Facebook und Amazon, die entsprechend Daten an diese Unternehmen zurücksenden. Aus Sicht der Datenschützer ist dabei heikel, dass einige der untersuchten Seiten so Rückschlüsse auf den User, der sich über das Thema Depression informierte, oder zumindest den von ihm benutzten Computer zulassen – und der Nutzer damit nicht mehr ganz so anonym ist.

Unter anderem für das deutsche Portal netdoktor.de, das vor Kurzem vom Burda-Verlag erstanden wurde, wiesen die PI-Experten laut der Studie nach, dass die sogenannte RTB-Technik verwendet wird. Real-Time Bidding ist eine Form von programmierter Werbung, die aktuell für viele Beschwerden von Datenschützern in ganz Europa sorgt, so die PI-Experten. Denn es bestehe die Gefahr, dass innerhalb der Vielzahl von RTB-Nutzern Daten ausgetauscht werden, die Rückschlüsse auf den User und das benutzte Gerät zulassen. Einige Depressions-Test-Seiten hätten Daten übermittelt, in denen somit die besuchte Webseite – mit entsprechenden Hinweisen auf das Thema Depression – mit bestimmten Geräten verknüpft sind. Eine französische Seite übermittelte so die Schlagwörter Depression, die URL (die Seitenadresse), den Seiteninhalt und Lokalisierungsdaten der Nutzer an eine von Google genutzte Adresse, schreiben die Datenschützer in ihrer Studie. In mindestens einem Fall wurden auch die Ja oder Nein Antworten aus dem Test zuordnungsbar weitergegeben.

Die Datenschützer kommen damit zu dem Schluss, dass sensible Daten auf Gesundheitsportalen nicht anonym und sicher sind, sondern bei Drittanbietern landen und für Werbezwecke ausgenutzt werden können – oder auch zu anderen Zwecken.

Die Seite Netdoktor, die laut der Berichte über 120 Elemente von Drittanbietern enthalte, habe nach der Anfrage des Recherchenetzwerkes einen zusätzlichen Datenschutzhinweis auf die Seite genommen. Darin heißt es: „Auf diesem Angebot werden Nutzungsdaten durch uns und eingebundene Dritte erfasst und ausgewertet (sg. Tracking), u.a. mittels Cookies. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung."

Laut einer Stellungnahme einer Sprecherin des Verlags gebe es keine Speicherung gesundheitsbezogener Daten auf netdoktor.de. „Es wird weder gespeichert, auf welcher konkreten Seite (…) ein Nutzer wie lange verweilt, noch wird festgehalten, welches Leseverhalten ein User in Bezug auf Gesundheitsinformationen hat", zitiert Tagesschau.de die Sprecherin.

Die Anonymität der User stehe für NetDoktor im Vordergrund, erklärte die Sprecherin in einem DAZ online vorliegenden Statement. „Um diese zu gewährleisten, bietet Netdoktor seine Inhalte ohne Nutzer-Login kostenfrei im Netz an. Um dies zu ermöglichen, ist unser Portal werbefinanziert.“ In vielen Fällen werde die Werbung generisch, also vollkommen unpersonalisiert, ausgespielt. „Bei Mehrfachnutzern können der Browser oder das Endgerät von Nutzern anhand eines abstrakten Identifiers, also eines Pseudonyms erkannt („getrackt“) werden. Die Datensätze zu den Pseudonymen enthalten jedoch nur sehr allgemeine Informationen (mutmaßliches Geschlecht und Altersgruppe). Anhand von solchen abstrakten Profilen wird dann ein passender Werbebanner angezeigt“, heißt es weiter. Alles erfolge auf Basis des geltenden Datenschutzrechts.