Immer wieder werde ich gefragt, ob mir es keine Angst macht, dass Google doch quasi alles über mich weiß und weshalb ich nicht andere Suchmaschinen wie Bing nutze. Daher habe ich mich nun mal mit dem Datenschutz bei Google sowie Microsofts bing beschäftigt. Ein Überblick…
Die im Posting verwendeten Daten wurden wenige Tage vor der Veröffentlichung gemacht. Diese können sich jederzeit ändern.
Vorab noch ein Hinweis: Die Angaben über Cookies und einige andere Daten wurden mit einer aktuellen Version des Browsers Chromium in seiner Standardinstallation ohne weitere Erweiterungen und mit neuem Profil – quasi ohne alte Cookies, Verlauf etc. – erhoben.
Suche
Beide Suchmaschinen nutzen Cookies und speichern darin verschiedene Daten. Ich habe nun folgende Situation angenommen. Jemand sucht nach etwas und gibt seinen Begriff bei Google respektive Bing ein. Nun setzen beide Suchmaschinen Cookies. Bei mehrfachen Tests mit jeweils neuem Profil setzte Google jeweils zwei Cookies. Eines davon ist PREF das andere NID. NID steht nach Angaben einer Sprecherin für New ID. PREF steht für Preferences und speichert Einstellungen, wie Sprache, Anzahl der Ergebnisse und ob Ergebnisse in neuen Fenstern geöffnet werden sollen.
Das Cookie PREF hat eine Laufzeit von genau zwei Jahren, NID verfällt nach sechs Monaten.
Bei Microsofts Bing habe ich nun mit dem gleichen Suchbegriff („das ist ein Test“) gesucht, mir die Ergebnisse angeschaut und den Tab geschlossen. Der Cookie Manager in Chromium zeigt mir nun 7 Seiten mit insgesamt 13 Cookies an. Interessant fand ich dabei, dass auch ein Cookie von ivwbox dabei war. Dieses Cookie war der Grund, weshalb vor einigen Monaten der Datenschutzbeauftragte von Hamburg seine Webseite offline nahm.
Laut dieser Seite wird die IP-Adresse nicht gespeichert. Man verarbeite ausschließlich aggregierte Daten weiter. Die IP-Adresse werde auch für „Georesolving auf Staaten und Bundeslandebene“ sowie „Bildung eines „ident“ durch Verhashung mit dem „user agent“ des Browsers“ genutzt.
Die Cookies sind teilweise 2 Jahre gültig, andere verfallen beim Schließen des Browsers. atdmt.com verweist auf atlassolutions.com, welche zu Microsofts Werbenetzwerk gehört. abmr.net gehören laut whois-Abfrage akamai.
Der zuständige Product Manager Search von Microsoft Deutschland sagte mir, dass bing ivwbox für seine Werbepartner einsetze, da dieses in Deutschland stark verbreitet sei und Partner ähnlich wie bei der Quotenmessung im Fernsehen den Erfolg ihrer Werbung messen können. Dieses Cookie wird nur gesetzt, wenn der Nutzer Deutsch als Sprache verwendet. So würde auch ein US-Amerikaner dieses Cookie erhalten, sobald er bing auf Deutsch nutzt.
Internet Browser
Welche Daten nun die externen Dienstleister genau speichern, kann Microsoft nicht beeinflussen, sagte er abschließend.
In den Datenschutzbestimmungen schreibt Google bzw. FAQ dazu:
„Wir sind der Meinung, dass die Anonymisierung der IP-Adressen nach neun Monaten und der Cookies nach achtzehn Monaten hierbei ein gutes Maß ist.“
Die von Bing gibt es nur auf Englisch, aber die einzelnen Abschnitte sollen auch verteilt in der Hilfe auf Deutsch zur finden sein, wie man mir auf Nachfrage mitteilte. In den englischen heißt es aber, dass die Anonymisierung der IP-Adresse und Cookies nach 18 Monaten erfolge. („We take additional steps to protect the privacy of stored search information by removing the entirety of the IP address, cookies and other cross session identifiers, after 18 months.“) Demnach speichert bing die Daten sogar länger als Google.
Eine weitere Gemeinsamkeit von Google und Microsoft sind ihre Internet Browser. Auch diese haben wir etwas verglichen.
Die Datenschutz-Einstellungen von Google Chrome umfassen derzeit diese:
- Navigationsfehler mithilfe eines Webdienstes beheben
- Verwenden Sie einen Service für die Direktvervollständigung der Suchanfragen und URLs, die Sie in die Adressleiste eingeben.
- Predict network actions to improve page load performance
- Phishing- und Malware-Schutz aktivieren
- Nutzungsstatistiken und Absturzberichte automatisch an Google senden
Letzter Punkt ist standardmäßig ausgeschaltet.
Beim Internet Explorer 9 sind diese anders aufgebaut:
Es gibt einen Slider mit dem man unterschiedliche Stufen festlegen kann, zudem kann man hier das Lokalisieren des Ortes ausschalten. Den PopUp-Blocker sowie InPrivate lasse ich bewusst weg, da diese so schon in beiden Browser übereinstimmen.
Der Aufbau von Microsofts Einstellungen finde ich nicht sehr gelungen. Es gibt zwar sechs verschiedene Möglichkeiten, wie Cookies zugelassen oder blockiert werden sollen, aber Nutzer wird vom Text daneben mehr oder weniger erschlagen.
Beide Browser unterstützen die Geolocation-API von HTML 5. Während Chrome hier schon drei Optionen (immer zulassen, nachfragen, nie zulassen) hat, gibt es im IE9 nur die Möglichkeit es hier nur „nie zulassen“. Der Button im IE 9 löscht alle Webseiten, die den Ort des Nutzer lokalisieren können.
Auch sonst bietet Google mehr Optionen für die Verwaltung von Plugins. Auch diese können zum Tracken des Nutzer genutzt werden. Chrome ermöglicht diese für einzelne Webseiten auszuschalten.
Das sogenannte Evercookie nutzt neben den normalen und Flash Cookies auch andere Möglichkeiten, wie man einen Nutzer eindeutig identifizieren kann. So wird unter anderem ein Eintrag im Verlauf erstellt, auf die Datenbank zurückgegriffen und der Silverlight-Cache verwendet.
Das Löschen des Evercookies mit Chrome funktionierte ohne große Probleme. Zuerst sollte man Silverlight-Cache leeren, dann die Flash-Cookies und dann einfach über Google Chromes bordeigene Mittel noch den Verlauf mit allen Cookies. Der Einsatz von Tools wie CClenear ist gerade bei Chrome nicht immer geeignet, da diese Software nicht immer sofort an neue Chrome-Versionen angepasst wird. Anschließend lässt sich auf der Webseite prüfen, ob es geklappt hat.
Das Löschen im Internet Explorer 9 war ebenfalls möglich. Als ich vom Evercookie das erste Mal hörte hatte ich es in den damals gängigen Browsern getestet und damals war das Löschen nur in Webkitbrowsern möglich, der IE 8 zeigte den Wert des EverCookies weiterhin an. Dennoch zeigte der IE9 ein seltsames Verhalten: Auch nach dem Entfernen des Verlaufs und der Cookies, wurde mir nach dem Klick auf „Rediscover without reactivating deleted Cookies“ nach wie vor die Zahl des Evercookies bei allen Speichern aus Flash und Silverlight an. Erst nach einem Neustart verschwand die gespeicherte Zahl und die UID wurde als undefined gespeichert. Insofern hat Microsoft hier in Sachen Datenschutz nachgebessert.
Das Evercookie speichert seine Werte an möglichst vielen Stellen. So ist der Nutzer weiter identifizierbar. Der Entwickler will in einer zukünftigen Version des quelloffenen Projekts auch per Java auf die MAC-Adresse des Rechners zugreifen. Hierdurch ist der Nutzer auch nach löschen aller Daten noch identifizierbar, da diese nur einmal vergeben werden.
Übrigens haben sowohl Google als auch Microsoft sich dem Safe Habour-Abkommen zwischen EU und USA unterworfen. Dieses verpflichtet die Unternehmen einen ähnlichen Datenschutz anzuwenden wie innerhalb der EU.
Ich habe mich bereits vor mehr als einem Jahr intensiv mit Datenschutz bei Google im Rahmen meiner Facharbeit beschäftigt. Viel hat sich nicht geändert, aber die Datenschutzbestimmungen sind deutlich verständlicher geworden.
Abschließend noch einige Tipps:
Bei Microsoft werden Kürzliche Suchanfragen in der Sidebar angezeigt. Hier kann man diese löschen. Wer bei Google eingeloggt ist, kann die persönliche Webhistorie deaktivieren oder einzelne Einträge mit wenigen Klicks löschen.
Wer weitere Produkte mit einem Account nutzt, kann seine Daten auf dem Google Dashboard, übrigens hauptsächlich in München entwickelt, einsehen. Werbung auf Google aber auch auf Webseiten, die AdSense verwenden, kann unter Umständen mit persönlichen Interessen angepasst werden. Diese ermittelten Intessen lassen sich auf dieser Webseite betrachten, löschen und weitere hinzufügen. Diese Themen werden nicht erhoben und auch nicht zugeordnet: Rasse, Religion, sexuelle Orientierung, Gesundheit und vertrauliche Finanzdaten. Natürlich gibt es auch ein Opt-Out.
Weitere Tools wie den Analytics-Opt-Out gibt es auf dieser Webseite von Google.
Der Großteil des Posting entstand, bevor Google Chrome die Option zum Löschen von Plugin Daten einführt. Da diese auch in der Stable nicht zur Verfügung steht, habe ich mich bewusst dagegen entschieden, dieses nachträglich zu ändern.
Weiterhin haben wir uns bewusst gegen ein Posting über die Qualität der Suchergebnisse entschieden, da eigentlich jeder Nutzer andere Wünsche an diese stellt und man daher keine Verallgemeinerung vornehmen kann.