Do Not Track - Wenn Nutzer sich nicht verfolgen lassen möchten

Beim Surfen im Internet fängt jeder Browser sich eine Vielzahl Cookies ein. Beim Aufruf einer Webseite hinterlässt man außerdem Spuren auf dieser. Datenschützer kritisieren dies bereits seit langem, daher haben Browser-Hersteller schon vor einigen Jahren den Privatmodus in ihre Software eingebaut. Dadurch kann man während des "privaten" Surfens gesammelte Daten im Browser einfach wieder löschen. Was ist aber mit den Daten die Webseiten gesammelt haben? Kann man die nicht auch los werden? Do Not Track soll hierfür die Lösung sein.

[Letzte Aktualisierung: 22.05.2012]

Verfolg mich nicht!

Do Not Track (DNT) ist eine in den USA entwickelte Technologie mit der ein Browser-Nutzer den Webseiten die er aufruft sagen kann, dass seine Daten von dieser Seite für die Darstellung von Werbung oder die Rückverfolgung seines Weges weder verarbeitet noch ausgewertet werden dürfen.

Sobald ein Nutzer dies gegenüber einer Webseite zum Ausdruck bringt, sollte diese den Wunsch des Nutzers auch berücksichtigen. Die Webseite dürfte dann keine Daten zum Nutzerverhalten erfassen (z.B. Tracking-Cookies). Dazu zählt z.B. die Klickreihenfolge auf der Webseite, die Anzahl Besuche einzelner Seiten oder die Erfassung von Eingaben in Formularfeldern auf der Webseite auf deren Basis man personalisierte Werbung einblenden könnte.

Betrifft mich das als Webseitenbetreiber?

Sie als Webseitenbetreiber sind aktuell nicht dazu verpflichtet DNT zu berücksichtigen. Sollten Sie personalisierte Werbung auf Ihrer Webseite verwenden oder auf Basis von Zugriffszählern das Nutzerverhalten einzelner Personen nachvollziehen können, dann sollten Sie mit Blick auf die Interessen der Besucher Ihrer Webseite DNT berücksichtigen. Wie und an welcher Stelle sollten Sie zum Einen mit Ihrem Anwalt, zum Anderen mit Ihrem IT-Betreuer abklären.

Habe ich DoNotTrack aktiviert?

Rufen Sie die Webseite zu der Technologie auf um sich darüber zu informieren, ob Sie derzeit DNT aktiviert haben: http://donottrack.us - wie Sie es aktivieren könnten finden Sie weiter unten in diesem Fachbeitrag beschrieben.

Wie soll das gehen?

Der technische Part

Do Not Track basiert auf einem Eintrag im HTTP-Header des Browsers. Dieser Eintrag namens DNT wird dann vom Browser mitgesendet, wenn der Nutzer des Browsers diesen entsprechend einstellt (siehe unten). Beim Aufruf einer Webseite sendet der so konfigurierte Browser folglich immer den Eintrag

DNT: 1

mit.

Die Webseite muss wiederum selbstständig erkennen, dass dieser HTTP-Header-Eintrag im Request des Browsers mitgesendet wird. Dafür muss der HTTP-Header mit diesem Eintrag ausgelesen werden. Bei Einsatz eines Apache-Webservers steht diese Information in der Server-Umgebungsvariable. Auf PHP-Basis könnte man z.B. so darauf zugreifen:

<?php echo $_SERVER["HTTP_DNT"]; ?>

Mit VIO.Matrix:

#INSERT_SP_ENVVAR_HTTP_DNT!

Die Ausgabe von diesem Beispiel bei aktiviertem DNT im Browser wäre: 1. Ist DNT nicht aktiviert, wird hier auch nichts ausgegeben.

Die Webseite muss dann abhängig von der Ermittlung des o.g. Headers prüfen, welche Bestandteile des Webs personalisierte Daten erfassen und diese entsprechend aus- oder einblenden.

Der menschliche Part

Damit beginnt auch schon der menschliche Part des DNT-Themas. Was eine Webseite bei Erkennen des DNT-Headers damit macht, ist Sache der Webseite.

Die Anforderung von Do Not Track sind jedoch klar: die Webseite darf keine personalisierten Daten des Besuchers erfassen oder speichern, weil der Besucher dies nicht wünscht. Nicht jede Webseite erfasst überhaupt solche personalisierten Daten. Ein Zugriffszähler reicht jedoch schon mitunter dafür aus. Oder das Setzen eines Cookies zur Erfassung von Besucheraufenthalten. Der Betreiber der Webseite muss hier abwägen wieweit er seinen Besuchern entgegen kommt - ob er ihr Misstrauen ernten will (und somit keine wiederkehrenden Besucher) oder ihr Vertrauen verdient hat (und zufriedene Kunden).

Hintergrund

Do Not Track hat zum Ziel die widersprüchlichen Meinungen zwischen Nutzern auf der einen und Werbetreibenden auf der anderen Seite abzuwägen. Während letztere möglichst viele Daten sammeln möchten um personalisierte Werbung anzeigen zu können, möchten Internet-Surfer dies in der Regel nicht. Do Not Track soll hierbei eine Kommunikation zwischen beiden Parteien und Meinungen ermöglichen. Der Nutzer soll selbst entscheiden dürfen, ob er (für ihn) personalisierte Werbung sehen möchte oder nicht.

Vorsicht vor Missverständnissen

Als Internetnutzer der DNT gesetzt hat, sollten Sie nicht automatisch davon ausgehen keine Werbung mehr zu sehen. Durch DNT wird diese lediglich nicht mehr personalisiert und es wird auch nicht mehr nachvollziehbar sein, wann Sie wo und was angeguckt haben. Werbung sehen Sie weiterhin.

Sitzungs-Cookies und zentrale Funktionen der Webseite wie z.B. Shop-Warenkörbe sind von DNT nicht betroffen.

Gegenargumente

Aktuell unterstützen Opera und Google Chrome DNT nicht. Ein schwer wiegendes Argument von beiden ist, dass bisher nur wenige Webseiten DNT unterstützen und verwenden.

Unterstützung durch Browser

Aktuell unterstützen sowohl Internet Explorer (seit Version 9), Safari, Konqueror und Firefox (seit Version 4) DNT. Google Chrome ist bisher der einzige Browser der diese Technologie nicht unterstützt. Auch auf einzelnen mobilen Geräten wird DNT bereits unterstützt. Die Nutzer können also bereits jetzt DNT aktiv nutzen.

Mozilla Firefox

Version 4

Gehen Sie im Browser auf Einstellungen > Erweitert > Allgemein und setzen Sie vor "Teile Webseiten mit, dass ich nicht verfolgt werden möchte" ein Häkchen.

Ab Version 5

Gehen Sie im Browser auf Einstellungen > Privatsphäre und setzen Sie vor "Teile Webseiten mit, dass ich nicht verfolgt werden möchte" ein Häkchen.

Internet Explorer 9

Rufen Sie folgende Webseite auf und klicken Sie dort auf den bereitgestellten Link zur Aktivierung: http://ie.microsoft.com/testdrive/Browser/DoNotTrack/Default.html

Geht das auch in VIO.Matrix einzubauen?

Grundsätzlich sammelt VIO.Matrix von Haus aus weder Daten von Besuchern noch irgendwelche anderen personalisierten Daten. Es hängt von der Projekt-Umsetzung ab, was man in VIO.Matrix ggfs. anpassen müsste. Der einfachste Weg ist dabei die Angabe einer JavaScript-Variablen auf Basis der DNT-Angabe um über JavaScript eingebundene Werbung oder Zugriffszähler entsprechend zu beeinflussen.

Da das CMS VIO.Matrix aus 2 Bestandteilen besteht, muss man diese einzeln betrachten um die nötigen Einstellungen nachvollziehen zu können.

Das dynamische Web kann ganz leicht die Serverumgebungsvariable auslesen:

#INSERT_SP_ENVVAR_HTTP_DNT!

Im statischen Web funktioniert dies dagegen nicht. Hier muss man auf eine andere Programmiersprache wie z.B. PHP zurückgreifen (siehe Beispiel oben).

Ein komplettes Layout zur Verarbeitung von DNT in VIO.Matrix sähe folglich so aus:

#IF ( "#INSERT_SP_CGI" == "#INSERT_PARAM_shopcgi!" )
#IF ( #INSERT_SP_ENVVAR_HTTP_DNT! == 1 )
window.isDntOn = true;
#ELSE
window.isDntOn = false;
#ENDIF
#ELSE
<?php
// filename: intojs.php
// dnt detection script
// Grabs the HTTP DNT request, sets the window.isDntOn variable so it
// can be checked from JavaScript code.
function getDntStatus() {
// Handy to have as a function because you may use this a lot.
// The important logic here is: Dnt can be on (1), off (0), or
// unset. You want to make sure you account for unset so you do
// not de-reference a null pointer somewhere in your code.
// returns TRUE if Dnt is on and is equal to 1,
// returns FALSE if Dnt is unset or not equal to 1.
return (isset($_SERVER['HTTP_DNT']) && $_SERVER['HTTP_DNT'] == 1);
}
// set PHP to send javascript output to the browser
header("content-type: application/x-javascript");
if (getDntStatus()) {
echo "window.isDntOn = true;";
} else {
echo "window.isDntOn = false;";
}
?>
#ENDIF

Diese müsste im Header für das statische Web eine PHP-Pipeline konfiguriert haben, für das dynamische Web eine JavaScript-Pipeline. Wie das geht, erfahren Sie im Pipeline-Tutorial.

Durch o.g. Layout wird die Info, ob der DNT-Header gesetzt ist in der JavaScript-Variablen window.isDntOn gespeichert auf die in der Programmierung der Webseite zugegriffen werden kann.

Ausblick

Das W3C bereitet für Mitte diesen Jahres die Standardisierung des Do Not Track Headers vor. Zusätzlich soll es auch eine Festlegung für HTML geben zu der noch keine Details bekannt sind.

In Europa ist DNT bisher weder bei Technikern noch bei Politikern eein großes Thema. Kein Wunder: die größten Werbetreibenden sitzen in den USA. Dort war DNT unter Politikern Thema. Die wollen perspektivisch die Unterstützung von DNT für Webseitenbetreiber zur Pflicht machen.

Als erste große Webseite unterstützt twitter auch in Europa die DNT-Technik. Damit wird es twitter-Nutzern ermöglicht, dass ihre Spuren bei twitter nicht ausgewertet werden können.

Angesichts der Datenschutzdebatten kann man damit rechnen, dass es in europäischen Staaten ähnliche Diskussionen geben wird und man als Webseitenbetreiber mittelfristig sich hierzu auch informieren muss. Im Oktober 2012 soll es zudem seitens des W3C eine Empfehlung hinsichtlich DNT geben. Danach könnte das Thema auch für andere Browserhersteller, die DNT bisher nicht unterstützen, interessant werden.

Weiterführende Links: