Wer sich über Gesundheitsfragen informieren will, findet heute im Internet zu jedem Krankheitsbild reichlich Informationen. Eine Studie der britischen Organisation Privacy International zeigt allerdings: wer sich auf solchen Seiten informiert, gibt seine Daten nicht nur an die Betreiber der Seiten weiter, sondern auch an Dritte.

Guten Tag Frau Nocun, kurz umrissen, wo liegt denn das Problem bei der Sache?

Katharina Nocun: Die Studie von Privacy International hat ja gezeigt, dass extrem intime Informationen, die wir eigentlich nur unserem Psychologen anvertrauen würden, heute durch Online-Netzwerke systematisch gesammelt und ausgewertet werden. Und zwar mit dem Ziel, uns passende Produkte verkaufen zu können. Das bedeutet, dass diese Werbenetzwerke wissen, wann wir uns besonders verletzlich fühlen, wann wir etwa nach Begriffen wie Depression online suchen. Das können Sie dann für sich ausnutzen.

Sie arbeiten mit sogenannten Trackern. Wie funktionieren die und was erfahren die Netzwerke auf diesem Weg über mich?

Katharina Nocun ist Autorin, Aktivistin und Expertin für Datenschutz in Berlin.

Viele Seiten kooperieren mit großen Werbenetzwerken. Da werden dann passgenaue Anzeigen für den jeweiligen Besucher ausgespielt. Technisch funktioniert das so: Immer dann, wenn ich auf einer Seite Werbung oder Inhalte sehe, die von Dritten kommen - also gar nicht von der Seite, die ich eigentlich besuche – werden die nachgeladen. Und diese Drittanbieter können dadurch erfahren dass, ich auf der Seite war. In einem von Privacy International untersuchten Fall war es sogar so, dass bei einer Seite die angekreuzten Antworten eines Depressionstests mit einem Drittanbieter geteilt wurden. Das bedeutet, wenn jemand bei so einem Test angegeben hat, dass er sich oft einsam fühlt oder Selbstmordgedanken hat, dann ist auch das weitergegeben worden. Problematisch ist ja nicht nur das Thema Werbung, sondern auch externe Inhalte von sozialen Netzwerken. Ein Like-Button ohne sogenannte "Zwei-Klick-Lösungen", der einfach so, ohne mein Zutun, Daten an Facebook sendet. Da ist kürzlich rausgekommen, dass eine Umfrageseite des Bayerischen Roten Kreuzes den Tracking Dienst "Facebook Pixel" eingebunden hatte. Dadurch konnte Facebook erfahren, ob ein Nutzer HIV hat oder Drogen konsumiert. Das sind natürlich Informationen, die den Betroffenen extrem schaden können, wenn sie in falsche Hände geraten.

Und was erfahren die Betreiber von Werbenetzwerken, die ja nicht nur von Gesundheitsseiten genutzt werden, über mich? Wissen die auch, wie ich heiße und wo ich wohne?

Das Problem ist, dass mittlerweile das Tracking technisch so weit getrieben wurde, dass jeder Browser einen eigenen Fingerabdruck hat. Man kann recht eindeutig sagen, das ist dieselbe Person. Da reicht schon ein einfacher Cookie. Das heißt, ich hab auf einer Seite mal irgendwo "Akzeptieren" geklickt ohne darüber nachzudenken und zack bin ich in so einem Werbenetzwerk. Das heißt, man kann das schon einer Person zuordnen wenn man zusätzliche Informationen hat. Es gab einen Fall, in dem hat eine Aktivistin von Privacy International bei einem großen Werbenetzwerk angefragt, was die über sie wissen. Da waren Informationen wie "trinkt gerne alleine zu Hause Alkohol". Das ist eine Werbekategorie.

Die Apotheken Umschau als eine der betroffenen Seiten hat nun bekannt gegeben, dass sie zunächst einmal sämtliche Werbung abstellen will. Allerdings leben solche Anbieter auch von Werbung. Die medizinischen Informationen, die man dort findet, müssen irgendwie finanziert werden. Gibt es denn technische Lösungen, die Werbung erlauben und den Nutzern trotzdem ihre Privatsphäre lassen?

Natürlich gibt es Alternativen und das ist ja das Deprimierende am Status quo. Man könnte Werbung ganz einfach so schalten, dass Daten nicht von Drittanbietern nachgeladen werden müssen. Man muss Werbung auch nicht personalisieren. Das wäre technisch überhaupt kein Problem. Finanziell wäre der Unterschied auch gar nicht so groß. Wenn ich mich auf einer Seite über Depressionen herumtreibe, ist ja relativ klar, dass ich mich auch für passende Ratgeber interessieren könnte. Da braucht man gar kein Werbenetzwerk, um so etwas herauszufinden.

Wir haben nun seit über einem Jahr die Datenschutzgrundverordnung, die unsere persönlichen Daten eigentlich besser schützen sollte, als zuvor. Greift die hier nicht oder wird sie nicht beachtet?

Von vielen Anbietern wird sie tatsächlich nicht beachtet. Die Weitergabe von sehr intimen Informationen über den Gesundheitszustand einer Person bis hin zur möglichen Diagnose, ohne jegliche Einwilligung des Betroffenen, ist rechtlich eindeutig unzulässig. Privacy International hat festgestellt, dass bei vielen Seiten mit Online-Tests zu Depression der gesetzlich vorgeschriebene Hinweis zu Tracking Cookies gar nicht gezeigt wurde. Das ist eindeutig illegal, weil der Nutzer dann ja auch gar nicht zustimmen kann. Bei anderen Webseiten war es so, dass zwar der Hinweis eingeblendet wurde, man aber keine Möglichkeit hatte, dem personalisierten Werbetracking zu widersprechen. Auch das ist eindeutig illegal.

Wenn ich die Cookies aber nicht anklicke, funktionieren die Seiten oft nicht. Darf das so sein?

Es ist gesetzlich vorgeschrieben, dass man dort auch auswählen kann. Ich mache das bei Seiten bei denen es mir wichtig, beispielsweise wenn es um Gesundheitsdaten geht, da kann man nämlich in den Einstellungen sehen, an wen die Daten übertragen werden. Da kann man auch sagen, ein anonymisiertes Tracking zur Verbesserung der Seite finde ich ok, aber Werbetracking eben nicht. Da würde ich jedem dazu raten, bei Themen die mir wichtig sind, sich die Minute Zeit zu nehmen.