Do Not Track ist ein alter Hut, hinter dem eine gute Idee steckt: Wer im Internet unterwegs ist, kann damit schon bei der Anfrage an einen Webserver kundtun, dass er nicht getracked werden möchte. Das aus dem Jahr 2009 stammende Konzept, welches es noch nicht zum Standard gebracht hat, klang auch für Browserhersteller so sinnvoll, dass es schon seit 2010 funktionierende Implementierungen in gängigen Browsern gibt. Aber: Wer nutzt DNT - und vor allem: Wer hält sich dran?

Es gibt zwar auch über Wikipedia hinaus jede Menge Infos zum Thema Do Not Track zu ergoogeln... die Ergebnisse bestehen aber zu einem Löwenanteil aus technischen Informationen. Dass das Thema noch immer aktuell ist, beweisen regelmäßige Beiträge zum Thema Tracking in den Medien... oder auch die Webserie "Do Not Track". Vor allem aber bei der zweiten obigen Frage ("Wer hält sich dran?") gibt es (abgesehen von Browserherstellern) nur wenige Informationen. Und schon gar keine erfreulichen.

TL;DR

Die folgende Grafik fasst den Stand auf Websites und deren Nutzer für alle, die die lästigen Details nicht benötigen, in aller Kürze zusammen.

Umsetzung auf Empfängerseite: Fehlanzeige

Wer (wie ich) nichts mit Mayonnaise anfangen kann, kennt das folgende Phänomen vielleicht: Man kann beliebig oft und deutlich bei der Bestellung am Drive In - Schalter "ohne Mayo" sagen; in der Tüte wird dennoch mindestens eine Portion zu finden sein. Ähnlich sieht es auch aus, wenn man sich DNT näher anschaut. Wer eine entsprechende Option im Browser aktiviert, sendet einen Do Not Track - Header bei jedem Request an einen Webserver. Respektiert der Server bzw. der Betreiber der Website diese Information, sollten im Idealfall keine Tracking-Mechanismen zum Einsatz kommen.

Zuständigkeit, Anwendbarkeit und Umfang ungeklärt

Genau wie bei der Fast-Food-Bestellung bleibt dieser Wunsch aber i. d. R. ungehört. Denn technisch zuständig für eine Erfüllung wäre - in der idealen Welt - weder der Betreiber des Servers, noch der Webmaster. Der Ball liegt in der Theorie bei den Anbietern von Trackingsystemen. Welche Systeme man dazu zählen soll, ist unklar und wird durchaus diskutiert. Muss man in diesem Fall schon auf Webanalyse mit Google Analytics, eTracker & Co. verzichten? Oder geht es um Drittanbieter-Cookies? Wenn ja: Alle? Oder nur diejenigen, die Werbezwecken wie Remarketing oder anderen Dingen wie vor allem der websiteübergreifenden Profilbildung dienen?

"Was hätte ich davon?"

Und so kümmert sich schlussendlich folgerichtig (fast) niemand um eine Implementierung auf der Empfängerseite, wenn es nicht irgendwelchen Zwecken dient. Das ist nachvollziehbar, denn wenn Werbenetzwerke freiwillig Reichweite aufgeben oder Webanalysesysteme "aus rein moralischen Gründen" Messungen auslassen, wäre das weder aus unternehmersicher Sicht sinnvoll, noch dient es dem direkten Kunden des Anbieters.

Ein Anreiz könnte es sein, sich durch eine Umsetzung vom Wettbewerb abzusetzen und diesen moralischen Vorteil aktiv zu vermarkten. Am Beispiel der Webanalyse könnte das - speziell für den deutschen Markt - tatsächlich ein Verkaufsargument sein... und sei es nur eine Option, die der Nutzer des Systems bewusst aktivieren muss.

Implementierungsbeispiele unter der Lupe

Einige Hersteller scheinen dies auch versucht zu haben. Unter donottrack.us findet sich eine Liste, in der verschiedene Werbeplattformen, Netzwerke, Social Platforms und Tag Manager (wo es auch besonders sinnvoll wäre :)) stolz verkünden, Do Not Track tatsächlich zu würdigen.

Leider hält diese Liste mit 21 Unternehmen keinem zweiten Blick stand, sondern gibt vielmehr ein trauriges Negativbeispiel ab:

• 4 Unternehmen bieten nicht einmal einen Link zu einer Seite an, auf der es weitere Informationen darüber gibt, in welcher Form und welchem Umfang DNT dort ein Thema ist
• Unter einem der verbleibenden Links findet man zwar eine Seite, aber keine Infos zum Thema
• Bei 6 Anbietern ist die Seite nicht erreichbar (Fehler oder Timeout) - vermutlich existieren diese Firmen gar nicht mehr
• 3 sind definitiv inzwischen nicht mehr am Markt oder wurden gekauft, so dass deren URLs weitergeleitet werden
• Bleiben 7 von 21, bei denen es zumindest einen Blogbeitrag oder eine andere Information zu DNT gibt. Neben Twitter und Pinterest sind das zwei Tag Manager - Systeme (Tealium und Ensighten), zwei "Data Provider" und Chitika (Infos zur Implementierung) als einziges verbleibendes Werbenetzwerk.

Der "Respekt" gegenüber DNT beschränkt sich zudem meist nur auf marginale (Personalisierungs-) Funktionen wie z. B. die tailored suggestions bei Twitter. Die Tag Manager erlauben zumindest die optionale Berücksichtigung, ein generelles OptOut ist bei keinem Anbieter auf dieser Liste (außer Chitika) vorgesehen. Auf einer aktuelleren Liste finden sich zwar auch noch weitere Namen, aber meistens sind dies Plattformen wie Reddit. Medium oder Hulu, die entweder keine Cookies setzen oder zumindest Third-Party-Tracker unterdrücken und nur noch die eigenen Daten anreichern. Sprich: Wer sich daran hält, bestimmt selbst, in welcher Form und welchem Umfang dies geschieht.

Ein trauriges Ergebnis, oder? Daran wird sich mittelfristig auch kaum etwas ändern. Auch nicht durch die "teil-optimistische" Formulierung im Firefox - FAQ zum Thema DNT. Dort steht:

DNT aus Sicht des Websitebesuchers

Dass sich kaum ein Hersteller von Web- und Trackingsystemen um DNT schert, ist unter den gegebenen Rahmenbedingungen kein Wunder. Dennoch existieren die "senderseitigen" Implementierungen in gängigen Browsern. Dort wird mehr Privatsphäre versprochen, wenn diese Option aktiviert wird. In Zeiten wachsender Datenklau-Paranoia, großflächiger Überwachung durch Nachrichtendienste, nerviger Werbebanner für Produkte, die den armen Shopbesucher noch wochenlang (oft auch nach dem Kauf) durch das Web verfolgen und folgerichtig steigendem Interesse an Werbeblockern sind "Datenschutz" und "Privatsphäre" zu Faktoren geworden, die man im Marketing ausspielen kann.

DNT aktiv = Bewusste Entscheidung?

Trotzdem ist die Option in den meisten Browsern recht gut versteckt und erfordert eine aktive Suche nach Datenschutzeinstellungen. Dass dann im Kontext der dort zu findenden Optionen klar ist, was DNT nun genau bei Aktivierung macht oder nicht, darf angezweifelt werden. Und selbst die Browseranbieter eiern herum, wenn es darum geht, den konkreten Nutzen zu erklären. Daher ist die folgende Meldung aus Chrome sicher nicht nur wegen Googles naturgemäß zwiespältiger Einstellung zum Datenschutz recht unklar:

Im Internet Explorer ist die Option ebenfalls gründlich in den erweiterten Einstellungen verborgen und wird erst mit Scrollarbeit sichtbar.

Microsoft hatte diese Option in Version 10 des IE sogar standardmäßig aktiviert, bis man dem Protest nachgegeben und dies wieder in eine erst vom Anwender einzuschaltende Funktion umgewandelt hatte. Daher sollte man davon ausgehen, dass heute faktisch niemand mit aktivierter DNT-Option im Web unterwegs ist. Aber: Stimmt das so?

Wer nutzt DNT?

Wer sich nicht aktiv - oder zumindest nebenbei bei der Einrichtung seines Browsers - für das Senden eines DNT-Headers entschieden hat, wird im Normalfall ohne DNT unterwegs sein. Wer sich nicht mehr erinnern kann, kann sich bei Mozilla Gewissheit verschaffen. Die Do Not Track-Infoseite zeigt den Status an.

Statistiken zur allgemeinen Nutzung gibt es aber offenbar kaum. Lediglich bei Firefox, wo man allgemein recht aktiv mit dem Thema umzugehen scheint, finden fanden sich umfangreiche Statistiken zur Nutzung. Betrachtet man diese über einen kürzeren Zeitraum, erscheint die Rate der DNT-aktiven Firefox-Nutzer unglaublich hoch zu sein. Dieser Eindruck wird gemildert, wenn man eine längere Zeit betrachtet und sieht, dass die Gesamtzahl der Nutzer deutlich schneller sinkt als die Gruppe der "DNT-Aktiven"....

... aber trotzdem erscheint ein Anteil von 25% (basierend auf den Zahlen der Woche des 22. Mai 2016) sehr hoch. Warum sollten so viele Nutzer eine gut versteckte Option aktivieren, die faktisch kaum einen Effekt hat? Und wie sieht es mit anderen Browsern aus? Aktuelle Zahlen dazu waren nicht zu finden.

Statistik zur Nutzung von DNT

Wir haben uns ersatzweise selbst über mehrere Monate auf verschiedenen Websites um eine Messung des Anteils der Besucher mit aktivem DNT-Header bemüht. Als Messinstrument haben wir Google Analytics genutzt und den DNT-Status aller Besucher in einer benutzerdefinierten Dimension abgelegt, um diese später separat auswerten zu können. Zugegeben: es mag ein "Geschmäckle" haben, in einem Trackingsystem zu tracken, wer nicht getracked werden will... aber wie sonst soll man an entsprechende Daten kommen? Eine saubere Implementierung von Google Analytics schließt persönliche Daten im Tracking aus. Aus Datenschutzgründen ist daher nichts daran auszusetzen, den DNT-Header abzufragen und die Information als Segmentierungsmerkmal zu übergeben. Daher haben wir uns für diese Methode entschieden.

Unterstützt wurden wir dabei von einigen Shops, Websites und Portalen zu verschiedenen Themen unterschiedlicher Größe (Danke dafür u. a. an Steuer Schutzbrief, Smart-Rechner.de, Entrex und Trixum). Der konsolidierte Datenpool aller Websites kommt auf eine Gesamtzahl von knapp 2 Millionen ausgewerteter Websitebesuche. Das sind vermutlich weder genug Daten, um eine verlässliche Aussage für "das Web allgemein" noch die abgedeckten Branchen im Speziellen zu machen, aber dennoch vermitteln diese einen klaren Eindruck, der einen deutlich niedrigeren Anteil als 25% aufzeigt.

Die Zahlen schwanken je nach Site zwischen 7,7% und 11,7% - im Mittel über alle ausgewerteten Sessions liegt der Anteil bei knapp 9%. Die Belastbarkeit dieser Zahl ist anzweifelbar, passt aber mit 8,8% ganz gut zu den 8,4%, die man über die Implementierung bei Chitika lesen kann.

Verteilung nach Browser

Das sieht schon anders aus als bei der Mozilla-Statistik. Es ist also zu erwarten, dass Firefox einen wesentlichen Anteil an den Besuchen mit DNT hat. Auch das geben die erhobenen Daten her. Hier die Verteilung der DNT-Sessions nach Browser gruppiert:

Gut die Hälfte aller Sessions kommt also von Firefox. Je nach Site schwankt dieser Anteil in der Einzelbetrachtung zwar stark zwischen 42% bis zu satten 76% (basierend auf immer hin knapp 300.000 Sessions), aber in jeder Statistik bleibt Firefox Spitzenreiter; stets gefolgt von Safari auf Platz zwei und entweder Chrome oder (seltener) IE auf dem dritten Rang.

Dennoch ist Do Not Track offenbar nichts, was nur auf dem Desktop oder Notebook relevant zu sein scheint. Segmentiert man die Browser weiter nach Plattform, spielt Firefox im Mobilbereich zwar kaum eine Rolle, dafür sind gute 80% der Safari-Besuche mit der mobilen Fassung des Browsers (iPhone oder iPad) gemessen worden. Auch bei Chrome ist der Anteil der mobilen Sessions in der Statistik nennenswert. Im Schnitt sind ca. 40% der Chrome-Sessions mobil.

Wer ist das?

Wie kommt es, dass ca. 9% aller Webbesucher - und ein deutlich größerer Anteil aller Firefox-Benutzer - mit aktiviertem DNT-Header unterwegs sind? Die Antwort bleiben wir schuldig. Wer hierzu Ideen oder gar eine Erklärung liefern kann, sollte uns unbedingt anschreiben und sein Wissen teilen bzw. einen entsprechenden Kommentar hinterlassen. Wir sind gespannt 😉

Was tun mit der "Erkenntnis"?

Ehrlich gesagt: Wissen wir auch (noch) nicht. Ursprünglich ging es uns nur um eine Antwort auf die Frage nach dem Anteil. Was würde man zusätzlich zu den sich ohnehin bereits per Blocker aktiv der Webanalyse entziehenden Besuchern verlieren, wenn z. B. Google Analytics nicht mehr tracken würde, sobald ein DNT-Header gesendet wird? Zumindest diese Frage ist nun ansatzweise geklärt: weniger als 10%. Strittig aber bleibt, ob "normale Webanalyse" sich überhaupt darum kümmern sollte (wir glauben nicht)... oder ob es nicht doch eher die Remarketingtools und Datensammler sind, die sich daran halten sollten. Speziell diese Vertreter werden in der Masse damit aber niemals (freiwillig) anfangen.

Empfehlung

Sollte man DNT nun aktivieren oder nicht? Wer der Bildung von Profilen entgegenwirken will, darf und soll das ruhig tun. Den DNT-Schalter umzulegen, nutzt nur eben bedauerlich wenig, wenn man von einzelnen Funktionen bei Twitter und anderen Plattformen absieht. Ist der Wunsch erst gemeint, kommt man an Werbe- und Scriptblockern, Opt-out-Lösungen einzelner Anbieter als Browserplugin oder globalere Lösungen wie TACO und Privacy Badger nicht vorbei. Und das alles nutzt ebenfalls nichts, wenn wir doch am Ende des Tages stets bei Facebook, Google & Co. eingeloggt sind, wenn wir das Web nutzen (welches voll ist von deren kleinen Augen und Ohren in iFrames), Standorttracker (AKA Smartphones) mit uns herumtragen und Kredit- oder gar Rabattkarten beim Offline-Einkauf nutzen!!1elf!! 😉