"Alles, was man im Netz anklickt, wird protokolliert", sagt Sharad Goel von der Stanford University. So entsteht über alle Web-Sites hinweg ein umfassendes Bild des Surfers, seine Surf-Chronik, -Geschichte oder -History.:
"Die sogenannten Third-Party-Tracker ermöglichen das. Sie beobachten alle Aktivitäten, die man im Web unternimmt. Und dann verkaufen sie diese Informationen an Werbetreibende oder machen sie ihnen anderweitig zugänglich. Man kann mit Sicherheit sagen, dass sie alles wissen, was man online tut."
Internetfirmen können leicht die User-Namen zuordnen
Sie wissen, was man tut. Aber sie wissen nicht, wer es tut. Die Chroniken der Surfer, die bei etlichen Third-Party-Trackern gespeichert sind, sie sind keinem Namen zugeordnet, sondern einer Nummer, beispielsweise der des Cookies, mit dessen Hilfe die Surftouren nachverfolgt werden. Die Chroniken sind pseudonymisiert. Internet-Firmen, die Klarnamen speichern, und die zugleich Cookies von anderen Sites aus verteilen, können aber leicht die Namen ihrer User dem entsprechenden Cookie zuordnen. Dass Facebook, Twitter und Amazon das nicht tun, kann man ihnen glauben. Man muss es aber nicht, sagt Arvind Narayanan von der Princeton University:
"Die Geschäftspolitik vieler dieser Unternehmen sieht vor, die Daten nicht mit Namen zu kombinieren. Aber nicht, weil sie es nicht könnten. Sie versprechen es. Und von Außen gibt es keine Möglichkeit, das zu überprüfen. Wollen wir diese vielen Firmen beim Wort nehmen? Ich weiß nicht. Das ist eine Debatte, die wir führen müssen. Aber wir sollten nicht so tun, als gäbe es technische Mittel, es zu erzwingen."
Die Forscher aus Princeton und Stanford nun wollten herausbekommen, ob auch andere Unternehmen Surf-Chroniken und Namen kombinieren können, konkret die Profilnamen aus sozialen Netzwerken. Ihre Überlegung: Wer etwa einen Link zu einem Zeitungsartikel postet, der wird ihn vorher wohl auch selbst angesurft haben. Insofern schlagen sich die Postings in sozialen Netzwerken in Surf-Chroniken nieder. Oder umgekehrt: Surf-Chroniken lassen sich unter Umständen de-pseudonymisieren, also einem bestimmten Profil bei Facebook oder Twitter zuordnen.
Jede Seite kontaktiert neun Domains
Die Forscher haben es mit Twitter probiert. 400 Probanden haben ihnen Kopien ihrer Surfchroniken geschickt. Und die Wissenschaftler haben 70 Prozent davon korrekt dem entsprechenden Twitter-Profil zugeordnet. Ausgangsbasis war dabei die Gesamtmenge aller 300 Millionen Twitter-Profile. In der Praxis schickt zwar niemand seine Chronik einem Internet-Konzern, damit der ihn identifizieren kann. Aber das ist auch gar nicht nötig. Die Konzerne erstellen Surfchroniken schließlich selbst. Die Forscher betonen, dass die Third-Party-Tracker allgegenwärtig sind. Sie berufen sich dabei auf einen Vortrag, den ihr Kollege Tim Libert letztes Jahr vor der Internet Society gehalten hat:
"Bei der ersten Million der wichtigsten Web-Sites sind es 88 Prozent. So viele haben ein Third-Party-Element, Java-Script oder ein Cookie. Ein Cookie befindet sich auf über 60 Prozent der Sites. Im Schnitt kontaktiert jede Site über neun andere Domains. Also stellt sich die Frage: Wem gehören die?"
Google als größte aller Datenkraken
Die Antwort: Meistens Google. Die größte aller Datenkraken ist auf fast 800.000 von einer Million Web-Sites mit einem Third-Party-Element vertreten. Google entgeht nichts. Und es wäre für den Konzern auch ein Leichtes, Surfer zu identifizieren.