Spionage-Pixel in E-Mails

March 3, 2021

tracked by spy pixels

Tracking-Technologien begleiten mittlerweile in einem sehr großen Ausmaß unser tägliches Verhalten im Internet. Meistens ist uns bewusst, dass ein Unternehmen uns beobachtet und verfolgt und oft gehen wir davon aus, dass wir mit ein paar Klicks in den Cookie-Einstellungen schon irgendwie auf der sicheren Seite sind. Das Datenschutzfenster, in dem ich selbst die Einstellungen vornehmen kann, suggeriert sogar eine gewisse Selbstbestimmtheit. Soweit die eine Seite des Trackings, die, die uns mehr oder weniger bekannt ist und die wir – vielleicht zähneknirschend – akzeptieren.

Selbstbestimmung ist nicht möglich

Die andere Seite des Trackings ist deutlich subtiler und geschieht ganz und gar ohne unsere Einwilligung: durch Spionage-Pixel in E-Mails, die nicht nur zeigen, ob wir eine E-Mail geöffnet haben, sondern deutlich mehr unseres Nutzerverhaltens kontrollieren können.

Auf Anfrage der BBC wertete der US-amerikanische E-Mail-Service Hey der Firma Basecamp kürzlich seinen Traffic aus und fand dabei in zwei Dritteln aller E-Mails (bereits spambereinigt) Spionagepixel. Laut Hey ist die Verwendung von „unsichtbaren“ Tracking-Technologien in E-Mails mittlerweile üblich und soll Marketingzwecken dienen.

Der Online-Einkauf hat seit Beginn der Corona-Pandemie enorm zugenommen und bei nahezu jedem Online-Einkauf bedarf es zur Verifizierung eine E-Mail-Adresse – oftmals sogar vor dem eigentlichen Einkauf. Im Sinne des Verbraucherschutzes sollten Unternehmen – bei allem verständlichen Marketing-Interesse – verantwortungsbewusst und vor allem transparenter werden. In der BBC-Analyse gaben mehrere Unternehmen an, die Verwendung einer solchen Technologie in ihren allgemeinen Datenschutzrichtlinien zu nennen. Es ist jedoch fraglich, ob ein solcher Hinweis tatsächlich ausreichend ist. Die Datensammler sind übrigens nicht die großen Tech-Konzerne wie Google, Facebook und Co, sondern zahlreiche andere bekannte Unternehmen, wie z.B. British Airways, Vodafone oder Unilever.

„Unsichtbare“ Spionage-Pixel

Die Zählpixel sind üblicherweise eine .GIF- oder .PNG-Datei, in der Größe von 1×1 Pixel ist und werden in den Header, die Fußzeile oder den Fließtext einer E-Mail eingefügt. Oft sind sie transparent, so dass sie vom Empfänger nicht zu erkennen sind. Der Empfänger muss zu deren Aktivierung noch nicht einmal auf einen Link klicken, sie sind mit dem Öffnen der E-Mail bereits automatisch aktiv.

E-Mail-Pixel können verwendet werden, um zu protokollieren:

  • ob und wann eine E-Mail geöffnet wird,
  • wie oft sie geöffnet wird,
  • welches Gerät oder welche Geräte beteiligt sind,
  • der ungefähre physische Standort der Benutzer, abgeleitet von der Internetprotokoll (IP)-Adresse.

Denkbar ist auch das Zusammenführen mit Informationen aus dem Browser, womit sich das Nutzungsverhalten einer E-Mail-Adresse zuordnen ließe, ebenso wie die Verknüpfung mit anderen Datensätzen. Der Mitbegründer von Hey, David Heinemeier Hansson, spricht von einem

“grotesken Eingriff in die Privatsphäre”.

Eine Studie der Princeton University zeigte, dass die gesammelten Daten mitunter mit den Cookies der Nutzer verknüpft werden. Dadurch kann die E-Mail-Adresse einer Person mit ihren weiteren Surfgewohnheiten verknüpft werden, auch wenn sie von einem Gerät zum anderen wechselt. “Die sich daraus ergebenden Verknüpfungen zwischen Identitäten und Web-Historien-Profilen täuschen über die Behauptung des ‘anonymen’ Web-Trackings hinweg”, warnte die Studie. Ergänzend können „unsichtbare Beacons“ auch zu personalisierten Nachfassaktionen genutzt werden.

Tracking abschalten – geht das?

Es ist tatsächlich nicht ganz einfach, Spionage-Pixel auszuschalten. Der E-Mail-Dienst Hey bietet dazu ein kostenpflichtiges Abo an. Für andere E-Mail-Programme lassen sich (kostenlose) Plug-Ins installieren. Eine weitere Möglichkeit ist es, den E-Mail-Client so einzustellen, dass standardmäßig alle Bilder blockiert werden oder E-Mails lediglich als reinen Text darzustellen. Eine Garantie, dass tatsächlich alle Tracker erfasst werden, bietet leider keine der Möglichkeiten.

Datenschutzgesetze

In Europa regelt grundsätzlich die General Data Protection Regulation (GDPR) von 2016 die Verwendung von Zählpixeln (in Großbritannien: Privacy and Electronic Communications Regulations – Pecr – von 2003). Diese verpflichten Unternehmen, Empfänger über die Pixel zu informieren und deren Zustimmung einzuholen. Der Gerichtshof der Europäischen Union (CJEU) entschied, dass eine solche Zustimmung “eindeutig” und “eine klare bestätigende Handlung” sein muss.

Bei einer reinen Erwähnung in den Datenschutzhinweisen einer Website scheint diese „klare bestätigende Handlung“ daher zu fehlen. Pat Walshe von Privacy Matters drückt es so aus:

“Allein etwas in einem Datenschutzhinweis zu platzieren, ist keine Zustimmung, und es ist kaum transparent. Die Tatsache, dass Tracking stattfinden wird und was das beinhaltet, sollte dem Nutzer vor Augen geführt werden und sein Einverständnis voraussetzen. Das Gesetz ist klar genug, was wir brauchen, ist eine regulatorische Durchsetzung. Nur weil diese Praxis weit verbreitet ist, heißt das nicht, dass sie korrekt und akzeptabel ist.”

Digitale Souveränität

Das „unsichtbare“ Tracking steht der digitalen Souveränität diametral gegenüber und verhindert ganz bewusst die Selbstbestimmung der Nutzer:innen. Im Sinne einer nachhaltigen Digitalisierung von Prozessen und Abläufen sowie einem wertschätzenden und verantwortungsvollen Umgang mit potentiellen Kunden muss sich das ändern.

 

Ergänzende externe Artikel:

https://www.heise.de/news/Spionage-Pixel-in-E-Mails-als-Tracking-Ergaenzung-5058632.html
https://www.bbc.com/news/technology-56071437