User-Tracking in Chrome trotz Inkognito-Modus

Der Inkognito-Modus von Googles Chrome-Browser ist längst nicht so privat und sicher, wie bislang von vielen Nutzern angenommen. Zahlreiche Menschen verwenden diesen Modus, um anonym im Internet zu surfen. Doch Google kann als Anbieter des Webbrowsers selbst dann die Nutzeraktivität überwachen. Eine in den USA anhängige Sammelklage kommt für den Digitalkonzern zu einer ungünstigen Zeit.

Was ist der Inkognito-Modus?

Beim Surfen im Web stehen Nutzer unter permanenter Beobachtung. Nicht nur die Werbeindustrie hat Interesse, jeden Klick zu verfolgen, um die Umstände und Interessen des Nutzers zu ermitteln und Werbung individuell zu schalten. Auch Internetprovider analysieren kontinuierlich die Datenpakete, die zwischen den Anschlüssen übermittelt werden und selbst der Staat beobachtet die Online-Aktivitäten von Internetnutzern, um Straftaten vorbeugen und aufklären zu können.

Um sich dieser ständigen Überwachung (vermeintlich) entziehen zu können, bieten viele Browser einen Inkognito- (Chrome) oder privaten (Firefox, Edge) Modus an, der sich in den meisten Fällen über die Menüleiste aktivieren lässt. Damit wird den Nutzern eine einfache Lösung versprochen, um sich vor Tracking zu schützen

Im Inkognito-Modus blockiert der Webbrowser Tracking-Cookies und löscht nach dem Schließen der Sitzung Verlauf, Cookies und Anmeldedaten.

Manche Internetnutzer surfen generell im Inkognito-Modus, um ihre Privatsphäre zu wahren, andere nur bei speziellen Online-Suchen, etwa zu Gesundheitsthemen. Auch im beruflichen Kontext halten manche Arbeitgeber ihre Mitarbeiter an, den Inkognito-Modus aus datenschutzrechtlichen Gründen am Arbeitsplatz zu nutzen.

Sammelklage und Schadensersatz-Forderungen in Milliardenhöhe gegen Google

Der Inkognito-Modus im Chrome-Webbrowser ist allerdings lange nicht so privat, wie Google es vermittelt. In einer Sammelklage in den USA beschuldigen Chrome-Nutzer Google auch im Inkognito-Modus Unmengen von Daten zu sammeln.

Die drei Kläger bezeichnen die Versprechen von Googles Inkognito-Modus als List, denn sie würden die Nutzer bewusst in die Irre führen. Die Kläger behaupten, dass Google ein „allgegenwärtiges Daten-Tracking“ betreibe. Der US-Technologieriese dringe damit rechtswidrig in die Privatsphäre von unzähligen Nutzern ein. Weil die Nutzer vom Digitalkonzern nicht deutlich genug über das Vorgehen aufgeklärt würden, fordern die Kläger nun fünf Milliarden US-Dollar Schadensersatz. (4,2 Milliarden Euro)

Den Fall übernimmt die bekannte Bezirksrichterin Lucy Koh, die schon im Jahr 2012 den Fall zwischen Apple und Samsung leitete.

Google in Abwehrhaltung

Googles Anwälte bestreiten die Vorwürfe und argumentieren, dass in den Datenschutzbestimmungen über die Praxis der Datensammlung ausdrücklich aufgeklärt würde und dass Inkognito nicht unsichtbar bedeute. Außerdem mache der eigene Chrome-Browser beim Wechsel in den Inkognito-Modus darauf aufmerksam, dass dieser Modus keinen umfangreichen Schutz der Privatsphäre biete.

Diese Argumentation reichte Richterin Koh allerdings nicht. Im Rahmen der Anhörung erklärte sie, erschüttert von Googles Praktiken zur Datensammlung zu sein. Auch ließ sich die Richterin nicht von dem Versuch der Google-Anwälte beindrucken, die Datenschutzbedenken herunterzuspielen, indem sie darauf hinwiesen, dass die Website des US-Bundesgerichts Google-Dienste nutze.

Im Gegenteil zeigte sich Richterin Koh daraufhin besorgt. Sie wies die Anwälte an, eine genaue Erklärung darüber vorzulegen, welche Daten von ahnungslosen Besuchern der Website des Gerichts gesammelt werden und was Google mit diesen Daten macht. Diese Fragen sind durchaus berechtigt – zeigen gleichzeitig aber auch das im Vergleich zu Europa niedrige Datenschutzniveau in den USA auf. Im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) müssen vor dem Einsatz von Webtracking-Maßnahmen die Nutzer umfassend informiert werden und eindeutig einwilligen.

Schutz durch den Inkognito-Modus

Der Inkognito-Modus bietet zwar ein deutliches Maß an Privatsphäre, aber keine vollständige Anonymität. Eine Überprüfung des Inkognito-Modus von Google zeigt, dass in der Tat keine Informationen, die in diesem Modus gesucht werden, im Browserverlauf auftauchen. Außerdem werden Cookies und Daten, die man in Onlineformularen eingibt, nicht gespeichert. Das bedeutet aber längst nicht, dass das Surfverhalten nicht verfolgt wird. Besuchte Websites können weiterhin die IP-Adresse von Nutzern sehen, Service-Provider können immer noch Internet-Aktivitäten überwachen, und Systemadministratoren in Unternehmen werden weiterhin wissen können, was Mitarbeiter im Internet gemacht haben.

Erlauben Unternehmen ihren Mitarbeitern die private Nutzung der geschäftlichen Endgeräte (hierzu sind Regelungen z.B. in einer IT-Nutzungsrichtlinie zu treffen), sollten Arbeitgeber ihre Mitarbeiter genau darüber informieren, dass die Wirkung des Inkognito-Modus beschränkt ist und dass die Webaktivitäten der Mitarbeiter für den Arbeitgeber weiterhin zu sehen sind.

Der Inkognito-Modus hat zwar Vorteile, er bietet aber keinen umfangreichen Schutz der Privatsphäre über den Browser hinaus. Um tatsächlich anonym im Netz unterwegs zu sein, gibt es allerdings andere Wege, wie z.B. die Verwendung eines VPN (virtuelles privates Netzwerk).

Abschaffung des Cookie-Trackings durch Google

Das Verfahren kommt für Google zur Unzeit, möchte das Unternehmen doch gerade ein Datenschützer-Image aufbauen, um andauernder Kritik entgegenzutreten. Seit Jahren werden Technologieunternehmen und insbesondere Google kritisiert, weil sie Cookies und andere Technologien einsetzen, um Datensätze der Nutzer zu sammeln.  Deshalb hat Google vor kurzem auf diese Kritik reagiert und in einem Blogeintrag mitgeteilt, dass das Sammeln von Daten über das Cookie-Tracking künftig abgeschafft werden soll. Google will mit dieser Entscheidung zeigen, dass der Datenschutz ernst genommen wird.

Allerdings bedeutet das nicht, dass Google komplett auf Werbung verzichten möchte. Der kalifornische Suchmaschinenbetreiber arbeitet an einer datenschutzfreundlichen Alternative zum individuellen Tracking. Die Alternative ist als „Federated Learning of Cohorts – FLoC“ bekannt. FLoC bietet eine Möglichkeit, Gruppen von Personen mit gleichen Interessen in Clustern zusammenzufassen und hat das Ziel, die Privatsphäre des Nutzers zu schützen, indem Identifikatoren für Kohorten anstelle von Einzelpersonen eingesetzt werden. Wenn der Nutzer in die Kohorte aufgenommen wird, soll der Algorithmus dem Individuum ein hinreichendes Maß an Anonymität bieten.

Der niederländische Politiker Paul Tang, der im EU-Parlament eine Gruppe gegen Tracking mitbegründet hat, meint, dass der Schritt von Google hin zu einem besseren Schutz des Privatlebens willkommen sei, aber wir sollten nicht zu laut applaudieren. Tang glaubt, dass Google mit den neuen Datenschutzstandards seine Dominanz am Browsermarkt stärker macht.

Auch bei der Konkurrenz im Bereich digitaler Werbung löste der Schritt von Google heftige Kritik aus. Man argumentierte unter anderem, dass Google als Entwickler des Smartphone-Systems Android auch andere Wege habe, an Informationen über Nutzerverhalten zu kommen.

Fazit und Kritik

Fraglich ist, ob es sich beim Nutzer-Tracking im Inkognito-Modus von Chrome um eine strategische Täuschung handelt oder um ein bloßes Missverständnis.

Die Vertreter ersterer Meinung argumentieren, die Bezeichnung Inkognito-Modus werde von vielen Nutzern fehlinterpretiert. Sie gehen davon es, dass ihre Aktivitäten weder überwacht noch gespeichert werden. Google informiert jedoch ausdrücklich über die Datensammlung im Inkognito-Modus. Für diese falsche Auslegung sollte Google selbst keine Verantwortung tragen.

Die Gegenmeinung behauptet, dass es sich um eine strategische Irreführung handelt, da Google sein Geld in erster Linie mit personalisierter Werbung durch Datensammlung verdient.

Es dürfte spannend werden, wie das US-Gericht diese Frage im Hauptverfahren beantwortet. Eine Anhörung für dieses Verfahren, das Brown et al. vs. Google et al. benannt wurde, ist für den 20. Januar 2022 angesetzt und ist am US-Bundesbezirksgericht für das Nördliche Kalifornien unter dem Az. 5:20-cv-03664 anhängig.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.