Cookies: Wie Google seine Nutzer seitenübergreifend erkennt bzw. trackt
Seitenübergreifendes Tracking – also das Nachverfolgen eines Nutzers über Webseitenseitengrenzen – ist oftmals nicht greifbar darstellbar. Bei Google bin ich nun fündig geworden und möchte anhand eines Beispiels aufzeigen, wie Google seine Nutzer seitenübergreifend erkennt/trackt, wenn diese bei Gmail oder an einem anderen Google-Dienst angemeldet sind.
Zunächst kurz die Voraussetzungen für das nachfolgende Beispiel:
- Ein Nutzer hat sich bei seinem Google-Konto angemeldet (im Beispiel ist das ein Login bei Gmail)
- Anschließend besucht der Benutzer mit demselben Browser eine Website, die Google-Dienste wie Google reCAPTCHA, Google Maps etc. eingebunden hat
Nachfolgend habe ich mit der Web-Konsole von Firefox sowohl das Datensendeverhalten als auch die (abgelegten/ausgelesenen) Cookies auf zwei unterschiedlichen Webseiten ausgelesen:
- Gmail bzw. https://mail.google.com
- Dr. Schwenke bzw. https://drschwenke.de/
Es ergibt sich das folgende Bild (anklicken für eine größere Version):
Das relevante Cookie NID habe ich rot markiert. Was fällt auf? Die Cookie-Werte sind im Kontext der beiden Seiten identisch. Nämlich:
511=tHAkCrh0QB9LaINhpmrPNP8MvPsobtSfeJy6xJN4PHNJ6bfUqd0UwQf1V84FNV00oPpsTWGqSjDG282VQDtj3S0uFdLKR3j9lR7P9RmIUAhLBo82DZiX-bxIzoEHKbUlAsVSNvtNkcyo7h48OmC5UMEpV-VoK5QqkXhm0HyHMskFBrs9Ikq4Ou90Q5eSIZbMjjJRyH-fV8gq9vTzNUVN
Sobald sich jemand also in sein Google-Konto einloggt und danach mit demselben Browser surft, kann Google einen Personenbezug herstellen. Das funktioniert so:
- Max Mustermann loggt sich in sein Gmail-Konto ein. Der Browser setzt/liest hierbei das NID-Cookie mit einem eindeutigen Wert. Das Ablaufdatum des Cookies ist ein halbes Jahr. Ab sofort kann Google einen Personenbezug zwischen dem NID-Cookie und der eingeloggten Person herstellen.
Max Mustermann = 511=tHAkCrh0QB9LaINhpmrPNP8Mv[...]. - Anschließend surft Max auf eine Website, die Google-Dienste einbindet bzw. eine Verbindung zu
*.google.comaufbaut. Über das NID-Cookie kann Google nun feststellen, auf welcher Website jemand surft.
Consent-Banner
Auf der Website »https://drschwenke.de/« habe ich beim eingeblendeten Cookie- bzw. Consent-Banner (unten auf der Seite) übrigens keine Auswahl getroffen bzw. nichts angeklickt.Was sagt Google zum NID-Cookie:
Manche Cookies dienen dazu, die Einstellungen eines Nutzers zu speichern. In den Browsern der meisten Nutzer, die Google-Dienste verwenden, gibt es beispielsweise ein Cookie namens „NID“. Dieses Cookie enthält eine eindeutige ID, über die Ihre bevorzugten Einstellungen und andere Informationen gespeichert werden, insbesondere Ihre bevorzugte Sprache, wie viele Suchergebnisse pro Seite angezeigt werden sollen (z. B. 10 oder 20) und ob der Google SafeSearch-Filter aktiviert sein soll. Jedes „NID“-Cookie läuft 6 Monate nach der letzten Nutzung ab. Ein Cookie mit dem Namen „VISITOR_INFO1_LIVE“ dient einem ähnlichen Zweck für YouTube und wird auch verwendet, um Probleme mit dem Dienst zu erkennen und zu beheben.
Also eigentlich ganz harmlos. Zur Wahrheit gehört aber auch: Das Cookie ermöglicht Google eine seitenübergreifende Erkennung/Tracking seiner Nutzer.
Google kann das Surfverhalten seiner Nutzer also seitenübergreifend über das NID-Cookie verfolgen, sofern sich jemand mit seinem Google-Konto angemeldet hat. Was lernen wir daraus? Es ist besser auf Google-Dienste auf Webseiten zu verzichten. Andernfalls muss man den Cookie- bzw. Consent-Banner technisch und auch rechtlich so gestalten, dass er den Anforderungen des TTDSG und der DSGVO genügt. Im obigen Beispiel sehe ich das nicht gegeben.
Der TC-String des Interactive Advertising Bureau (IAB) – Teil2
eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3
Firefox: First Party Isolation – Firefox-Kompendium Teil4
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1
