Erster Entwurf Was ist Do Not Track?

Das W3C hat einen ersten Entwurf für einen Do-Not-Track-Standard veröffentlicht. Neben der technischen Spezifikation "Tracking Preference Expression" (DNT) gibt es ein zweites Dokument, in dem das W3C definiert, was mit Do Not Track eigentlich gemeint ist.

Die Idee hinter "Do Not Track" ist simpel: Mit dem HTTP-Header "DNT:1" können Nutzer Webseiten und Werbeanbietern signalisieren, dass sie nicht getrackt werden wollen. Bei der Umsetzung von DNT aber stellen sich viele Fragen. Diese versucht das W3C mit zwei Standards zu klären, die jetzt in Form erster Entwürfe veröffentlicht wurden.

Während die technische Spezifikation Tracking Preference Expression (DNT) schon recht weit wirkt, enthält der mit Tracking Compliance and Scope überschriebene Entwurf noch viele Streitpunkte oder offene Fragen. Auch wenn in der zuständigen Arbeitsgruppe grundsätzlich ein Konsens über das Ziel besteht, so gibt es doch unterschiedliche Auffassungen, wie dieses am besten im Standard zu formulieren ist.

Das beginnt schon bei der Definition des Begriffs "Party", der in Bezug auf "First-Party-Cookies" und "Third-Party-Cookies" eine Rolle spielt, und setzt sich bei der Definition von "Service Provider/Outsourcer" fort.

Denn aus Sicht der Spezifikation ist es ein großer Unterschied, wie eine Website einen Nutzer mit Do Not Track zu behandeln hat und wie Drittanbieter, deren Inhalte dort eingebunden sind, damit umzugehen haben. Die Website selbst darf als First-Party durchaus Tracking verwenden, Third-Party-Anbieter grundsätzlich nicht. Und die First-Party darf auch keine für Tracking geeigneten Daten an Third-Party-Anbieter weitergeben.

Wie aber sind Dienstleister zu behandeln, die im Auftrag eines First-Party-Anbieters agieren? Der aktuelle Konsens scheint dahin zu gehen, dass solche Anbieter wie First-Party-Anbieter zu behandeln sind, vorausgesetzt, sie stellen sicher, dass die aufgezeichneten Daten nicht über mehrere Mandanten hinweg aggregiert werden und dies vertraglich geregelt ist.

Ebenfalls mehrere Vorschläge bestehen für den Umgang mit "Unlinkable Data". Dabei geht es um die Frage, wann Daten als anonymisiert zu betrachten sind. Grundsätzlich geht es darum, dass die Anbieter dafür sorgen sollen, dass weder sie noch ihre Partner aufgezeichnete Daten bestimmten Nutzern, User-Agents oder Geräten zuordnen. Die Frage ist aber, wie hoch die Anforderungen dafür sein sollen: Reicht es, wenn ein Anbieter garantiert, dies nicht zu tun oder muss er nachweisen, dass ein geübter Analyst nicht in der Lage wäre, die Daten wieder Nutzern zuzuordnen.

Nachdem mittlerweile alle großen Browserhersteller angekündigt haben, DNT zu unterstützen, könnte der Ansatz es schaffen, zu einem Industriestandard zu werden. Vorteile für Nutzer bietet DNT aber nur dann, wenn sich auch die Unternehmen, die Tracking betreiben, an DNT halten. Und das wird nur dann der Fall sein, wenn Tracking weiterhin möglich bleibt und nicht standardmäßig unterbunden wird.