Eine neue Studie, die von Wissenschaftlern der KU Leuven, der Radboud Universität und der Universität Lausanne veröffentlicht wurde, hat gezeigt, dass die E-Mail-Adressen von Nutzern an Tracking-, Marketing- und Analyse-Domains weitergegeben werden, bevor sie überhaupt übermittelt werden und ohne vorherige Zustimmung.
Im Rahmen der Studie wurden 2,8 Millionen Seiten der 100 wichtigsten Websites gecrawlt. Dabei wurde festgestellt, dass 1.844 Websites in der Europäischen Union Trackern erlauben, E-Mail-Adressen zu erfassen, bevor sie ein Formular abschicken.
„E-Mails (oder deren Hashes) wurden an 174 verschiedene Domains (eTLD+1) in den USA und 157 verschiedene Domains in der EU gesendet“, so die Forscher. Darüber hinaus wurde festgestellt, dass 52 Websites Passwörter auf die gleiche Weise sammeln, ein Problem, das nach der Aufdeckung der Vorfälle behoben wurde.
LiveRamp, Taboola, Adobe, Verizon, Yandex, Meta Platforms, TikTok, Salesforce, Listrak und Oracle gehörten zu den Top-Drittanbieter-Tracker-Domains, an die E-Mail-Adressen übermittelt wurden, während Yandex, Mixpanel und LogRocket die Liste in der Kategorie Passwort-Grabbing anführen.
„Bestimmte Drittanbieter senden E-Mail-Adressen Zeichen für Zeichen, wenn der Nutzer seine Adresse eingibt“, so die Forscher. „Dieses Verhalten scheint auf Skripte zur Sitzungswiederholung zurückzuführen zu sein, die die Interaktionen der Nutzer/innen mit der Seite, einschließlich Tastendruck und Mausbewegungen, erfassen.
Mode/Schönheit, Online-Shopping und allgemeine Nachrichten sind die wichtigsten Kategorien ->
Mode/Schönheit, Online-Shopping, allgemeine Nachrichten, Software/Hardware und Wirtschaft werden zu den Top-Kategorien
E-Mail-Adressen bieten eine Reihe von Vorteilen. Sie sind nicht nur einzigartig und ermöglichen es Dritten, die Nutzer/innen geräteübergreifend zu verfolgen, sondern können auch genutzt werden, um ihre Online- und Offline-Aktivitäten abzugleichen, z. B. wenn sie in einem Geschäft einkaufen und dafür ihre E-Mail-Adresse angeben oder sich für eine Kundenkarte anmelden müssen.
Die Idee, E-Mail-Adressen zu sammeln, die in Online-Formularen eingegeben werden, auch wenn die Nutzer/innen kein Formular ausfüllen, wurde auch durch die laufenden Versuche der Browserhersteller, die Unterstützung für Cookies von Drittanbietern einzustellen, vorangetrieben und zwingt die Vermarkter, nach alternativen statischen Identifikatoren zu suchen, um die Nutzer/innen zu verfolgen.
Dies ist nicht das erste Mal, dass solche Bedenken geäußert werden. Im Juni 2017 entdeckte Gizmodo, dass ein Drittanbieter namens NaviStone persönliche Daten aus Hypothekenrechner-Formularen sammelte, bevor diese abgeschickt wurden, wobei nur sehr wenige Websites in ihren Datenschutzrichtlinien ausdrücklich auf diese Praxis hinwiesen.
Fünf Jahre später hat sich laut den Forschern nicht viel geändert: Websites aus den Bereichen Mode/Schönheit, Online-Shopping und allgemeine Nachrichten sind die Top-Kategorien mit den meisten „undichten Formularen“.
„Trotz des Ausfüllens von E-Mail-Feldern auf Hunderten von Websites, die als pornografisch eingestuft werden, haben wir kein einziges E-Mail-Leck gefunden“, so die Ergebnisse, die sich mit früheren Studien decken, die gezeigt haben, dass Websites für Erwachsene im Vergleich zu allgemeinen Websites mit vergleichbarer Popularität relativ wenig Tracker von Dritten enthalten.
Außerdem verstößt eine solche Praxis möglicherweise gegen mindestens drei verschiedene Anforderungen der Datenschutzgrundverordnung (DSGVO) in der EU, da sie gegen die Grundsätze der Transparenz, der Zweckbindung und der Zustimmung der Nutzer/innen verstößt.
In den letzten Jahren haben die Browserhersteller mit Ausnahme von Google Chrome neue Mechanismen eingeführt, um seitenübergreifende Cookies einzuschränken, aber sowohl Apple Safari als auch Mozilla Firefox bieten keinen Schutz vor Skripten, die E-Mail-Adressen zu Tracking-Zwecken exportieren.
Eine Gegenmaßnahme gegen diese Tracking-Methode ist die Installation von Browsererweiterungen wie uBlock Origin oder der Wechsel zu Browsern, die über eine eingebaute Werbeblockerfunktion verfügen, unabhängig von der Art des verwendeten Geräts.
„Nutzer/innen sollten davon ausgehen, dass die persönlichen Daten, die sie in Webformulare eingeben, von Trackern erfasst werden können – auch wenn das Formular nie abgeschickt wird“, schlussfolgerten die Forscher/innen und forderten weitere Untersuchungen von Browseranbietern, Entwicklern von Datenschutztools und Datenschutzbehörden.