Warum wir Überwachung als Standard akzeptiert haben

 (vivianvoss.net)
1 Punkte von GN⁺ 8 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Werbefinanzierung des Webs und trackingbasiertes Targeting wurden zu einer einzigen Kausalkette verknüpft, sodass Cross-Site-Tracking nicht als separate Wahl, sondern als Standardvoraussetzung etabliert wurde
  • DoubleClick DART und third-party cookies machten es möglich, denselben Nutzer über mehrere Websites hinweg zu verfolgen, und diese Infrastruktur blieb danach bestehen
  • Die 10.000 größten Websites laden im Schnitt 7 third-party tracker pro Seite, 41,1 % des Traffics gehen mit Trackern einher, und mit jedem zusätzlichen Tracker steigt die Seitenladezeit um etwa 2,5 %
  • Auch die Cookie-Banner-Industrie hat sich als eigener Markt verfestigt; wenn der Button „Reject all“ versteckt wird, akzeptieren bis zu 90 % der Nutzer, was eher Ermüdung als Zustimmung nahelegt
  • Apple ATT senkte allein durch eine Erlaubnisanfrage auf Betriebssystemebene die Opt-in-Rate auf 15–25 % und hinterließ Schätzungen zufolge einen Umsatzverlust von rund 10 Milliarden US-Dollar bei Meta im Jahr 2022; das zeigt, dass standardmäßig aktiviertes Tracking keine technische Notwendigkeit, sondern eine Entscheidung war

Axiom

  • Die heutige Struktur wird durch die Kausalkette Werbung finanziert das Web, Tracking ermöglicht Werbung, also ist Tracking notwendig gerechtfertigt
    • Cookie-Banner werden wie moderne Quittungen behandelt, und ein Klick auf „Accept“ gilt unmittelbar als Zustimmung
    • Diese Struktur wirkt wie eine saubere Logik, doch schon ihre Prämissen müssen gesondert geprüft werden
  • Niemand hat über diese Struktur abgestimmt, und dennoch hat sie sich verfestigt
    • Als FTC und EU ihre Debatten über Marktwettbewerb abschlossen, hatte sich die Struktur des Webs stillschweigend in ein Überwachungssystem verwandelt

Ursprung

  • DoubleClick wurde 1996 in New York gegründet, und das Produkt DART basierte auf der Annahme, Nutzern über verschiedene Websites hinweg zu folgen, um passende Werbung auszuliefern
    • DART steht für Dynamic Advertising, Reporting, and Targeting
    • Zentral war die Idee, dass Werbetreibende dieselbe Person über mehrere Websites hinweg verfolgen können müssen
  • Die entscheidende technische Innovation war das third-party cookie: eine kleine Textdatei, die von einem Server gesetzt wurde, den der Nutzer nie direkt besucht hatte, und die den Nutzer über alle Websites hinweg verfolgte, die ein Pixel von dort luden
    • Der technische Mechanismus selbst war unspektakulär, seine strukturellen Folgen jedoch nicht
    • Zu einem Zeitpunkt, als Bannerwerbung bereits existierte, entstand damit die Grundlage für Cross-Site-Tracking jenseits zufälliger Einblendungen
  • Nach der Übernahme von Abacus Direct im Jahr 1999 wurde vorgeschlagen, zwei Datenbanken zusammenzuführen, woraufhin die US-FTC Ermittlungen aufnahm
    • DoubleClick zog sich zurück, doch 2007 übernahm Google das Unternehmen schließlich für 3,1 Milliarden US-Dollar
    • Die Untersuchung ist längst Vergangenheit, die aufgebaute Infrastruktur blieb jedoch erhalten
  • Auch die Wege der Gründer danach setzen diese Geschichte fort
    • Kevin O'Connor verließ DoubleClick 2001 und betreibt mit ScOp Venture Capital Investitionen in die nächste Generation von Technologieunternehmen
    • Dwight Merriman war zehn Jahre lang CTO von DoubleClick und gründete 2007 gemeinsam mit dem ebenfalls aus DoubleClick stammenden Eliot Horowitz MongoDB
    • Dasselbe Team, das die Cross-Site-Überwachungspipeline aufbaute, schuf damit auch die Dokumentendatenbank, die heute große Teile des modernen Webs antreibt
    • Das DoubleClick alumni network wird als äußerst bedeutende Talentdiaspora der zeitgenössischen Tech-Branche beschrieben

Ein Muster, das älter ist als DoubleClick

  • Prodigy war ein Online-Dienst, der von 1984 bis 2001 betrieben wurde, und setzte schon früh eine Vorform derselben Logik um
    • Um Netzwerk- und Serverkosten zu senken, wurde Daten-Caching auf oder nahe den privaten Computern der Nutzer eingesetzt
    • Die offizielle Begründung war Kostensenkung bei der Infrastruktur, der Nebeneffekt war die massenhafte Anhäufung von Verhaltensdaten
  • Dieses Muster ist älter als das Web und sogar älter als das third-party cookie
    • Entscheidend ist die Beobachtung, dass Nutzerdaten, die zunächst für den Betrieb gesammelt werden, schließlich zu einem kommerziell interessanten Vermögenswert werden
  • Datenpfade, die zur Kostenoptimierung entworfen wurden, werden am Ende für Wertabschöpfung wiederverwendet
    • Die offene Frage lautet daher nicht, wann das begann, sondern warum keine Protokollschicht es verhinderte

Kosten

  • Eine durchschnittliche Website lädt heute 7 third-party tracker pro Seite; dieser Wert bezieht sich auf die 10.000 größten Websites
    • Diese 10.000 größten Websites gelten noch als der vergleichsweise seriösere Teil des Internets
    • 41,1 % ihres Traffics gehen mit Trackern einher
  • Auch das Einholen von Zustimmung ist inzwischen eine eigene Branche
    • 67 % der Cookie-Banner werden von Consent Management Platforms bereitgestellt
    • 37 % dieses Marktes entfallen auf drei Anbieter
    • Nur 15 % der Websites erfüllen ein minimales Maß an GDPR-Konformität
  • Wenn der Button „Reject all“ so versteckt wird, dass mehrere Klicks nötig sind, um ihn zu finden, akzeptieren bis zu 90 % der Nutzer
    • Das wird nicht als Zustimmung, sondern als Ermüdung eingeordnet
  • Auch die physischen Kosten sind eindeutig
    • Mit jedem zusätzlichen Tracker steigt die Seitenladezeit um ungefähr 2,5 %
    • Seiten mit vielen Trackern laufen ungefähr 10-mal langsamer als dieselbe Seite mit aktiviertem Tracking-Schutz
  • Real-time bidding verarbeitet rund 600 Milliarden Anfragen pro Tag, also etwa 6,9 Millionen pro Sekunde
    • Jedes Banner, jeder Dialog und jede Schattenanfrage verbrauchen Bandbreite, Akku und Strom
    • Die Rechnung bezahlen letztlich alle, aber sie wird niemandem einzeln ausgewiesen

Belege

  • Im Mittelpunkt steht nicht die persönliche Schuld der beiden Gründer, sondern eine logische Reaktion auf kommerziellen Druck
    • Werbenetzwerke wollten Reichweite, Publisher wollten Umsatz, und das third-party cookie machte beides möglich
    • Statt persönlicher Schuldzuweisung führt das zur Frage, warum Browser dabei mitgeholfen haben
  • Die tiefere Frage betrifft strukturelle Entscheidungen
    • Browser wurden dafür gebaut, Inhalte zu laden, hätten aber auch so entworfen werden können, dass Nutzer davor geschützt werden, verfolgt zu werden
    • Ebenso wäre ein Schutz vor der im selben Pfad gewachsenen grauzonigen Betrugsökonomie möglich gewesen
  • Apple ATT wird als realer Beleg für diese Wahlmöglichkeit angeführt
    • Eingeführt im April 2021 mit iOS 14.5
    • Apps erhalten genau eine Eingabeaufforderung auf OS-Ebene, ob sie Nutzer über andere Apps und Websites hinweg verfolgen dürfen
    • Wenn tatsächlich gefragt wird, bleibt die Opt-in-Rate bei 15–25 %
    • Meta-CFO David Wehner schätzte den Umsatzverlust für 2022 auf rund 10 Milliarden US-Dollar
  • Hervorgehoben wird, dass die nötige Technik von Anfang an vorhanden war und standardmäßig aktiviertes Tracking eine Entscheidung der Browser-Anbieter war

Frage

  • Es wird die Frage aufgeworfen, ob ein anderes Ergebnis möglich gewesen wäre, wenn Browser personenbezogene Daten so behandelt hätten, wie Betriebssysteme mit unsignierten Binärdateien umgehen, also durch Blockierung bis zu einer ausdrücklichen Erlaubnis
    • Wie wäre es gewesen, wenn das Protokoll selbst nicht Werbetreibende, sondern Nutzer verteidigt hätte?
    • Was wäre, wenn Cross-Site-Anfragen so skeptisch behandelt worden wären wie ein Paket, das einem im Zug von einer fremden Person zum Aufpassen gegeben wird?
  • Auch nach 30 Jahren bleibt diese Frage unbeantwortet
    • Die Infrastruktur besteht fort, weil sie einmal aufgebaut wurde, und sie besteht fort, weil es für die Organisationen, die sie geschaffen haben, unbequem wäre, sie zurückzubauen
  • Dass schon eine einzige Apple-Eingabeaufforderung innerhalb eines Jahres 10 Milliarden US-Dollar verschieben konnte, wird als Maßstab gesetzt
    • Was hätte sich bewegt, wenn es zwölf solcher Prompts gegeben hätte?
    • Und was wäre anders gewesen, wenn 1996 überhaupt kein third-party cookie eingeführt worden wäre?
  • Statt einer endgültigen Schlussfolgerung bleibt nur festzuhalten: Niemand wurde je gefragt

Verwandte Beiträge

1 Kommentare

 
GN⁺ 8 일 전
Hacker-News-Kommentare

  • Mein Eindruck ist, dass personalisierte Werbung viel eher eine Illusion ist, als man denkt. Es gibt zwar Belege wie den Umsatzeinbruch bei Meta nach Apples ATT, aber etwa 30 % der Werbung, die ich auf Facebook und YouTube sehe, wirkt wie offensichtliche Betrugswerbung, die auch ganz ohne Profiling ausgespielt werden könnte. Ich habe zum Beispiel eine Woche lang Werbung gesehen, die Facebook-Benachrichtigungen nachahmte, und nach dem Klick landete ich auf einer Seite, die mir Angst machen wollte, ich sei gehackt worden. Ich habe sie sogar gemeldet, und trotzdem blieb sie erstaunlich lange online. Wirklich passende Werbung sehe ich fast nie, stattdessen nur ständiges Retargeting für Dinge, die ich bereits gekauft habe, sodass ich mich frage, ob ich wirklich so ein unattraktiver Nutzer für den Markt bin

    • Nur weil manche Leute irrelevante Werbung bekommen, ist das für mich kein Beweis dafür, dass das Überwachungssystem nicht funktioniert. Entscheidend ist, wie viel Geld an präzise Targeting-Kampagnen fließt. Die Werbung selbst mag vergleichsweise harmlos sein, aber wenn dieselben Daten an staatliche Akteure gehen, werden sie als Mittel zur Unterdrückung von Bürgern viel bedeutender. Sie können genutzt werden, um Wahlkreise zuzuschneiden, zu entscheiden, wo Hass-Einrichtungen oder Bibliotheken stehen sollen, wen man für Abschiebungen aufspüren will oder wie man in politischen Kampagnen bestimmte Menschen beeinflusst. Selbst mit etwas Fehlerrate hilft das enorm dabei, die manuelle Vorauswahl stark zu reduzieren
    • Ich verstehe auch, dass ich viel Web-Tracking blockiere und es Werbetreibenden deshalb schwerer fällt, mich zu targeten. Trotzdem wirkt es so, als könnten sie nicht einmal die Informationen sinnvoll nutzen, die ihnen eigentlich zur Verfügung stehen sollten. Nach meiner Erfahrung sind Werbefirmen beim Targeting erschreckend schlecht. Auf YouTube bekomme ich ständig Werbung auf Türkisch, Vietnamesisch, Arabisch, Japanisch und Chinesisch, obwohl ich kein Wort davon verstehe. Die Spracheinstellungen meines Google-Kontos, Browsers und Geräts sind alle gesetzt, ich nutze kein VPN, also sollte Google wissen, welche Sprachen ich spreche und wo ich bin. Trotzdem verstehe ich nicht, warum ich solche Werbung bekomme. Früher hatte ich personalisierte Werbung auf YouTube deaktiviert, und damals bestand fast 100 % der Werbung aus Betrug, Deepfakes und illegalen Produkten, deshalb habe ich sie vor ein paar Monaten absichtlich wieder aktiviert. Seitdem sehe ich weniger Porno- oder illegale Drogenwerbung, aber der Großteil ist immer noch Betrug und passt überhaupt nicht zu meiner Demografie. Politische Werbung aus Hunderten von Meilen Entfernung oder Werbung in völlig unbekannten Sprachen ist so häufig, dass ich bei einer Anzeige für ein lokales Restaurant eher bezweifle, ob das echtes Targeting oder nur Zufall ist. Ich glaube fast immer an Letzteres
    • Dass einem immer wieder Werbung für bereits gekaufte Dinge angezeigt wird, ist meiner Meinung nach genau das Beispiel, das die Schwäche zielgerichteter Werbung am besten zeigt
    • Aus meiner begrenzten Erfahrung neige ich letztlich zu der Ansicht, dass Targeting selbst nicht wichtig ist. Facebook erzeugt bei seinen Nutzern eine Art digitale Abhängigkeit, und die Nutzer bezahlen dafür mit ihrer Aufmerksamkeit. Diese Aufmerksamkeit wird dann an den Höchstbietenden verkauft. Der eigentliche Werbeinhalt ist dabei kaum wichtig, und die gesammelten Daten werden eher dazu genutzt, diese Abhängigkeit zu verstärken
    • Früher habe ich auf Facebook oft Betrugsanzeigen gemeldet, und die Antwort war immer sinngemäß, dass alles in Ordnung sei. Offenbar sind gefälschte KI-Investmentvideos, die Prominente oder Politiker imitieren, nach Facebooks Maßstäben völlig okay, was mich wirklich wütend macht

  • Ich habe einmal eine Nachrichtensendung über die letzten Jahre des Ceaușescu-Regimes gesehen, und einer der dort erklärten Indikatoren für das Ausmaß der Unterdrückung waren Videokameras an Straßenlaternen

    • Das, was ich gesehen habe, war vermutlich Propaganda. So etwas gab es 1989 in Rumänien nicht. Das Land war nicht reich genug, um solche fortschrittlichen Systeme zu installieren, und ich kann das sagen, weil ich diese Zeit selbst erlebt habe
    • Auch ich halte diese Berichterstattung eher für unbelegte Propaganda. Es gibt keine Belege dafür, dass das rumänische Regime der 1980er Jahre Videokameras an Straßenlaternen angebracht hätte. Außerdem: Warum hätte man für so teure Technik Geld ausgeben sollen? Damals gab es schon mehr als genug Leute, die andere ausspionierten und denunzierten

  • Dieser Text wirkte auf mich wie ein von einem LLM geschriebener Beitrag

  • Militarismus, Überwachung, Propaganda, Nationalismus — da kommt mir etwas bekannt vor. Ich frage mich, ob wir jetzt die Bösen sind

    • Dann würde ich umgekehrt fragen: Gibt es nach deinem Maßstab überhaupt irgendeinen Staat, der ordnungsgemäß funktioniert und nicht zu den Bösen gehört?
    • Meiner Meinung nach war es schon immer so
    • Ich habe oft das Gefühl, dass manche Menschen sich dessen dauerhaft nicht bewusst sind
    • Solche Aussagen wirken wie Schmeichelei für Upvotes, egal aus welchem Land man kommt

  • Solange die Art, im Web Geld zu verdienen, letztlich Werbung ist, wird der Überwachungsstaat meiner Meinung nach weiterbestehen

    • Ich glaube, selbst bei Bezahlangeboten würde die Überwachung weitergehen. Warum auch nicht? Sie ist schließlich eine zusätzliche Einnahmequelle
    • Das Problem ist meiner Ansicht nach noch perfider. Staatliche Macht, die überwachen will, und die Privatwirtschaft, die Werbeeinnahmen maximieren will, verbünden sich. Dann werden Anwälte wahrscheinlich behaupten, Privatsphäre oder Freiheit habe es ohnehin nie wirklich gegeben
    • Ich sehe oft, dass selbst werbefreie Websites Tracking und Fingerprinting für ihr eigenes Marketing oder für Sicherheitsfunktionen einsetzen
    • Trotzdem glaube ich nicht, dass Werbung an sich zwingend Überwachung erfordert
    • Zumindest die Richtung der Lösung scheint klar. Auch wenn der Weg zu einem werbefreien Web nicht leicht ist, wirkt er doch eindeutig wie eine Lösung mit Wert für das Gemeinwohl

  • Der Blog hat wohl einen hug of death abbekommen. Ich lasse deshalb stattdessen den Archivlink hier

  • Ich glaube, in der EU wäre das nicht möglich

  • Als Apple zum ersten Mal App Tracking Transparency eingeführt hat, habe ich es sofort aktiviert und Tracker blockiert. Es war so einfach und nützlich, dass ich danach gar nicht mehr darüber nachgedacht habe. Das steht in starkem Kontrast dazu, wie heutige Websites alle möglichen Klick-Akrobatiken verlangen, wenn man ähnliches Tracking abschalten will

    • Ironischerweise ist Apple selbst eines der riesigen Werbeunternehmen, die von persönlichen Nutzerdaten leben. Aber weil Apple andere Werbefirmen blockieren lässt und dabei auf andere zeigen kann, scheint das Unternehmen sich fast das volle Vertrauen der Nutzer gesichert zu haben. Die meisten wissen vermutlich nicht einmal, wie viel Werbeumsatz Apple mit ihren Daten macht. Artikel über Apples 4-Milliarden-Dollar-Werbegeschäft
    • Hier gibt es ein verbreitetes Missverständnis. ATT blockiert Tracker nicht vollständig. Wenn man einen DNS-basierten Werbe- und Tracking-Blocker verwendet und die Logs ansieht, merkt man, dass viele Apps weiterhin Tracking versuchen. So wie ich es verstehe, geht es bei ATT eher darum, Cross-Tracking zwischen Apps und Websites zu verhindern. Apps erhalten keinen Zugriff auf die IDFA und können dadurch keine gemeinsame Kennung über mehrere Apps hinweg nutzen. Anfangs war der finanzielle Schaden groß, aber inzwischen haben Tracking-Firmen vermutlich einige andere Korrelationsmethoden entwickelt. Die echte Lösung wäre, wenn Apple und Google eine Option anbieten würden, um Tracker innerhalb von Apps komplett abzuschalten, und bei Verstößen den Ausschluss aus dem App Store durchsetzen würden. Ich glaube allerdings nicht, dass sie das tun werden, weil sie mit ihren eigenen Werbenetzwerken viel Geld verdienen. Letztlich stehen Apple und Google in dieser Frage nicht auf unserer Seite
    • Ironischerweise befindet sich Google wohl in einer Lage, in der es third-party cookies selbst dann nur schwer abschalten könnte, wenn es wollte. Das könnte als wettbewerbswidriges Verhalten gegenüber anderen Tracking-Netzwerken gewertet werden, weshalb Gerichte es blockiert haben
    • Ich finde eher, dass genau diese komplizierten Klickverfahren, die nötig sind, um Tracking abzuschalten, gesetzlich nur für Opt-in erlaubt sein sollten. Das derzeitige Modell mit voreingestimmter Zustimmung in AGB, die niemand liest, muss sich ändern
    • Bei mir ist es eher umgekehrt: Mit Firefox, arkenfox und uBlock Origin im erweiterten Modus braucht es jede Menge Klick-Akrobatik, um ähnliches Tracking überhaupt zu aktivieren

  • Dieser Blog ist vielleicht ein Kandidat für das am wenigsten ernsthafte Design, das ich dieses Jahr gesehen habe

    • Zum Design kann ich nichts sagen, aber irgendwo da drin war wohl auch der eigentliche Artikeltext. Zur Einordnung: Ich habe ungefähr 3000 Punkte

  • Jedes Mal, wenn ich Texte dieses Autors lese, werde ich von dem Space Invaders daneben abgelenkt und spiele dann einfach das. Vielleicht liegt es daran, dass ich etwas ADHD habe, aber ich glaube nicht, dass ich damit allein bin

    • Ich habe auch ein paar Minuten gespielt und den Text dann nie zu Ende gelesen. Ich habe ebenfalls ADHD, aber zu meiner Verteidigung: Space Invaders mit Maussteuerung macht ziemlich Spaß
    • Wenn der Autor wirklich etwas Wichtiges sagen wollte, dann untergräbt dieses Layout seine Botschaft nur selbst
    • Ich finde, man sollte einfach beim Lesen gleichzeitig spielen. Das war eigentlich eine ziemlich gute Kombination
    • Ich habe nur die Kommentare überflogen und wegen dieser Bemerkung beschlossen, das Klicken nicht länger aufzuschieben. Jetzt werde ich wohl die nächste Stunde Space Invaders spielen
    • Moment mal, welcher Artikel?