Der andere amerikanische Überwachungsriese, über den niemand spricht

Heute werfen wir ein Schlaglicht auf einen IT-Riesen, der bei vielen Leuten unter dem Radar läuft: Oracle. Der amerikanische Konzern ist bekannt für seine Systeme zur Datenbankverwaltung (die in unserer Cloud-Übersicht auch verortet sind). Was viele nicht wissen: Oracle ist auch ein riesiger “Data Broker”- also Datenhändler – dessen digitale Tracker in Millionen von Webseiten verbaut sind. Nun läuft dagegen eine Sammelklage in den USA. Und sie betrifft auch uns. Der EDÖB hat – was kaum jemand bemerkt hat- vor kurzer Zeit vermeldet, dass er sich ebenfalls neu mit den Tracking-Technologien des IT-Riesen auseinandersetzt:

“Erste Abklärungen des EDÖB haben gezeigt, dass die in der Klage aufgeführten Tracking-Technologien auch in der Schweiz verbreitet eingesetzt werden und folglich auch Personen aus der Schweiz vom Tracking durch Oracle betroffen sind.”

EDÖB in einer Mitteilung vom 27.09.2022

Der eidgenössische Datenschützer Adrian Lobsiger fordert dabei von allen Webseiten-BetreiberInnen (.ch) zu prüfen ob sie Oracle-Tracking-Technologien einsetzen. Wenn ja, müssen diese entfernen oder transparent ausweisen und die Zustimmung eingeholt werden.

Der Witz dabei: einer Art von Oracle-Trackern kann man sich gar nicht entledigen (mit oder ohne Zustimmung), wie DNIP.ch herausgefunden hat (später mehr dazu). Brisant dabei: Oracle ist ziemlich dick im Geschäft mit den Bundesbehörden. Neben dem Zuschlag als Public Cloud-Anbietern und bereits unterzeichnetem Rahmenvertrag laufen beim Bund weitere Beschaffungen in Höhe von mindestens 200 Millionen Franken.

DNIP.ch hat mit einfachen Suchmaschinen-Abfragen schnell einige Beispiele gefunden, die auf Oracle-Tracking setzen.

Das Tracking-Arsenal von Oracle

Die 69-seitige Klageschrift aus den USA ist für die technologieaffine Leserin interessante Lektüre. Sie bietet einen Einblick in das AdTech-Wesen, das zahlreiche Code-Schnipsel einsetzt, die unsere Reisen im Internet verfolgen (einen detaillierten Überblick im Fall von Google gibt es auch in diesem Beitrag). Die Klageschrift zeigt: Oracle steht in Sachen Datenhandel dem grössten Datenkonzern Google in nichts nach, zumindest was die angewandten Datenstaubsauger-Instrumente angeht.

Die Klageschrift beginnt mit einigen Hintergrundinformationen, etwa dass Oracle als “Data Broker” bei Redwood City eingetragen ist. Die Firma hat auch Wurzeln im Geheimdienst. Der Name Oracle war ursprünglich ein Code-Projekt der CIA. Im Dokument steht: “Larry Ellison wurde von der CIA angestellt um eine Datenbank zu bauen: die CIA war der erste Kunde von Oracle.”

Oracle betreibt eine Datenmanagement-Plattform namens BlueKai (ein Startup, das 2014 zugekauft worden ist), diese ist mit zwei weiteren Produkten verbunden: Oracle Data Marketplace und den Oracle ID Graph. In den Marketingunterlagen behauptet das US-Unternehmen dazu:

“The Oracle ID Graph helps marketers connect identities across disparate marketing channels and devices to one customer. Powered by the Oracle Marketing Cloud and Oracle Data Cloud, the Oracle ID Graph seamlessly pulls together the many IDs across marketing channels and devices that comprise a given person, enabling marketers to tie their interactions to an actionable customer profile. This ID enables the marketer to orchestrate a relevant, personalized experience for each individual across marketing channels and device types.“

ID Management, Oracle, https://docs.oracle.com/en/cloud/saas/data-cloud/data-cloud-helpcenter/
IntegratingBlueKaiPlatform/id_management.html

Oracle führt dabei Informationen aus Cookies, Tracking-Pixeln, Geräteinformationen wie Mobile ID, IP-Adressen und auch aus anderen Datenquellen zu einem Kundenprofil, dem ID Graphen, zusammen. Die wichtigsten Tracking-Technologien laufen dabei gar nicht unter dem Namen Oracle:

Die BlueKai-Cookies sammeln Web und App-Aktivitäten und übermitteln es in Echtzeit an die Oracle Server. Wenn also eine Internetnutzerin eine Webseite besucht, wird ihre IP Adresse, ihre Session-Time, ihre Zahl der Webseitebesuche, die genau besuchte URL der Website, die geklickten Hyperlinks und heruntergeladene Dokumente an die Oracle-Server übermittelt. Mittels algorithmischer Auswertung werden auf Konsumpräferenzen und Verhaltenszüge geschlossen und diese im Kundinnenprofil angereichert.

Bei einem anderen beliebten Tracker namens Addthis-Widget können Internet-Nutzerinnen eine Seite direkt mit beliebten Social Media-Plattformen teilen (FB, Twitter etc.). Wir kennen diese Buttons aus den News-Webseiten, wenn wir einen Artikel teilen wollen auf unserem Social Media-Profil. Die Information dass sich Facebook-Nutzerin Lisa oder Twitter-User Marc zum Beispiel auf der Webseite eines Filmverleihers befindet, wird damit auch an Oracle weitergegeben. Und zwar ohne dass die ahnungslose Webseiten-Besucher die Social Media-Buttons benutzen.

Die NGO Human Rights Watch hat diese Datenweitergabe scharf kritisiert und den Sachverhalt genauer erläutert:

“AddThis does much more than encourage social media traffic. Whether or not a person clicks on the “share” button, AddThis instantly loads dozens of cookies and tracking pixels on website visitors’ browsers, like nesting dolls, each collecting and sending user data to Oracle and to dozens of other AdTech companies to profile and target a person or a child with behavioral advertising that follows them across the internet.”

“How Dare They Peep into My Private Life?” Children’s Rights Violations by Governments
that Endorsed Online Learning During the Covid-19 Pandemic, Human Rights Watch (May 25,
2022)

Problematisch: jene Addthis-Plugins wurden gemäss Klageschrift auf Webseiten gefunden, der LGBTQ-Community, Anlaufstellen für häusliche Gewalt und solche die Gesundheitsinformationen sammelten.

Addthis und Bluekai sind diejenigen Tracking-Formen, die DNIP.ch schnell bei Webseiten von Schweizer Unternehmen und Organisationen mittels einfacher Suchmaschinen-Abfragen (einfach Stichworte in Suchmaschine eingeben: “addthis, site:.ch”) gefunden haben.

Es gibt noch mehr Wunderwaffen aus dem AdTech-Arsenal: Mittels des implementierten bk-coretag.js-Code werden sogar noch mehr Informationen an die Oracle-Server (bzw der Oracle Data Cloud) verschickt. So zum Beispiel Keywords der Webseite, die genaue Uhrzeit des Besuchs, “purchase intent”-Signals (wobei nicht umschrieben ist wie die Kaufabsichten technisch erfasst werden). Das Code-Paket sendet dann auch die gehashte Eamiladresse und Telefonnummer der Nutzerin.

Und allgemein ist in der Klageschrift von weiteren Tracking-Pixel die Rede, die neben etwa Informationen zur Zeitzone oder zur Bildschirmaufösung mitschicken. Sehr viele davon werden etwa in Newsletter integriert, damit die Absenderinnen im Rahmen von Emailkampagnen erfahren wann genau die Email geöffnet worden ist und dadurch optimieren können.

All diese Informationen münden in den für jede Person erstellten Oracle ID Graphen. Denn durch die Kombinationen von Browser Cookies, der Mobile Advertising ID, IP Adressen und gehashten Namen, Emailadressen der NutzerInnen und Cookie Sync-Technologien könnte je nachdem Personen eindeutig als dieselbe Person identifiziert werden, samt aller von ihr genutzten Geräte (die dieser Person zugeordnet werden können).

Das Zusammenspiel all dieser digitalen Spione ist sehr komplex und unübersichtlich. Fakt ist: Oracle-Code ist auf Webseiten der New York Times und Amazon integriert gemäss der Anklageschrift. Und in 20% der populärsten 10000 Webseien.

Ziel: dieser umfangreichen Kundenprofile ist wie bei Facebook und Google: Zielgruppenspezifische Werbung ausspielen lassen und als Webseiten-Betreiberin von den Oracle-Analytics-Daten profitieren.

Oracle-Spione auf Schweizer Webseiten

Welche Domains mit .ch enthalten nun Oracle-Cookies und Tracker? DNIP.ch hat ein paar Web-Adressen ermittelt. Vorab: Es muss darauf hingewiesen werden, dass wir bei der Recherche nur diejenige Domains anschauen, die die Tracking-Technologien – wie vom Schweizer Datenschutzgesetz gefordert – transparent gemacht haben in ihren Datenschutzerklärungen und teils auch die Möglichkeit angeben, jene Marketing-Cookies abzulehnen. Insofern handeln die Webseiten-BetreiberInnen vorbildlich. Es soll sich also nicht um einen Pranger handeln, sondern einfach um Beispiele die mit Oracle-IDs arbeiten.

Autohändler/vermieter geben gerne die Daten an Oracle weiter. Bei der SIXT stand bis vor Kurzem folgende Anagbe (siehe Bild unten). BlueKai wurde zwischenzeitlich entfernt. Ob dies auf eine Intervention des EDÖB zurückgeht? Dazu herrscht Stillschweigen, SIXT antwortete nicht auf die Anfrage von DNIP.ch

Ebenfalls BlueKai-Cookies gefunden haben wir beim Autohändler Mazda oder dem Elektro-Warenhändler Mouser. Kleines Hintergrundwissen dazu: In der europäischen Cookie-Richtlinie wird festgehalten: “Cookies, welche nicht unbedingt erforderlich sind, dürfen nur noch verwendet werden, wenn der Nutzer der Webseite nach vorgängiger Aufklärung seine Einwilligung erteilt hat”. Seither werden wir mit den unsäglichen Cookie-Bannern gequält. Bei korrekter DSGVO-Umsetzung sind die Voreinstellungen zumindest bei den Marketing-Cookies wie diejenige von Google und Oracle pauschal auf “Aus” gesetzt. Das ist zumindest bei den Beispielen wie Mazda oder dem Elektrowarenhändler Mouser durchaus der Fall.

Anders verhält es sich bei den gefundenen Beispielen zum integrierten AddThis-Widget, deren Ausschaltungsoption eine reine Farce ist, wie DNIP.ch herausgefunden hat. Hier ist viel mehr “manuelles Klick-Handgelismete” nötig: In allen Datenschutzerklärungen wurde darauf hingewiesen, dass die Datenweitergabe bei einer bestimmten URL widersprechen kann:

“Sie können der Nutzung Ihrer Daten jederzeit durch Einsatz eines „Opt Out Cookies“ (http://www.addthis.com/advertising-choices) widersprechen.“

Dieser Satz steht in vielen Datenschutzerklärungen von .ch-Webseiten drin, die mit AddThis arbeiten. Wie etwa beim Getränkehersteller Knutwiler.ch oder bei der Umweltallianz

Wer aber besagte URL anklickt, wird weitergeleitet an eine Präsentierseite “What we do”! Es gibt also keine Möglichkeit sich der Datenweitergabe an Social Media-Plattformen und an den Datenkonzern Oracle zu entsagen. Offenbar geht man wohl bei Oracle davon aus, dass sowieso niemand jene Datenschutzerklärung liest und sich die Mühe macht, sich auszutragen (immerhin verlinken einige Webseiten wie etwa der Swiss Investor Relations-Website irclub.ch auf die richtige Opt Out-Ausstiegsmöglichkeit). Es muss wohl der Hauptgrund gewesen sein, warum der EDÖB nun Oracle angeschrieben hat und auf Antworten wartet.

Ärgerlich ist dass die von DNIP.ch gefundenen Webseitenbeispiele zwar die Integration des Addthis-Widget transparent machen, aber dabei nicht mal eine Einwilligung abholen bei der Webseiten-Besucherin. Die Zustimmung zur Cookie-Policy wird pauschal abgeholt mit “OK”, wie die Beispiele Knutwiler oder Umweltallianz zeigen. Dasselbe offenbart sich beim Reisebüro Kuoni (und der dazugehörigen Webseite Kuoni.ch). Wir haben bei der Medienabteilung des Konzerns nachgefragt, weshalb die Webseiten-Besucherin keine Auswahl erhält was die Datenverarbeitung angeht und auch eine Antwort erhalten.

“Selbstverständlich befolgt Kuoni die aktuell geltende Rechtslage, also die Bekanntgabe, was mit Cookies geschieht. In unserer Datenschutzerklärung ist auch aufgezeigt, wie Cookies im Browser deaktiviert werden können.

Eine Ausweitung des Datenschutzes für die Besucherinnen und Besucher von kuoni.ch ist bereits in Arbeit. Die Implementierung von “Consent Management Providern” (CMP), die Nutzende beim Aufrufen der Website umgehend nach deren Einwilligung zur Verwendung von Daten fragen, erfolgt im ersten Quartal 2023 und damit früher als vom Gesetzgeber vorgeschrieben.”

Markus Flick, Mediensprecher Kuoni

Kuoni arbeitet also gerade an Besserungen (und sieht sich offenbar nicht an die DSGVO gebunden, sondern an das revidierte Datenschutzgesetz, welches erst im September 2023 in Kraft tritt). Bei Knutwiler.ch und der Schweizer Umweltallianz gibt es ebenfalls keine Auswahlmöglichkeit.

Profitiert die Schweiz vom europäischen Cookie-Stopp?

Fazit: Den langen Armen von Oracle kann man im Netz schwer entgehen. Getarnt als Pixel, JavaScript-Code-Files oder nicht wegklickbaren Cookies werden munter Daten über Geräte gesammelt, gesyncht und anhand gehashter Emailadressen zu einem Profil zusammengeführt. Gemäss des Magazins AdWeek hatte Oracle vor paar Jahren angekündigt den Datenhandel in Europa einzustellen, weil es gegen die europäische DSGVO verstösst. Leider ist unklar welche Tracker gemeint sind, seit 2019 sollten europäische Nutzerinnen auch nicht mehr vom Datensaug-Tracker Addthis betroffen sein. Ich habe bei der Medienstelle von Oracle Schweiz nachgefragt, ob die Schweiz ebenfalls von diesen Verboten profitiert und bis dato keine Antwort erhalten (sie wird allenfalls als Update noch nachgereicht).

Etwas aufschlussreicher waren die Datenauskunftsbegehren beim Data Broker direkt. Ich wollte von Oracle wissen, welche Daten zu meinen Geräten, Browsern online und eventuell auch offline von mir gesammelt worden sind (zum Beispiel mit Kundenkarten, die ich in einem Schuhladen angelegt haben könnte. Die von mir gesammelten Emiladressen würden dann gehasht hinterlegt bei der Oracle Daten-Cloud landen und mit der zugehörigen Online-Datensammlung angereichert werden). Nach einigen Wochen antwortete mir die Datenschutzabteilung des Konzerns dass ich auf diesem Link meine Online-Datensammlung herunterladen könnte. Für die Offline-Datensammlung verlangen sie noch weitergehende Auskünfte wie meine Wohnadresse (ein Aussteigen, also ein Opt Out aus der Offline-Datensammlung, ist ohnehin nur Amerikaner:innen vorbehalten).

Beim Link auf die Online-Datensammlung (Mobile und Web) hiess in meinem Fall: Keine Daten zu diesem Browser vorhanden (auch bei allen anderen verwendeten). Nun gut, ich habe verschiedene AdBlocker installiert, die mir jene Marketing-Cookies vom Leib halten sollen, die Erklärung ist daher naheliegend. Doch skeptisch bleibe ich trotzdem. Denn auch in Mobile Apps sind die BlueKai-Codeschnipsel drin enthalten, diese sammeln dann je nachdem mein eindeutigen “Identifier” wie etwa die Mobile Advertising ID oder Google Advertising ID meines Smartphones (Zwar habe ich diese alle auf “off” gesetzt). Es fällt mir schwer zu glauben dass Oracle kein einziges Kundenprofil über irgendwelche Geräte oder eindeutigen Kennungen von mir unterhält. Stand 2016 verfügte der Datenkonzern Oracle nach eigenen Angaben über 5 Milliarden ID-Graph-Profilen. Allerdings werden diese Zahl stark angezweifelt von der Fachpresse wegen Doubletten und Tripletten pro Person (es ist je nachdem eher von 800 Millionen Kundenprofilen die Rede).

Bundesmillionen für Oracle

Brisant sind die Befunde vor dem Hintergrund dass die Schweizer Bundesverwaltung mit Oracle dick im Geschäft ist. Nicht nur ist Oracle unter den 5 Zuschlagsempfängerinnen für die Public Cloud im Rahmen der 110 Millionen Franken. Darüber hinaus erhielt Oracle laut der Beschaffungsplattform simap.ch für eingekaufte Software 17 Millionen (ProjektID: 106375), 32 Millionen (Freihänder, Erneuerung Software-Lizenz, Projekt-ID 138849), und infolge einer bundesweiten Oracle-Beschaffung mit Laufzeit 2020-2024 weitere 150 Millionen Franken (Mindestauftrag 16 Mio CHF), Projekt-ID: 196114.

Kurz: Die Schweizer Bundesverwaltung wendete und wendet bisher sicher mindestens 200 Millionen Franken auf für Oracle.

Ob die EDÖB-Untersuchung an dieser Zusammenarbeit mit Oracle etwas ändern wird? Wohl kaum. Denn das Cloud-Geschäft wird wohl als gesonderte Geschäftssparte gehandhabt, die nichts mit dem Datenhandel-Teil zu tun hat.

Ein fahler Beigeschmack zum ausgewählten Partner bleibt trotzdem.

Update 11.10.2022 um 17:30: Die Präventionskampagne S-U-P-E-R des eidgenössischen National Cybersecurity Centre hat ebenfalls ein AddThis-Widget integriert, das munter mit amerikanischen US-Servern kommuniziert. Und dies ohne das Ganze transparent zu machen in der Cookie-Policy. Nicht gerade vorbildlich, zumal es sich hier thematisch um eine Webseite handelt die für ungewollte Datenabflüsse sensibilisieren möchte (danke an den anonymen Hinweisgeber!)