Am diesjährigen Winterkongress der Digitalen Gesellschaft haben wir mit einem Vortrag die Mehrfachrolle von Google als Quasi-Suchmaschinen-Monopolist, Anbieter des am weitesten verbreiteten Browsers und Major Player im Internet-Werbemarkt beleuchtet. Die wichtigsten Punkte daraus fassen wir im folgenden nochmals zusammen (wer 45 Minuten Zeit hat, kann sich den Vortrag auch anschauen).
Inhalte
ToggleDer Konzern Google
Die Zeiten, in denen Google die schlanke Suchmaschine mit dem nüchternen User Interface und den guten Resultaten war, sind schon seit längerem vorbei. In den bald 26 Jahren seit der Gründung des Unternehmens sind diverse Funktionen und Unternehmensbereiche dazugekommen:
- Mit Google Maps, Google Docs und Google Mail stehen eine Reihe von Alltagshelfern bereit,
- YouTube ist die Videoplattform im Internet,
- Google Chrome (bzw. Chromium-basierte Browser) deckt rund 80% der Browser-Nutzung ab,
- Android ist das am weitesten verbreitete Smartphone-Betriebsssystem,
- Google Cloud ist ein Cloud-Offering analog zu AWS und Microsoft Azure,
- Zusätzlich gibt es eine ganze Reihe von Zusatzprodukten wie Google Analytics, Google DNS, Google Fonts etc., bei denen das Unternehmen ebenfalls stark im ganzen Internet vertreten ist.
Viele dieser Angebote sind kostenlos, einige (wie zum Beispiel YouTube) offensichtlich werbefinanziert. Was aber oft ignoriert wird oder vergessen geht: Google als Ganzes ist vor allem ein Werbeunternehmen, welches nebenbei noch ein paar Internet-Dienste zur Verfügung stellt.
Im Werbemarkt tritt Google gleich mehrfach auf: Es bietet einen Marktplatz zur Versteigerung von Werbeplätzen auf Webseiten an, es agiert als Vertreter des Werbetreibenden auf dem Marktplatz und es arbeitet auch mit Unternehmen zusammen, die auf ihren Webseiten Werbeplätze anbieten wollen. Übertragen aufs Finanzwesen wäre das vergleichbar mit einer Bank, welche an der Börse sowohl als Vertreter des Aktienkäufers wie auch der Aktienverkäuferin auftritt, dort auch Eigenhandel betreibt und die Börse an sich auch noch kontrolliert. Dass sich dabei die Interessen auch mal vermischen können, ist in USA seit längerem Teil eines grösseren Gerichtsverfahrens.
Dass Google primär ein Werbeunternehmen ist, wird auch durch die Unternehmensbilanz verdeutlicht. Bei Einnahmen von insgesamt rund 300 Milliarden Dollar entfallen 237 Milliarden oder mehr als ¾ aufs Werbegeschäft.
Revenue 2023 | Million USD |
Google Search & other | 175’033 |
YouTube ads | 31’510 |
Google network (AdSense) | 31’312 |
Google advertising | 237’855 |
Google Other (Geräte, Abos) | 34’688 |
Google Services total | 272’543 |
Google Cloud | 33’088 |
Other Bets (Rest Alphabet) | 1’527 |
Hedging gains | 236 |
Total revenues | 307’394 |
Angesichts dieser Bilanz ist es nachvollziehbar, dass für Google der Spagat zwischen der Erhaltung des Werbenetzwerks—vor allem dessen Erträge—auf der einen Seite, und der Weiterentwicklung des Webs und dabei insbesondere das zunehmende Datenschutzbewusstsein der Benutzerinnen immer anspruchsvoller wird.
Diese Problematik betrifft neben Google auch andere Internet-Riesen wie Meta/Facebook, Amazon und Apple, insgesamt sticht Google aufgrund der Mehrfachrolle allerdings immer wieder hervor.
Das Ende der 3rd party cookies
Werbenetzwerke im Internet leben davon, denselben Benutzer über verschiedene Webseiten hinweg zu tracken und so sowohl mehr über seine Interessen zu erfahren als auch zielgerichtet zu diesen Interessen passende (und entsprechend wertvolle/teure) Werbung ausspielen zu können. Als Instrument der Wahl haben sich dazu in den letzten Jahren (Jahrzehnten?) sogenannte 3rd party cookies etabliert. Dazu verlinkt der jeweilige Webseiten-Betreiber für den Benutzer unsichtbar auf ein Werbenetzwerk wie zum Beispiel Doubleclick (also Google), die über den Link aufgerufene URL legt dann ein eindeutiges Cookie (nicht unähnlich einer Textdatei mit einer eindeutigen ID) im Browser ab. Wenn nun viele Webseiten auf Doubleclick verlinken, kann Doubleclick so erkennen, auf welchen Seiten der Benutzer mit dieser ID aktiv ist (und so dessen Interessen ableiten).
Nun ist es nicht unbedingt angenehm zu wissen, dass Werbekonzerne umfassende Personenprofile zu Milliarden von Menschen (bzw. eigentlich von Browser-Profilen, aber de facto ist dies dasselbe) anlegen (wir haben schon mehrfach darüber geschrieben). Kein Wunder also, dass AdBlocker-Extensions dieses Tracking schon seit längerem zu unterdrücken versuchen, kein Wunder auch, dass nicht-werbe-abhängige Browseranbieter wie Mozilla (Firefox) und Apple (Safari) 3rd party cookies generell nicht mehr unterstützen. Aber bevor wir uns Googles Ausweg aus dem Dilemma anschauen, versuchen wir nachzuvollziehen, was denn ein Werbetreibender wissen möchte, wenn er Werbung auf einer Webseite schaltet.
- Ist die Benutzerin, welche gerade online auf die Webseite 20-seconds.ch zugreift, dieselbe wie die, welche vor 2h nach neuen Turnschuhen gesucht hat?
- Wirkt meine Werbung überhaupt, d.h. führen meine Online-Ads dann effektiv auch zu einem Verkaufsabschluss?
- Wofür interessiert sich die Benutzerin abgesehen von Turnschuhen sonst noch (zum Beispiel Kopfhörer) und gibt es allenfalls Cross Selling-Möglichkeiten (also kann ich der Turnschuh-Käuferin vielleicht auch gleich noch Sport-Kopfhörer mit einem Paketpreis verkaufen)?
- Spiele ich meine Werbung überhaupt an einen Menschen aus oder kommt der Zugriff von einem Bot oder einer Preisvergleichsplattform?
Nicht alle die Fragestellungen konnten bisher mit 3rd party cookies und ähnlichen Methoden beantwortet werden. Es mag daher nicht ganz überraschen, dass Google in seiner Rolle als Werbenetzwerkbetreiber dem Google in der Rolle als Browser-Entwickler einige Hausaufgaben mitgibt, um bei der Ablösung der 3rd party cookies auch noch ein paar andere Probleme zu lösen. Herausgekommen sind eine ganze Reihe von neuen APIs (Programmierschnittstellen), mit denen Webseiten dafür sorgen können, dass lukrative Werbung weiterhin funktioniert. Zusammengefasst hat Google diese neuen APIs unter dem einprägsamen (aber, wie sich zeigen wird, auch leicht irreführenden) Oberbegriff „Privacy Sandbox“:
Der Aufmacher liest sich auf ersten Blick beeindruckend, der Begriff „Privatsphäre/Privacy“ kommt gleich viermal drin vor. Auch wird versprochen, dass mit der Privacy Sandbox Onlineinhalte und -dienste kostenlos bleiben (auch wenn man sich da durchaus fragen kann, wie Google das garantieren möchte). Immerhin wird auch erwähnt, dass es die Privacy Sandbox Unternehmen und Entwicklern ermöglichen soll, erfolgreiche digital Unternehmen aufzubauen (bzw. mit anderen Worten werbe-basiert den Umsatz zu steigern).
Die Privacy Sandbox besteht aus vier zentralen APIs (und einigen weiteren, die mehr unterstützend wirken oder noch experimentell sind):
API-Name | Funktion |
---|---|
Topics API | Browser lernt Werbe-Interessen anhand besuchter Seiten |
Privacy State Tokens | Prüft, ob ein Mensch aktiv ist (oder zB ein Bot) |
Protected Audience API | Werbe-Marktplatz im Browser |
Attribution Reporting API | Wirksamkeits-Messung von Werbung |
Allen gemeinsam ist, dass sie viele der heute durch den Werbenetzwerk-Betreiber angebotenen Funktionen (welche eben das Tracking ermöglichen) in den Browser verschieben. Das ist aus Benutzer-Sicht durchaus ein Zuwachs an Privatsphäre (Daten, welche den Browser nicht verlassen, können nicht durch Dritte missbraucht werden), führt aber auch zu einer Stärkung der Position des Browsers bzw. des Browser-Herstellers. Und der ist in diesem Fall ebenfalls Google, welches so unter dem Titel „Schutz der Privatsphäre“ auch gleich seine eigene Machtposition ausbaut.
Was machen die APIs nun im einzelnen?
Topics API
Mit dieser API wird die Ermittlung der Benutzerinteressen („Topics“) quasi in den Browser verschoben. Webseiten (zum Beispiel ein Turnschuhverkäufer oder eine Seite mit Kopfhörer-Testberichten) können entsprechende Hinweise an den Browser geben, dieser sammelt diese ohne Protokollierung der jeweiligen Webseite (d.h. der Verlauf wird nicht festgehalten) und stellt sie anderen Seiten zur Verfügung (die dann basierend darauf Werbung ausspielen können).
Was damit allerdings nicht verhindert werden kann, ist ein Browser-Fingerprinting durch besuchte Websites (oder dort eingebundene Tracker), also das Wiedererkennen aufgrund anderer sichtbarer Merkmale (wie Betriebsssystem, Fonts, Fenstergrösse etc), und damit ist dann Tracking/Profiling problemlos weiter möglich. Auch bietet Google der Nutzerin im Browser zwar die Möglichkeit, einzelne erkannte Topics zu löschen oder deren Protokollierung zu sperren, aber diesen Aufwand werden sich wohl die wenigsten machen (das Blockieren von 3rd party cookies war im Vergleich dazu deutlich einfacher).
Privacy State Tokens
Mit Privacy State Tokens versucht Google das Problem anzugehen, bei Webseiten-Aufrufen zwischen Menschen und Bots unterscheiden zu können. Um dies zu ermöglichen, setzt die Webseite im Browser quasi ein „hier agiert ein Mensch“-Flag, wenn der Benutzer auf einer Webseite wie zum Beispiel Amazon einloggt, ein reCAPTCHA löst oder eine andere Aktion ausführt, welche normalerweise menschliches Handeln voraussetzt. Dieses Flag wird zusammen mit Details zur Art/Quelle dieser Zusicherung (d.h. welche Webseite (in unserem Fall Amazon) die Zusicherung gemacht hat) als Token im Browser abgelegt. Eine nachfolgend besuchte Seite kann nun diesen Token abfragen („ist der Benutzer aus Sicht von Amazon (oder Microsoft) ein Mensch?“) und Werbung nur dann ausspielen, wenn ein solches vertrauenswürdiges Token vorhanden ist.
Das ist an sich ziemlich clever, bietet aber auch die eine oder andere Gefahr. Um nur die zwei offensichtlichen zu nennen:
- Webseiten können die Token-Abfrage dazu verwenden, Bot-Zugriffe wie der im Bild dargestellte Preisvergleicher generell zu verhindern. Das würde dann auch die Archivierung von Webseiten durch archive.org verhindern.
- Als Werbeanbieter will ich mich auf vertrauenswürdige Token abstützen, d.h. auf ein Token dessen Quelle ich vertraue. Da dürfte ein Google reCAPTCHA-garantiertes Token deutlich mehr Wert besitzen als dasjenige des Onlineshops des Kaninchenzuchtvereins Glarus-Süd, d.h. grosse Anbieter wie Google werden auch hier bevorzugt.
Ebenfalls vorgesehen ist, dass Tokens nach einer vom Ersteller vorgegebenen Anzahl Nutzungen verfallen. Damit kann verhindert werden, dass man sich quasi einmal ein Token holt und dieses dann in einem Bot quasi endlos verwendet.
Protected Audience API
Dieses API geht noch eine Stufe über die oben erwähnte Topics API hinaus. Es erlaubt die direkte Versteigerung von Werbeplätzen im Browser, basierend auf den bereits identifizierten Interessensgebieten der Benutzerin. Der Vorteil aus Privatsphäre-Sicht ist hier sicherlich, dass (zumindest solange man die Werbung nicht anklickt) keine Daten der Benutzerin den Browser verlassen. Der Nachteil (wobei das Google wohl anders sehen würde) ist allerdings, dass der Browser (d.h. die Werbebörse) Google gehört, und die anderen Werbenetzwerke das vermutlich nicht so attraktiv finden, wenn Google hier seine starke Stellung weiter ausbaut.
Weitere Versuche, über Chrome das Web zu kontrollieren
Neben den Adaptionen zur Ablösung der 3rd party cookies gibt es von Google, meist ebenfalls mit der Begründung des erhöhten Datenschutzes oder genereller der „Sicherheit“, weitere Versuche, den Chrome-Browser und über diesen das Web stärker unter Kontrolle zu bringen und einzuschränken.
Web Environment Integrity
Web-Browser sind aus IT-Security-Sicht unsichere Umfelder, da der Benutzer ja die vollständige Kontrolle darüber hat und bei Unachtsamkeit auch bösartige Erweiterungen installieren kann. Unter anderem ist das mit ein Grund, wieso eVoting unter Umständen riskant sein kann. Auch Finanzdienstleister oder Online-Games kennen das Problem, dass via Browser ungewollte Aktionen zulasten des Benutzers oder der Mitspieler stattfinden. Um diesen Problemen entgegenzuwirken, hat Google mit Web Enviroment Integrity einen Vorschlag ausgearbeitet, mit welchem Webseiten verifizieren könnten, ob ein Browser „sicher“ ist (d.h. einer bekannten Konfiguration entspricht und keine unbekannten oder gefährlichen Erweiterungen installiert hat).
Das Problem mit diesem Ansatz ist, dass viele der aufgeführten negativen Elemente jeweils ein positives/nützliches Pendant haben. So können Erweiterungen nicht nur Social Media-Manipulationen vornehmen, sie können auch einen im Browser installierten Filter für allzu negative Tweets oder Hassreden sein. Oder sie können Online-Spiele um Funktionen erweitern, welche die Account-Verwaltung vereinfachen ohne dabei ins Spielgeschehen einzugreifen. Usw. etc.
Mit anderen Worten: Die Verifikationsstelle (also Google) hätte mit Web Environment Integrity sehr viel Einfluss darüber gewonnen, welche Erweiterungen nun als positiv oder negativ angesehen werden. Und jede neue Erweiterung hätte, damit das ganze funktioniert, zuerst mal als negativ gewertet werden müssen bevor sie allenfalls auf der Positiv-Liste auftaucht. Entsprechend gross war die Opposition gegen den Vorschlag. Google hat ihn daher (fürs Erste (?)) auf Eis gelegt.
Eine vergleichbare Funktion ist allerdings in Android im Einsatz. In Kontakt damit kommt man beispielsweise, wenn man ein gerootetes Android-Smartphone einsetzt:
- viele eBanking-Apps verweigern da aus „Sicherheitsgründen“ ihren Dienst
- RCS (der von Google stark unterstützte SMS-Nachfolger) funktioniert nicht mehr, offiziell zur Bekämpfung von Spam und Missbrauch
Und auch wenn das jetzt nicht direkt mit Werbung zu tun hat und allenfalls sogar einen Mehrwert bringt, zeigt es doch, mit welchen Mitteln Google versucht, das Verhalten der Benutzer zu steuern. Im Falle von Android ist das doppelt ironisch, gilt dieses OS im Vergleich zu Apples iOS doch eher als offen.
Einschränkungen bei den Chrome-Extensions
Ebenfalls ein paar Irrwege nahmen die Versuche von Google, die Standards zum Erstellen von Browser-Erweiterungen weiterzuentwickeln. Ob Google in diesem Fall bewusst darauf hinarbeitete, die Funktion von Erweiterungen einzuschränken oder ob sie schlicht nicht erkannten, welche negativen Auswirkungen ihre ursprünglichen Ideen hatten, soll dabei offen bleiben. Um was geht es?
Die Funktionen mit welchen Browser-Erweiterungen mit dem Browser und den Seiteninhalten interagieren können, sind in einem sogenannten Manifest festgelegt (also in einer Art Schnittstellenbeschreibung). Davon gibt es über die Jahre verschiedene Versionen. Seit 2022 akzeptiert Google neue Erweiterungen mit dem „alten“ Manifest v2 nicht mehr, ab voraussichtlich Herbst 2024 werden sie auch vom Browser nicht mehr unterstützt. Entwickler von Chrome-Extensions (Firefox unterstützt v2 weiterhin) sind also gezwungen, ihre Erweiterungen auf Manifest v3 umzuschreiben. Gerade für Entwickler von AdBlockern ist das nicht ganz einfach, da Google in v3 einige Funktionen einschränkt.
In v2 haben Erweiterungen, so sie das wünschen, über das webRequestAPI
vollen Zugriff auf sämtliche im Browser aufgerufenen URLs (also sowohl den von der Benutzerin eingegebenen oder angeklickten Link wie auch auf alle Links, welche beim Laden einer Seite im Hintergrund aufgerufen werden: Bilder, Schriften, JavaScript, …).
Aus Privatsphären-Sicht ist das insofern unbefriedigend. als dass der AdBlocker (oder eine sich z.B. als AdBlocker ausgebende bösartige Extension) jede aufgerufene URL kennt (und sie zum Beispiel mitschreiben oder einem Überwachungsdienst schicken könnte). Bei langen Blocklisten kommt es auch darauf an, dass das Ausfiltern kritischer URLs in der Extension schnell erfolgt (der entsprechende Algorithmus also nicht einfach von vorne nach hinten die Blockliste durchsucht), sonst kommt es beim Browsen zu spürbaren Wartezeiten. Und zu guter Letzt sind solche AdBlocker aus Sicht von Google natürlich auch schlecht fürs (Werbe-)Geschäft.
Mit Manifest v3 hat Google daher eine entscheidende Änderung vorgeschlagen: Anstelle mittels webRequestAPI
jede einzelne URL prüfen zu können, müssen AdBlocker neu mit dem declarativeNetRequestAPI
dem Browser die zu prüfenden Regeln/Muster bekanntgeben, der Browser nimmt die Prüfung anschliessend selber vor. Die Vorteile bezüglich Datenschutz (AdBlocker kennt keine URLs mehr) und Performance (Browser kann Musterabgleich einmal performant implementieren) liegen auf der Hand (Bemerkung am Rande: Werbefilter in Safari funktionieren nach demselben Prinzip).
Kritik gab es in den ersten Versionen von Manifest v3, weil Google nur eine sehr kleine Zahl von rund 5000 Regeln erlaubte, AdBlocker in der Praxis (und vor allem, wenn der Benutzer selber noch Regeln hinzufügt) schnell mal über 10’000 Regeln verwenden. Glücklicherweise entstand nach der Vorstellung von Manifest v3 ein konstruktiver Austausch zwischen Erweiterungs-Entwicklern und dem Chrome-Team, in der aktuellen Version können AdBlocker 30’000 Regeln als Teil der Installation mitbringen und 30’000 weitere benutzerdefiniert hinzufügen.
Nichtsdestrotrotz mag beim einen oder anderen ein ungutes Gefühl bleiben, schliesslich hat Chrome (d.h. Google) jetzt die Kontrolle darüber, ob und wie Block-Regeln ausgeführt werden. Für die Benutzerin ist nicht mehr ohne weiteres nachvolllziehbar, ob alle hinterlegten Regeln auch jederzeit zur Anwendung kommen.
Geht es auch ohne Google?
Angesichts dieser dominanten Stellung von Google stellt sich aus Sicht der Anwender natürlich die Frage, ob und wie man sich dem entziehen kann. Bezüglich der Reduktion des Tracking durch Webseiten und der Vermeidung von allzu aggressiver Werbung haben wir schon in Tracking, nein danke! einiges geschrieben. Hier kann man sich mit verhältnismässig einfachen Mitteln selber helfen:
- Firefox als Browser ignoriert 3rd party cookies bereits heute, auch wird Mozilla die von Google vorgeschlagenen und oben erwähnten Werbe-APIs kaum in Firefox einbauen,
- uBlock Origin gibt es als Browser-Erweiterung für praktisch alle üblichen Browser (mit Ausnahme von Safari), es blockiert neben Cookies dann gleich auch Zugriffe auf typische Werbeseiten,
- Consent-O-Matic ist ebenfalls eine Browser-Erweiterung welche die weitverbreiteten Cookie-Popups automatisch im datenschutzfreundlichen Sinn beantwortet,
- Für Firefox gibt es als Browser-Erweiterung zusätzlich Firefox Multi-Account Containers. Damit lassen sich Browser-Tabs voneinander abschotten, sodass man beispielsweise verhindern kann, dass zum Beispiel Google im Tab 2 die Cookies nicht lesen kann, welche man sich durch Zugriff auf sein Google Mail-Account in Tab 1 eingefangen hat.
Etwas anspruchsvoller wird der Selbstschutz, wenn man generell auf Google-Produkte verzichten möchte (und nicht einfach vom Google- ins Microsoft-Universum wechseln will). So stellt man bei Alternativen aus dem FOSS-Umfeld relativ schnell fest, dass sich die Millionen, welche Konzerne wie Google in die Usability stecken, effektiv auch in Qualität und Bedienbarkeit auszahlen; und muss man zumindest bei Kollaborationstools nicht nur sich selbst, sondern auch sein jeweiliges Umfeld von einem Wechsel (oder zumindest von der Nutzung einer Alternative) überzeugen. Wer sich davon nicht abschrecken lässt, wird aber bei praktisch allen Themen fündig. Wir haben einige Alternativen im oben bereits erwähnten „Tracking, nein danke!“-Artikel aufgeführt.
Links & weiterführende Artikel
- Privacy Sandbox, Googles Übersicht zum Thema. Im Kontext des Artikels ist vor allem die Konkretisierung für das Web relevant.
- ContraChrome, ein zwar nicht mehr taufrisches, aber nach wie vor hochaktuelles Comic über Googles Versuche, das Web und Webstandards zu kontrollieren.
- Google’s Protected Audience Protects Advertisers (and Google) More Than It Protects You, ein Blogpost von Mozilla über die Nachteile von Protected Audience.
- Chrome Sync Privacy is still very bad zeigt auf, was man beim Einrichten der Profile-Synchronization von Chrome beachten muss, um seine Bookmarks, History, Passwörter nicht direkt an Google zu schicken.
Eine Antwort
Dabei war Google’s Motto ursprünglich „Don’t be evil“… Wer auf der Suche nach weiteren wirklich freien Tools ist, die weder Daten sammeln, noch Werbung zeigen, kann einen Blick auf https://verzeichnis.handelsfrei.org/ werfen.