Accessnow.org hat eine Studie zur Frage veröffentlicht, welche Nutzer von Überwachung durch eine Modifikation ihres http-Headers durch den Access Provider betroffen sind. Das Ergebnis ist global erschreckend. Für Deutschland kann wohl Entwarnung gegeben werden.
Seit Oktober 2014 betreiben sie die Webseite www.amibeingtracked.com, mit der man vom Mobiltelefon aus prüfen kann, ob ein Tracking-Header in den eigenen Datentraffic eingefügt wird. 200.000 Nutzer haben diesen Test seither durchgeführt und bei immerhin 15% hat der Provider den Datenstrom verändert. Dabei wird eine eindeutige Identifikationsnummer in den Datenstrom eingefügt, durch die es Dritten möglich ist, das Verhalten des Nutzers zu überwachen. Dies ist auch nicht beschränkt auf die Partnerunternehmen des Access Providers. Auch Werbefarmen erheben und speichern diese Ids und nutzen sie zur Identifizierung des Nutzers über mehrere Seiten hinweg. Dadurch können weite Teile des Surfverhaltens erfasst und ausgewertet werden. Dies ist datenschutzrechtlich und auch sonst extrem bedenklich, zumal der Nutzer praktisch keine Möglichkeit hat, das Verhalten zu unterbinden.
Ich hatte gerade vor wenigen Tagen nochmal darauf hingewiesen, dass das Einfügen von Daten in den http-Datenstrom („Deep Packet Injection“) – ich hatte damals das Einfügen von Werbung untersucht – nach deutschem Recht unzulässig sein dürfte. Der Access Provider kann sich dadurch sogar strafbar machen.
Es scheint den deutschen Mobilfunkunternehmen allerdings bewusst zu sein, dass ein solches Verhalten unzulässig wäre. Denn deutsche Nutzer sind nach der Studie wohl nicht betroffen. Ich habe es auch bei mir getestet – negativ. Bemerkenswert ist dies, da auf dem deutschen Markt auch Access Providern tätig sind, die anderswo nach der Studie von accessnow.org Deep Packet Injection vornehmen, z.B. Telefonica in Spanien und Vodafone in den Niederlanden und Spanien.
Falls doch jemand in deutschen Netzen feststellt, dass sein Provider den Datenstrom verändert, bin ich für eine Nachricht dankbar.