Web-Cookies Text: rex

Es geht um mehr als Privatsphäre

Internet-Cookies sind für viele vor allem eins; lästig. Wer davon profitiert, und vor allem wie, bleibt schleierhaft. Auf dem Spiel steht aber mehr als unsere Privatsphäre.

Beim Browsen im Internet ist es unumgänglich: Augenblicklich springt ein Fenster auf und fragt, «Stimmst du Cookies zu?» – dabei wollte ich doch einfach ein Güetzli-Rezept nachschlagen. Stattdessen werde ich gebeten, kritisch die Implikationen zu beurteilen, die hinter dem graphisch-hervorgehobenen Button «Alle annehmen» wie ein Köder lauern. Welche Prozesse werden dabei ausgelöst? Was bringt es, stattdessen alle Cookies zu deaktivieren? Und inwiefern geht das Problem über die Ausbeutung meines Online-Verhaltens hinaus?

Das Internet ohne Erinnerung

Wenn ich eine Website öffne, schicke ich eine Anfrage an den Server, auf dem die Website gespeichert ist. Dieser schickt mir dann den Code, Bilder, Videos und was auch sonst alles auf der Website zu finden ist auf meinen Internet-Browser, der den Code liest und die Inhalte mir entsprechend darstellt.

Aber diese digitale Infrastruktur allein würde das Internet, so wie wir es heute kennen nicht hervorbringen. Es hätte nämlich null Erinnerungsvermögen. Wenn ich die Seite neu lade, oder auch einfach innerhalb einer Website auf andere Seiten navigiere, würde der Server alles nochmals von vorne schicken. Voreinstellungen oder Login-Daten gingen verloren.

Als in den 90ern verschiedene Gruppen eine Lösung suchten, um Daten von Nutzer*innen im Internet zu speichern – etwa um einen digitalen Warenkorb füllen, ohne dass sich dieser mit dem nächsten Klick gleich wieder entleert – entwickelte Lou Montulli 1994 einen Vorschlag: Ein kleines Stück Text, das lokal, auf dem Computer der Benutzer*innen gespeichert wird. Die Website kann dann darauf zugreifen, und so kontrollieren, ob es beim Laden der Seite etwas von einem früheren Besuch berücksichtigen soll.

Und so funktioniert es grundsätzlich heute noch. Wenn ich das erste Mal eine Website mit Cookies besuche, schickt mir der Server zu Beginn eine Anfrage, Cookies auf meine Festplatte herunterzuladen. Wenn ich sie akzeptiere, landet das kleine Text-File auf meinem Computer und wird beim Browsen ständig erneuert, um Informationen zu speichern: Eine ID mit welcher der Server mich identifiziert, Login-Daten, Spracheinstellungen, aber auch Informationen zu meinem Verhalten auf der Website; Wie lange bleibe ich an einer Stelle, auf welchem Pfad gelange ich von einer Seite zur nächsten, wie oft schaue ich eine Seite an, und so weiter.

Fachsprachlich sind das «First-Party Cookies»; also diejenigen Cookies, die ausschliesslich mit dem Server, der auch die Website betreibt, assoziiert sind. Sie ermöglichen viele wichtige Funktionen des Internets.

Das Internet als Geldmaschine

Was in den 90ern bemerkt wurde, als viele sich fragten, wie das Internet profitabel sein sollte, ist, dass mit diesen Benutzer*innen-Daten ein ziemlich genaues Profil von dessen Nutzer*innen erstellt werden kann. Aber jede Website sieht ja nur die Cookies die sie selbst kreiert hat. Es wissen also ganz viele verschiedene Gruppen, ganz wenig über ihre Nutzer*innen.

Dies ändert sich durch sogenannte «Third-Party Cookies», welche nicht zur geöffneten Website gehören. Beim Laden einer Website mit Third-Party Cookies schickt der Browser eine weitere Anfrage auf den Server – von Google beispielsweise. Dieser bespielt auf der Website Werbeflächen und muss deshalb auch abgerufen werden, um die Website zu laden. Und; Google darf jetzt auch Cookies auf meinem Computer speichern. Wenn ich dann auf eine andere Website navigiere, die auch mit Google Werbung macht, sieht Googles Server dieselben Cookies auf meiner Festplatte wie zuvor – und weiss dementsprechend, welche Werbung es mir aufschalten soll.

Augenfällig ist, dass dieses Business-Model besser funktioniert, wenn Google auf möglichst vielen Websites präsent ist: Mehr Websites bedeuten mehr Benutzer*innendaten, und damit ein genaueres Profil der Konsument*innen. Dadurch kann ein Unternehmen zielgerichteter Werbung aufschalten und seinen Kund*innen – die Websites die Werbung aufschalten wollen – ein besseres Geschäft versprechen. Und so verkehrt sich das Paradigma: Anstatt dass viele Web-Server relativ wenig über ihre Nutzer*innen wissen, sind jetzt ganz Wenige im Besitz ganz vieler Daten.

Das Laden einer Website löst eine regelrechte Kaskade unsichtbarer Algorithmen und Berechnungen aus, vom Computer zu mehreren Servern und zurück, und das alles innerhalb von Sekunden. Währenddem ich eine Website navigiere, kommuniziert mein Computer regelmässig mit dem Server um die Cookies zu erneuern – je nach Website bis zu 22‘000 Mal.(1)

Es ist sogar noch perfider: In derselben Millisekunde, in der Googles Server entscheidet, welche Werbung es mir aufschalten soll, veranstaltet er eine vollautomatisierte und blitzschnelle Auktion für die Werbefläche auf der Website, die ich aufschalte. Die Werbung, die eine Sekunde später bei mir auf dem Bildschirm aufleuchtet, hat dann gewonnen.

Mithilfe des Barcelona Supercomputing Centers untersuchten 2022 eine Gruppe Forscher*innen und Künstler*innen das Ausmass des Cookie-Verkehrs. Sie liessen den Computer die Top-Eine-Million der meist besuchten Websites pro Monat abrufen und automatisch alle Cookies akzeptieren. Zuletzt wurden 22 Millionen Cookies heruntergeladen. Die Forschenden stellten dann eine grobe Hochrechnung auf, um abzuschätzen, wie viele Cookies weltweit pro Monat für diese Websites anfallen. Sie landeten bei sagenhaften 198 Billionen Cookies. Mit dem Median von 312 Bytes pro Cookie, ergibt das 61‘000 Terabytes an Cookies, die monatlich auf den Computern von Menschen weltweit grassieren – tatsächlich sind es wohl noch viel mehr. Das meiste davon um uns Werbung zu zeigen. Insofern erscheint der Name «Cookie» wie eine gefährliche Verharmlosung. Wieso in den 90er Jahren ein kleines Text-File, dass zwischen Programmen hin und hergereicht werden kann, auf den Namen «Magic Cookie» getauft wurde, ist mutmasslich einfach auf einen Witz zwischen Computer-Entwickler*innen zurückzuführen. Das Verhalten von Cookies heutzutage scheint mir viel eher vergleichbar mit Kletten: Diese lästigen Samen mit kleinen Widerhäckchen, die auf Kleidern hängen bleiben, wenn man durch ein Feld läuft. Auch «digitaler Parasit» wäre passender als Cookie.

Das Business-Model des Internets

Dieses Business-Model, dass unser Onlineverhalten akribisch analysiert, ist zumindest bedenklich, aber zutreffender ausbeuterisch. Einen kleinen Teil der effektiven Kosten tragen auch wir: Der Datenverkehr verschlingt Strom sowie Speicherplatz. Derweil verdienen sich die Werbeaufschalter*innen sich eine goldene Nase: Cookies und Internet-Tracking bilden den Grundbaustein für Advertising Technology (kurz AdTech, oder Werbe-Technologien auf Deutsch), deren globaler Marktwert 2023 auf 1066 Milliarden US Dollar geschätzt wurde. Laut Prognosen wird sich dieser Markt bis 2032 verdreifacht haben.

Während in den 90er Jahren noch unklar war, wie man mit Internet Geld verdienen soll, hat das Silicon Valley mittlerweile ein Erfolgsrezept geschrieben:

1. Einschlägige Web-Services gestalten, die
kaum noch aus unserem Alltag wegzuden-
ken sind.

2. Auf diesen Plattformen unser Verhalten ana-
lysieren.

3. Werbeflächen aufschalten und mit diesem
Service, der massgeschneiderte Werbung an
Werbe-Machende verspricht, einkassieren.

AdTech ist das primäre Business-Model des Internets. Und während Gesetzgeber*innen versuchen mit dem technologischen Erneuerungstempo Schritt zu halten um Konsument*innen zu schützen, entwickelt diese Mega-Industrie angetrieben von ihren enormen Profiten fortlaufend neue Methoden um an unser Verhalten zu gelangen. Unser Online-Verhalten füttert ihre Algorithmen, die wiederum herausfinden sollen, auf welche Werbung wir eingehen werden. Je besser die Algorythmen das wissen, desto eher gehen Werbepartner*innen  auf ihr Geschäft ein.

Während Third-Party Cookies inzwischen ziemlich stark reguliert werden (vor allem die EU greift durch), entwickeln Google und Meta neue Methoden, um ihre Werbepartner*innen weiterhin von diesem Geschäft zu überzeugen. Unter komplizierten Namen wie «complex fingerprinting» entwickeln sie neue Methoden, die versprechen dieselben Verhaltensdaten liefern zu können. So schien es zwar eine positive Entwicklung, als Google 2020 versprach, Third-Party Cookies schrittweise einzustellen – ein Versprechen, das bis heute nicht eingehalten wurde. Es ist anzunehmen, dass Google und Meta in Zukunft auf neue Technologien setzen, die weniger rechtlich oder politisch vorbelastet sind. AdTech ist ihr Huhn, welches goldene Eier legt. Sie werden es nicht einfach so abschlachten.

Es geht um mehr als Privatsphäre

Dabei steht aber nicht nur unsere Privatsphäre auf dem Spiel. Die Kommunikation zwischen Computer und Server verschlingt Strom: Der Computer und der Server auch. Und Strom gibt‘s weder umsonst noch endlos. Was sind die Kosten für die Umwelt, die beim globalen AdTech-Geschäft entstehen?

Es ist eine komplizierte Rechnung. Die Cookie-Maschine läuft dauernd und ist von starkem Wandel geprägt. Für die Top-Eine-Million der meist besuchten Websites schätzen die Forschenden am Barcelona Supercomputing Center eine Belastung von 11‘442 Tonnen CO2-Äquivalente (CO2-eq) pro Monat, oder 137 Megatonnen CO2-eq pro Jahr.

Sie betonen dabei, dass es sich dabei nur um den browser-basierten Cookie-Verkehr handelt. Zusammen mit App-basiertem Tracking, sowie den Algorithmen, die aus der Datenschlacht nutzbare Profile zusammenstellen, wäre diese Zahl vermutlich um einiges grösser.

Die Emissionen, die durch Tracking und der Datenaustausch auf Smartphones entstehen, hat eine Forschungsgruppe am CE Delft untersucht (2): Sie schätzen, dass in der EU dabei jährlich fünf bis 14 Megatonnen CO2-eq entstehen – das ist etwa gleichviel, wie die Einwohner*innen der Stadt Lissabon oder Turin in einem Jahr verursachen.

Zwei Speicherkraftwerke für Cookies

Diese Berechnungen erwecken nun den Anschein, dass diese Umweltbelastung verschwindet, sobald unser Stromnetz erst einmal mit erneuerbaren Energieträgern ersetzt wurde. Dieses Narrativ ist gewollt; einerseits möchten Tech-Konzerne weiterhin daraufsetzen, ihr Business ausbauen zu können, ohne Bedenken zu ihrer stromhungrigen Infrastruktur zu erwecken. Andererseits entsteht ein riesiger Markt für erneuerbare Energieträger, was bezüglich CO2-Emissionsreduktion an sich gut scheint. Folgt man ihrer Produktionskette aber zur Wiege zurück, landet man in Bergbau-Gebieten mit höchstproblematischen Arbeitsbedingungen und Umweltbelastungen – mehr dazu gibt‘s im Artikel zum Stromgesetz im megafon Nr. 504 zu lesen.

Stellen wir also eine Rechnung auf: Wie viele alpine Wasserkraftanlagen müssten betrieben werden, um allein den Cookie-Verkehr der ersten Million der am meisten besuchten Websites zu gewährleisten? Rechnet man die 11‘442 Tonnen CO2 pro Monat zurück zum Stromaufwand, kommt man auf 24 Gigawattstunden (GWh) pro Monat. Im Vergleich dazu geben die Kraftwerke Oberhasli an, dass der geplante Speichersee und das Kraftwerk in der Trift im Berner Oberland jährlich 145 GWh Strom erzeugen soll, oder knapp 12 GWh pro Monat. Es bedürfte also zwei solcher Kraftwerke, um den Cookie-Verkehr der meistbesuchten Websites in einem Monat zu befriedigen. Von dieser Rechnung ausgeschlossen bleibt der AdTech Verkehr auf Mobiltelefonen durch Apps wie Instagram oder X, sowie die Algorithmen, die im Hintergrund laufen müssen, um aus den Benutzer*innendaten ein sinnvolles Profil erstellen zu können.

Selbstverständlich ist dieser Vergleich etwas vereinfachend. Die Spur von Stromherstellenden zu Verbraucher*innen ist verschleiert. Der Strom, der in einem Kraftwerk erzeugt wird, gelangt einfach ins Stromnetz und von dort zu den verschiedensten Verbraucher*innen, seien das private Haushalte oder Fabriken. So ist aber auch das Narrativ, es würden damit X zusätzliche Haushalte mit Strom versorgt, irreführend. Zur Veranschaulichung der Stromgewinnung ist das vielleicht nützlich, aber gleichzeitig erweckt es Vorstellungen  einer Notlage, welche entstehen könnte, wenn das Projekt nicht zustande kommt. Der Strom, der im Wasserkraftwerk Trift hergestellt werden soll, wird  zumindest zu einem Teil eine Industrie befördern, von der nur die wenigsten profitieren.

Ist es uns wert, ein Bergtal zu fluten, damit einschlägige Tech-Giganten ihre ausbeuterische Profit-Maschine weiterhin betreiben dürfen? Oder – schauen wir über die Landesgrenzen hinweg – das UNESCO-Weltkulturerbe im Wattenmeer zu zerstören, das unter zunehmendem Druck infolge des massiven Infrastruktur-Ausbaus für Windenergie im Meer zu kollabieren droht(3). Immerhin liegen fünf von Googles Datenzentren in Deutschland, Dänemark und der Niederlande – jenen Ländern, die diese Windparks betreiben.

Wenn wir uns weiterhin vom Narrativ einschüchtern lassen, der Strom für Privathaushalte könnte knapp werden, bleiben wir unkritisch bezüglich der Frage, für wen der Strom genau produziert werden soll und ob diese Einschnitte in Naturlandschaften es wert sind.

Wie weiter?

Und was genau kannst du jetzt tun? Konsequent alle Cookies ablehnen? Nüchtern antwortet die Künstlerin Joana Moll und Mitautorin des Kunst – und Forschungsprojekts am Barcelona Supercomputing Center auf diese Frage: «Es gibt eigentlich kaum Handlungsspielraum. Wenn du aufhörst die Technologie zu benutzen, isolierst du dich einfach und ändern würde sich nichts. Du könntest Cookies blockieren, aber sie würde auch so weiterarbeiten.» (4)

Letztendlich braucht es eine informierte Gesellschaft, die das Problem versteht und den politischen Druck erhöhen kann, um die Tech-Giganten zu regulieren.

 

(1) Cucchietti, Fernando, Joana Moll, Marta Esteban, Patricio Reyes, and Carlos García Calatrava. “_carbolytics: An Analysis of the Carbon Costs of Online Tracking.” February 16, 2022.

(2) Uijttewaal, Meis, Geert Bergsma, and Thijs Scholten. “Carbon Footprint of Unwanted Data-Use by Smartphones: An Analysis for the EU.” Delft: CE Delft, 2021.

(3) UNESCO World Heritage Foundation 2024

(4) Kumerdej, Mojca. Novi Ekstraktivizem = New Extractivism. Janez Fakin Janša (eds). Miha Šuštar (transl.). Ljubljana: Aksioma – Institute for Contemporary Art, 2022. S. 29.