Tausende Webseiten loggen Eingabedaten schon bevor Nutzer sie absenden

Wer auf einer Webseite ein Formular ausfüllt – sei es, um eine Buchung durchzuführen oder sich für einen Newsletter zu registrieren – geht in der Regel davon aus, dass die eingegebenen Daten erst an den Betreiber übersendet werden, wenn man aktiv auf „Absenden“ oder einen vergleichbaren Button klickt. Entscheidet man sich für andere Daten, eine andere Mailadresse oder ganz gegen ein Absenden, bekommt der Betreiber nichts davon mit. Oder?

Forscher der KU Leuven, Radboud University, und University of Lausanne haben nun herausgefunden, dass tausende von Webseitenbetreibern die Daten dennoch erhalten: Entweder weil sie selbst Daten ohne Zutun des Nutzers selber von Eingabefeld zu Eingabefeld speichern, oder Drittanbieter-Software verwenden, die dies zu Marketing- und Analysezwecken unabhängig vom Betreiber tut. In einigen Fällen haben die Webseiten so auch Passwörter abgegriffen, bevor diese für den Nutzerlogin zum Einsatz kamen. Die Forscher fanden dabei sowohl in den USA, als auch in der EU eine hohe Zahl auf diese Weise arbeitende Webseiten, was gemessen an der DSGVO jedenfalls Fragen nach der rechtlichen Beurteilung eines solchen Verhaltens aufwirft – nicht zuletzt weil von einer Einwilligung in die Datenverarbeitung in der Regel erst mit dem Absenden der Daten ausgegangen werden kann. 

Bei der Nutzung von Meta- und TikTok-Pixeln wurden eingegebene E-Mail-Adressen in gehashter Form vorzeitig abgegriffen und weiter zur seitenübergreifenden Nutzeridentifikation verwendet. Für die deutlich populäreren Meta-Pixel (ehemals Facebook-Pixel) haben die Forscher rund 8.400 Webseiten aus den USA und rund 7.300 Webseiten aus der EU ausfindig gemacht, die potentiell E-Mailadressen an Meta weitergeben. Für Marketingzwecke ist die Mailadresse naturgemäß sehr aussagekräftig: Im Gegensatz zu Cookies erlaubt sie die Verfolgung über mehrere Sessions, Geräte, Lokalitäten und einen potentiell sehr langen Zeitraum hinweg – ohne, dass der Nutzer sich effektiv dagegen wehren könnte. 

Quelle: https://www.wired.com/story/leaky-forms-keyloggers-meta-tiktok-pixel-study/