Nonprofit-Websites verfolgen Besucher, einige gehen sogar so weit, Tastenanschläge zu verfolgen

Letztes Jahr besuchten fast 200 Millionen Menschen die Website von Planned Parenthood, einer gemeinnützigen Organisation, an die sich viele Menschen in sehr privaten Angelegenheiten wie Sexualerziehung, Zugang zu Verhütungsmitteln und Zugang zu Abtreibungen wenden. Was diese Besucher möglicherweise nicht wussten, ist, dass, sobald sie plansparenthood.org öffneten, etwa zwei Dutzend in die Website eingebettete Werbetracker eine Reihe von Unternehmen alarmierten, deren Geschäft nicht die reproduktive Freiheit ist, sondern das Sammeln, Verkaufen und Verwenden von Browserdaten.

Das Markup ließ die Website von Planned Parenthood über unser Blacklight-Tool laufen und fand 28 Werbetracker und 40 Cookies von Drittanbietern, die Besucher verfolgen, zusätzlich zu sogenannten „Sitzungsrekordern“, die die Mausbewegungen und Tastenanschläge von Personen aufzeichnen könnten, die die Homepage bei der Suche besuchen von Dingen wie Informationen zu Verhütungsmitteln und Abtreibungen. Die Website enthielt auch Tracker, die Facebook und Google mitteilen, ob Benutzer die Website besucht haben.

Der Scan des Markups ergab, dass die Website von Planned Parenthood mit Unternehmen wie Oracle, Verizon, LiveRamp, TowerData und Quantcast kommuniziert – einige von ihnen haben es sich zur Aufgabe gemacht, den Zugang zu Massen digitaler Daten über die Gewohnheiten der Menschen zu sammeln und zu verkaufen.

Katie Skibinski, Vizepräsidentin für digitale Produkte bei Planned Parenthood, sagte, die auf ihrer Website gesammelten Daten würden „nur für interne Zwecke von Planned Parenthood und unseren Tochtergesellschaften verwendet“, und das Unternehmen „verkaufe“ keine Daten an Dritte.

„Während wir darauf abzielen, Daten zu verwenden, um zu lernen, wie wir am wirkungsvollsten sein können, wird datengesteuertes Lernen bei Planned Parenthood immer sorgfältig und unter Berücksichtigung der Privatsphäre von Patienten und Benutzern durchgeführt“, sagte Skibinski. „Das bedeutet, dass Analyseplattformen verwendet werden, um aggregierte Daten zu sammeln, um Erkenntnisse zu gewinnen und Trends zu identifizieren, die uns helfen, unsere digitalen Programme zu verbessern.“

Skibinski bestritt nicht, dass die Organisation Daten mit Dritten, einschließlich Datenbrokern, teilt.

Ein Schwarzlicht-Scan von Planned Parenthood Gulf Coast – einer lokalisierten Website speziell für Menschen in der Golfregion, einschließlich Texas, wo Abtreibung im Wesentlichen verboten ist – brachte ähnliche Ergebnisse hervor.

Geplante Elternschaft ist nicht allein, wenn es um gemeinnützige Organisationen geht, einige sind in sensiblen Bereichen wie psychische Gesundheit und Sucht tätig und sammeln und teilen Daten über Website-Besucher.

Mit unserem Blacklight-Tool scannte The Markup mehr als 23.000 Websites von gemeinnützigen Organisationen, einschließlich der Websites von Abtreibungsanbietern und gemeinnützigen Suchtbehandlungszentren. Das Markup verwendete die Nonprofit-Stammdatei des IRS, um gemeinnützige Organisationen zu identifizieren, die seit 2019 eine Steuererklärung eingereicht haben und die die Agentur als auf Bereiche wie psychische Gesundheit und Krisenintervention, Bürgerrechte und medizinische Forschung kategorisiert. Anschließend untersuchten wir die in GuideStar öffentlich aufgeführten Websites jeder gemeinnützigen Organisation. Wir fanden heraus, dass etwa 86 Prozent von ihnen Cookies von Drittanbietern oder Tracking-Netzwerkanfragen hatten. Zum Vergleich: Als The Markup eine Umfrage unter den 80.000 besten Websites im Jahr 2020 durchführte, stellten wir fest, dass 87 Prozent irgendeine Art von Drittanbieter-Tracking verwendeten.

Etwa 11 Prozent der 23.856 von uns gescannten gemeinnützigen Websites hatten ein eingebettetes Facebook-Pixel, während 18 Prozent die Funktion „Remarketing Audiences“ von Google Analytics verwendeten.

The Markup fand heraus, dass 439 der gemeinnützigen Websites Skripte namens Session Recorder geladen haben, die die Klicks und Tastenanschläge der Besucher überwachen können. 89 davon betrafen Websites von gemeinnützigen Organisationen, die laut IRS hauptsächlich auf Fragen der psychischen Gesundheit und der Krisenintervention ausgerichtet sind.

„Wenn Sie als Benutzer dieser Website Ihre Informationen mit ihnen teilen, gehen Sie wahrscheinlich nicht davon aus, dass diese sensiblen Informationen an Dritte weitergegeben werden, und gehen definitiv nicht davon aus, dass Ihre Tastenanschläge aufgezeichnet werden“, sagt Gunes Acar, ein Datenschutzforscher, der hat 2017 eine Studie über Session-Recorder mitveröffentlicht, sagte. „Je sensibler die Website ist, desto mehr mache ich mir Sorgen.“

Tracy Plevel, Vizepräsidentin für Entwicklung und Community Relations bei Gateway Rehab, einer der gemeinnützigen Organisationen mit Sitzungsaufzeichnungsgeräten auf ihrer Website, sagte, dass die gemeinnützige Organisation Tracker und Sitzungsaufzeichnungsgeräte verwendet, weil sie mit ihren größeren, gewinnorientierten Kollegen wettbewerbsfähig bleiben muss.

„Als gemeinnützige Organisation haben wir es mit gewinnorientierten Anbietern mit großen Werbebudgets sowie mit Suchtbehandlungsmaklern zu tun, die die Hilfesuchenden mit ähnlichen Online-Werbetaktiken packen und sie mit dem Anbieter verbinden, der die größte ‚Umsatz‘-Vergütung bietet “, sagte Plevel. „Außerdem wissen wir, dass die Benutzererfahrung einen großen Einfluss auf die Durchführung der Behandlung hat. Wenn jemand bereit ist, sich einer Behandlung zu unterziehen, müssen wir sicherstellen, dass es für ihn so einfach wie möglich ist, bevor er durch den Prozess frustriert oder eingeschüchtert wird.“

Andere gemeinnützige Organisationen hatten ebenfalls eine beträchtliche Anzahl von Trackern auf ihren Websites eingebettet. The Markup fand 26 Ad-Tracker und 50 Cookies von Drittanbietern in The Clinic at Sharma-Crawford Attorneys at Law, einer Rechtsklinik in Kansas City, die Menschen mit niedrigem Einkommen vertritt, die vor der Abschiebung stehen.

Rekha Sharma-Crawford, Vorstandsvorsitzende von The Clinic, schrieb in einer per E-Mail gesendeten Erklärung: „Wir nehmen Datenschutz- und Sicherheitsbedenken sehr ernst und werden weiterhin mit unserem Webanbieter zusammenarbeiten, um die von Ihnen identifizierten Probleme anzugehen.“

Save the Children, eine vor mehr als 100 Jahren gegründete humanitäre Hilfsorganisation, hatte 26 Werbetracker und 49 Cookies von Drittanbietern. March of Dimes, eine von Präsident Franklin D. Roosevelt gegründete gemeinnützige Organisation, die sich auf die Betreuung von Müttern und Säuglingen konzentriert, hatte mehr als 29 Werbetracker auf ihrer Website und 58 Cookies von Drittanbietern. City of Hope, ein kalifornisches Krebsbehandlungs- und Forschungszentrum, hatte 25 Werbetracker und 47 Cookies von Drittanbietern.

Paul Butcher, stellvertretender Vizepräsident für globale digitale Strategie bei Save the Children, sagte in einer per E-Mail gesendeten Erklärung, dass die Organisation „Datenschutz sehr ernst nimmt“. Butcher schrieb auch, dass Save the Children einige Daten über Werbetracker sammelt, „um die Benutzererfahrung zu verbessern“, und dass die Organisation dabei ist, ihre Richtlinien zur Datenaufbewahrung zu überarbeiten, und kürzlich einen neuen Leiter für Daten eingestellt hat.

March of Dimes und City of Hope antworteten nicht auf Anfragen nach Kommentaren.↩︎ Link

Datenschutzgesetze auf Landesebene Miss Nonprofits

Während Gesundheitsdaten von HIPAA geregelt werden und FERPA Bildungsaufzeichnungen regelt, gibt es keine Bundesgesetze, die regeln, wie Websites ihre Besucher verfolgen. Kürzlich haben einige Staaten – Kalifornien, Virginia und Colorado – Verbraucherschutzgesetze erlassen, die Unternehmen dazu verpflichten, ihre Tracking-Praktiken offenzulegen und Besuchern die Möglichkeit zu geben, sich gegen die Datenerfassung zu entscheiden.

Aber gemeinnützige Organisationen in zwei dieser Bundesstaaten, Kalifornien und Virginia, müssen sich nicht an die Vorschriften halten.

Sen. Ron Wyden (D-OR), der seine eigene Bundesdatenschutzgesetzgebung vorgeschlagen hat, sagte, dass gemeinnützige Organisationen eine große Menge potenziell sensibler Daten anfallen.

„Gemeinnützige Organisationen speichern unglaublich persönliche Informationen über Dinge, die uns am Herzen liegen, von politischen Anliegen und sozialen Ansichten bis hin zu wohltätigen Zwecken, die uns am Herzen liegen“, sagte Wyden in einer per E-Mail gesendeten Erklärung. „Wenn eine Datenschutzverletzung enthüllt, dass jemand an eine Selbsthilfegruppe für häusliche Gewalt oder eine LGBTQ-Rechtsorganisation oder den Namen ihrer Moschee spendet, könnten alle diese Informationen unglaublich privat sein.“

Nonprofit-Führungskräfte argumentieren jedoch, dass ihnen die Infrastruktur und die Finanzierung fehlen, um die Anforderungen des Datenschutzgesetzes zu erfüllen, und dass sie Informationen über Spender sammeln und weitergeben müssen, um zu überleben.

„Eine der substanziellsten und wirkungsvollsten Nutzungen von Daten durch gemeinnützige Organisationen war unsere Spendensammlung“, sagte Shannon McCracken, CEO von The Nonprofit Alliance, einer Interessenvertretung, die sich aus gemeinnützigen Organisationen und Unternehmen zusammensetzt. „Ohne die Möglichkeit, potenzielle neue Spender und aktuelle Spender kostengünstig zu erreichen, können gemeinnützige Organisationen nicht weiterhin so wirkungsvoll sein wie heute.“

Aber ob zielgerichtet oder nicht, sagen Datenschutzexperten, gemeinnützige Organisationen geben personenbezogene Daten an Datenbroker und Technologiegiganten wie Facebook und Google weiter.

„Eine gemeinnützige Organisation teilt möglicherweise Ihre Telefonnummer und Ihren Namen mit LiveRamp. Morgen kann ein gewinnorientiertes Unternehmen dieselben Daten wiederverwenden, um Sie anzusprechen“, sagte Ashkan Soltani, Datenschutzexperte und ehemaliger Cheftechnologe bei der Federal Trade Commission. „Die Datenströme, die in diese Drittanbieter-Aggregatoren und Datenbroker einfließen, stammen oft auch von gemeinnützigen Organisationen.“

Soltani, der am 4. Oktober zum Exekutivdirektor der California Privacy Protection Agency ernannt wurde, half bei der Ausarbeitung des California Consumer Privacy Act, der ursprünglich mit Ausnahmen für gemeinnützige Organisationen eingeführt wurde.

Viele große gemeinnützige Organisationen arbeiten mit Datenbrokern zusammen, um ihre Daten zu organisieren und zu analysieren, sagte Jan Masaoka, CEO der California Association of Nonprofits.

„Menschen mit großen Spenderlisten nutzen sie ausgiebig, so ziemlich alle nutzen einen der Dienste“, sagte Masaoka. „Sie bewahren es nicht intern auf, so ziemlich jeder bewahrt es bei einem dieser Dienste auf.“

Sie bemerkte, dass Blackbaud ein Unternehmen ist, an das sich gemeinnützige Organisationen oft wenden. Das Marketingmaterial des registrierten Datenbrokers bewirbt eine Genossenschaftsdatenbank, die Spenderdaten von mehr als 550 gemeinnützigen Organisationen mit öffentlichen Informationen über Millionen von Haushalten kombiniert.

Blackbaud antwortete nicht auf eine Bitte um Stellungnahme.

Aufgrund fehlender Mittel verlassen sich gemeinnützige Organisationen auch auf Plattformen von Drittanbietern – die zufällig auch Datenbroker sind – um die Sicherheit und den Datenschutz ihrer Daten zu verwalten, sagte McCracken. Aber auch diese Art von Unternehmen ist nicht immun gegen Cyberangriffe: Blackbaud enthüllte einen Ransomware-Angriff im Jahr 2020, bei dem Hacker Passwörter, Sozialversicherungsnummern und Bankinformationen stahlen, so eine Einreichung bei der Securities and Exchange Commission. Laut dem Identity Theft Resource Center waren Hunderte von Wohltätigkeitsorganisationen, Schulen und Krankenhäusern betroffen, zusammen mit mehr als 13 Millionen Menschen.

„Sie verlassen sich auf diese Art von problematischem Ökosystem, um ihre Arbeit zu erledigen, und teilen infolgedessen Nummernlisten, E-Mail-Adressen oder das Surfverhalten mit Werbefirmen von Drittanbietern und setzen ihre Mitglieder einem Risiko aus“, sagte Soltani.↩︎ Link

Die Ausnahme

Im Gegensatz zu seinen Vorgängern in Kalifornien und Virginia sieht das Datenschutzgesetz von Colorado keine Ausnahme für gemeinnützige Organisationen vor.

Sowohl in Kalifornien als auch in Virginia gewährten die Hauptbefürworter der Gesetzentwürfe gemeinnützigen Organisationen eine Ausnahme als politisches Manöver. Alastair Mactaggart, ein Immobilienentwickler und Gründer von Californians for Consumer Privacy, der die treibende Kraft hinter dem California Consumer Privacy Act war, sagte, sein Vorschlag sei bereits auf Widerstand von Technologiegiganten gestoßen und wolle auch keinen politischen Showdown mit gemeinnützigen Organisationen.

„Du musst den ersten Schritt machen, also dachten wir, dass dies der einfachste wäre, um abzuprallen“, sagte Mactaggart. „Irgendwann hoffe ich, dass auch die großen gemeinnützigen Organisationen einbezogen werden.“

David Marsden, der Senator des Bundesstaates, der das Verbraucherdatenschutzgesetz von Virginia einführte, schloss sich dieser Meinung an, indem er widerspiegelte, dass das Gesetz nicht perfekt, aber immer noch ein guter Anfang sei.

„Hollt das alle, die es sollte, oder befreit es alle, die eine Befreiung brauchen? Wahrscheinlich nicht, aber es kommt ziemlich nahe “, sagte Marsden. „Mit diesem Gesetzentwurf konnten wir ihn durchbringen, ohne dass die Leute aufstanden und Einwände gegen das erhoben, was wir zu tun versuchten.“

Der Senator des Bundesstaates Colorado, Robert Rodriguez, der das Datenschutzgesetz des Staates mitgetragen hat, sagte, er habe keine Ausnahmeregelung für gemeinnützige Organisationen aufgenommen, weil er der Meinung sei, dass jedes Unternehmen, das über Daten von mehr als 100.000 Menschen verfüge, den Datenschutz befolgen müsse. Er verstand auch nicht, warum andere Staaten Ausnahmen hatten.

„Jemand, der über 100.000 Datensätze hat, hat eine gute Größe“, sagte er in einer E-Mail. „Sie sollten einige Schutzmaßnahmen oder Anforderungen haben, denen sie folgen müssen.“

Anmerkung des Herausgebers: Dieser Artikel wurde ursprünglich auf The Markup von Alfred NG und Maddy Varner veröffentlicht und unter der Lizenz Creative Commons Attribution-NonCommercial-NoDerivatives neu veröffentlicht.

Haben Sie irgendwelche Gedanken dazu? Lassen Sie es uns unten in den Kommentaren wissen oder übertragen Sie die Diskussion auf unseren Twitter oder Facebook.

Empfehlungen der Redaktion:

• Apple wird Ihre App ablehnen, wenn sie Tracker von Drittanbietern enthält, die Daten ohne Zustimmung sammeln
• So verhindern Sie, dass Ihr Android-Gerät seine eindeutige Kennung an Tracker von Drittanbietern weitergibt
• So verhindern Sie, dass Ihr iPhone seine eindeutige Kennung an Tracker von Drittanbietern weitergibt
• Mozilla Firefox bietet jetzt eine neue Funktion zur Bekämpfung von Trackern