Böses Zeug, dieses Phorm. Nein, nicht das, das andere Phorm.
Phorm ist der Nachfolger (sofern man eine Firma die umbenannt wurde, weil sie so einen schlechten Ruf hatte, das praktisch alle Produkte auf der Spyware- und Adware-Liste aller gängigen Schadprogrammscanner standen, als Nachfolger bezeichnen will) von 121Media, spezialisiert auf targeted Advertising. Für die Freunde von Euphemismen, targeted Advertising ist im Grunde, man forscht die Privatspähre der Nutzer solange aus, bis man ihnen gezielt Werbung unterjubeln kann, die sie vermutlich auch interessiert.
Praktisch funktioniert Phorm in etwa so:
Der Client baut eine ganz normale Verbindung zu einem Webserver im Internet auf (1), die von einem speziellen Server, ich nenne ihn hier mal „Interceptor“ beim Provider abgefangen wird. Der Interceptor leitet die Anfrage an den Ad-Server von Phorm, der ebenfalls beim Provider steht mit dem Tracker-Cookie von Webwise weiter (2). Gleichzeitig holt der Interceptor die ursprünglich angefragte Webseite (3) und schickt sie ebenfalls an den Ad-Server (4). Der Ad-Server tauscht in der Webseite enthaltene Werbung gegen eigene Werbung aus, die mit Hilfe des Tracker-Cookies speziell auf die Vorlieben des Anwenders zugeschnitten sind (5). Der Interceptor schickt die Seite mit der modifizierten Werbung zurück an den Anwender (6).
Vermutlich ist der Prozess nicht ganz korrekt dargestellt, die Webseite „Lies, Damned Lies!“ hat eine detailliertere Grafik dazu.
Die FAQ von Phorm beschreibt das Verfahren so:
- „Webwise technology places a cookie on your computer. Then, as a customer searches and browses online, that behaviour is checked against general advertising categories. When the customer’s interests match one of these advertiser categories, the customer sees a relevant ad in place of a generic, untargeted ad.“
Das konkrete technische Verfahren des Austausches spielt dabei eigentlich keine große Rolle. Die Auswirkungen des Tracker-Cookies auf die Privatsphäre will ich eigentlich auch nicht weiter analysieren. Wenn das bereits ein so dramatisches Problem wäre, dann müsste man eigentlich alle Social Network Seiten schließen und Google verbieten. Es geht mir in diesem Text zum zwei andere Punkte: das Verhalten des ISPs und die Folgen für die Werbewirtschaft.
Die Rolle des Internet Service Providers
In Großbritannien haben die wichtigen Provider (darunter BT, Virgin Media und Carphone Warehouse mit zusammen 70% Marktabdeckung) mit Phorm Verträge abgeschlossen, im Land der Überwachungskameras wird das Thema gerade heftig diskutiert. Ein Knackpunkt ist, ob das Verfahren für die Kunden mittels „Opt-In“, d.h. der Kunde muss explizit zustimmen, wenn er targeted Advertising möchte oder mittels „Opt-Out“, d.h. der Kunde muss targeted Advertising explizit abwählen, wenn er das nicht möchte, eingeführt wird.
Strittig ist beispielsweise auch, ob es sich bei diesem Vorgehen um unerlaubte Datenveränderung handeln könnte. Ich weiß nicht, ob der Austausch der Werbung von den AGBs der Provider gedeckt ist (oder gar nicht in den AGBs abgehandelt werden kann, weil es sich vielleicht um eine überraschende Klausel handelt).
Unabhängig davon würde es mir persönlich nicht besonders gefallen, wenn mein Provider in dieser Form Einfluss auf meinen Datenverkehr nimmt. Ok, bestimmte Maßnahmen wie Drosselung einzelner Datenverbindungen (sehr beliebt bei P2P-Traffic) lasse ich mir noch eingehen. Das ist keine tiefergehende Analyse meiner Surfgewohnheiten. Ganz anders sieht es aber mit der konkreten Veränderung von Webseiten aus. Das entspricht ganz klar meiner Definition eines Hostile Internet Providers. Tim Berners-Lee, der Erfinder des World Wide Web hat die Nutzer sogar explizit aufgerufen, den Provider zu wechseln wenn diese Phorm einführen.
Die Rolle der Adbroker, Werbekunden und Seitenbetreiber
Geschädigt werden also viele:
Die Adbroker (z.B. Google und Co.), weil deren Werbung nicht mehr angezeigt wird, den Werbekunden aus dem gleichen Grund und der Seitenbetreiber, weil dieser an der geschalteten Werbung nicht mehr verdient.
Ich weiß nicht, ob im Phorm-Verfahren die Originalwerbung vom Server noch abgerufen wird, bevor sie ausgetauscht wird. Wenn sie abgerufen und nach „Views“ abgerechnet wird, schadet das dem Werbekunden. Wenn nach „Click-Through“ abgerechnet wird oder wenn sie nicht abgerufen wird dem Betreiber der Webseite, der von der ausgetauschten Werbung natürlich keine Einnahmen hat.
Aus meiner Sicht handelt es sich folglich um ein reines Leecher-Verfahren. Phorm und die Provider bereichern sich auf Kosten der Anbieter von Inhalten. Die Content-Produzenten, d.h. die Autoren und Betreiber von Webseiten gehen plötzlich leer aus. In den USA hat ein Blogbetreiber sogar versucht, alle Nutzer von Firefox mit Adblock Plus von seiner Seite auszusperren. Aber das ganze durch die Provider ist das gleiche nur um den Faktor 10 schlimmer.
Zusammenfassung
Als Inhaltsanbieter müsste es meine erste Maßnahme sein, den Vertrag mit einem Phorm-nutzenden Provider sofort fristlos zu kündigen. Es kann doch nicht Aufgabe meines Providers sein, mein Geschäftsmodell aktiv zu schädigen. Als Nutzer wäre meine Maßnahme die gleiche. Ich finde, ich habe Anspruch auf die Webseite so, wie sie vom Inhaltsanbieter bereitgestellt wird (Werbung herausfiltern kann ich dann schon selber). Und von beiden Seiten wäre es angebracht, den Provider ein klein wenig zu verklagen, wegen unerlaubter Datenveränderung (aus Nutzersicht) oder wegen Urheberrechtsverletzung durch unerlaubte Modifikation der von meinem Server angebotenen Inhalte (als Anbieter).
Ich bin ja gespannt, ob Phorm auch in Deutschland Provider findet, die sich dem anschließen. Vodafone traue ich das zu.
Nachtrag:
Inzwischen gehen auch im Mutterland der Überwachung ein paar kleine Alarmglöckchen an. Die Foundation for Information Policy Research (FIPR), ein regierungsnaher Think Tank hält das Phorm-Modell in einem Schreiben für nicht mit dem Gesetz vereinbar. Allerdings hält das UK Home Office (sowas wie das Innenministerium bei uns) Phorm weiterhin für legal. Die letzte Entscheidung hat nun der Information Commissioner Richard Thomas (so etwas wie bei uns der Bundesdatenschutzbeauftragte).