Do Not Track (DNT) sollte Online-Tracking stoppen — stattdessen macht es Ihren Browser oft einzigartiger und damit leichter trackbar. Das W3C löste die zuständige Arbeitsgruppe 2019 auf, da keine verbindliche Einigung erzielt werden konnte. Apple entfernte DNT aus Safari 12.1 aus genau diesem Grund; Firefox folgte 2025 mit Version 135. Die Geschichte von DNT ist eine Lektion in der Komplexität von Datenschutz-Standards — und im Fingerprinting-Paradoxon von Opt-out-Signalen.
Wie DNT funktionierte
DNT hatte zwei Ausdrucksformen:
// HTTP-Request-Header (automatisch vom Browser gesendet):
DNT: 1 // "Bitte verfolgen Sie mich nicht"
DNT: 0 // "Tracking ist in Ordnung"
// Kein Header: keine Präferenz angegeben
// JavaScript-API:
console.log(navigator.doNotTrack);
// "1" → DNT aktiviert
// "0" → DNT deaktiviert
// null → keine Präferenz (oder Browser unterstützt DNT nicht)Das Fingerprinting-Paradoxon
DNT ist ein klassisches Beispiel für das Datenschutz-Paradoxon bei Opt-out-Signalen:
| DNT-Status | Nutzeranteil | Fingerprinting-Risiko |
|---|---|---|
| DNT nicht gesetzt | ~80–85 % | Niedrig (Mehrheit → wenig unterscheidend) |
| DNT: 0 (explizit erlaubt) | ~5–10 % | Mittel |
| DNT: 1 (aktiviert) | ~10–15 % | Erhöht (ungewöhnlich + datenschutzbewusster Nutzer) |
Wer DNT aktiviert, signalisiert Trackern: „Ich bin jemand, dem Datenschutz wichtig ist." Dieses Signal ist selbst ein Fingerprinting-Merkmal und kombiniert sich mit anderen datenschutzorientierten Signalen (Firefox, uBlock Origin, bestimmte Bildschirmauflösungen etc.) zu einem charakteristischen Profil.
Warum scheiterte DNT?
- Keine rechtliche Verbindlichkeit: DNT war ein freiwilliger Standard — Websites konnten ihn ignorieren, und die meisten taten es.
- Industrie-Widerstand: Werbungs-Ökosysteme hatten keine Anreize zur Einhaltung.
- Inkonsistente Aktivierung: Internet Explorer 10 aktivierte DNT standardmäßig — was das Signal für Tracker bedeutungslos machte, da es keine bewusste Entscheidung mehr darstellte.
- Fingerprinting-Effekt: DNT zu aktivieren machte Nutzer, die Datenschutz wollten, paradoxerweise identifizierbarer.
DNT und die DSGVO
In Deutschland und der EU ist Online-Tracking durch die DSGVO und § 25 TTDSG reguliert — unabhängig vom DNT-Signal. Das Fehlen eines DNT-Headers gibt Websites keine DSGVO-Erlaubnis zum Tracking. Einwilligung muss aktiv eingeholt werden, nicht durch fehlende Opt-out-Signale erschlossen werden. DNT war ein US-amerikanisches Konzept; die DSGVO geht grundlegend anders vor: Tracking erfordert aktive Einwilligung (Opt-in), nicht passives Nicht-Widersprechen (Opt-out).
Der Nachfolger: Global Privacy Control (GPC)
GPC ist der Versuch, DNT zu verbessern:
// HTTP-Header:
Sec-GPC: 1
// JavaScript:
console.log(navigator.globalPrivacyControl);
// true → GPC aktiviert
// false → GPC deaktiviert
// undefined → nicht unterstütztWichtige Unterschiede zu DNT:
- Rechtliche Wirkung in Kalifornien: Unter CCPA (California Consumer Privacy Act) muss GPC von Unternehmen beachtet werden — als Opt-out aus dem Verkauf persönlicher Daten.
- Firefox und Brave: Unterstützen GPC nativ.
- EU-Perspektive: GPC ist in der EU nicht rechtsverbindlich, kann aber als Datenschutzsignal interpretiert werden.
GPC leidet jedoch unter demselben Fingerprinting-Paradoxon wie DNT: Wer es aktiviert, ist eine Minderheit und damit leichter identifizierbar.
Schutzmaßnahmen
- Firefox ab Version 135: Hat DNT entfernt. GPC kann in den Datenschutz-Einstellungen aktiviert werden.
- Brave Browser: Sendet GPC standardmäßig; kein DNT.
- uBlock Origin: Kann
DNT- undGPC-Header setzen oder blockieren.
Verwandte Signale
Do-Not-Track-Fingerprinting wird oft zusammen mit cookieEnabled-Fingerprinting und Browsersprache-Fingerprinting analysiert. Prüfen Sie Ihren DNT-Status mit unserem Fingerprint-Tool.
