Wie xhamster und Pornhub Daten tracken und wie sicher User sind: Nutzer am PC unter einem großen Auge
Foto: Nutzer: Pixabay | CC0  || Auge: Maxpixel.net | CC0 | Collage: VICE
Tech

Diese Daten sammeln PornHub und xHamster, während du masturbierst

Wir haben recherchiert, wie sicher die meistbesuchten Pornoseiten Deutschlands sind, ob sie Werbung zuschneiden und mit welchen Mitteln sie dich tracken können.

Die Deutschen lieben Pornos. Im Ranking der meistbesuchten Internetseiten in Deutschland steht xHamster auf Platz 9 und PornHub auf Platz 11. Die Pornoseiten haben damit mehr Aufrufe als Spiegel Online, Bild.de, Twitter oder Netflix.

Hinter den Websites stehen riesige Tech-Firmen mit Hunderten Mitarbeitern. Und mit jedem Klick geben Millionen Seitenbesucher intime Einblicke in ihre erotischen Wünsche. Trotzdem berichten Nachrichtenmedien selten über Datenschutz und Privatsphäre bei PornHub und xHamster.

Anzeige

Wir haben recherchiert, was die Datenriesen hinter Deutschlands beliebtesten Pornoseiten über uns wissen – und was sie damit anfangen. Dafür haben wir uns als Werbekunden registriert und getestet, wie genau sich Anzeigen auf Porno-Nutzerinnen und Nutzer zuschneiden lassen. Außerdem haben wir mit einem Add-on ausgelesen, welche Daten Pornoseiten bei einem Besuch automatisch sammeln.

Die Recherche zeigt: Pornoseiten verwenden zahlreiche Daten für gezielte Werbeanzeigen, darunter auch auch sexuelle Vorlieben und Fetische. Außerdem erfassen sie automatisch Daten, die dabei helfen können, einzelne Nutzer gezielt über längere Zeit hinweg zu tracken.

Wer steckt hinter PornHub und xHamster?

Obwohl es im Internet Tausende Angebote für Porn gibt, kontrollieren nur eine Handvoll Firmen die meistbesuchten Websites. In der Öffentlichkeit stehen sie selten. Eine der größten Firmen ist MindGeek. Zu ihrem Netzwerk aus Websites gehören unter anderem PornHub, YouPorn, RedTube und MyDirtyHobby. Auch hinter xHamster steht eine Firma, von der viele wohl nie gehört haben: Hammy Media.

Hammy Media hat nicht mal eine eigene Website. Die Website von MindGeek dagegen hat auf den ersten Blick nicht das Geringste mit Pornografie zu tun. Es scheint sogar, dass die Betreiber hier das Wort "porn" vermeiden wollten. Stattdessen protzt MindGeek mit Zahlen: 115 Millionen Aufrufe, 15 Terabyte Content pro Tag. Mehr als 1.000 Mitarbeiter und Mitarbeiterinnen an sechs Standorten von Luxemburg bis Montréal. Respekt. Nur: Was machen die da eigentlich?

Anzeige

Einen Einblick geben die Dutzenden Stellenausschreibungen. Gesucht werden unter anderem Sales Manager, Software-Entwicklerinnen – und Datenanalysten. Daten analysieren, das macht hellhörig. Was für Daten werden da denn so analysiert?

Diesen Daten erfassen Pornoseiten über dich

Screenshot von TrafficJunky, welche Daten Pornoseiten wie xHamster oder PornHub sammeln

Beim Zuspitzen der Zielgruppe liefert TrafficJunky sogar Vorschläge: Warum nur die Kategorie "milf" auswählen, wenn es auch "my friends hot mum" gibt? | Screenshot von trafficjunky.com

Was Pornoseiten wirklich über uns wissen, erkennt man daran, wie sie Anzeigen verkaufen. "We respect your privacy", schreibt PornHub in der Datenschutzerklärung für Seitenbesucher – aber mit Werbekunden spricht die Firma anders. "Schneidern Sie jede Anzeige nach Maß und setzen Sie mit gezielten Platzierungen die richtige Werbung vor den richtigen Kunden", heißt es bei TrafficJunky, der Werbeplattform von MindGeek.

Das ist ein Widerspruch. Wie will PornHub meine Privatsphäre respektieren und gleichzeitig Werbung nach Maß ausspielen? Wie kann PornHub gleichzeitig viel und wenig über mich wissen?

Um das herauszufinden, geben wir uns als Werbekunde aus und legen einen Account bei TrafficJunky an. Im Online-Shop für Werbeanzeigen entscheiden wir uns für einen Header, das ist ein Werbebanner am oberen Bildschirmrand. Die Zielgruppe lässt sich anhand mehrerer Kriterien eingrenzen. Zum Beispiel können wir gezielt Menschen ansprechen, die sich für "Milf", "BDSM" oder "Anal" interessieren. Außerdem lässt sich auswählen, ob die Zielgruppe gay, straight, trans oder "female friendly" sein soll.

Anzeige

Auch der Wohnort steht zur Auswahl: Staat, Bundesland, Stadt. Die gewünschte Anzeige soll nur am Abend sichtbar sein? Kein Problem, einfach die Uhrzeit eingrenzen. Hinzu kommen technische Kriterien wie Betriebssystem und Browsersprache.

Es lässt sich also eine Anzeige bauen, die zum Beispiel nur schwule Nutzer in Leipzig sehen sollen, wenn sie morgens zwischen 6 und 7 Uhr mit einem deutschsprachigen iPhone-Browser nach Pornos mit den Stichworten "Threesome" und "Outdoor" suchen. Eine derart eng zugeschnittene Anzeige wäre zwar nicht sinnvoll, weil sie zu wenige Kunden erreicht. Das Beispiel zeigt aber, wie viel PornHub offenbar erfasst.

Bei xHamster funktioniert das ähnlich. Die Plattform für Werbekunden heißt hier nicht TrafficJunky, sondern TrafficStars. Auch hier lässt sich eine Anzeige auf sexuelle Vorlieben und viele weitere Details zuschneiden. Diese Daten darf xHamster erheben und auswerten, das steht in der Datenschutzrichtlinie. Das Besondere: Die Werbung der Porno-Anbieter bezieht sich offenbar nur auf Daten, die Nutzer bei einem einzelnen Seitenaufruf preisgeben. Anders als bei Facebook wird also nicht das vergangene Verhalten herangezogen – das ist ein großer Unterschied.

Wissen PornHub und xHamster, wer ich bin?

Rein technisch ist es möglich, auch das Verhalten einzelner Seitenbesucher lange Zeit zu beobachten – selbst wenn sie Cookies löschen und im Inkognito-Modus surfen. Beim Aufruf einer Website übermitteln wir nämlich jede Menge Daten, zum Beispiel IP-Adresse, Akkustand, Browserversion. Wenn genug Datenpunkte zusammenkommen, kann eine Art einzigartiger Fingerabdruck entstehen. Legt ein Website-Betreiber es darauf an, könnte er einzelne Personen mithilfe ihres digitalen Fingerabdrucks beobachten: Aha, dieser Typ, der seit Jahren Outdoor-Pornos streamt, schaut sich gerade ein Threesome-Video an.

Anzeige

In einer E-Mail an VICE schreibt ein Pressesprecher von MindGeek: "Wir untersuchen nicht die Sehgewohnheiten individueller Nutzer." PornHub verspricht zudem in der Datenschutzerklärung, dass es die IP-Adressen seiner Nutzer pseudonymisiert. Auch ein Pressesprecher von xHamster schreibt: "Wir schauen uns allgemeine Muster an und vermeiden es, die Daten mit individuellen Nutzern zu verknüpfen." Versprechen wie diese sind eine Sache – die technischen Möglichkeiten eine andere.

Immerhin schreibt PornHub auch in der Datenschutzerklärung, dass die Firma durchaus ermitteln darf, ob Nutzer "unique" sind, also einzigartig. Solche Infos sind zum Beispiel für Werbekunden relevant, die wissen möchten, wie viele Menschen sie denn mit ihren Anzeigen erreichen. Das Wissen ließe sich aber auch missbrauchen, um Personen langfristig zu tracken.

Screenshot von Don't Fingerprint Me, einer App die anzeigt, welche Daten beispielsweise PornHub sammelt

Die Browser-Erweiterung "Don't Fingerprint Me" führt Protokoll darüber, welche Daten eine Website sammelt | Screenshot aus dem Chrome-Browser

Mit der Browser-Erweiterung "Don't Fingerprint Me" kann jeder testen, welche Tracking-Methoden eine Website anwendet. Das Add-on führt Buch, welche Infos der Browser übermittelt. VICE hat PornHub und xHamster mit dem Add-on getestet. Das Ergebnis: Beide Websites greifen Daten ab, die zu einem digitalen Fingerabdruck beitragen können. Besonders viele Daten sind es aber nicht; andere Websites wie auch VICE.com sammeln durchaus mehr.

Reichen die von den Pornoseiten erfassten Daten trotzdem aus, um einen einzigartigen Fingerabdruck zu erstellen? Das lässt sich leider nur mit "vielleicht" beantworten. Dominik Herrmann forscht an der Uni Bamberg zu Privatsphäre, IT-Sicherheit und Tracking. Im Gespräch mit VICE erklärt er, es hänge im Einzelfall von vielen Faktoren ab, ob eine Wiedererkennung klappt. "Browser-Fingerprinting erlaubt keine hundertprozentig zuverlässige Identifizierung". Hinzu kommt, dass eine Website jederzeit etwas ändern und noch mehr Daten abfragen könnte. Nutzer können also schlicht nicht sicher wissen: Jetzt haben die meinen digitalen Fingerabdruck – oder jetzt noch nicht.

Anzeige

Auch auf VICE: Totalüberwachung für 150 Euro


Vom digitalen Fingerabdruck zum Namen einer Person braucht es übrigens noch einen weiteren Schritt. Eine Person kann Trackern durch ihr sonstiges Surfverhalten ihren Namen offenbaren, zum Beispiel indem sie sich auf einer Website mit E-Mail-Adresse einloggt, Kreditkartendaten hinterlässt oder auffällig oft das eigene LinkedIn-Profil checkt. So etwas lässt sich herausfinden, indem mehrere Datensätze kombiniert werden, zum Beispiel gesammelte Browserverläufe von anderen Tracking-Anbietern. Und wieder gilt: Kaum eine Firma wird je offen sagen, das zu tun, technisch möglich ist es trotzdem.

Juristen der Universität New York kommen in einem Paper aus dem Jahr 2019 zu dem Schluss, dass wir Pornokonsum grundlegend neu denken müssen. "Es ist eine grundlegend zweispurige Kommunikation", schreiben die Forscher. Immerhin übermitteln wir bei jedem Besuch auf einer Pornoseite Daten. Das bedeutet: Wer Online-Pornos guckt, könnte auch eine Umfrage über die eigenen sexuellen Vorlieben ausfüllen – ohne genau zu wissen, was damit in Zukunft passiert und wann die Daten wieder verschwinden.

Die Daten können missbraucht werden, um Minderheiten zu verfolgen

Wenn ein Datensatz erst einmal da ist, kann er missbraucht werden – das gilt auch für das Wissen von Pornoseiten-Betreibern. Zum Beispiel ließen sich mit diesen Daten gezielt Minderheiten verfolgen, etwa Homosexuelle. Und das ist nicht zu weit hergeholt. "Es gibt viele homofeindliche Regierungen, die solche Daten wohl gerne hätten", schreibt ein xHamster-Sprecher auf Anfrage von VICE. "Zwar ist deshalb noch nie eine Regierung auf uns zugekommen. Aber es gibt gewiss Regime, die das gerne würden." xHamster sitze aber in Zypern und könne von niemandem gezwungen werden, etwas herauszugeben, so der Sprecher. Zudem gebe es wenig zu finden.

Anzeige

Anne Deremetz vom Graduiertenkolleg der Uni Passau betrachtet das Wissen der Porno-Anbieter skeptisch. Die Sozialwissenschaftlerin forscht zu Privatheit und Digitalisierung. "Auch demokratische Verfassungsstaaten sind nicht gegen politische Veränderungen immun", sagt Deremetz im Gespräch mit VICE. Es sei nicht selbstverständlich, dass unsere Daten für immer rechtlich geschützt sind und nicht politisch missbraucht werden. "Sobald es uns egal wird, was mit unseren Daten geschieht, haben Firmen und Regierungen auch keinen Anreiz, sich für Datenschutz einzusetzen."

Aus den Daten werden neue Pornos gemacht

Schon heute fließt das Wissen der Porno-Anbieter nicht nur in Werbung. Wie Forscher berichten, lassen sich damit auch optimierte Pornoclips drehen. Denn Porno-Anbieter können auf die Sekunde genau erfassen, was Millionen von Menschen an- oder abtörnt, wann sie ein Video pausieren oder weiterklicken. Davon erzählt der CEO von Mindgeek, Feras Antoon, im Gespräch mit Juristen der Universität New York.

Den Forschern zufolge kommen dabei bis ins Detail optimierte Sexvideos heraus. Es beginnt schon mit der Kleiderwahl: Die Frau trägt Tanga und ein weißes Leibchen, der Mann schwarze Hose und Gürtel – das kommt besonders gut an. So steht es zumindest im Drehbuch eines PornHub-Videos, das die Forschenden in ihrem Bericht beschreiben. Auch der Rest des Videos beruhe auf Datenanalysen: was die Darstellenden sagen, wie sie Sex haben, von wo die Kamera filmt. Der Pressesprecher von PornHub gibt an, davon nichts zu wissen: "Auf Daten basierende Videos existieren nicht." Eine Rückfrage mit Verweis auf das Paper lässt er unbeantwortet.

Anzeige

Der Konkurrent xHamster dreht nach eigenen Angaben keine Videos auf Grundlage von Nutzerdaten. "Ich denke, wir sollten bei der verführerischen Kraft von Algorithmen vorsichtig sein", schreibt ein Sprecher. Filme, die sich an statistisch erhobenen Vorlieben orientieren, würden den Horizont der Zuschauer eher einschränken.

So klappt anonymer Pornokonsum

Wer die Datenschutz-Versprechen der Pornoanbieter nicht beruhigend findet oder sich für außergewöhnlich gefährdet hält, hat Alternativen. Den besten Schutz bietet der Tor-Browser. Hier werden Anfragen stets durch ein Netzwerk an Rechnern gejagt und Website-Betreiber wissen nie genau, welcher Nutzer eine Seite aufruft. Dadurch ist der Tor-Browser aber auch langsam – so langsam, dass Videoschauen in HD nicht gerade befriedigend ist. VPN-Dienste, die den Traffic durch eigene Server tunneln, sind auch keine optimale Alternative. Denn dann müssten Nutzer auf den Datenschutz der VPN-Firma vertrauen.

Eine bessere Option beschreibt Dominik Herrmann. Wer auf Nummer Sicher gehen will, müsse seinen Pornokonsum konsequent von anderen Aktivitäten im Internet trennen, und zwar mit einem eigenen Gerät und einem eigenen Internetzugang. Ein Setup wäre also ein exklusiver Porno-Laptop mit separatem Internet-Stick.

Folge Sebastian auf Twitter und VICE auf Facebook, Instagram und Snapchat.