Tracking-Pixel sind Schnipsel aus JavaScript-Code, die mit einem transparenten Ein-Pixel-Bild verknüpft und in eine Website eingebettet werden. Sobald die Seite das unsichtbare Bild lädt, läuft das Skript an und überträgt Nutzerdaten an die Server des Dienstanbieters. Dieser bündelt die Informationen zu Profilen einzelner Web-Nutzer und ermöglicht Werbetreibenden so ein präziseres Microtargeting. Laut W3Techs setzen 9 Prozent aller Websites den Meta-Pixel ein, 0,7 Prozent den TikTok-Pixel.
Weil Website-Betreiber dieser Einbindung zustimmen und Nutzer ausufernde Datenschutzerklärungen meist ungelesen akzeptieren, gilt die Praxis als umstritten, aber nicht zwingend als bösartig. Jscrambler zufolge greifen die Pixel jedoch deutlich mehr ab als nur einen eng umrissenen werbebezogenen Datensatz.
Dazu zählen den Forschern zufolge personenbezogene Daten wie Vor- und Nachnamen, E-Mail-Adressen, Telefonnummern und Standorte, außerdem Kreditkartendetails wie die letzten vier Ziffern, das Ablaufdatum und der Name des Karteninhabers. Erfasst werden zudem detaillierte Angaben zum Einkauf: Namen, Preise und Mengen der gesuchten Produkte, die verwendete Währung, der Warenkorbwert sowie konkrete Handlungen wie das Hinzufügen von Artikeln oder die Eingabe von Zahlungsdaten. Meta geht laut Bericht noch einen Schritt weiter als TikTok und zeichnet auch die Struktur der Kassenformulare und Schaltflächen der Werbekunden auf.
Nach Darstellung von Jscrambler laufen die Pixel unabhängig davon, ob ein Nutzer die Datennutzung akzeptiert, ablehnt oder anpasst – tatsächlich werden sie bereits beim ersten Laden der Seite aktiv, noch bevor die Wahlmöglichkeit überhaupt angezeigt wird. Damit sei die Banner-Option „Meine personenbezogenen Daten nicht weitergeben" faktisch wirkungslos. Die Pixel sind zwar konfigurierbar, sammeln in der Standardeinstellung aber so viele Daten wie möglich.
Bowker sieht die Verantwortung nicht allein bei den Werbekunden: Die Pixel von TikTok und Meta seien darauf ausgelegt, möglichst viele Daten zu erfassen, während Nutzungsbedingungen, Implementierungshinweise und begrenzte Schutzvorkehrungen diese Sammlung rechtfertigen sollten. Viele Unternehmen verstünden oder prüften die Drittanbieter-Werkzeuge auf sensiblen Bereichen ihrer Websites nicht ausreichend. Dadurch riskierten sie Vertrauensverlust, Reputationsschäden und Compliance-Probleme – und gäben womöglich Preis-, Kauf- und Geschäftsdaten an die globalen Werbealgorithmen von TikTok und Meta weiter, wovon Konkurrenten profitieren könnten.
Ein Meta-Sprecher bezeichnete den Bericht gegenüber Dark Reading als eigenwerbliche Effekthascherei. Ohne auf einzelne Befunde einzugehen, erklärte er, die Darstellung verzerre übliche Praktiken digitaler Werbung und die Funktionsweise des Meta-Pixels und ignoriere Metas Datenschutzeinstellungen sowie die Regel, dass die Weitergabe sensibler Daten untersagt sei. Ein TikTok-Sprecher betonte, Werbetreibende seien selbst dafür verantwortlich, den TikTok-Pixel gesetzeskonform zu konfigurieren; übermittelt werde nur, was Partner bewusst einstellten und sendeten. Nutzern stelle man Werkzeuge zum Zugriff auf und zum Löschen ihrer Daten bereit.
Als Ausblick auf mögliche rechtliche Folgen verweist der Bericht auf eine Sammelklage gegen Mass General Brigham und angeschlossene Krankenhäuser, darunter das Dana-Farber Cancer Institute. Website-Besucher hatten beklagt, nicht ausreichend darüber informiert worden zu sein, dass Dritte über Tracking-Pixel und Cookies ihr Verhalten erfassten und monetarisierten. 2021 einigten sich Mass General und Dana-Farber auf einen Vergleich über 18 Millionen US-Dollar – nicht weil sie selbst Besucher ausspioniert hätten oder jemand zu Schaden kam, sondern weil die Nutzer nicht über die Datenerhebung aufgeklärt worden waren.