Der große Ausverkauf Ihrer personenbezogenen Daten auf Le Bon Coin

Die Kleinanzeigenseite ist ein Segen für das Überwachungsmarketing

Veröffentlicht von Pixel de Tracking am 30. September 2020

Le Bon Coin gibt Ihre persönlichen Daten preis, sobald Sie auf der Website ankommen

Le Bon Coin ist in Frankreich ein großer kommerzieller Erfolg: Die Kleinanzeigenseite hat sich bei zahlreichen Privatpersonen unentbehrlich gemacht. Da ich recht regelmäßig Dinge zu verkaufen habe, wollte ich verstehen, ob Le Bon Coin meine Privatsphäre respektiert. Beginnen wir mit der Website leboncoin.fr; hier sind die Schritte, die Sie befolgen müssen, wenn Sie das Experiment nachstellen möchten:

  • Deaktivieren Sie Ihren Adblocker.
  • Löschen Sie Cookies auf Chrome (Einstellungen > Erweiterte Einstellungen > Browserdaten löschen), sodass Sie von Ihrem Google-Konto abgemeldet werden.
  • Öffnen Sie die Chrome-Konsole (⌘+Wahltaste+J auf dem Mac, Strg, Umschalt und J auf dem PC), Registerkarte „Netzwerk“, oder starten Sie Charles Proxy.
  • Gehen Sie dann zur Startseite leboncoin.fr.

Startseite Le Bon Coin

Erste Feststellung: Le Bon Coin bietet keine direkte Möglichkeit, die Marketingüberwachung abzulehnen. Diese Gestaltung entspricht nicht der DSGVO: Die Option „Ich habe verstanden“ wird durch die blaue Farbe hervorgehoben und zwingt den Nutzer vor allem dazu, seine Einstellungen über die Schaltfläche „Personalisieren“ vorzunehmen – die überwiegende Mehrheit der Nutzer wird sich diese Mühe nicht machen.

Schauen wir uns nun die Anfragen an, die bei Ihrer Ankunft auf der Website gesendet werden. Zur Erinnerung: Sie haben sich noch nicht entschieden, ob Sie dem Tracking zustimmen oder es ablehnen:

vorher1vorher2

Überraschung! Sie haben noch nichts unternommen, doch Le Bon Coin sendet bereits zahlreiche Aufrufe an Marketingunternehmen, von denen einige das Tracking ohne Ihre Einwilligung starten. Hier ist eine Liste von Trackern, die eine persönliche Kennung (Pseudonym) verwenden:

Was passiert nun, wenn Sie auf die Schaltfläche „Personalisieren“ klicken?

Le Bon Coin – Personalisieren

Gute Nachricht: Es gibt tatsächlich eine Schaltfläche „Alle ablehnen“. Klicken wir darauf und beobachten wir die gesendeten Anfragen:

ablehnen

Sie haben sich gerade die Mühe gemacht, jegliches Tracking abzulehnen, und dennoch geben Sie Ihre personenbezogenen Daten weiterhin an die Giganten der Werbeüberwachung weiter:

  • Facebook: Die Überwachung geht weiter, Facebook verfolgt alle Ihre Aktionen auf der Website leboncoin.fr. Ironischerweise erfasst das Unternehmen aus Menlo Park hier ausgerechnet die Information, dass Sie auf die Schaltfläche „Alle ablehnen“ geklickt haben.
  • Google: Über seine Plattform zur Werbemonetarisierung Google Ad Manager (die Adserver und SSP vereint) erfasst auch Google Ihr Surfverhalten.

Schauen Sie sich ein paar Seiten an und stellen Sie fest, dass die Aufrufe an Marketingunternehmen weiterhin den Großteil der Anfragen ausmachen:

Le Bon Coin Ablehnung der Einwilligung 1Le Bon Coin Ablehnung der Einwilligung 2

Die meisten dieser Akteure scheinen hier Ihre Einwilligung zu berücksichtigen (es werden keine Cookies gesetzt, auch wenn sie Sie theoretisch über Ihre IP-Adresse und die Merkmale Ihres Browsers verfolgen könnten), aber man kann sich fragen, warum Le Bon Coin sie überhaupt aufruft. Die bereits zuvor aufgeführten Tracker setzen die Überwachung fort (Google, Facebook, AT Internet, Sublime, Datadome); außerdem fällt ein Neuling auf: Index Exchange (über casalemedia.com), eine weitere Plattform zur Werbemonetarisierung.

Wenn Sie nun weitersurfen, ohne auf das Einwilligungsbanner zu achten (wie die allermeisten Nutzer), kommt es im wahrsten Sinne des Wortes zum Gemetzel:

surf1surf2surf3

Hier wird kein Pardon gegeben, jeder verfolgt Sie. So lassen sich erkennen:

  • Weborama: französisches Data-Marketing-Unternehmen, das Ihre personenbezogenen Daten unter anderem an russische Unternehmen preisgibt.
  • Criteo: ein französischer Gigant des Überwachungsmarketings, spezialisiert auf „Retargeting“, mit wenig ethischen Praktiken.
  • AppNexus: über adnxs.com, eine amerikanische Plattform zur Werbemonetarisierung (SSP), übernommen vom Telekommunikationsgiganten AT&T; sie bietet außerdem eine Plattform zum Einkauf von Werbeflächen (DSP) an.
  • Realytics: eine Plattform für den programmatischen Einkauf von TV-Werbung.
  • Amazon: Unter den GAFA stellen nicht nur Google oder Facebook Werbelösungen bereit, auch Amazon bietet seine Monetarisierungslösungen für Publisher an.
  • Smart AdServer: eine französische Plattform zur Werbemonetarisierung.
  • TheTradeDesk: über adsrvr.org, eine amerikanische Plattform zum Einkauf von Werbeflächen.
  • Yahoo: ja, Yahoo existiert noch … und bietet Werbelösungen an.
  • Temelio: über leadplace.fr, eine französische Lösung zum Abgleich Ihrer personenbezogenen Online- und Offline-Daten; Sie werden ihr nicht entkommen!
  • Graphinium: über crm4d.com, eine weitere französische Lösung zum Abgleich Ihrer personenbezogenen Online- und Offline-Daten.
  • Zemanta: übernommen von Outbrain (weltweit führend bei Clickbait-Links am Ende von Artikeln); Zemanta bietet eine Plattform zum Einkauf von „nativer Werbung“ („getarnte“ Werbung mit demselben Erscheinungsbild wie der Inhalt, wie auf Facebook oder Twitter).
  • Liveramp: über rlcdn.com, weltweit führend beim Abgleich Ihrer personenbezogenen Online- und Offline-Daten (Konkurrent von Temelio und Graphinium).
  • Nielsen: über exelator.com, der Marktforschungsriese hat sich über die Übernahme des Anbieters personenbezogener Daten eXelate im Jahr 2015 ins Internet ausgeweitet.
  • ZBO Media: über zebestof.com, ein Unternehmen der Gruppe Figaro – CCM Benchmark, das sich als „der einzige programmatische Akteur, der alle Daten der Gruppe Figaro – CCM Benchmark nutzen kann“ präsentiert. Zur Erinnerung: Lesen Sie den Artikel „Le Figaro, Sinnbild für invasives Werbe-Tracking auf französischen Medienseiten“.
  • Pubmatic: amerikanische Plattform zur Werbemonetarisierung.
  • TripleLift: über 3lift.com, ein auf native Werbung spezialisiertes Werbenetzwerk.
  • Adform: Plattform, die eine komplette Suite von Werbetools bietet, zunächst für Werbetreibende und Agenturen (Adserver, DSP und DMP), aber auch für Publisher (Adserver und SSP).
  • OpenX: eine weitere amerikanische Plattform zur Werbemonetarisierung.
  • Adot: über adotmob.com, französisches Werbenetzwerk.
  • ESV Digital: über esearchvision.com, ein französisches Unternehmen, das früher für sein Tracking-Tool für Kampagnen mit gesponserten Links auf Google bekannt war.
  • Integral Ad Science: über adsafeprotected.com, Tool zur Betrugserkennung, zur Sichtbarkeitsmessung (ist die ausgespielte Werbung für den Nutzer sichtbar oder am Seitenende?) und zur „Brand Safety“ (wird die Werbung auf einer „qualitativ hochwertigen“ Seite ausgespielt?).
  • Adobe: über everesttech.net; Adobe ist bekannt für Photoshop, doch das amerikanische Unternehmen hat zahlreiche Zukäufe getätigt (Analytics, Tag-Management, DMP, Media-Einkauf usw.), um eine komplette Marketing-Suite anzubieten.
  • Delta Projects: über de17a.com, ein Unternehmen, das den Einkauf von Werbeflächen verwaltet.
  • Adition: deutsches Unternehmen, das Werbelösungen für Werbetreibende und Publisher anbietet.
  • Turn: Unternehmen, das eine Plattform zum Einkauf von Werbeflächen und eine „Data Management Platform“ anbietet, 2017 von Amobee übernommen.
  • BidSwitch: wesentlicher Akteur der programmatischen Werbung, ein Vermittler, der die Brücke zwischen Einkaufsplattformen und Monetarisierungsplattformen schlägt, die nicht direkt miteinander verbunden sind. Es ist eine Tochtergesellschaft des russischen Unternehmens Iponweb.
  • Beeswax: über bidr.io, bietet eine konfigurierbare Plattform zum Einkauf von Werbeflächen; der Werbetreibende hat damit einen größeren Spielraum, um seine eigene Einkaufslogik zu integrieren (verglichen mit „schlüsselfertigen“ Lösungen wie der Einkaufsplattform von Google).
  • Bid Theatre: Plattform zum Einkauf von Werbeflächen.
  • OnAudience: Anbieter personenbezogener Daten.
  • Quantcast: Werbenetzwerk, das auch ein Analytics-Tool (mit dem es Sie profiliert) und eine CMP (Plattform zur Einwilligungserfassung) anbietet.
  • Conversant: über dotomi.com, ein amerikanisches Data-Marketing-Unternehmen.
  • Admixer: Unternehmen, das Werbetools für Publisher und Werbetreibende bereitstellt.
  • Advendori: Unternehmen, das auf die Personalisierung von Werbebannern spezialisiert ist.
  • Simpli.fi: Werbenetzwerk.
  • Lotame: über crwdcntrl.net, Anbieter personenbezogener Daten.
  • Wizaly: über tk.conforama.fr, Attributionsplattform. Sie ermöglicht es einem Werbetreibenden zu verstehen, welche Werbekampagnen wirksam sind. Offenbar nutzt Conforama also Wizaly (das über eine Domain-Delegation bzw. einen CNAME läuft), um die Ausspielung seiner Werbung auf Le Bon Coin zu messen.
  • PulsePoint: über contextweb.com, ein Akteur der programmatischen Werbung, spezialisiert auf den Gesundheitsbereich (!)
  • CloudTechnologies: über erne.co, ein polnisches Unternehmen, das sich damit rühmt, die personenbezogenen Daten von Nutzern auf mehr als 200 Märkten zu analysieren und zu monetarisieren.
  • Tapad: amerikanisches Werbeunternehmen, spezialisiert auf geräteübergreifende Überwachung. Sein Pitch: Sie wiederzufinden, egal welches Gerät Sie verwenden, und diese Informationen anschließend an Marken und andere Adtech-Unternehmen zu verkaufen.
  • DataXu: über w55c.net, Plattform zum Einkauf von Werbeflächen, von Roku übernommen, dem Marktführer für vernetztes Fernsehen in den USA (vor den anderen wie ChromeCast, Android TV, Amazon Fire TV oder Apple TV).
  • Adelphic: über ipredictive.com, eine Plattform zum Einkauf von Werbeflächen, gehört zum Marketingunternehmen Viant.
  • TribalFusion: ein Werbenetzwerk alter Schule, hier geht es um schwere Kost: Gehen Sie auf die Website, und Sie werden sehen, dass sie noch immer Adobe Flash verwendet.
  • Fifty: über fiftyt.com, ein Unternehmen, das die Werbekampagnen von Werbetreibenden verwaltet (Trading Desk).
  • Playground: Unternehmen, das Tools zur Erstellung von Werbung und zur Messung ihrer Wirksamkeit bereitstellt.
  • Gumgum: Werbenetzwerk.

Melden Sie sich an und lassen Sie sich von Weborama dauerhaft verfolgen

Wenn Sie sich bei Ihrem Le-Bon-Coin-Konto anmelden, begnügt sich Weborama nicht damit, Sie über eine Werbekennung zu verfolgen, die Sie durch Löschen Ihrer Cookies zurücksetzen könnten. Es erfasst einen Hash Ihrer E-Mail-Adresse. Wie stellt sich Weborama selbst dar? Auf seiner Startseite liest man:

Weborama bietet fortschrittliche Lösungen zur Verbraucherkenntnis, die auf einer einzigartigen, äußerst präzisen und skalierbaren semantischen Analysetechnologie basieren, damit Unternehmen Wachstum erzielen und zugleich ihre Marketingkosten optimieren können. Auf Basis semantischer KI entwickelt, bietet Weborama eine Kombination aus leistungsstarken Technologien, Daten und Fachkenntnissen, die zu 100 % DSGVO-konform ist.

Wir sind Weborama bereits zuvor begegnet:

Weborama verhält sich auf der Website leboncoin.fr wie ein Trojanisches Pferd: Es „ermöglicht“ den Abfluss Ihrer personenbezogenen Daten an eine ganze Reihe neuer Marketingunternehmen, von denen einige in Russland ansässig sind:

Weborama

Nicht erschöpfende Liste der Partner, mit denen Weborama Ihre persönliche Kennung auf der Website Le Bon Coin synchronisiert. Französische, amerikanische oder auch russische Unternehmen, mit denen Le Bon Coin nichts zu tun hat.

Weborama erfasst aber auch die Details Ihres Surfverhaltens auf Le Bon Coin, verknüpft mit einer Signatur (der Variablen „_emailhashe“), die Ihrer E-Mail-Adresse entspricht. Hier sind die für das schlichte Ansehen eines Resopaltischs gesammelten Informationen:

Weborama2

„Zu 100 % DSGVO-konform“, wirklich, Weborama?

Melden Sie sich über Safari an und geben Sie Ihre Anmeldedaten an Criteo preis

Wie wir bereits im Artikel „Criteo, ein französischer Gigant des Überwachungsmarketings“ gesehen haben, drängt Criteo seine Kunden dazu, auf ihren Websites eine Sicherheitslücke zu schaffen, um Nutzer besser zu verfolgen, die Adblocker oder datenschutzfreundliche Browser wie Safari verwenden. Um zu prüfen, ob Le Bon Coin anfällig ist, melden wir uns über Safari an und sehen uns die Anfragen an:

Le Bon Coin - Criteo

Volltreffer! Le Bon Coin gibt tatsächlich Ihre Anmeldedaten an Criteo preis. Die seltsame Domain bvubje.leboncoin.fr ist eine Domain-Delegation (oder CNAME) auf dnsdelegation.io, das selbst eine Domain-Delegation auf gum.criteo.com ist. Welches Interesse hat Criteo daran, für Ihre Überwachung auf Safari einen Umweg über einen CNAME zu nehmen? Dieser Mechanismus verfolgt mehrere Ziele:

  • der Blockierung durch bestimmte Adblocker entgehen (verwenden Sie uBlock Origin, um dieses Tracking zu vermeiden). Dieses Argument gilt allerdings für alle Browser.
  • die Blockierung von Drittanbieter-Cookies umgehen.
  • die zeitliche Begrenzung von per JavaScript erstellten Cookies (7 Tage) umgehen, da das Cookie nun serverseitig erstellt wird (keine zeitliche Begrenzung). Hinweis: Safari wird diesen Punkt bald beheben.

Das System der Domain-Delegation ermöglicht jedoch, sämtliche mit der Domain leboncoin.fr verbundenen Cookies an Criteo zu senden … darunter das Cookie „luat“ (das Cookie, das speichert, dass Sie angemeldet sind), das ich über die Erweiterung EditThisCookie in Chrome kopieren kann, um direkt angemeldet zu sein. Ein Mitarbeiter von Criteo kann sich somit in Ihr Konto einloggen.

Auch in der iOS-App werden Sie ab dem Öffnen getrackt

Um die von der App Le Bon Coin auf iOS gesendeten Anfragen zu beobachten, verwende ich Charles Proxy. Öffnen wir die App Le Bon Coin:

lbc1

Wie Sie sehen und wie im Web können Sie das lästige Einwilligungsfenster loswerden, indem Sie auf „Akzeptieren und schließen“ klicken (durch die blaue Farbe hervorgehobene Auswahl), oder Energie darauf verwenden, der Überwachung zu entgehen, indem Sie auf „Mehr erfahren“ klicken. Wieder einmal ein „Dark Pattern“, um Ihnen keine freie Wahl zu lassen. Was passiert auf Seiten der Marketingüberwachung? Noch bevor ich meine Einwilligung gebe (oder eben nicht), gibt Le Bon Coin meine personenbezogenen Daten preis:

Le Bon Coin - iOS

Einige dieser Tracker erfassten Ihre personenbezogenen Daten bereits auf der Website, doch wir beobachten auch neue Tracker:

  • Weborama: bereits auf der Website vorhanden.
  • Google: über Doubleclick (und die Lösung zur Werbemonetarisierung für Publisher Google Ad Manager) und Firebase (Googles Toolbox für Mobile-Entwickler), bereits auf der Website vorhanden.
  • Appsflyer: Mobile-Marketing-Unternehmen, das unter anderem ein Attributionsprodukt anbietet, mit dem Le Bon Coin erfahren kann, welche Werbekampagnen die Installation der App ausgelöst haben.
  • Accengage: französisches Tool für Push-Benachrichtigungen, 2018 übernommen vom Mobile-Marketing-Unternehmen Airship.
  • Datadome: bereits auf der Website vorhanden.
  • Amazon: über serving-sys.com, der Adserver für Agenturen und Werbetreibende Sizmek, ehemals Mediamind, ursprünglich Eyeblaster genannt, wurde 2019 übernommen vom amerikanischen E-Commerce-Riesen.

Lehnen Sie die Überwachung ab – Le Bon Coin gibt Ihre personenbezogenen Daten weiterhin preis

Klicken wir auf „Mehr erfahren“:

lbcconsent1lbcconsent2

So möchten einige Partner auf Grundlage des berechtigten Interesses gezielte Werbung oder Inhalte anbieten, was eindeutig im Widerspruch zur DSGVO steht. Klicken wir auf „Alle ablehnen“ und sehen wir uns einige Anzeigen an:

Keine Einwilligung iOS

Die Überwachung hört nie auf: Ich werde weiterhin von Google, Appsflyer, Datadome und Weborama verfolgt.

Melden Sie sich an, und Weborama findet Sie wieder

Wenn Sie sich anmelden, verfolgen Sie weiterhin dieselben Tracker. Doch ein Tracker geht noch weiter: Weborama erhält die Details jeder aufgerufenen Anzeige zusammen mit dem Hash Ihrer E-Mail-Adresse. Ja, dieselbe Kennung wie im Web; Weborama kann Sie damit unabhängig vom Gerät verfolgen, selbst wenn Sie Ihre Kennungen zurücksetzen. Dieser Hash ermöglicht es, Ihnen auf sämtlichen Websites und Apps zu folgen, die seine Dienste nutzen, und so ein sehr genaues Profil über Sie zu erstellen.

LBC verbindet iOS

In den Verästelungen des berechtigten Interesses

Vielleicht denken Sie, wenn Sie immer noch verfolgt werden, müssen Sie eine Option übersehen haben. Ganz unten im Formular „Mehr erfahren“ können Sie auf „Unsere Partner ansehen“ klicken:

LBC iOS Unsere Partner ansehen

Dort stellen Sie fest, dass bestimmte Partner im Widerspruch zur DSGVO bereits vorab angekreuzt sind:

kochova

Schauen wir uns den Partner Weborama an:

LBC Weborama 1LBC Weborama 2

Das berechtigte Interesse ist bei Weborama also vorab angekreuzt, und Weborama ist der Ansicht, diese Rechtsgrundlage für verschiedene Zwecke nutzen zu können, darunter die Erstellung eines Profils zur Anzeige personalisierter Inhalte. Deaktivieren wir nun alle Partner:

LBC Partner deaktiviert

Nichts ändert sich, Weborama ist immer noch da; auch AT Internet taucht wieder auf:

LBC Ablehnung

Melden Sie sich an, und Weborama erfasst weiterhin den Hash Ihrer E-Mail-Adresse. Dabei haben Sie klar angegeben, das Tracking sämtlicher Partner abzulehnen; folglich wird die Information über die Verweigerung der Einwilligung und das „Opt-out“ vom berechtigten Interesse durchaus an Weborama gesendet:

Signal

Dieses Signal wurde nach dem Protokoll des TCF v2 codiert (Protokoll zum Sammeln und Übertragen von Einwilligungssignalen zwischen Werbeakteuren, eingeführt von IAB Europe, der Lobby der Werbetechnologien); entschlüsseln wir es über diese Seite:

legitime

Wie kann Weborama mich dann derart aggressiv verfolgen (Details zu allen aufgerufenen Anzeigen, dauerhaftes Tracking über die Verwendung eines Hashs meiner E-Mail-Adresse), obwohl es die Information erhält, dass ich jegliche Verarbeitung auf Grundlage der Einwilligung oder des berechtigten Interesses abgelehnt habe?! Wie können andere Partner wie Google mich weiterhin verfolgen?

„Weborama, eine Kombination aus leistungsstarken Technologien, Daten und Fachkenntnissen, die zu 100 % DSGVO-konform ist“?!

Le Bon Coin verstößt gegen seine eigene Datenschutzrichtlinie

Wenn man sich die Datenschutzrichtlinie der Website Le Bon Coin aufmerksam ansieht, Abschnitt „Nutzung Ihrer Daten“, Absatz „Nutzung Ihrer Daten mit Ihrer Einwilligung“, liest man unter anderem:

  • Mit Ihrer Einwilligung können wir [...] Ihre Daten an unsere Werbepartner als Verantwortliche weitergeben, um die Leistung der Kampagnen unserer Partner auf unserer Website zu verbessern.
  • Wir geben Ihre personenbezogenen Daten nicht ohne Ihre Einwilligung an unsere Drittpartner weiter. Wenn Sie jedoch auf eine Werbeanzeige klicken, kann deren Werbetreibender erfahren, dass Sie die Seite aufgerufen haben, auf der Sie geklickt haben.

confidentialite

Le Bon Coin verstößt damit gegen seine eigene Datenschutzrichtlinie.

Was tun?

Wie können Le Bon Coin und die CNIL so etwas zulassen? In Ermangelung abschreckender Sanktionen der CNIL oder einer Reaktion der Website Le Bon Coin können Sie sich individuell schützen. So können Sie im Web einen Adblocker wie uBlock Origin installieren oder auf iOS Apps wie DNSCloak, Adguard oder NextDNS.