Einwilligung: die schlechteste Nutzererfahrung und Überwachung mit Lemonde.fr

Die „renommierte Zeitung“ missachtet Ihre Entscheidungen und ermöglicht es zahlreichen Adtech-Unternehmen, Sie zu überwachen

Veröffentlicht von Pixel de Tracking am 30. August 2020

EDIT 6. Juni 2021: Lemonde.fr hat einige zusätzliche Korrekturen vorgenommen:

  • (+) Lemonde.fr löst bei der Ankunft auf seiner Website nach wie vor die Tracker von AT Internet aus. Aber AT Internet fällt, sofern es angemessen konfiguriert ist und ausschließlich für das genutzt wird, was für den Betrieb und die laufende Verwaltung der Website unbedingt erforderlich ist, in den Geltungsbereich der von der CNIL definierten Einwilligungsausnahme.
  • (+) Wenn Sie Ihre Einwilligung verweigern, blockiert Lemonde.fr das Laden des Dailymotion-Videoplayers und verhindert so, dass dieser Ihre personenbezogenen Daten weitergibt.
  • (-) Die Blog-Plattform wurde leider weiterhin übersehen: Sie gibt Ihre personenbezogenen Daten schon vor der Einwilligung an Google Analytics weiter.
  • (+) Lässt man AT Internet (Einwilligungsausnahme), Batch (Benachrichtigungen) und Google Firebase (technisch) außer Acht, verfolgt Sie die iOS-App weder beim Start noch, wenn Sie Ihre Einwilligung verweigern.

EDIT 20. September 2020: Über Twitter (hier und dort), wurde mir mitgeteilt, dass Lemonde.fr Korrekturen vorgenommen hat. Nach Kontrollen:

  • (-) Lemonde.fr gibt Ihre personenbezogenen Daten immer an AT Internet weiter, wenn Sie auf seiner Website ankommen.
  • (-) Lemonde.fr bietet weiterhin kein Opt-out für AT Internet an.
  • (-) Lemonde.fr gibt Ihre Anmeldedaten immer an AT Internet weiter.
  • (+) Ihr Scrollen stellt keine Einwilligung mehr dar.
  • (+) Wenn Sie die Überwachung verweigern, respektiert Lemonde.fr jetzt Ihre Entscheidung und erhöht die Anzahl der Tracker nicht. Insbesondere erfolgt bei einer Verweigerung einer Einwilligung keine Vorabprüfung des berechtigten Interesses mehr.
  • (-) Aber Lemonde.fr hat leider seinen Dailymotion-Player vergessen, der direkt auf der Homepage eingebunden ist. Er respektiert Ihre Entscheidungen nicht und gibt Ihre personenbezogenen Daten an verschiedene Unternehmen weiter (und zeigt einen merkwürdigen Timer an: Sie haben 10 Sekunden Zeit, um zu reagieren).
  • (-) Lemonde.fr hat auch seine Blog-Plattform vergessen, deren Artikel oft auf der Homepage hervorgehoben werden. Beispiel mit diesem Artikel, der am 20. September hervorgehoben wurde: Sie mögen die Tracker abgelehnt haben, aber Ihre personenbezogenen Daten bereichern dennoch mehrere Marketingunternehmen.
  • (-) An der iOS-App ändert sich nichts: Lemonde.fr verfolgt Sie vom ersten Start an, und wenn Sie das Tracking verweigern, läuft die Überwachung weiter.

Dailymotion-Timer Sie haben die Werbeüberwachung bereits abgelehnt, aber damit ist es noch nicht vorbei: Sie haben 10 Sekunden Zeit, um die vom Dailymotion-Videoplayer ausgelöste Überwachung abzulehnen. Tatsächlich läuft die Überwachung selbst dann weiter, wenn Sie sich die Mühe machen, auf Dailymotions Seite „Ihre Datenschutzeinstellungen“ auf „Anpassen“ und „Alle ablehnen“ zu klicken.

EDIT 2. September 2020: Dank der Erläuterungen von @Cellular_PP konnte ich die rechtlichen Informationen vervollständigen (und Tippfehler korrigieren), danke!

Lemonde.fr gibt Ihre persönlichen Daten an AT Internet weiter, sobald Sie auf seiner Website ankommen

Seit dem 15. August hat Google das neue „Framework“ der Werbebranche zur Einholung von Einwilligungen integriert, das treffend benannte „Transparency and Consent Framework (TCF) v2.0“, und die Verlage aktualisieren ihre Einwilligungsbanner. Eine Verbesserung der Nutzererfahrung? Nicht unbedingt, wenn man meinen französischen Twitter-Feed verfolgt:

20 minutes Einwilligung

In England ist es nicht besser:

The Independent Einwilligung

Um besser zu verstehen, was sich bei den Medienseiten geändert hat, habe ich beschlossen, Lemonde.fr zu testen, die „renommierte Zeitung“, die ich gelegentlich lese. Ehrlich gesagt war meine Erwartung nicht besonders hoch:

Aber Sie haben das Recht, mehr Respekt für Ihre Privatsphäre zu verlangen. Um sich das Tracking auf der Website Lemonde.fr selbst anzusehen, befolgen Sie die folgenden Schritte:

  • Deaktivieren Sie Ihren Adblocker.
  • Löschen Sie Cookies auf Chrome (Einstellungen > Erweiterte Einstellungen > Browserdaten löschen), sodass Sie von Ihrem Google-Konto abgemeldet werden.
  • Öffnen Sie die Chrome-Konsole (⌘+Wahl+J auf dem Mac, Strg, Umschalt und J auf dem PC), Registerkarte „Network“, oder starten Sie Charles Proxy.
  • Rufen Sie dann die Startseite Lemonde.fr auf.

Lemonde Startseite

Erste Beobachtung: Le Monde lässt Sie das Tracking nicht direkt ablehnen, sondern nur „Cookies konfigurieren“. Diese Wahl widerspricht dem Geist der DSGVO, auch wenn die CNIL bei deren Durchsetzung weit hinterherhinkt. Lesen wir zum Beispiel das Interview mit der Präsidentin der CNIL in der Zeitung … Le Monde vom Februar 2020:

Das bedeutet, dass der Internetnutzer nicht mehr einen großen grünen Knopf zum „Akzeptieren“ und einen kleinen Text in der Ecke zum Ablehnen hat?

Es muss eine Symmetrie zwischen beiden bestehen. Darüber hinaus müssen Nutzer die Empfänger ihrer zum Zweck der Werbeprofilierung erhobenen Daten kennen. Es gibt geltende Texte, die die Einholung einer freien und informierten Einwilligung erfordern, diese Empfehlungen werden jedoch nicht allgemein umgesetzt.

Zur Erinnerung: Die DSGVO trat im Mai 2016 in Kraft und ist seit dem 25. Mai 2018 anwendbar (vgl. Artikel 99 der DSGVO). Die Branche hatte also vier Jahre Zeit, sich vorzubereiten; die CNIL sollte die Anwendbarkeit des Textes daher nicht unter Missachtung der Grundrechte der Menschen aufschieben.

Aber vielleicht wartet Le Monde auf die neuen Empfehlungen (oder gar Sanktionen?!) der CNIL, bevor sie handelt … Schauen wir uns nun die gesendeten Anfragen an:

Hits Startseite

Drei Erkenntnisse:

  • Lemonde.fr ruft zwei Marketingunternehmen auf, um deren JavaScript-Dateien zu laden, Batch und Amplitude; hier keine Tracking-Hits.
  • Iubenda ist die von Le Monde verwendete CMP (Consent Management Platform).
  • Nach einigen Recherchen entpuppt sich die Subdomain buf.lemonde.fr als „Tarnung“ für das französische Analyseunternehmen AT Internet: Le Monde ermöglicht ihm, Sie zu verfolgen, noch bevor Sie Ihre Einwilligung gegeben haben.

Lemonde.fr bietet unter Verstoß gegen das Gesetz kein Opt-out für AT Internet an

Worauf kann sich Lemonde.fr stützen, um Ihre personenbezogenen Daten an AT Internet weiterzugeben, noch bevor es Ihre Einwilligung erhalten hat? Vielleicht auf eine alte Ausnahme der CNIL, die kaum im Einklang mit dem Geist der DSGVO steht.

Nur fand diese Ausnahme ihre Grundlage in Artikel 6 der CNIL-Beratung von 2013; die Bedingungen für das Setzen von Cookies ohne Einwilligung sind nun in Artikel 5 der CNIL-Beratung vom Juli 2019 festgelegt. Dass die CNIL den Artikel online lässt, könnte einen Website-Betreiber dazu veranlassen, geltend zu machen, die CNIL habe ihn in die Irre geführt und er habe folglich in gutem Glauben gehandelt, indem er die Beratung von 2019 nicht anwandte; die CNIL sollte ihren Artikel daher anpassen.

Aber ob man nun die Beratung von 2013 oder von 2019 betrachtet, eine Regel bleibt verbindlich: die Einrichtung der „Opt-out“-Option: „Es muss die Möglichkeit haben, über einen leicht nutzbaren Widerspruchsmechanismus auf sämtlichen Endgeräten, Betriebssystemen, Anwendungen und Webbrowsern Widerspruch einzulegen. Auf dem Endgerät, von dem aus die Person Widerspruch eingelegt hat, darf kein Lese- oder Schreibvorgang erfolgen“.

Klicken wir also auf „Cookies konfigurieren“:

Einwilligung Schritt 1

Neugierig, was sich hinter diesen „Funktionscookies“ verbirgt?

Funktionsweise AT Internet

Überraschung! Neben Authentifizierungscookies ordnet Lemonde.fr die Tracker von AT Internet der Kategorie „Funktionscookies“ zu (und nicht „Analyse-Cookies“, wie man erwarten könnte). Die angeführte Ausrede? Die OJD, jetzt ACPM genannt, eine Stelle zur Zertifizierung von Medienreichweiten, dank der sich Le Monde regelmäßig mit seinen guten Reichweitenzahlen brüsten kann.

Folge dieser Einstufung von AT Internet als „Funktionscookies“: Die „Opt-out“-Option wurde nicht eingerichtet, unter Verstoß gegen die Bedingungen der Ausnahme.

Eine weitere Regel, die einzuhalten ist, um von der Ausnahme zu profitieren, ist die Information, die vor dem Setzen des Cookies erfolgen muss: „Die Person muss vor deren Umsetzung informiert werden“ (in der Beratung von 2013 hieß es nur, dass die Person informiert werden müsse). Auch hier verstößt Lemonde.fr gegen die Bedingungen der Einwilligungsausnahme.

Durch eine Sicherheitslücke gibt Lemonde.fr Ihre Verbindungsdaten an AT Internet weiter

Setzen wir die Untersuchung dieser Aufrufe an AT Internet fort: Hinter der Subdomain buf.lemonde.fr verbirgt sich eine obskure Domain:

CNAME Lemonde AT Internet

Eine Domain, die in Wirklichkeit AT Internet gehört:

AT Internet CNAME

Diese „Tarnung“ erfolgt über einen Mechanismus namens Domain-Delegation bzw. CNAME. Lemonde.fr lässt AT Internet über einen Alias-Mechanismus eine Subdomain in seinem Namen verwalten. Der Reiz für Marketingunternehmen besteht darin, Browser-Schutzmaßnahmen (wie Safari ITP oder Firefox Enhanced Tracking Protection) und Adblocker zu umgehen (auch wenn es einige Adblocker wie uBlock Origin unter Firefox schaffen, diese Tracker zu blockieren).

Die Verwendung von CNAME ist gefährlich, denn sie kann Ihre Anmeldedaten preisgeben: Cookies der aufgerufenen Domain (wie die Authentifizierungscookies von lemonde.fr) können an die Subdomain des Trackers (wie buf.lemonde.fr) gesendet werden. Schauen wir uns also die Anfragen an, die an AT Internet übermittelt werden, wenn ich bei Lemonde.fr angemeldet bin:

AT Authentifizierung

AT Internet greift tatsächlich sämtliche Cookies der Domain lemonde.fr ab. Um zu prüfen, ob diese Cookies Zugriff auf mein Lemonde.fr-Kundenkonto geben, lösche ich meine Cookies und gebe dann über die Chrome-Erweiterung Edit This Cookie die verschiedenen von AT Internet abgegriffenen Cookies ein. Schnell stelle ich fest, dass das Cookie „lmd_a_s“ genügt, um mich bei meinem Konto anzumelden:

Lemonde-Anmeldung

Magie! So kann ein Mitarbeiter von AT Internet auf Ihr Konto zugreifen

Ich hatte bereits in früheren Artikeln Gelegenheit, über diese Sicherheitslücke zu sprechen:

Verweigern Sie das Tracking, und Lemonde.fr vervielfacht die Tracker, insbesondere über Weborama

Setzen wir unsere Reise durch das Einwilligungsbanner von Lemonde.fr fort:

Tracking-Ablehnung Lemonde

Abgesehen von den Funktionscookies ist standardmäßig alles deaktiviert, und Lemonde.fr bietet außerdem eine Schaltfläche „Alle ablehnen“. So weit eine gute Praxis; klicken wir nun auf „Speichern und fortfahren“. Erwarten Sie jetzt, nicht mehr überwacht zu werden?

Lemonde nach Ablehnung 1Lemonde nach Ablehnung 2

Ja, Sie träumen nicht: Das sind all die Anfragen, die gesendet werden, nachdem man sich die Mühe gemacht hat, das Tracking abzulehnen. Und das, ohne einen einzigen Artikel aufgerufen oder die Seite auch nur neu geladen zu haben. Im Einzelnen folgen hier die Tracker, die Cookies per HTTP-Header setzen (manche Tracker erstellen Cookies auch per JavaScript oder speichern Kennungen im Local Storage des Browsers), mit persönlicher Kennung (Pseudonym):

  • Outbrain: die reißerischen Clickbait-Artikel am Seitenende verfolgen Sie auch quer durchs Web und auf der Seite lemonde.fr ohne Ihre Einwilligung.
  • Weborama: französisches „Data-Marketing“-Unternehmen, das mit Lemonde.fr zusammenarbeitet, erstellt im Web ein Profil von Ihnen und gibt, wie Sie weiter unten lesen können, Ihre personenbezogenen Daten an viele weitere Dritte weiter.
  • Index Exchange: über casalemedia.com, eine Werbemonetarisierungsplattform (SSP), die Lemonde.fr über ein System namens „Header Bidding“ nutzt (Wettbewerb um das Werbeinventar auf mehreren Marktplätzen).
  • TheTradeDesk: über adsrvr.org, eine Plattform zum Einkauf von Werbeinventar, aufgerufen von Index Exchange und Weborama.
  • Criteo: französischer Weltmarktführer im Retargeting, der Sie im Web und in Apps aggressiv verfolgt; Lemonde.fr hat dessen „Direct Bidder“ installiert (mit dem Criteo einkaufen kann, ohne einer Monetarisierungsplattform Provision zu zahlen); Criteo wird auch von Weborama aufgerufen.
  • Nielsen: über exelator.com; das Unternehmen eXelate, 2017 vom Marktforschungsriesen Nielsen übernommen, wird ebenfalls von Weborama aufgerufen.
  • Smart AdServer: französische Werbemonetarisierungsplattform, die Lemonde.fr über „Header Bidding“ nutzt, ebenfalls von Weborama aufgerufen.
  • Adobe: über everesttech.net; der amerikanische Riese bietet auch eine Marketing-Suite an und wird ebenfalls von Weborama aufgerufen.
  • MediaMath: über mathtag.com, eine Plattform zum Einkauf von Werbeinventar, aufgerufen von Weborama.
  • Temelio: über leadplace.fr, ein französisches Data-Marketing-Unternehmen, das Werbetreibenden anbietet, Ihre personenbezogenen Online- und Offline-Daten abzugleichen, ebenfalls über Weborama.
  • Graphinium: über crm4d.com, ein französisches Unternehmen, das auf den Abgleich personenbezogener Online- und Offline-Daten spezialisiert ist, ebenfalls über Weborama.
  • Yahoo: Ja, Yahoo existiert noch, von Weborama wiederbelebt.
  • ZBO Media: über zebestof.com, eine französische Plattform zum Einkauf von Werbeinventar, aufgerufen von Weborama.
  • Sublime: über ayads.co, eine französische Werbemonetarisierungsplattform, spezialisiert auf Seiten-Skins („Sublime Skinz“), von Lemonde.fr über „Header Bidding“ eingebunden.
  • Pubstack: über pbstck.com, eine französische „Header Bidding“-Lösung.

Wie bereits im vergangenen Dezember zu sehen war, erlaubt Lemonde.fr Weborama, Ihre personenbezogenen Daten allein im Interesse von Weborama an zahlreiche Unternehmen weiterzugeben. Nachfolgend die vollständige Liste der Partner (darunter mehrere russische Unternehmen):

lemonde.fr Weborama-Leck

Die Partner mit einem kleinen blauen Pfeil davor wurden beim Laden der Homepage aktiviert (Weiterleitung von Weborama zum Partner und damit Abfluss meiner personenbezogenen Daten), die übrigen werden womöglich beim Lesen eines Artikels aktiviert, welch Freude!

Anzumerken ist, dass manche Werbeakteure Ihre Wahl respektieren und keine Cookies setzen: die Werbemonetarisierungsplattformen AppNexus und Magnite (ehemals Rubicon) sowie vor allem Google (das bei Lemonde.fr eine privilegierte Stellung einnimmt, da es dessen wichtigster Ad-Server und die wichtigste Werbemonetarisierungsplattform ist).

Gut versteckt: der Hinweis, dass Ihre personenbezogenen Daten dennoch über eine fragwürdige Rechtsgrundlage ausgewertet werden können – das „berechtigte Interesse“

Was können diese Werbeunternehmen mit Ihren personenbezogenen Daten anfangen? Kehren wir zum Einwilligungsbanner zurück, insbesondere zu den „Cookies zur Werbeausrichtung“:

Cookies zur Werbeausrichtung

Kein Irrtum, Sie haben sie abgelehnt. Klicken wir dennoch auf „Beschreibung anzeigen und personalisieren“:

Werbe-Cookies im Detail

Immer noch kein Irrtum; Lemonde.fr weist Sie zudem darauf hin, dass Ihnen durch die Deaktivierung dieser Cookies Werbung angezeigt wird, die nichts mit Ihren vermeintlichen Interessen zu tun hat. Klicken wir nun auf „Werbe-Tracking personalisieren“, und Überraschung! Zahlreiche Zwecke werden erläutert, und die Einwilligung ist deaktiviert. Aber mit Ausnahme des Zwecks „Auf einem Endgerät gespeicherte Informationen speichern und/oder darauf zugreifen“ (der es den Akteuren erlaubt, ein Cookie mit Werbekennung zu setzen) ist das Kästchen „Die Verarbeitung Ihrer Daten auf Grundlage eines berechtigten Interesses für diesen Zweck zulassen“ angekreuzt:

Zweck Speichern Der Zweck „Auf einem Endgerät gespeicherte Informationen speichern und/oder darauf zugreifen“ erfordert Ihre Einwilligung (hier kein berechtigtes Interesse). Die verschiedenen Werbeakteure missachten Ihre Entscheidungen, indem sie Cookies mit Werbekennungen setzen.

Berechtigtes Interesse Der TCF v2 ermöglicht es den verschiedenen Werbeunternehmen, für unterschiedliche Zwecke das berechtigte Interesse als Rechtsgrundlage anzugeben. Doch für diese Zwecke benötigen diese Akteure häufig eine Werbekennung (für die stets Ihre Einwilligung erforderlich ist) … Die Katze beißt sich in den Schwanz!

So würden sich die Werbeakteure, die Sie überwachen, verschiedene Verarbeitungen erlauben – nicht auf der Rechtsgrundlage der Einwilligung (zur Erinnerung: Sie haben sie bereits abgelehnt), sondern auf der Grundlage des berechtigten Interesses, wie es die DSGVO vorsieht. Ein berechtigtes Interesse lässt sich schwerlich rechtfertigen, wenn es um Zwecke geht wie:

  • Ein personalisiertes Werbeprofil erstellen (= Sie profilieren).
  • Personalisierte Werbung auswählen (= Sie entsprechend Ihrem Profil beeinflussen).

Für die meisten der in diesem Einwilligungsbanner dargestellten Zwecke dürfte kein berechtigtes Interesse bestehen. Die CNIL weist im Übrigen darauf hin, dass das berechtigte Interesse nur dann herangezogen werden kann, wenn die Verarbeitung die Bedingung der „Erforderlichkeit“ erfüllt; Überwachung und gezielte Werbung sind keine „Erforderlichkeiten“.

Deaktivieren Sie das berechtigte Interesse für die verschiedenen Zwecke – es ändert sich nichts

Setzen wir unseren Marathon fort: Um das berechtigte Interesse für die verschiedenen Zwecke abzulehnen, funktioniert die Schaltfläche „Alle ablehnen“ nicht! Ein weiteres „Dark Pattern“, ganz nach unserem Geschmack! Sie müssen das berechtigte Interesse bei jedem Zweck einzeln abwählen, also 9 Klicks! Klicken Sie auf „Speichern und fortfahren“ und betrachten Sie das Ergebnis:

Berechtigtes Interesse 1Berechtigtes Interesse 2

Caramba, nichts ändert sich! Sieht man sich die Details an, setzen die meisten dieser Akteure weiterhin ein Cookie, als wäre nichts gewesen.

Das berechtigte Interesse für jedes Unternehmen einzeln deaktivieren?

Noch ist nicht alle Hoffnung verloren: Kehren wir zu unserem Einwilligungsbanner zurück, wiederholen die verschiedenen Ablehnungen und scrollen diesmal ganz nach unten im Fenster „Werbe-Tracking personalisieren“ (seien Sie schnell, denn Lemonde.fr hat eine automatische Aktualisierung, die Sie zur Startseite zurückwirft und Sie zwingt, alle Schritte zu wiederholen):

Für jeden Dienst

Sie landen auf einer endlosen Liste von Partnern (mehr als 500), von denen sich einige für bestimmte Zwecke tatsächlich auf das berechtigte Interesse stützen. Und obwohl Sie im vorherigen Schritt alle Zwecke des berechtigten Interesses abgewählt haben, ist bei diesen Partnern das Kästchen „berechtigtes Interesse“ noch immer angekreuzt! Zum Beispiel bei Google:

Google – berechtigtes Interesse

Google stützt sich beim ersten Zweck, „Auf einem Endgerät gespeicherte Informationen speichern und/oder darauf zugreifen“, auf die Einwilligung (es hat keine Wahl, so will es das Gesetz, und der TCF lässt nichts anderes zu). Und tatsächlich hat Google keine Werbekennung auf meinem Rechner gesetzt (kein Doubleclick-Cookie IDE). Google gibt hingegen an, sich für diverse Zwecke auf das berechtigte Interesse zu stützen, was höchst fragwürdig ist:

Standardwerbung auswählen; ein Profil erstellen, um personalisierte Inhalte anzuzeigen; personalisierte Inhalte auswählen; die Werbeleistung messen; Marktforschung betreiben, um Zielgruppendaten zu generieren; Produkte entwickeln und verbessern.

Criteo gehört zu den Unternehmen, die Sie auch nach der Verweigerung der Einwilligung weiterhin verfolgen. Welche Zwecke gibt es an und auf welchen Rechtsgrundlagen?

Criteo Einwilligung

Criteo erklärt also, sich beim ersten Zweck, „Auf einem Endgerät gespeicherte Informationen speichern und/oder darauf zugreifen“, auf die Einwilligung zu stützen (es hat keine Wahl, so will es das Gesetz, und der TCF lässt nichts anderes zu), und stützt sich nie auf das berechtigte Interesse. Criteo verstößt gegen das Gesetz, da es ohne meine Einwilligung eine Werbekennung auf meinem Rechner setzt (über das Cookie uid), was angesichts der Vorgeschichte des Unternehmens bei der Verletzung Ihrer Privatsphäre kaum verwundert.

Wir haben außerdem festgestellt, dass Weborama, das „Trojanische Pferd“, das Ihre personenbezogenen Daten an mehrere Unternehmen weitergibt, Ihre Verweigerung der Einwilligung nicht respektiert hat. Welche Zwecke werden darin erklärt und auf welcher Rechtsgrundlage?

Weborama-Zustimmung

Weborama erklärt, sich beim ersten Zweck, „Auf einem Endgerät gespeicherte Informationen speichern und/oder darauf zugreifen“, auf die Einwilligung zu stützen (es hat keine Wahl, so will es das Gesetz, und der TCF lässt nichts anderes zu), für viele weitere Zwecke jedoch auf das berechtigte Interesse. Weborama verstößt also gegen das Gesetz, indem es ohne meine Einwilligung eine Werbekennung auf meinem Rechner setzt (über das Cookie „AFFICHE_W“), und erlaubt sich, diese Werbekennung mit zahlreichen anderen Unternehmen zu synchronisieren, die mich so überwachen können. Das berechtigte Interesse, das es für diverse Zwecke geltend macht, erlaubt es ihm dann, ein Profil von mir zu erstellen und mein Surfverhalten auszuwerten.

In welchem Ausmaß missbrauchen die Adtech-Werbeunternehmen diesen Begriff des berechtigten Interesses? Zur Vertiefung des Themas können Sie die Veröffentlichung von Célestin Matte, Cristiana Santos und Nataliia Bielova lesen: „Purposes in IAB Europe’s TCF: which legal basis and how are they used by advertisers?“. Im Mai 2020 waren nur 325 Adtech-Unternehmen im TCF registriert, doch das berechtigte Interesse wurde reichlich genutzt:

Statistiken TCF v2

Natürlich kann ich das berechtigte Interesse nicht für all diese Überwachungsunternehmen ablehnen (mehr als 500 Unternehmen, mit denen Lemonde.fr theoretisch zusammenarbeiten könnte). Beachten Sie, dass Sie das berechtigte Interesse eigentlich nicht für jedes Werbeunternehmen einzeln ablehnen müssten:

  • Lehnen Sie die Einwilligung in Schritt 1 ab, sollten Sie damit die „Cookies zur Werbeausrichtung“ ablehnen können: Normalerweise ist das Spiel hier für die Werbebranche zu Ende.
  • Surfen Sie weiter, so kann der Zweck „Auf einem Endgerät gespeicherte Informationen speichern und/oder darauf zugreifen“ nicht auf dem berechtigten Interesse beruhen; auch hier bleibt also keine andere Wahl, als sich auf Ihre Einwilligung zu stützen, um ein Cookie mit Werbekennung zu setzen.
  • Wenn Sie das berechtigte Interesse für die verschiedenen Zwecke abwählen, gilt dies für alle Werbeunternehmen. Sie sollten das berechtigte Interesse für kein Unternehmen einzeln abwählen müssen.

Doch was passiert, wenn ich das berechtigte Interesse für Weborama ablehne („Opt-out“)?

legitim 1legitim 2

Wie Sie sehen, läuft alles wie gehabt weiter. Sie werden weiterhin ausgiebig verfolgt. Insbesondere identifiziert Weborama Sie nach wie vor über eine Werbekennung und synchronisiert diese Kennung weiterhin mit der kleinen Welt der Online-Werbeüberwachung.

Lemonde.fr, seine CMP Iubenda und die Adtech-Unternehmen – ein höllisches Trio

Fassen wir den Hindernisparcours einer Nutzerin oder eines Nutzers zusammen, die bzw. der nicht verfolgt werden möchte und das von Lemonde.fr und seinem Dienstleister Iubenda (Consent-Management-Plattform) eingerichtete Verfahren befolgt:

  • Bei der Ankunft auf Lemonde.fr nicht scrollen und auf keinen Artikel klicken, denn über eine von der CNIL in einer Beratung von 2013 eingeführte Lücke gilt: „Das Fortsetzen der Navigation stellt eine Zustimmung zum Setzen von Cookies auf Ihrem Endgerät dar“. Und natürlich nutzt Lemonde.fr diese Lücke, die im Übrigen nicht mehr gültig ist.
  • Diese Beratung wurde nämlich im Juli 2019 aufgehoben, und die neue Beratung hält fest: „Die Stärkung der Rechte der Personen veranlasst die Kommission, ihre Beratung Nr. 2013-378 vom 5. Dezember 2013 zur Verabschiedung einer Empfehlung zu Cookies und anderen Trackern im Sinne von Artikel 32-II des Gesetzes vom 6. Januar 1978 (nachfolgend „die Empfehlung zu Cookies und anderen Trackern“) aufzuheben und durch die vorliegenden Leitlinien zu ersetzen. Diese Leitlinien werden später durch sektorale Empfehlungen ergänzt, die insbesondere die praktischen Modalitäten der Einwilligungseinholung präzisieren sollen.“. Der rechtliche Wert der Empfehlungen verschiebt jedoch weder die Anwendung von ePrivacy noch der DSGVO oder der neuen Beratung.
  • Speziell zum Scrollen hält die Beratung von 2019 fest: „Die Kommission betont, dass die Einwilligung durch eine positive Handlung der Person zum Ausdruck kommen muss, die zuvor über die Folgen ihrer Wahl informiert wurde und über die Mittel verfügt, diese auszuüben. Das Fortsetzen der Navigation auf einer Website, das Nutzen einer mobilen Anwendung oder das Herunterscrollen der Seite einer Website oder mobilen Anwendung stellen keine klaren positiven Handlungen dar, die einer gültigen Einwilligung gleichkommen.“.
  • Trotz dieser Vorkehrungen werden Sie bereits von AT Internet verfolgt; Lemonde.fr verstößt bereits gegen das Gesetz.

Setzen wir unseren Test des Einwilligungsbanners fort:

  • Klicken Sie also auf „Cookies konfigurieren“, da es auf der ersten Ebene keine Möglichkeit gibt, Cookies abzulehnen (anders als die Schaltfläche „Akzeptieren“ auf der ersten Ebene).
  • Stellen Sie fest, dass Lemonde.fr erneut gegen das Gesetz verstößt, indem es das Opt-out nicht zulässt.
  • Die „Cookies zur Werbeausrichtung“ sind abgewählt, aber die meisten Werbeunternehmen überwachen Sie weiterhin (bemerkenswerte Ausnahme: Google). Klicken Sie am unteren Rand des Fensters auf „Beschreibung anzeigen und personalisieren“, um zu verstehen, ob sich diese Überwachung vermeiden lässt.
  • Lesen Sie, dass die Werbedienste dem Transparenz- und Einwilligungsrahmen der IAB beitreten und dass dieser abgewählt ist, klicken Sie aber dennoch auf „Werbe-Tracking personalisieren“.
  • Stellen Sie auf der nächsten Seite fest, dass diese Werbedienste Ihre personenbezogenen Daten für verschiedene Zwecke nutzen (10 Zwecke und 2 Sonderzwecke, auf die Sie keinen Einfluss haben) und dass die Einwilligung für diese Zwecke zwar abgewählt ist, das berechtigte Interesse aber für fast alle Zwecke außer einem angekreuzt ist („Auf einem Endgerät gespeicherte Informationen speichern und/oder darauf zugreifen“ erfordert Ihre Einwilligung). Da es keine Schaltfläche gibt, mit der sich das berechtigte Interesse für diese verschiedenen Zwecke auf einmal abwählen lässt, wählen Sie es einzeln ab (9 Klicks). Stellen Sie fest, dass dies keine Auswirkung auf die Werbeunternehmen hat, die Sie weiterhin überwachen.
  • Klicken Sie ganz unten in diesem langen Fenster auf „Einstellungen für jeden Werbedienst verwalten“ und stellen Sie fest, dass es mehr als 500 Partner gibt, die Sie theoretisch überwachen können (Lemonde.fr könnte die Liste im Übrigen erheblich ausdünnen, viele Akteure sind zu klein oder auf dem französischen Markt gar nicht präsent). Stellen Sie zudem fest, dass das Kästchen „berechtigtes Interesse“ bei einem guten Teil dieser Unternehmen für verschiedene Zwecke noch immer angekreuzt ist, obwohl Sie es im vorherigen Schritt für die verschiedenen Zwecke abgewählt haben.
  • Da Sie keine Möglichkeit haben, das berechtigte Interesse für alle Unternehmen auf einmal abzuwählen, wählen Sie es für Weborama ab, ein „Trojanisches Pferd“ der Werbeüberwachung, und stellen fest, dass dies keine Wirkung hat. Weborama überwacht Sie weiterhin und ermöglicht es vielen anderen Unternehmen, Sie zu überwachen.

Ein Parcours zum Verzweifeln also, dank Lemonde.fr, seiner CMP Iubenda und Werbeunternehmen, denen Ihre Entscheidungen und Ihre Privatsphäre gleichgültig sind. Ein letzter Punkt zu Iubenda, dem Dienstleister, der es Lemonde.fr ermöglicht, Ihnen dieses Banner zur Einwilligungseinholung mit seinem so mühsamen Ablauf vorzusetzen. Seine Aufgabe ist es, Ihre Entscheidungen zu erfassen und an die verschiedenen Werbeunternehmen zu übermitteln; prüfen wir also, ob das erfasste und dann an sie übermittelte Signal korrekt ist.

Dies ist das Signal, das übertragen wird, wenn Sie sich darauf beschränken, das Werbebanner zu ignorieren und auf der Startseite von Lemonde.fr zu scrollen (was dank der CNIL eine Einwilligung darstellt). Wie konnte ich es abrufen? Rufen Sie über Charles oder die Chrome-Konsole das Feld „gdpr_consent“ aus einer an einen Werbeakteur gesendeten Anfrage ab und decodieren Sie den String über diese Seite (TCF v2):

Einwilligungs-String beim Scrollen

Ich habe lediglich gescrollt, aber natürlich ist es eine „freie, spezifische, informierte und eindeutige Einwilligung“. Schauen wir uns nun das Signal an, das gesendet wird, wenn Sie die Einwilligung und das berechtigte Interesse für jeden der angebotenen Zwecke abgelehnt haben:

String berechtigtes Interesse

Iubenda gibt den Wert der Variablen, die die verschiedenen Zwecke der Einwilligung und des berechtigten Interesses darstellen, nicht an. Es stellt sich heraus: Liest man die Spezifikation des TCF v2, ist das korrekt:

TCF v2

Wenn die Variablen purposeConsents und purposeLegitimateInterests nicht definiert sind, muss dies als „Keine Einwilligung“ (also keine Cookies mit Werbekennungen) und „Berechtigtes Interesse nicht festgestellt“ interpretiert werden.

Eine gute Nachricht: keine Google-Überwachung … und keine von Google ausgelieferte Werbung

Auch wenn Lemonde.fr, seine CMP und die kleine Welt der Werbeüberwachung es darauf anlegen, Ihre Entscheidungen zu missachten und Sie weiter zu überwachen, lässt sich dennoch festhalten: Wenn Sie sich die Mühe machen, im Einwilligungsbanner auf „Personalisieren“ und anschließend auf „Speichern und fortfahren“ zu klicken, setzt Google keine Cookies mehr, und die Zahl der Werbeanzeigen sinkt stark, was Ihnen ein etwas besseres Leseerlebnis verschafft.

Warum? Die erste Version des TCF (Transparency & Consent Framework), des von der IAB (der Werbebranche) eingerichteten Protokolls zum Erfassen und Weiterleiten von Einwilligungssignalen über die gesamte Werbekette hinweg, wurde von Google nicht unterstützt.

Seit dem 15. August unterstützt Google den TCF v2. Gegenüber den Kunden seiner Monetarisierungsplattform Google Ad Manager (wie Lemonde.fr) ist Google verpflichtet, die Entscheidungen der Nutzer zu respektieren. So kommuniziert es über den ersten Zweck „Informationen auf einem Gerät speichern und/oder darauf zugreifen“:

Google Einwilligung

Hier einige interessante Informationen:

Google ist nicht in der Lage, Werbung auszuliefern, ohne Sie zu überwachen (sprich: ohne das Doubleclick-Cookie IDE zu setzen). Welche Gründe nennt es? Google erklärt, dies zu benötigen, um Betrug und Missbrauch aufzudecken, die Anzahl der Kontakte mit derselben Werbung zu begrenzen („Frequency Capping“) und aggregierte Berichte bereitzustellen.

Google erklärt, dass es Ihre Einwilligung benötigt, um Cookies oder mobile Kennungen zu setzen, selbst für nicht zielgerichtete Werbung. Liest man seine „Regeln zur Nutzereinwilligung in der Europäischen Union“, aber auch die Hilfe zu den Regeln zur Nutzereinwilligung in der Europäischen Union“, so weist Google darauf hin, dass sich diese Pflicht aus den „Cookie-Bestimmungen der EU-Richtlinie zum elektronischen Datenschutz“ (auch „Cookie-Bestimmungen“ genannt) ergibt, also der ePrivacy-Richtlinie:

Google e-Privacy

Google benötigt Nutzerkennungen, um die Werbeleistung zu messen, daher Ihre Einwilligung:

Google e-Privacy

Ohne Einwilligung zum ersten Zweck dürfen Verlage Google nicht aufrufen (Lemonde.fr berücksichtigt dies nicht und ruft Google auf). Wird Google aufgerufen, liefert es keine Werbung aus (und tatsächlich wird keine Werbung über Google ausgeliefert).

Rechtliche Erläuterungen zur Erforderlichkeit einer Einwilligung für das Speichern von Cookies

Achtung, jetzt wird es technisch. Dank an @Cellular_PP für seine ausführlichen Erläuterungen. Beginnen wir mit der Richtlinie 2002/58/EG, Artikel 5 Absatz 3 (die interessante Passage habe ich fett gesetzt):

Die Mitgliedstaaten stellen sicher, dass die Nutzung elektronischer Kommunikationsnetze zum Zweck der Speicherung von Informationen oder des Zugriffs auf Informationen, die im Endgerät eines Abonnenten oder Nutzers gespeichert sind, nur unter der Bedingung zulässig ist, dass dem Abonnenten oder Nutzer im Einklang mit der Richtlinie 95/46/EG klare und umfassende Informationen – unter anderem über die Zwecke der Verarbeitung – bereitgestellt werden und dass der Abonnent bzw. Nutzer das Recht hat, eine solche Verarbeitung abzulehnen, die durch den für die Verarbeitung Verantwortlichen erfolgt. Diese Bestimmung steht der technischen Speicherung oder dem Zugriff nicht entgegen, die ausschließlich dazu dienen, die Übertragung einer Kommunikation über ein elektronisches Kommunikationsnetz zu bewirken oder zu erleichtern, oder die für die Bereitstellung eines vom Abonnenten oder Benutzer ausdrücklich gewünschten Dienstes der Informationsgesellschaft unbedingt erforderlich sind.

Die Richtlinie 2009/136/EG, seit 2012 anwendbar, ändert Artikel 5 Absatz 3 (fett gesetzt; beachten Sie die Einführung der Einwilligung):

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf bereits im Endgerät eines Abonnenten oder Nutzers gespeicherte Informationen nur unter der Bedingung zulässig ist, dass der betreffende Abonnent oder Nutzer seine Einwilligung gegeben hat, nachdem er im Einklang mit der Richtlinie 95/46/EG klare und umfassende Informationen, unter anderem über die Zwecke der Verarbeitung, erhalten hat. Diese Bestimmung steht der technischen Speicherung oder dem Zugriff nicht entgegen, die ausschließlich der Übertragung einer Kommunikation über ein elektronisches Kommunikationsnetz dienen oder die für den Anbieter unbedingt erforderlich sind, um einen vom Abonnenten oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft bereitzustellen.

Die französische Umsetzung findet sich in Artikel 82 des Datenschutzgesetzes („Loi Informatique et Libertés“).

Der Begriff der Einwilligung wird in Artikel 2 derselben Richtlinie 2002/58/EG erwähnt:

Die „Einwilligung“ eines Nutzers oder Abonnenten entspricht der „Einwilligung der betroffenen Person“ gemäß der Richtlinie 95/46/EG.

Hier nun die berühmte Definition der Einwilligung in Artikel 2 der Richtlinie 95/46/EG:

„Einwilligung der betroffenen Person“: jede freiwillige, spezifische und informierte Willensbekundung, mit der die betroffene Person akzeptiert, dass sie betreffende personenbezogene Daten verarbeitet werden dürfen.

Welcher Zusammenhang besteht zwischen diesen „ePrivacy“-Richtlinien und der DSGVO hinsichtlich dieser Einwilligungspflicht? Artikel 95 der DSGVO hält fest, keine zusätzlichen Pflichten aufzuerlegen:

Diese Verordnung erlegt natürlichen oder juristischen Personen keine zusätzlichen Verpflichtungen in Bezug auf die Verarbeitung im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union in Bezug auf die Aspekte auf, für die sie spezifischen Verpflichtungen mit demselben Ziel gemäß der Richtlinie 2002/58/EG unterliegen.

Eine Stellungnahme des @EU_EDPB verdeutlicht das Verhältnis zwischen den beiden Texten.

Punkt 28 der Stellungnahme stellt fest, dass Artikel 5 Absatz 3 für Cookies gilt:

Das übergeordnete Ziel der ePrivacy-Richtlinie besteht darin, den Schutz der Grundrechte und Grundfreiheiten der Öffentlichkeit bei der Nutzung elektronischer Kommunikationsnetze sicherzustellen. Vor diesem Hintergrund gelten Artikel 5 Absatz 3 und Artikel 13 der ePrivacy-Richtlinie sowohl für Anbieter elektronischer Kommunikationsdienste als auch für Website-Betreiber (z. B. für Cookies) oder andere Unternehmen (z. B. für Direktmarketing).

Punkt 40 der Stellungnahme weist darauf hin, dass, wenn Artikel 5 Absatz 3 eine Einwilligung verlangt, keine anderen Rechtsgrundlagen herangezogen werden können:

Eine ähnliche Situation ergibt sich in Bezug auf Artikel 5 Absatz 3 der ePrivacy-Richtlinie, sofern es sich bei den auf dem Gerät des Endnutzers gespeicherten Informationen um personenbezogene Daten handelt. Artikel 5 Absatz 3 der ePrivacy-Richtlinie sieht vor, dass für die Speicherung von Informationen oder den Zugriff auf bereits gespeicherte Informationen im Endgerät eines Teilnehmers oder Nutzers grundsätzlich eine vorherige Zustimmung erforderlich ist. Soweit es sich bei den auf dem Gerät des Endnutzers gespeicherten übernommenen Informationen um personenbezogene Daten handelt, hat Artikel 5 Absatz 3 der ePrivacy-Richtlinie Vorrang vor Artikel 6 der DSGVO hinsichtlich der Tätigkeit der Speicherung dieser Informationen oder des Zugriffs darauf. Ähnlich ist das Ergebnis im Zusammenspiel zwischen Art. 6 DSGVO und Art. 9 und 13 der ePrivacy-Richtlinie. Wenn diese Artikel für die darin beschriebenen spezifischen Handlungen eine Einwilligung erfordern, kann sich der Verantwortliche nicht auf alle möglichen Rechtsgrundlagen gemäß Artikel 6 der DSGVO berufen.

Fazit: Es ist tatsächlich illegal, ein berechtigtes Interesse vorzutäuschen, um ein Cookie mit einer Werbekennung zu setzen.

Ihre Privatsphäre respektieren – die große Angst der Adtech-Branche

Liest man die Presse, lässt sich die Denkweise der Werbeagenturen nachvollziehen:

  • Google liefert keine Werbung mehr über Google Ad Manager aus, wenn der Nutzer keine Einwilligung erteilt. Die meisten französischen Nachrichtenseiten nutzen Google Ad Manager als Werkzeug zur Werbeauslieferung und -monetarisierung.
  • Die aktuellen Einwilligungsbanner stoßen die überwiegende Mehrheit der Nutzer ab, doch die CNIL muss neue Empfehlungen liefern, um endlich den Geist der DSGVO zu respektieren.

Mögliche Folge, sollte die CNIL jemals ihren Job machen: ein echter Einwilligungsmechanismus (etwa die Platzierung der Schaltflächen „Akzeptieren“ und „Ablehnen“ auf derselben Ebene oder, besser noch, eine einfache Auswahl auf Browserebene) mit echten Sanktionen im Falle eines Gesetzesverstoßes. Hier eine Reaktion eines Vertreters der Adtech-Branche:

Da die Verweigerung durch den Nutzer keinen Einfluss auf sein Surferlebnis habe, sei es dramatisch, diese Option mit der Annahme gleichzusetzen, protestiert ein Adtech-Verantwortlicher

Offensichtlich hätte die Verweigerung der Einwilligung enorme Auswirkungen auf das Surferlebnis: Sie würden nicht mehr verfolgt (als Bonus: keine aufdringliche Werbung mehr), und die Ladezeiten der Seiten würden sich erheblich verkürzen.

Die Werbeagenturen täten gut daran, sich die richtigen Fragen zu stellen: Sind die starke Verschlechterung des Nutzererlebnisses und die allgegenwärtige Überwachung die Lösung ihrer wirtschaftlichen Probleme? Nicht wirklich, wenn man sich die schlechte finanzielle Lage der mit aufdringlicher Werbung überfrachteten Nachrichtenseiten ansieht. Lesen Sie dazu diese beiden hervorragenden Artikel:

Was sollten Sie Ihrerseits tun? Verlassen Sie sich wie immer nicht darauf, dass Websites Ihre Entscheidungen respektieren, sondern wappnen Sie sich mit einem Adblocker wie uBlock Origin.

Mit der iOS-App verfolgt Le Monde Sie vom ersten Start an

Auf dem Smartphone müssen Sie nicht die Website Lemonde.fr aufrufen, sondern können auch die App nutzen. Wird Ihre Privatsphäre dort stärker respektiert? Um die iOS-App von Le Monde zu testen, bin ich auf meinem iPhone wie folgt vorgegangen:

Lemonde – Startseite

Wie auf seiner Website zeigt Le Monde sein Einwilligungsbanner deutlich an, ohne auf der ersten Ebene eine Option zum Ablehnen der Tracker zu bieten. Schauen wir uns die Tracker an, die über den Export der Protokolle meiner Charles-Proxy-Sitzung an meinen Rechner gesendet wurden:

Lemonde – Start

Noch bevor das Einwilligungsbanner überhaupt erschien, hat Le Monde Ihre personenbezogenen Daten bereits an mehrere Unternehmen weitergegeben:

  • Accengage: französisches Tool für Push-Benachrichtigungen, 2018 vom Mobile-Marketing-Unternehmen Airship übernommen.
  • Google: Le Monde verwendet Firebase, das Toolkit für App-Entwickler.
  • AT Internet: Das französische Analyseunternehmen verfolgt Sie auch über die Le-Monde-App.
  • Batch: mobile CRM- und Push-Benachrichtigungslösung.
  • Outbrain: die reißerischen Clickbait-Artikel, auch in der App.
  • Microsoft: über appcenter.ms; Le Monde nutzt Visual Studio App Center, um die kontinuierliche Integration und Auslieferung seiner App zu verwalten.

Schäbiges Tracking, durchgängige Überwachung

Kehren Sie zum Einwilligungsbanner zurück und klicken Sie auf „Cookies konfigurieren“:

Lemonde mit vorab angekreuzten Zwecken

Erste (böse) Überraschung: Alle Zwecke sind vorab angekreuzt, das entspricht nicht wirklich dem Geist der DSGVO. Schauen wir uns die Details zu den „Funktionscookies“ an:

Funktionscookies

Le Monde geht also (fälschlicherweise) davon aus, dass die Tracker von Accengage, Batch und Google Funktionscookies seien – auch diese Einordnung ist fragwürdig. Wählen Sie nun die verschiedenen Zwecke ab, lesen Sie drei Artikel und beobachten Sie die Tracker:

Lemonde verweigerte Einwilligung

Die Überwachung läuft also weiter, mit denselben Unternehmen, aber auch mit einem zusätzlichen Gast: Smart AdServer, ein französischer Ad-Server, den Le Monde für seine App verwendet.

Wie schützt man sich? Während Sie auf mögliche Sanktionen der CNIL warten, können Sie unter iOS Apps wie DNSCloak, AdGuard oder NextDNS verwenden.