DSGVO-Kuriositätenkabinett Teil 1

Es gibt ja so Tage, da ist man sich der eigenen Wahrnehmung nicht mehr so ganz sicher. So ein Tag war neulich, als ich nichtsahnend ein paar Zutaten googelte und mich wenig später auf einer Website mit einem Cookie-Banner konfrontiert war. Nichtsahnend, dass ich es hier mit meinem persönlichen Endgegner zu tun haben sollte, wählte ich als guter Datenschützer natürlich den Punkt „Einstellungen“…

der Wolf, noch gänzlich im Schafspelz

Soso, nagut, aber bevor wir hier etwas anfassen und kaputt machen, werfen wir doch erstmal einen Blick in die Cookies:

9 technisch notwendige Cookies

Klassiker: 9 technisch notwendige Cookies für den Betrieb einer Rezepteseite?? Nagut, über vier eindeutige IDs verliert man mich als Kunden bestimmt bestimmt weniger schnell in den Untiefen des WWW als nur mit einer. Kann ja mal passieren. Aber mit Drittanbieterdiensten war man doch bestimmt vorsichtiger!

lediglich ein paar sorgfältig ausgewählte Drittanbieterdienste, die nur gutes im Sinn haben
Die Liste hat leider nicht in einen Screenshot gepasst… ¯\_(ツ)_/¯

Hach wie schön. Bevor ich also irgendetwas angeklickt habe, wurden meine Daten – hier in Form von IP-Adresse, User-Agent, Referrer und was weis ich nicht alles schonmal freundlicherweise hinterlegt bei:

  • google.com (Recaptcha, Tag Manager, Werbung, Fonts)
  • facebook.com
  • pinterest.com (schade, dass sie Daten da nicht angenommen sind…)
  • doubleclick.net
  • sourcepoint.com („world class privacy compliance“ soso…)
  • cloudfront.net
  • privacy-mgmt.com

Nett wie sie sind wurde den meisten Drittanbietern ja auch eine schöne ID mitgeliefert. Man stelle sich bloß vor, die könnten die Daten plötzlich nicht mehr zuordnen! Aber das sind doch bestimmt alles nur betriebsnotwendige Sicherheitskopien meiner Daten. Ein Blick in die Einstellungen wird das schon richten! Also weiter:

aufgeräumt wie ein durchschnittlicher Zen-Garten… nach einem Tsunami

Ach wie schön. Alles im grünen – grauen – Bereich. Offenbar werden keine Daten gespeichert oder übertragen, denn schließlich sind ja alle Häkchen deaktiviert. ABER WARUM HABT IHR DANN SCHON ALLES AN DRITTE VERSENDET?!

Ah Moment, es gibt „Sonderkategorien“. Was auch immer das sein soll… *klick* Wusste gar nicht, dass das ein Begriff in der DSGVO ist – aber nagut, man lernt ja nie aus.

Die sichere Datenübertragung scheint dem Anbieter ein Herzensanliegen zu sein

Soso. Offenbar handelt es sich hier also um Drittanbieter, die „sicherstellen, dass Daten sicher übermittelt werden“. Interessant, dachte immer, dafür sei Layer 4 im OSI-Modell da… Und sie sollen

„den korrekten und effizienten Betrieb von Systemen und Prozessen – einschließlich der Überwachung und Verbesserung der Leistung von Systemen und Prozessen – im Rahmen der erlaubten Verarbeitungszwecke sicherstellen.“

Um ehrlich zu sein, weiß ich jetzt auch nicht genauer, was die da tun… Aber zum Glück gibt es ja noch einen Hinweis:

Hinweis: Daten, die gesammelt und verwendet werden, um die Sicherheit zu gewährleisten, Betrug zu verhindern und Fehler zu beseitigen können automatisch gesendete Geräteeigenschaften zur Identifizierung beinhalten, präzise Geolokalisierungsdaten und Daten, die durch aktive Abtastung der Vorrichtung erhalten werden. Merkmale zur Identifizierung ohne gesonderte Offenlegung und/oder Opt-in.

Ach wie beruhigend! Den Diensten – von denen ich nicht weiß, was sie tun – werden lediglich „präzise Geolokalisierungsdaten“ und „Daten, die durch aktive Abtastung der Vorrichtung entstehen“ übersendet. Was für eine Vorrichtung wird hier eigentlich abgetastet?! Und tut das weh beim Abtasten?

Aber zum Glück sind das ja nur drei Dienste (von denen ich noch nie gehört habe). Klicken wir doch mal auf „alle anzeigen“:

Ein paar Drittanbieter

Holy Moly! Ich überlege kurz, ob ich ein gif bauen soll aus den vorbeiscrollenden Landschaften wohlklingender Drittanbieter, mit denen „präzise Geolokalisierungsdaten“ und „Daten, die durch aktive Abtastung der Vorrichtung entstehen“ geteilt werden. Dank Schockstarre kommt es aber nicht dazu. Nagut, wenigstens kurz zählen:

noch ein paar Drittanbieter

Ach guck, doch nur 417 Drittenbieterdienste in der Kategorie „Sicherheit gewährleisten, Betrug verhindern und Fehler beseitigen“. Wenn das mal nicht sicher ist… Und wohlklingende Dienste wie „Adtube AS“, „Adverticum cPlc“ und „adbility media GmbH“ sind sicherlich rund um die Uhr um meine Sicherheit besorgt. Aber wo genau ist jetzt das Häkchen, um dieses Drittanbieterimperium zu verbieten…? Achso, hab beim Scrollen offenbar den Hinweis schon wieder vergessen…:

Die Verarbeitung Ihrer Daten für diese Verwendungszwecke ist notwendig, damit wir Ihnen dieses Angebot fehlerfrei darstellen können.

Uff…

Aber hey, die Liste mit den Werbetreibenden darunter wird ja sicherlich aufgeräumter sein als die der Sicherheitsdienste und die werde ich ja sicherlich auch deaktivieren können, oder? ODER??

alte Bekannte

Ach ja, beruhigend erstmal, dass diese Drittanbieterdienste nur eingebunden werden, um „Informationsdaten bereitzustellen“ und „um auf technische Anfragen reagieren zu können“ – hatte schon kurz Sorge, dass der Zweck tatsächlich die Schaltung von Werbeanzeigen hätte sein können…

Aber warte kurz, warum sind das denn die gleichen wie bei den Sicherheitsdiensten? Jetzt habt ihr mich ja kurz neugierig gemacht. Wird hier offenbar tatsächlich einfach immer die gleiche Liste angezeigt für den großen Rundumschlag, frei nach dem Motto „das deckt jetzt hoffentlich jeden möglichen Empfänger ab“? Aber kein Ding, ich kann euch beruhigen:

fiete@Findus:~$ diff werbetreibende.txt sicherheitsdienste.txt

5d4
< Mobkoi Ltd
7a7,8
Bombora Inc.
NumberEight Technologies Ltd
19a21
Redbranch, Inc dba Fraudlogix
21d22
< Sonobi, Inc
27d27
< ADventori SAS
32d31
< SPICY MOBILE Sp z o.o. Sp.k.
35,36c34
< Onnetwork Sp. z o.o.
[...]

Auch hier erspare ich die volle Liste – 101 der 417 bzw. 422 Dienste tauchen entweder nur in der einen oder in der anderen Liste auf und „A Million Ads Ltd“ kümmert sich tatsächlich nur um „die Bereitstellung von Informationsdiensten“ und nicht darum, ob Daten sicher ankommen. Wie ungemein beruhigend. Aber wo genau kann ich die nun deaktivieren? Achja, ich vergaß:

Die Verarbeitung Ihrer Daten für diese Verwendungszwecke ist notwendig, damit wir Ihnen dieses Angebot fehlerfrei darstellen können.

Jaja, habs verstanden…

Aber gut, jeder kann man nen schlechten Tag haben. Machen wir also die „Sonderkategorien“ wieder zu und gehen in den Bereich „Funktionen“:

Was auch immer „Funktionen“ sind

Geht ja schon gut los. „Mit Offline-Datenquellen zusammenführen“. Ja Moin! Wollte ich schon immer! „Verschiedene Geräte verknüpfen“ Klingt auch ganz großartig… „Empfangen und Verwenden automatisch gesendeter Geräteeigenschaften für die Identifikation“. Jawoll, BINGO!

Und quasi als Kirsche auf die Sahnehaube gibt es den wohlmundig klingenden Satz „Die folgenden funktionalen Datenverarbeitungsprozesse leiten sich aus Ihren Zustimmungen ab“. WAS FÜR EINE ZUSTIMMUNG HABE ICH GEFRAGT?! ICH HAB DOCH NOCH NIRGENDWO DRAUFGEDRÜCKT!

Aber ok, klicken wir mal drauf, vielleicht lernen wir ja neue Anbieter kennen:

Die üblichen Verdächtigen können alles: Von Sicherheit über Werbung bis Haushaltsanalyse

Ahja, danke, kenne ich schon. Ich hab auch keine Lust mehr, zu vergleichen, wie viele Unterschiede es nun in den ~400 Anbietern jeweils gibt. Aber ein paar „Features“ triggern mich ja doch. Anbieter können:

deterministisch ermitteln, dass zwei oder mehr Geräte zum gleichen Benutzer oder Haushalt gehören;

probabilistisch ermitteln, dass zwei oder mehr Geräte zum gleichen Benutzer oder Haushalt gehören;

Geräteeigenschaften zur probabilistischen Identifikation aktiv abfragen, wenn Nutzer Anbietern die aktive Abfrage von Geräteeigenschaften erlaubt haben. (Besondere Verarbeitungsmöglichkeit 2).

Ach wenn’s weiter nichts ist… Lieber schnell wieder zuklappen.

Kleines Zwischenfazit: Ohne dass ich irgendeinen Einfluss darauf habe, wurden schon 9 Cookies gesetzt, 7 Drittanbieterdienste mit Informationen über mich versorgt (die nebenbei allesamt unter den US Cloud Act fallen und damit einer persönlichen Zustimmung zur Nutzung bedürfen) und ich habe eine Liste von über 400 Drittanbietern präsentiert bekommen, die aus „notwendigen Gründen“ mit präzisen Standortdaten (wie auch immer man das technisch tun will), Daten zur Prozessüberwachung (was auch immer das ist) und Informationen darüber, wer so alles in meinem Haushalt lebt (wie auch immer das funktioniert) versorgt werden.

Wie ungemein beruhigend.

Aber falls tatsächlich jemand bis hier gelesen hat – wir sind ja erst halb durch den „Datenschutz-Manager“ durch! Im unteren Bereich gibt es noch „Berechtigtes Interesse“ und „Drittanbieter“. JA WENN WIR JETZT ERST VON BERECHTIGTEM INTERESSE UND DRITTANBIETERN LESEN – WAS WAR DAS DENN BISHER?!

Kurz auf berechtigtes Interesse geklickt… (hätte ich besser nicht tun sollen)

Suchbild: Wo ist der Button „alle abwählen“?

Ja leck mich doch an die Füße!

Achso! Ich vergaß – man kann jedes einzelne sog. „berechtigte Interesse“ nochmal ausklappen:

neue Freunde!

Ach wie schön! Mal eine neue Liste an Werbetreibenden! Aber wurde ich nicht oben schon über eine Liste mit ~400 Werbeunternehmen informiert (wieviele gibt es davon eigentlich?!)? Was machen die hier dann anders? Und wenn die Rechtsgrundlage doch „berechtigtes Interesse“ ist – warum kann ich dann zustimmen oder ablehnen? Und wo ist eigentlich der Button, um alles abzuwählen? (Spoiler: gibt es nicht)

Uff. Nagut, schauen wir noch schnell in die Liste der Drittanbieter (was war das dann bisher?! Tochterunternehmen?!):

Schrödingers Zustimmung: Man weiß nicht, ob man zugestimmt hat oder nicht…

Arrr wie schön! Eine neue Liste! Und weil ich als Kunde wichtig bin, hat man mir dieses Mal sogar eine Suchfunktion gespendet! Ich bin entzückt. Aber was heißt eigentlich gelb?!

Und wie sollte es auch anders sein, auch diese Liste lässt sich wieder aufklappen!

…bis man die Box aufklappt

Witzig! Ich hab die Wahl, ob meine personenbezogenen Daten nun aufgrund meiner Einwilligung oder aufgrund eines berechtigten Interesses verarbeitet werden. Grandios. Jetzt klärt sich auch, was gelb bedeutet: Wenn nur eines der beiden Häkchen ausgewählt ist, wird das Häkchen in der Liste gelb, bei zwei Häkchen grün.

Scroll, scroll, scroll, …

Ok, kurz gezählt: Insgesamt beinhaltet die Liste 1780 Drittanbieter. Nice. Und bei ca. einem Drittel davon ist das Häkchen „berechtigtes Interesse“ gesetzt. Ja nee, ist klar. Aber gut, dann finden sich doch bestimmt auch die 9 Anbieter, die ganz zu Beginn schon mit Sicherheitskopien meiner Daten versorgt wurden, oder? ODER??

Facebook sendet Daten, obwohl es untersagt ist…?

Aber, aber… Die Häkchen sind doch grau?! JA WARUM HABT IHR DENN DANN SCHON DATEN ÜBERTRAGEN?!

Ok, blödes Beispiel, aber Pinterest habt ihr doch bestimmt in der Liste, oder? ODER??

Pinterest sendet Daten, obwohl es noch nicht mal als Drittanbieterdienst benannt ist?

Ach lasst mich doch in Ruhe!

Gut. Genug analysiert. Einfach mal alle Häkchen abwählen, dann dürfte ja nicht viel passieren.

Viele Cookies sind bestimmt besser als weniger Cookies

Nagut, sind aus 9 halt 13 Cookies geworden, auf eines mehr oder weniger kommt’s jetzt ja auch nicht mehr an… Und 2038 – was solls…

Facebook telefoniert regelmäßig nach Hause trotz Verbot

Ach und dass facebook jetzt im 30-Sekunden-Takt Nachrichten nach Hause schickt, ist ja technisch auch notwendig… Wie sollte das WWW sonst auch heute noch funktionieren…

Kleiner Fun Fact am Rande: Wenn man alle Häkchen entfernt, kommt das Banner bei jedem Reload neu – man darf dann wieder alle Häkchen entfernen. Ja, verstehe ich schon, in den 13 Cookies war sicher leider kein Platz mehr, zu speichern, wie oft man dieses Banner nun schon studiert hat…

Aber gut, nachdem wir uns da durchgekämpft haben, gibt es doch sicherlich eine schön aufgeräumte Datenschutzerklärung – wurde jetzt ja schließlich schon alles im Cookie-Banner abgefrühstückt. Oder? ODER??

HINWEIS ZUR DATENWEITERGABE IN DIE USA

Auf unserer Website sind unter anderem Tools von Unternehmen mit Sitz in den USA eingebunden. Wenn diese Tools aktiv sind, können Ihre personenbezogenen Daten an die US-Server der jeweiligen Unternehmen weitergegeben werden. Wir weisen darauf hin, dass die USA kein sicherer Drittstaat im Sinne des EU-Datenschutzrechts sind. US-Unternehmen sind dazu verpflichtet, personenbezogene Daten an Sicherheitsbehörden herauszugeben, ohne dass Sie als Betroffener hiergegen gerichtlich vorgehen könnten. Es kann daher nicht ausgeschlossen werden, dass US-Behörden (z.B. Geheimdienste) Ihre auf US-Servern befindlichen Daten zu Überwachungszwecken verarbeiten, auswerten und dauerhaft speichern. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss.

Nein NEIN NEIN! Ihr habt sehr wohl einen Einfluss darauf! Ihr habt euch nur leider entschieden, eure Website mit Drittanbieterdiensten vollzuballern. Und jetzt nehmt ihr „wir haben leider keinen Einfluss darauf“ als Ersatz für ein gekipttes Privacy Shield?! Hackts bei euch?!

EINWILLIGUNGSMANAGEMENT

Wir bieten Ihnen mit den Cookie-Einstellungen die Möglichkeit, selbst detailliert entscheiden zu können, in welchen Fällen Sie Tracking via Cookies und anderer Technologien – zwecks Anzeige für Sie relevanter Inhalte sowie auf Sie maßgeschneiderter Werbung – zustimmen wollen.

Ja, „detailliert“ hab ich gemerkt… Ach komm, ich hör auf.

resignierte Zusammenfassung

Diese formschöne Seite nutzt offenbar eine Cookie-Banner-Technologie von sourcepoint.com – dem Nutzer werden 1780 Drittanbieter präsentiert, von denen eine beliebige Teilmenge selektiert ist. Es werden weder Rechtsgrundlage noch Zweck wirklich definiert und die unterschiedlichen Ebenen sind so wirr aufgeteilt, dass sich nicht nachvollziehen lässt, an welchen Anbieter nun tatsächlich Informationen weitergegeben werden und wenn ja, welche.

Daneben werden auch ohne Aktion durch den Nutzer schon eine große Menge US-Unternehmen mit personenbezogenen Daten versorgt und etliche Cookies gesetzt, die nicht alle betriebsrelevant scheinen.

Aus meiner Sicht handelt der Betreiber der Website damit klar rechtswidrig:

  • es erfolgt eine Weitergabe personenbezogener Daten an US-Anbieter ohne Einverständnis
  • der Nutzer wird (bewusst?) in die Irre geführt, indem eine „General-Liste“ aller erdenklichen Anbieter präsentiert wird in der Hoffnung, dass der oder die Empfänger wohl schon Teil dieser Liste sein werden (sie es aber wie im Fall Pinterest nicht sind, d.h. reale Empfänger werden noch nicht mal genannt!)
  • Eine Nennung der Rechtsgrundlage findet nicht statt

Wer sich denkt „so ein kleiner Klick auf Zustimmen juckt mich nicht“, sollte sich nochmal auf der Zunge zergehen lassen, zu was man hier gerade aktiv zustimmt:

  • Erlaubnis zur Übertragung personenbezogener Daten an ca. 1780 Werbetreibende
  • Verknüpfung der eigenen Daten mit anderen im Haushalt lebenden Personen (und Übermittlung des Ergebnisses an die 1780 Werbetreibenden)
  • Sammlung präziser Geolokalisationsdaten (und Übermittlung an die üblichen Verdächtigen…)
  • und vieles mehr, von dem ich einfach zu faul bin, es hier auszulisten

Prinzipiell könnte mir das bei einer Rezepteseite egal sein. Problematisch ist, dass hier wie auf vielen anderen Seiten auch einfach systematisch ein Drittanbieterdienst eingebunden wird, der nach dem Motto „viel hilft viel“ technisch unwirksam einen DSGVO-Schutz vorgaukelt! Und offenbar findet dann noch nicht mal eine Rückmeldung der Nutzerwahl an die Website statt. Eine Suche nach „* Nicht-IAB Verwendungszwecke“ als elementaren Teil des Cookie-Banners ergibt bei Google (yay) 273.000 Treffer – viele davon (u.a. wetter.com oder t3n.de) verwenden denselben gruseligen Anbieter!

Es bleibt zu hoffen, dass die Irreführung des Besuchers durch Nutzung solcher General-Listen zukünftig untersagt wird. Leider übersteigt das aber vermutlich den technischen Sachverstand der zuständigen Legislative…

Titelbild: Lisa Fotios via StockSnap


Schreibe einen Kommentar