L'Équipe: Spitzenreiter beim Sport und bei der Überwachung

Auch als Abonnent können Sie bei L'Équipe nicht verhindern, dass Ihre personenbezogenen Daten durchsickern

Veröffentlicht von Pixel de Tracking am 1. Mai 2020

Die iOS-App von L’Équipe gibt meine personenbezogenen Daten schon beim Start preis

Nachdem ich ein französisches Medium (Le Figaro) und anschließend einen bekannten Streamingdienst, den ich abonniert habe (Spotify), untersucht habe, schauen wir uns nun DIE französische Sportzeitung an: L'Équipe. Da ich L'Équipe abonniert habe, habe ich die iOS-App bereits installiert. Um die Nutzererfahrung bei einer Neuinstallation zu prüfen, lösche ich die App vorher.

Installieren wir also die iOS-App von L'Équipe und prüfen, ob Dritte mich tracken können. Dafür folgen wir diesen Schritten:

  • Die verschiedenen Anwendungen im Hintergrund schließen.
  • Die Charles-Proxy-App starten und die Aufzeichnung aktivieren.
  • Die L'Équipe-App starten.

Ich bin direkt angemeldet, weil ich Abonnent bin; das vorherige Löschen der App hat nicht alle meine Daten entfernt. Außerdem werde ich in der App von einem gut sichtbaren Einwilligungsbanner begrüßt:

Einwilligungsbanner L'Équipe

Man sieht allerdings, dass der „Akzeptieren“-Button hervorgehoben ist, während L'Équipe keinen „Ablehnen“-Button anbietet, sondern ein wenig sichtbares „Konfigurieren“: ein gutes Beispiel für ein „Dark Pattern“.

Wenn ich nicht auf „Konfigurieren“ klicke, sondern einfach auf der Seite scrolle oder auf einen Artikel tippe, verschwindet das Einwilligungsbanner. L'Équipe nutzt eine gesetzliche Lücke aus, die von der CNIL noch immer toleriert wird und einfaches Scrollen auf der Seite als Einwilligung gelten lässt (lesen Sie dazu meinen Artikel über die Lüge der Einwilligungsbanner).

Klicken wir also auf „Konfigurieren“:

L'Équipe konfigurieren

Wir sehen erneut ein Beispiel für ein „Dark Pattern“: Der Button „Alles akzeptieren“ ist gegenüber dem Button „Alles ablehnen“ deutlich hervorgehoben. Ich klicke auf „Alles ablehnen“ und werde auf die Startseite von L'Équipe weitergeleitet.

Dann stoppe ich die Aufzeichnung meiner Charles-Proxy-Sitzung und schicke die Logs zur Analyse auf meinen Computer:

Installation L'Équipe

Überraschung: Trotz meiner Tracking-Ablehnung werde ich sehr wohl von mehreren Dritten getrackt:

  • Google: Dem Riesen aus Mountain View kann man nicht entkommen. L'Équipe ruft hier mehrere Dienste von Firebase auf, Googles Werkzeugkasten für Entwickler, darunter Crashlytics (Crash-Berichte) und Remote Config (ermöglicht L'Équipe, die App zu personalisieren, ohne ein Update ausliefern zu müssen).
  • Facebook: Auch dem Riesen aus Menlo Park entkommen Sie nicht. L'Équipe ruft Facebooks Werkzeugkasten für Entwickler auf. Facebook verfolgt Sie dann auf Schritt und Tritt; jeder gelesene Artikel wird getrackt.
  • Amazon: Ja, L'Équipe schafft es, Ihre personenbezogenen Daten an 3 von 4 GAFAs weiterzugeben, obwohl Sie Abonnent sind! L'Équipe nutzt Amazon Transparent Ad Marketplace, Amazons Header-Bidding-Lösung (programmatische Werbemonetarisierung). Das Problem: Ich bin Abonnent, bekomme also keine Werbung, und außerdem habe ich das Werbe-Tracking bereits abgelehnt.
  • Wonderpush: Ich habe Benachrichtigungen abgelehnt, aber L'Équipe gibt meine personenbezogenen Daten an einen Benachrichtigungsdienst weiter.
  • AT Internet: Analytics-Lösung aus Bordeaux, die so meine gesamte Navigation erhält.

Ich habe Tracking abgelehnt, aber L'Équipe geht davon aus, dass ich Tracking durch 512 Unternehmen akzeptiere

Nachdem ich L'Équipe gerade installiert und Tracking abgelehnt habe, lese ich einige Artikel und beobachte die neuen Anfragen, die L'Équipe sendet:

L'Équipe angemeldet

Die Liste der Tracker wird länger, neue Unternehmen tracken mich:

  • Weborama: französisches Data-Marketing-Unternehmen; Weborama reichert Ihr Profil an und verkauft es. Weborama bietet außerdem Tools für Werbetreibende und Agenturen an, etwa eine Data Management Platform (um Nutzer zu segmentieren und anschließend erneut anzusprechen) und einen Adserver (um Werbekampagnen auszuspielen und ihre Wirksamkeit zu messen).
  • SAP: über Gigya, 2017 von SAP übernommen. SAP ist ein CRM-Riese (Konkurrent von Salesforce), der dank Gigya eine „Customer Data Platform“ anbietet, um Sie zu profilieren, all Ihre Interaktionen zu verfolgen und Sie besser erneut anzusprechen.
  • Dailymotion: der Videoplayer von L'Équipe. Dailymotion hat den Kampf gegen YouTube zwar längst verloren (und sinkt seit der Übernahme durch Bolloré weiter ab), verkauft seinen Player aber weiter als White-Label-Lösung an Medien und überwacht Sie, um sein Werbegeschäft zu füttern.
  • Médiamétrie: über estat, Tool zur Reichweitenmessung.
  • Comscore: über scorecardresearch.com, Marketingriese, der Sie auf L'Équipe profilieren kann.

Schauen wir uns im Detail an, welche Informationen an Didomi gesendet werden, die französische Einwilligungsmanagement-Plattform von L'Équipe (über die Domain api.privacy-center.org):

Didomi Einwilligung

Didomi folgt dem Transparency & Consent Framework des IAB, das laut IAB (der Lobby der Adtech-Unternehmen) allen Parteien der digitalen Werbekette ermöglichen soll, die Einhaltung der DSGVO und der ePrivacy-Richtlinie sicherzustellen. Schauen wir, was Didomi nach meiner Einwilligungsverweigerung speichert:

  • purposes: die Zwecke, die ich erlaube oder nicht; hier sind alle Zwecke korrekt abgelehnt.
  • vendors: die Unternehmen, die ich erlaube oder nicht. Der Screenshot ist abgeschnitten, aber L'Équipe geht über Didomi davon aus, dass ich eingewilligt habe, von 512 Adtech-Unternehmen getrackt zu werden (Liste der Unternehmenskennungen in der Tabelle „vendors“: „enabled“)!

Wie kommt es, dass L'Équipe diesen 512 Unternehmen erlaubt, mich zu tracken, obwohl ich Tracking abgelehnt habe?

Ein Hindernisparcours, um das Einwilligungsbanner wiederzufinden

Um das „Einwilligungsbanner“ wiederzufinden und zu prüfen, ob ich nicht eine Option zum Blockieren dieser 512 Unternehmen übersehen habe, muss ich ins „Menü“ gehen, dann ganz nach unten scrollen, das Menü „Rechtliche Hinweise“ ausklappen und schließlich „Cookie-Verwaltung“ auswählen. Dort, beim erneuten Scrollen auf der Seite „Cookie-Richtlinie auf Lequipe.fr“ auf meinem iPhone, finde ich den CMP-Link (Consent Management Platform) und klicke darauf:

Einwilligung ablehnen

L'Équipe bietet erneut ein großartiges „Dark Pattern“: Ich muss auf „Von all unseren Partnern - Anzeigen“ klicken (extra rot markiert), um zu verstehen, dass ich Tracking nicht vollständig abgelehnt habe, sondern diesen 512 Partnern angeblich zugestimmt hätte:

alle unsere Partner - Einwilligung

Ich beeile mich, diese Partner abzulehnen und die Änderung zu speichern.

Aber L'Équipe gibt meine personenbezogenen Daten weiter preis

Ich schließe die App, starte sie erneut und lese einige Artikel, um das Tracking zu beobachten:

L'Équipe Tracking aus

Nichts ändert sich. L'Équipe gibt meine Informationen weiter preis, als hätte ich weiterhin Ja zum Verkauf meiner personenbezogenen Daten gesagt.

Auf lequipe.fr herrscht schon auf der Startseite der Wilde Westen

Um zu verstehen, ob L'Équipe auch auf seiner Website Tracking missbraucht, folgen Sie diesen Schritten:

  • Deaktivieren Sie Ihren Adblocker.
  • Löschen Sie Cookies in Chrome (Einstellungen > Erweiterte Einstellungen > Browserdaten löschen), damit Sie von Ihrem Google-Konto abgemeldet sind.
  • Öffnen Sie die Chrome-Konsole (⌘+Option+J auf dem Mac, Strg, Umschalt und J auf dem PC), Tab „Network“, oder starten Sie Charles Proxy.
  • Gehen Sie dann auf die Startseite lequipe.fr.
  • Surfen Sie nicht weiter, sondern beobachten Sie die verschiedenen Drittunternehmen, die Sie tracken.

Sie sehen bereits, dass die Nutzererfahrung ohne Adblocker katastrophal ist: Der Inhalt wird von Werbung und vom Einwilligungsbanner verdeckt.

L'Équipe Startseite

Ihre personenbezogenen Daten bereichern so viele Unternehmen, dass ich einige Anfragen löschen und 2 Screenshots machen musste:

L'Équipe Webtracking Startseite 1L'Équipe Webtracking Startseite 2

Noch bevor Sie die wichtigsten Schlagzeilen lesen konnten, werden Sie bereits getrackt von:

  • Google: Im Web allgegenwärtig. L'Équipe monetarisiert sein Werbeinventar über Google Ad Manager, misst Ihr Verhalten auf der Website über Google Analytics und setzt auf AMP, um die Ladezeiten von Artikeln im mobilen Web zu beschleunigen.
  • Weborama: Das französische „Data Marketing“-Unternehmen profiliert Sie in der L'Équipe-App, aber auch auf der Website.
  • Oracle: über die Übernahme von Grapeshot, einem auf kontextuelle Werbung spezialisierten Unternehmen. Grapeshot liefert den verschiedenen Adtech-Akteuren Kontextinformationen über die Seiten, die Sie besuchen, damit diese Unternehmen Ihr Profil anreichern können. Hier finden Sie offizielle detaillierte Erläuterungen zur Funktionsweise sowie ein Interview von Grapeshot mit Ciaran O'Kane. Oracle hat sich durch aufeinanderfolgende Übernahmen in die Adtech diversifiziert und verkauft also nicht nur Datenbanken. So beschreibt Oracle sein Angebot für Überwachungsmarketing: Oracle Data Cloud basiert auf Technologien, die von sechs verschiedenen übernommenen Unternehmen entwickelt wurden, die jeweils in ihrem Bereich führend oder Pionier waren.
  • Realytics: eine französische Lösung zur Messung der Performance von TV-Kampagnen.
  • ACPM: ehemals OJD, Berufsverband französischer Medien, hier mit dem Ziel, die Reichweite von Websites zu zertifizieren.
  • Bluekai: ein weiteres Data-Marketing-Unternehmen, von Oracle übernommen. Es ermöglicht seinen Kunden, Ihr Profil aufzubauen und anzureichern, um Sie besser zu targeten.
  • Facebook: ebenfalls allgegenwärtig. L'Équipe nutzt einen seiner Bausteine für Websites, wodurch Facebook nichts von Ihrer Navigation verliert.
  • AT Internet: über die Domain xiti.com erhält auch das Analytics-Unternehmen aus Bordeaux Ihre Webnavigation.
  • Kameleoon: französischer Dienst für A/B-Testing und Website-Personalisierung, der Sie profiliert, um Ihnen die Version der Website auszuliefern, die für das Ziel von L'Équipe am besten funktioniert (zum Beispiel ein Abonnement).
  • Integral Ad Science: über die Domain adsafeprotected.com, eine Lösung zur Kontrolle ausgespielter Werbung. Integral Ad Science misst die Sichtbarkeit von Werbung, ob sie einem Menschen angezeigt wird (und keinem Bot), und ob der Ausspielungskontext für Marken zufriedenstellend ist (die Streaming, Pornografie oder illegale Inhalte vermeiden möchten).
  • MediaSquare: über die Domains audiencesquare.com und mediasquare.com, eine Werbemonetarisierungsplattform aus mehreren französischen Medien. Ziel ist es, sich zusammenzuschließen, um gegenüber Google oder Facebook Gewicht zu haben. Diese Allianz ergibt heute immer weniger Sinn, weil die meisten Werbegelegenheiten einzeln auf dem „programmatischen“ Markt (RTB) direkt von Publishern verkauft werden. Zur Einordnung: MediaSquare ist die Fusion zweier konkurrierender Gruppen, La Place Media und AudienceSquare (ursprünglich: ein kleiner Krieg zwischen Pariser Medien).
  • Pubstack: eine französische „Header-Bidding“-Lösung. Was heißt das? L'Équipe fragt mehrere Werbemonetarisierungsplattformen an, die wiederum zahlreiche Plattformen zum Einkauf von Werbeinventar anfragen, nur damit Ihnen eine Werbung angezeigt wird (in der Zwischenzeit sind Ihre personenbezogenen Daten an Hunderte Akteure durchgesickert; sehen Sie dazu das Video des Browsers Brave: „Data-Leakage in Real-Time Bidding“).
  • Rubicon: eine Lösung zur Werbemonetarisierung, die Sie auf einer großen Bandbreite von Websites trackt und Ihre personenbezogenen Daten an zahlreiche Einkaufsplattformen weitergibt.
  • AppNexus: eine weitere Lösung zur Werbemonetarisierung. AppNexus bietet außerdem eine Plattform zum Einkauf von Werbeflächen, nennt sich inzwischen Xandr und wurde vom amerikanischen Telekommunikationsriesen AT&T übernommen.
  • Wonderpush: der Benachrichtigungsdienst, den wir bereits in der L'Équipe-App gesehen haben.
  • Dailymotion: Ob Sie Videos in der App oder auf der Website von L'Équipe ansehen, Dailymotion reichert Ihr Werbeprofil an und synchronisiert es sogar mit Plattformen zum Einkauf von Werbeflächen.
  • Moat: über die Domain moatads.com, ebenfalls von Oracle übernommen. Moat ist ein Konkurrent von Integral Ad Science und bietet Lösungen zur Betrugsprävention an, ist aber vor allem auf Sichtbarkeitsmessung spezialisiert (ob die Werbung auf Ihrem Bildschirm sichtbar oder versteckt ist).
  • Comscore: amerikanischer Riese des Media Planning; Comscore profiliert Sie auf zahlreichen Websites.

Diese Trackerliste ist nicht vollständig, denn wenn man den Test wiederholt, tauchen neue Werbeunternehmen auf.

Die Einwilligung zu verweigern ist auch im Web fast unmöglich

Wie in der L'Équipe-App versuchen wir, die Weitergabe meiner personenbezogenen Daten abzulehnen, indem wir im Einwilligungsbanner auf „Konfigurieren“ klicken (ja, es gibt keinen Ablehnen-Button). Danach müssen Sie für die 5 Zwecke jeweils auf „Ablehnen“ klicken:

Einwilligung L'Équipe Web ablehnen - Schritt 1

Sie könnten glauben, damit sei es erledigt. Aber die Erfahrung mit der L'Équipe-App hat uns das „Dark Pattern“ der von L'Équipe implementierten CMP Didomi gezeigt: Sie müssen nun auf „Unsere Partner anzeigen“ klicken und anschließend noch einmal auf „Alles blockieren“:

Einwilligung L'Équipe Web ablehnen - Schritt 2

Klicken Sie schließlich auf „Speichern“ und dann ein zweites Mal auf „Speichern“: Insgesamt haben Sie 11 Klicks gebraucht, um die Einwilligung zu verweigern (!), verglichen mit einem Klick oder sogar einer einfachen Fortsetzung der Navigation per Scrollen, um dem Tracking durch Dutzende Unternehmen „zuzustimmen“.

Eine Anmerkung zu diesen „Consent Management Platforms“ (Didomi ist nicht allein damit, seinen Kunden solche „Dark Patterns“ zu ermöglichen; wir hatten dasselbe Problem mit SFBX auf der Website von Le Figaro festgestellt): Wenn L'Équipe Didomi so konfiguriert hat, dass die Verweigerung der Einwilligung nahezu unmöglich wird, sollte Didomi diese Option gar nicht anbieten (und die CNIL sollte die wenigen CMPs auf dem Markt untersuchen, um sie zu zwingen, keine „Dark Patterns“ anzubieten). Anders gesagt: L'Équipe ist verantwortlich, aber Didomi sollte es ebenfalls sein.

Die Verweigerung der Einwilligung im Web nützt nichts

Was passiert nun, wenn Sie Artikel lesen? Wie in der iOS-App zögert L'Équipe nicht, Ihre personenbezogenen Daten weiter preiszugeben, obwohl Sie Tracking ausdrücklich abgelehnt haben:

Keine Einwilligung L'Équipe 1Keine Einwilligung L'Équipe 2

Wir finden viele der bereits gesehenen Dritten wieder, plus einige zusätzliche Tracker:

  • LinkedIn: Haben Sie ein LinkedIn-Profil? Sie werden auch über Ihre Webnavigation profiliert; LinkedIn verkauft Ihr Profil an Werbetreibende.
  • Adomik: französische Lösung zur Optimierung der Werbemonetarisierung; bietet eine Header-Bidding-Lösung an und analysiert die Performance der verschiedenen Werbemonetarisierungsplattformen.
  • Outbrain: weltweit führend bei Empfehlungen gesponserter Links. Diese Artikel mit reißerischen Titeln am Ende von Beiträgen? Das sind oft sie!
  • SpotX: über die Domain spotxchange.com, übernommen von RTL Group, eine auf Video spezialisierte Werbemonetarisierungsplattform.
  • Zemanta: von Outbrain übernommen, eine Plattform zum Einkauf von Werbeflächen, spezialisiert auf Native Advertising (Werbung, die die Codes des Inhalts übernimmt, zum Beispiel Werbung auf Facebook oder Twitter).

Eingeloggt im Web, aber weiterhin überwacht

Ich melde mich nun bei meinem L'Équipe-Konto an. Zur Erinnerung: Ich habe alle Tracker abgelehnt und bezahle jeden Monat mein L'Équipe-Abonnement, erhalte also keine Werbung. Doch auch hier hindert das L'Équipe nicht daran, meine personenbezogenen Daten an Google, Facebook, LinkedIn, Comscore, Dailymotion, AppNexus, AT Internet, Adomik und Médiamétrie weiterzugeben:

L'Équipe Web angemeldet

Bezahlen und Tracker ablehnen reicht also nicht aus, um zu verhindern, dass L'Équipe Ihre personenbezogenen Daten preisgibt.

Die Lügen in der Datenschutzerklärung

Wenn man nun die Datenschutzerklärung von L'Équipe liest und nach „Werbung“ sucht:

Datenschutz - L'Équipe

L'Équipe erklärt also, Ihre Einwilligung zu haben, um Sie zu profilieren und Werbung anzuzeigen. Wie wir gesehen haben, gibt L'Équipe Ihre Daten an zahlreiche Akteure weiter (Google, Facebook, Amazon, Weborama, Comscore, SAP), die ohne Ihre Einwilligung Werbeprofiling betreiben.

L'Équipe erklärt außerdem, dass Sie Werbe-Cookies auf der Cookie-Informationsseite verwalten oder Ihren Widerspruch gegen Werbeprofiling in Ihrem Konto melden können. Aber wir haben bereits gesehen, dass nichts funktioniert.

Über diese Lügen hinaus scheint L'Équipe zu vergessen, dass sich die Welt verändert hat und der Zugriff auf seine Website auch außerhalb eines Browsers möglich ist. Die iOS- und Android-Apps werden weder in der Datenschutzerklärung, noch in der Cookie-Richtlinie oder auf der Seite „Cookie-Nutzung“ erwähnt.

Auf Medienseiten ist Aufräumen nötig

Wir hatten bereits mit Le Figaro festgestellt, dass Werbeüberwachung auf Medienseiten weit verbreitet ist. L'Équipe bildet keine Ausnahme und setzt noch eins obendrauf: Abonnent zu sein und keine Werbung zu erhalten reicht nicht aus, um Tracking einzuschränken. Wie wir gesehen haben, macht L'Équipe sich auf mehreren Ebenen über Sie und Ihre Privatsphäre lustig:

  • L'Équipe gibt Ihre personenbezogenen Daten schon beim Start der Website oder der iOS-App preis, noch bevor Sie Ihre Einwilligung geben konnten.
  • L'Équipe und sein Partner Didomi tun alles, um Sie daran zu hindern, die Einwilligung zu verweigern.
  • Auch wenn Sie die Einwilligung verweigert haben, gibt L'Équipe Ihre personenbezogenen Daten weiter preis.
  • Auch wenn Sie eingeloggt sind und bezahlen, gibt L'Équipe Ihre personenbezogenen Daten weiter preis.
  • Die Datenschutzerklärung von L'Équipe scheint die App-Welt zu vergessen und lügt, wenn sie behauptet, Ihre Einwilligung für Werbeprofiling einzuholen.

Ohne Sanktionen der CNIL, und selbst wenn die Nutzererfahrung darunter leidet, ist es leider unwahrscheinlich, dass L'Équipe sich ändert. Als Einzelperson können Sie im Web einen Adblocker wie uBlock Origin installieren oder auf iOS Apps wie DNSCloak, AdGuard oder NextDNS nutzen.