Criteo, ein französischer Riese des Überwachungsmarketings

Aggressives Tracking auf allen Ihren Geräten, schwerwiegende Sicherheitsverletzung, Doppelzüngigkeit und mangelnde Einwilligung, aber dennoch Straflosigkeit für Criteo

Veröffentlicht von Pixel de Tracking am 22. Mai 2020

Criteo, ein Werberiese, dessen Geschäftsmodell auf Ihrer Überwachung basiert

Der breiten Öffentlichkeit kaum bekannt, ist Criteo eine französische Erfolgsgeschichte, der es gelungen ist, weltweit führend im Bereich Retargeting zu werden. Laut LinkedIn beschäftigt das Unternehmen mehr als 3000 Mitarbeiter und ist außerdem seit Oktober 2013 an der NASDAQ notiert.

Wie funktioniert Criteo? Ich muss lediglich die E-Commerce-Website eines Partners (Beispiel: La Fnac) und dann eine Medienseite (Beispiel: Lemonde.fr) konsultieren, um mit Werbung bombardiert zu werden, die die zuvor angesehenen Produkte sowie Vorschläge zeigt:

Beispiel

Retargeting-Werbung, wie sie von Criteo angeboten wird, ist die aufdringlichste im Internet. Sie macht Ihnen klar, dass Ihre Kaufgewohnheiten keine Geheimnisse vor Werbetreibenden haben. Und wenn wir uns die Typologie der Werbeakteure ansehen, ist Criteo einer der Akteure, die Ihre Privatsphäre am wenigsten respektieren:

  • Criteo ist ein Werbenetzwerk: Je besser es Sie kennt, desto mehr Geld verdient es.
  • Die von Criteo gesammelten Daten sind sehr persönlich: Ihre angesehenen Produkte und Ihre Einkäufe.
  • Im Gegensatz zu einem E-Händler wie Amazon, der über ein Ladengeschäft und eine direkte Beziehung zu seinen Kunden verfügt, agiert Criteo im Verborgenen. Du weißt nicht, dass du gejagt wirst, du hast es dir nicht ausgesucht.

Durch Webbrowser gefährdete Einnahmen

Man könnte also sagen, Criteo ist ein altmodisches Werbeunternehmen, das sich entwickelte, als Mobilgeräte noch nicht dominant waren und Retargeting ausschließlich auf Cookies von Drittanbietern basierte.

Wenn Sie keinen Adblocker verwenden, besteht eine gute Chance, dass Ihr Browser das Tracking von Criteo bereits blockiert: Safari mit intelligenter Tracking-Verhinderung, Firefox, Brave und sogar Edge haben kürzlich strenge Maßnahmen zur Bekämpfung von Trackern ergriffen. Chrome ist sehr spät dran, aber es wird Drittanbieter-Cookies in weniger als zwei Jahren verbieten. Und Sie können jederzeit entscheiden, Cookies von Drittanbietern über Ihre Browsereinstellungen zu löschen, um neu gegen Adtech-Unternehmen durchzustarten.

Diese Browser-Maßnahmen schützen Sie vor invasivem Tracking durch Adtech-Unternehmen, die Sie nicht mehr korrekt identifizieren können, wie Criteo seinen Investoren erklärt (Folie 7):

Browser Criteo

Die von Browsern eingerichteten Schutzmaßnahmen sind eine gute Nachricht für Benutzer. Sie stellen eine lebenswichtige Gefahr für Criteo dar. Daher investiert die Forschung und Entwicklung von Criteo in Workaround-Lösungen.

Eine Geschichte der Umgehung von Browser-Schutzmaßnahmen

Criteo sagt dies in seiner Investorenpräsentation nicht, hat aber Erfahrung mit der Umgehung von Browser-Schutzmaßnahmen. Wenn wir zur ersten Veröffentlichung von Safari Intelligent Tracking Prevention im September 2017 zurückkehren, ist hier die Kommunikation von Criteo an Investoren im November 2017:

Die Intelligent Tracking Prevention-Funktion (ITP) von Apple wurde am 19. September 2017 auf Mobilgeräten veröffentlicht. Wir glauben, dass unsere Lösung für Safari-Benutzer es uns derzeit ermöglicht, etwa die Hälfte der potenziellen Auswirkungen von ITP abzumildern. Im dritten Quartal hatte ITP einen minimalen negativen Nettoeffekt von weniger als 1 Million US-Dollar auf unseren Umsatz ohne TAC. Angesichts unserer Erwartungen an die Einführung von iOS11 von Apple und unserer Abdeckung von Safari-Benutzern gehen wir davon aus, dass ITP im vierten Quartal einen negativen Nettoeffekt von 8 % bis 10 % auf unseren Umsatz ohne TAC haben wird, verglichen mit unseren Basisszenario-Prognosen für das Quartal. Wir werden unsere Lösung in den kommenden Quartalen weiter verbessern und für Safari-Benutzer bereitstellen.

Criteo hatte bereits einen Workaround implementiert (erklärt in diesem Artikel:

Was wir entwickelt haben, ist eine datenschutzfreundliche Lösung, die eine Verbindung über eine [Nicht-Cookie]-Kennung herstellt, die die Übertragung von Informationen zwischen Websites und unseren Servern ermöglicht

Beachten Sie das „datenschutzfreundliche“ (!). Außer, dass Apple schnell reagierte und Anfang Dezember 2017 ein ITP-Update einführte, wodurch die Umgehung von Criteo funktionsunfähig wurde. Hier ist die neue Mitteilung von Criteo an Investoren im Dezember 2017:

Anfang dieses Monats hat Apple eine neue Version seines mobilen Betriebssystems iOS 11.2 auf den Markt gebracht, die die Lösung deaktiviert, die einige Unternehmen im Werbeökosystem, darunter Criteo, derzeit verwenden, um Safari-Benutzer zu erreichen. Aus diesem Grund glauben wir, dass die prognostizierten negativen Nettoauswirkungen von 9 % bis 13 % auf den Umsatz von Criteo ex-TAC im Jahr 2018 im Vergleich zu unseren am 1. November 2017 kommunizierten Basisszenarioprognosen vor ITP nicht mehr gültig sind. Wir konzentrieren uns auf die Entwicklung einer langfristigen alternativen, nachhaltigen Lösung, die auf unseren erstklassigen Datenschutzstandards für Benutzer aufbaut und die Interessen von Apple Benutzern, Herausgebern und Werbetreibenden in Einklang bringt. Diese Lösung befindet sich noch in der Entwicklung und ihre Wirksamkeit kann zum jetzigen Zeitpunkt noch nicht beurteilt werden. Sollten die ITP-Auswirkungen dadurch nicht abgemildert werden, gehen wir davon aus, dass die negativen Nettoauswirkungen von ITP auf den Umsatz von Criteo ex-TAC im Jahr 2018 im Vergleich zu unseren Basisszenario-Prognosen vor ITP etwa 22 % betragen würden.

Wir müssen hier Apple für die regelmäßige Verbesserung seiner ITP-Lösung gratulieren (das Katz- und Mausspiel wurde nach 2017 fortgesetzt), so dass ITP nun auf Version 2.3 ist. Dennoch kann es uns wundern, dass Criteo für seine Umgehungen nie sanktioniert wurde und er darüber ohne Scham kommuniziert.

Vorschriften zum besseren Schutz der Privatsphäre von Internetnutzern

Da sich Vorschriften weiterentwickeln, um die Privatsphäre von Internetnutzern besser zu schützen (RGPD und ePrivacy in Europa, CCPA in Kalifornien), gerät Criteo immer mehr unter Druck: eine Beschwerde von Privacy International wurde im November 2018 gegen Criteo, Quantcast und Tapad wegen Verstoßes gegen die DSGVO eingereicht. CNIL begann im März 2020 mit der Untersuchung der Beschwerde gegen Criteo. Criteo vermerkt diese Regelungen auch in seinem „Identifikations“-Deck für Investoren (Folie 8), ohne auf die rechtlichen Risiken einzugehen:

Verordnung

Die Börse täuscht sich nicht: Wenn Criteo immer noch einen Wert von 600 Millionen Euro hat, ist sein Preis in den letzten 5 Jahren stark gefallen:

Criteo Nasdaq

Criteo hat diese beiden Trends (technisch über Browser und regulatorisch) verstanden: Es wendet sich nun einer viel heimtückischeren und allgemeineren Überwachung über den „Criteo Shopper Graph“ zu und führt einen doppelten Vortrag über die Achtung des Privatlebens.

Criteo Shopper Graph: Die riesige Datenbank mit personenbezogenen Daten wurde an Criteo durchgesickert

Noch in seiner „Identifizierungs“-Präsentation für Anleger (Folie 19) erklärt Criteo deutlich sein Ziel: Sie zu identifizieren, ohne dass Cookies von Drittanbietern erforderlich sind. Heute wären noch 50 % des Geschäfts von Drittanbieter-Cookies abhängig:

Cookies von Drittanbietern

Auf seiner Website hebt Criteo "Criteo Shopper Graph" hervor, seine Benutzerdatenbank. Wie viele Personen sind in dieser Datenbank? Hier sind einige Zahlen, die Criteo zur Darstellung des „Criteo Shopper Graph“ vorgelegt hat:

  • 75 % der Online-Käufer weltweit.
  • Mehr als 1,9 Milliarden monatlich aktive Verbraucher.
  • Mehr als 120 verschiedene Kaufsignale.
  • 35 Milliarden Browsing- oder Kaufereignisse werden pro Tag erfasst.
  • 800 Milliarden Dollar jährlicher E-Commerce-Umsatz.
  • 1,5 Milliarden geräteübergreifende Identifikatoren (Criteo erkennt Sie auf mehreren Ihrer Geräte).
  • 4,5 Milliarden Produkte.

Standardmäßig vermischt Criteo die bei einem seiner Kunden erfassten personenbezogenen Daten nicht mit denen seiner anderen Kunden. Wenn ein Kunde jedoch auf den Shopper Graph zugreifen möchte, muss er diese Vermischung akzeptieren. Beispiel: La Fnac möchte auf den Shopper Graph zugreifen, um die Rentabilität seiner Werbekampagnen zu verbessern. Dafür muss La Fnac akzeptieren, dass Criteo Ihre auf der Website von La Fnac erfassten personenbezogenen Daten mit Ihren personenbezogenen Daten vermischt, die bei anderen Criteo-Kunden erfasst wurden, die den Shopper Graph abonniert haben.

Und das Angebot funktioniert gut, Criteo zeigt an, dass 75 % seiner Kunden teilnehmen:

Criteo Teilnahme am Shopper Graph

Wie baut Criteo diese riesige Datenbank mit personenbezogenen Daten auf? Criteo bietet Erklärungen auf seiner Website, der Shopper Graph aggregiert 3 Datenquellen:

Criteo Käuferdiagramm

  • Mit dem Identity Graph werden Sie auf allen Ihren Geräten erkannt.
  • Mit der Interest Map können Sie Ihre unterschiedlichen Kaufabsichten kennen.
  • Mit Messdaten können Sie Details zu Ihren verschiedenen Einkäufen erfassen.

Werfen wir einen genaueren Blick auf den Identity Graph, die Engine hinter der Criteo-Überwachung.

Der Identitätsgraph, in dem Criteo Sie auf allen Ihren Geräten erkennt

Wenn wir mit dem Surfen der Benutzer beginnen, besteht der erste Schritt darin, sich beim Surfen auf E-Commerce-Websites oder -Apps zu identifizieren. Criteo sammelt je nach verwendetem Gerät unterschiedliche Identifikatoren desselben Benutzers und kann diese dann miteinander verknüpfen, um festzustellen, ob es sich um ein und dieselbe Person handelt:

Identifikatoren

Wir sehen hier, dass Criteo mehrere Arten von Identifikatoren abruft und diese mit der Criteo-ID verknüpft, um Sie besser verfolgen zu können:

  • Eine Cookie-Kennung für jeden Ihrer Web- oder Mobilbrowser.
  • Eine CRM-ID für jeden Kunden, wenn Sie mit dem Kunden verbunden sind.
  • Eine mobile Kennung (IDFA bei Apple, Android Advertising Id bei Android).
  • Der hash Ihrer E-Mail-Adresse (ein eindeutiger Fingerabdruck, der es Criteo nicht ermöglicht, die E-Mail-Adresse zu finden), wenn der Kunde oder Partner von Criteo die Informationen weitergibt.

Diese Überwachung ist besonders eingreifend und missachtet Ihre Privatsphäre, da es Criteo gelingt, die Verknüpfung zwischen Ihren verschiedenen Identifikatoren („Grafik“) herzustellen, und es schwierig (mobile Identifikatoren) oder fast unmöglich ist, einige dieser Identifikatoren (CRM-ID, hash E-Mail-Adresse) zurückzusetzen. Ein Beispiel unter anderem: die Fnac-Anwendung gibt den Hash Ihrer E-Mail-Adresse an Criteo weiter und bietet keine Möglichkeit, dieses Tracking zu verweigern.

Criteo Sie erkannt hat, besteht der zweite Schritt darin, alle Ihre Kaufabsichten zu erfassen (die Interest Map):

Kaufabsichten

Unabhängig davon, welches Gerät oder welche E-Commerce-Site Sie konsultieren, stellt Criteo Folgendes wieder her:

  • Die konsultierten Produkte.
  • Produkte zum Warenkorb hinzugefügt.
  • Gekaufte Produkte.

Criteo-Kunden können Criteo außerdem ihre eigene Kundenliste übermitteln, etwa über E-Mail-Adressen oder Nutzerkennungen wie IDFA, Android Advertising ID oder Criteo Id. Criteo gibt ihnen anschließend den Anteil der Nutzer auf dieser Liste zurück, die bereits zum Shopper Graph gehören.

Dann besteht der dritte Schritt darin, Sie zu erkennen, um Sie gezielt mit der berühmten aufdringlichen Werbung anzusprechen, wenn Sie auf einer Website oder Medien-App surfen:

Herausgeber - Werbung

Hier können wir feststellen, dass Criteo privilegierte Partnerschaften mit zahlreichen Medien unterhält, die es ihm häufig ermöglichen, bevorzugt auf Werbeinventar zuzugreifen (siehe insbesondere seinen Direct Bidder) und auch dauerhafte Identifikatoren (E-Mail-Adressen, Logins) abzurufen. Für Medien, mit denen Criteo keine privilegierte Partnerschaft hat, kauft Criteo RTB (programmatisch) ein, muss aber eine Steuer an die SSPs (Vermittler) zahlen.

Der vierte Schritt besteht darin, zu messen, ob Sie auf die Anzeige klicken (Criteo bezahlt die Publisher für jede Anzeigenschaltung, der Werbetreibende zahlt nicht für den Kauf, sondern für den Klick auf die Anzeige) und dann zu messen, ob Sie beim Werbetreibenden kaufen (Messdaten). Doch das Tracking hört nicht bei Ihrem „Online“-Verhalten auf, Criteo kann auch Ihre „Offline“-Einkäufe wiederherstellen, wenn seine Kunden ihm die Informationen weitergeben:

Offline-Käufe

Criteo spricht in seiner Präsentation des Shopper Graph nicht darüber, aber seiner Identifikationspräsentation für Investoren teilt uns mit, dass es Ihre personenbezogenen Daten auch über Partnerschaften sammelt (Folie 27):

Datenquellen

Wie Sie sehen können, berichtet Criteo über Partnerschaften mit Liveramp, Oracle sowie Publishern, um Identifikationsdaten zu sammeln. Mehr über die Partnerschaft mit Liveramp erfahren Sie über dieses Werbevideo. Wenn wir uns seine Website ansehen, erwähnt Criteo auch andere Partnerschaften, die es ihm ermöglichen, Ihre unterschiedlichen Kennungen zu verknüpfen:

Criteo Partner-IDs

Criteo gibt die Kennungen seines Shopper Graph an seine Kunden weiter

Criteo verfolgt nicht nur 75 % der Käufer weltweit, sondern bietet Kunden seines Shopper Graph (also denen, die der Weitergabe Ihrer personenbezogenen Daten zustimmen) kostenlos die Möglichkeit, die Nutzerkennungen dieses Graphen, die Criteo-IDs, für ihre eigenen Konten abzurufen. Hier sind die Möglichkeiten, die Criteo anbietet, um personenbezogene Daten an seine Kunden weiterzugeben:

Freigabekennung Criteo Id

Wir fassen zusammen:

  • Von Ihrem Smartphone aus haben Sie eine Lampe auf der Website des E-Retailers ABC gesehen.
  • Sie kehren zur ABC e-Retailer-Website zurück, diesmal jedoch auf Ihrem Laptop.

Criteo erkennt Sie, auch wenn Sie nicht mit der ABC e-Retailer-Website verbunden sind, weil Sie bereits eine Verbindung zu anderen Criteo-Partnerseiten auf Ihrem Smartphone und Laptop hergestellt haben.

Und Criteo ermöglicht es dem ABC e-Merchant, Sie auch zu erkennen.

Criteo umgeht erneut die Schutzmaßnahmen Ihres Browsers ... und führt zu einer Sicherheitslücke

Mit Ausnahme von Chrome ergreifen Browser Maßnahmen, um Sie vor Trackern zu schützen. Außerdem installieren viele Internetnutzer Adblocker. Wir haben bereits gesehen, dass Criteo über lange Erfahrung mit der Umgehung der von Browsern ergriffenen Maßnahmen verfügt und weiterhin in diese Richtung vorgeht, um Sie trotz Ihres Willens weiterhin zu verfolgen.

Eine seiner neuesten Initiativen? Ermutigen Sie seine Werbe- und Publisher-Kunden, eine Subdomain durch die Einrichtung eines CNAME an Criteo zu delegieren (lesen Sie den ausführlichen Artikel zu diesem Thema von Romain Cointepas, Mitbegründer von NextDNS, einer App, die dieses Tracking effektiv bekämpft). Mit CNAME können Sie angeben, dass eine Subdomain ein Alias ​​für eine andere Domain ist.

Hierbei handelt es sich um eine alte Technik, die von bestimmten Analysetools verwendet wird. Sie stößt derzeit auf erneutes Interesse, insbesondere von französischen Unternehmen wie Eulerian, AT Internet und damit Criteo. Hier ist die Criteo-Dokumentation, die es Werbetreibenden und Publishern ermöglicht, einen CNAME einzurichten. Und hier sind Beispiele von Kunden, die diese Delegation umgesetzt haben:

  • Der Domainname xgctpf.allocine.fr ist ein Alias für dnsdelegation.io, der wiederum auf gum.criteo.com verweist.
  • Der Domainname ddhhbh.alfaromeo.fr ist auch ein Alias für dnsdelegation.io, der auch auf gum.criteo.com verweist

Beachten Sie die Subdomains mit zufälligen Zeichenfolgen: Criteo kann Sie so im Verborgenen verfolgen, und es ist für Adblocker schwierig, die zu blockierenden Domains zu aktualisieren (der Herausgeber kann leicht entscheiden, den CNAME von einer Woche auf die andere zu ändern). Firefox ermöglicht -Erweiterungen die CNAME-Auflösung, wodurch uBlock Origin auf Firefox diese Aufrufe ordnungsgemäß blockieren kann, andere Browser erlauben dies jedoch nicht.

Criteo erhält somit Zugriff auf die meisten Benutzer mit einem Werbeblocker (das CNAME-Subjekt betreibt die Communities, die an Werbeblockern arbeiten) oder einem Browser, der so konfiguriert ist, dass er Cookies von Drittanbietern blockiert, was ihm Folgendes ermöglicht:

  • Sie können alle Besuche und Conversions auf der Website des Werbetreibenden messen.
  • Sie können Sie auf einem Ihrer anderen Geräte erneut ansprechen (wenn Sie nicht auf allen Ihren Geräten einen Werbeblocker haben und der Werbetreibende Criteo eine permanente Kennung wie Ihre E-Mail-Adresse sendet).
  • Theoretisch können wir Sie mithilfe von Fingerprinting-Techniken auf verschiedenen Websites identifizieren: anhand Ihrer IP-Adresse oder sogar anhand zusätzlicher Informationen, die in Ihrem Browser erfasst werden. Ich sage hier theoretisch, weil ich keinen Beweis dafür habe, dass Criteo Fingerabdrucktechniken verwendet.

Noch ein Wort zum Fingerabdruck: Criteo ist offensichtlich an dem Thema interessiert, da dieser Artikel aus dem Criteo R&D-Blog einen Forschungsartikel zur IP-adressbasierten Überwachung detailliert beschreibt:

In den letzten Jahren haben Webbrowser die Persistenz von Identifikatoren (Cookies) zunehmend eingeschränkt, was die Benutzerverfolgung erschwert. Ein aufschlussreiches Beispiel ist die Intelligent Tracking Prevention von Safari. In diesem Artikel wird eine clevere Möglichkeit vorgestellt, den Mangel an dauerhaften Identifikatoren zu überwinden, ohne die Privatsphäre der Benutzer zu verletzen, d. h. ohne Browser-Fingerprinting zu verwenden. Es besteht darin, die Community-Erkennung im Gerätediagramm zu verwenden, um stabile Kohorten (Gruppierung auf Personen- oder Haushaltsebene) zu erkennen. Es ist dann möglich, die IP-Adressen zu finden, die der Kohorte im Laufe der Zeit zugeordnet sind, und so eine dauerhafte ID basierend auf diesen IP-Adressen zu definieren. Diese Technik wird als Graph-Backfilling bezeichnet. Diese Technik stößt an ihre Grenzen, wenn viele Personen die gleiche IP nutzen oder bei dynamischen IPs. Aus diesem Grund funktioniert es in den USA wunderbar, in China ist es jedoch schwieriger anzuwenden.

IP-Überwachung

CNAME ist eine der Techniken (zusammen mit Logins und E-Mails), die es Criteo ermöglichen, sich gegenüber Investoren zu rühmen (Folie 15), „1st-Party“-Zugriff auf die von Internetnutzern besuchten Websites zu haben (für die Erfassung Ihrer personenbezogenen Daten sind hier keine Drittanbieter-Cookies erforderlich):

Criteo 1. Partei

Hier ist die E-Mail, die Criteo an seine Kunden und Partner gesendet hat (via f_to_k):

E-Mail an Criteo CNAME

Diese E-Mail scheint harmlos zu sein, die CNAME-Technik ist es jedoch weit weniger. Es führt zu einer Sicherheitslücke, wenn die Partnerseite keine Vorkehrungen getroffen hat: Criteo kann dann die auf der Domäne der Partnerseite platzierten Cookies lesen. Sehen wir uns ein Beispiel an, indem wir mit Safari und dem Tool Charles Proxy auf allocine.fr surfen:

Criteo Allocine-Cookies

Wie wir sehen können, stellt xgctpf.allocine.fr (alias Criteo) die auf allocine.fr platzierten Cookies wieder her (die nicht dafür bestimmt sind):

  • Von Google Analytics platzierte Identifikationscookies: _ga, _gat, _gid, _gads
  • Ein Cookie mit der Kennung Facebook: _fbp
  • Cookies, die Ihren Standort speichern: Geocode, Geolevel1, Geolevel2, Geolevel3
  • Ihre Authentifizierungscookies bei Allocine (ich war verbunden): ACAUTH, ACCT, ACID, GraphToken

Über die verschiedenen „gestohlenen“ Identifikatoren kann Criteo seinen Shopper Graph bereichern, aber das ist nicht das Schlimmste, denn über Ihre Authentifizierungscookies kann Criteo eine Verbindung zu Ihrem eigenen Allociné-Konto herstellen! Hier sind die Schritte, um es zu überprüfen:

  • Rufen Sie Authentifizierungscookies von Allocine über Safari und Charles Proxy ab.
  • Gehen Sie in Chrome zu allocine.fr und stellen Sie sicher, dass Sie abgemeldet sind.
  • Verwenden Sie die Chrome-Erweiterung EditThisCookie, um Ihre Authentifizierungscookies zu erstellen.
  • Aktualisieren Sie die Seite, Sie sind verbunden!

Criteo verbindet Geschenk: Allociné bietet keine sichere Version seiner Website an, daher ist Criteo nicht der Einzige, der Ihre Authentifizierungscookies abfangen kann. Ihr ISP und die Maschinen zwischen Ihrem Gerät und den Allociné-Servern können ebenfalls eine Verbindung für Sie herstellen.

Diese wichtige Sicherheitslücke ist wahrscheinlich auf vielen Partnerseiten vorhanden, da es Criteo bereits gelungen ist, mehr als 10.000 Partner davon zu überzeugen, einen CNAME zu installieren (Allociné war ein gutes Beispiel, die meisten Partner sind E-Commerce-Seiten, die viel sensiblere Informationen wie Ihre Kreditkarte enthalten können).

Lesen Sie mehr über dieses diese Konversation auf dem Reddit-Kanal r/adops. Das Hinzufügen eines CNAME ist alles andere als trivial, wie die E-Mail von Criteo vermuten lässt. Wie kann dieses Informationsleck bei Verwendung des CNAME von Criteo vermieden werden? Indem Sie Subdomains nicht erlauben, Cookies von der Domain zu lesen (siehe zum Beispiel Mozilla-Dokumentation, „Cookie Scope“).

Dennoch entwickelt sich Criteo immer noch völlig ungestraft weiter: Die CNAME-Technik war Gegenstand eines Artikels im Internetjournal, in dem Criteo, ID5 und Prisma Media die Praxis von CNAME rechtfertigen. Der Programmatic Manager von Prisma Media wirft den Browsern sogar vor, ihre Rolle zu überschreiten, indem sie die Privatsphäre der Internetnutzer schützen wollen:

Es ist ehrlich gesagt problematisch, dass ein Browser entscheidet, was fair ist und was nicht, indem er behauptet, die Privatsphäre der Benutzer zu schützen, wenn dies die Aufgabe des Einwilligungsmanagements ist. Wenn die Person ihre Einwilligung nicht erteilt, setzen wir selbstverständlich kein Cookie.

Auch für Criteo sollte der Browser nicht anstelle des Internetnutzers „Entscheidungen treffen“, der in der Lage sein muss, einer Werbeüberwachung seiner selbst zuzustimmen (oder nicht). Aber wie verhält sich Criteo im Vergleich zu der Notwendigkeit, die Zustimmung des Benutzers einzuholen, bevor man ihn verfolgt?

Für die Einholung der Einwilligung greift Criteo auf Partner-Werbetreibende und Publisher zurück

Die Seite von Criteo, die die Verwendung personenbezogener Daten erläutert, gibt einen guten Überblick über den Umfang der erfassten personenbezogenen Daten und deren Verwendung. Die von Criteo zur Rechtfertigung dieser Monopolisierung Ihrer personenbezogenen Daten unter Wahrung der DSGVO angeführte Rechtsgrundlage ist die Einwilligung. Für Criteo liegt die Beschaffung jedoch in der alleinigen Verantwortung seiner Partner, Werbetreibenden und Herausgeber:

Die Verarbeitungsvorgänge von Criteo entsprechen den geltenden Vorschriften in Ländern, die die Einwilligung des Benutzers für die Verwendung von Cookies oder anderen ähnlichen Technologien erfordern. Diese Einwilligung wird auf den Websites und mobilen Anwendungen von Werbetreibenden und Publishern eingeholt.

Criteo betont diesen Punkt in seiner Datenschutzerklärung:

Bitte beachten Sie, dass die Nutzung der Criteo-Technologien den Datenschutzrichtlinien unterliegt, die auf den Websites und mobilen Anwendungen unserer Partner veröffentlicht sind. Sie sind verpflichtet, vollständige und angemessene Informationen bereitzustellen und, soweit gesetzlich vorgeschrieben, Ihre Einwilligung einzuholen, bevor sie personenbezogene Daten über Sie preisgeben.

Criteo weist sogar darauf hin, dass es seine Partner-Werbetreibenden und Publisher vertraglich verpflichtet, vor der Implementierung von Trackern die Zustimmung der Benutzer einzuholen:

Criteo verpflichtet Werbetreibende und Verleger vertraglich dazu, seine allgemeine Redaktionscharta und seine Charta für Partner sowie die verschiedenen geltenden Vorschriften zum Schutz personenbezogener Daten, insbesondere die DSGVO, zu respektieren. Durch die Nutzung von Criteo-Diensten verpflichten sie sich, soweit gesetzlich vorgeschrieben, die Zustimmung der Nutzer einzuholen, bevor sie Cookies oder andere ähnliche Technologien zum Zweck der Anzeige personalisierter Werbung einsetzen.

Allerdings unternimmt Criteo nichts, um diesen Vertrag durchzusetzen, wie wir am Beispiel von La Fnac sehen können. Eine echte Einwilligung des Nutzers einzuholen, bevor man ihn identifizieren kann, käme für Criteo praktisch einer Geschäftsaufgabe gleich. Daher der doppelte Diskurs.

Criteo verdreht die Definition von Einwilligung

Doppelte Botschaften sind bei Criteo nichts Neues. Einerseits erklärt Criteo den Nutzern in seiner Datenschutzerklärung, dass es den Begriff der Einwilligung respektiert und seine Partner vertraglich verpflichtet, ihn anzuwenden. Andererseits teilt Criteo seinen Partnern mit, dass sie keine ausdrückliche Einwilligung der Nutzer einholen müssen.

In seinen „Datenschutzrichtlinien von Criteo für Kunden und Publisher-Partner“ berät Criteo seine Kunden zu den Informationsklauseln, die sie in ihre Datenschutzerklärungen aufnehmen sollten. Außerdem weist Criteo die Kunden erneut darauf hin, dass sie innerhalb der EU verpflichtet sind, die Einwilligung der Nutzer einzuholen. Aber was bedeutet Einwilligung für Criteo? Die Definition ähnelt eher einer einfachen Informationspflicht:

Nach EU-Recht gilt die Einwilligungsanfrage insbesondere dann als gültig, wenn: Über den Einsatz von Cookies und anderen Technologien als Cookies durch Criteo zum Zwecke der Bereitstellung zielgerichteter Werbung werden die Nutzer bei Erteilung ihrer Einwilligung informiert.

Criteo geht sogar so weit, vorzuschlagen, die von der CNIL eingeführte Lücke zu nutzen, die es fast dem gesamten französischen Web immer noch erlaubt, die Fortsetzung der Navigation auf einer Website (ein einfaches Scrollen oder ein Klick auf eine neue Seite) als Einwilligung zu betrachten:

Empfohlener Cookie-Hinweis für Länder, in denen eine Einwilligung erforderlich ist Indem Sie weiterhin auf unserer Website surfen, akzeptieren Sie die Verwendung von Cookies und Nicht-Cookie-Technologien, um Ihnen personalisierte Inhalte und Werbung auf allen Websites bereitzustellen.

Nach Angaben des Europäischen Datenschutzausschusses, einem unabhängigen europäischen Gremium, dessen Ziel es ist, die einheitliche Anwendung der DSGVO sicherzustellen und die Zusammenarbeit zwischen EU-Datenschutzbehörden zu fördern, muss die Einwilligung klar, bejahend und eindeutig sein. Die neuesten Richtlinien wurden am 4. Mai veröffentlicht, zum Beispiel können wir lesen, dass Scrollen keine Einwilligung darstellt:

scrollen Sie zur DSGVO-Einwilligung

In einem Artikel mit dem Titel „GDPR: Criteo ist bereit, die Herausforderung anzunehmen“ erläutert Criteo seine Sicht der Einwilligung und berücksichtigt dabei, dass keine ausdrückliche Einwilligung des Benutzers eingeholt werden muss:

Die DSGVO sieht eine klare Unterscheidung zwischen eindeutiger Einwilligung und ausdrücklicher Einwilligung vor. Eine ausdrückliche Einwilligung setzt eine ausdrückliche Entscheidung des Nutzers voraus. Dies gilt beispielsweise für die Erhebung sensibler Daten wie Rasse, Religion, sexuelle Orientierung, politische Zugehörigkeit und Gesundheit. Im Gegensatz dazu werden Online-Tracking-Geräte (z. B. Cookies) als einfache personenbezogene Daten kategorisiert. Auch für klassische Retargeting-Cookies, die keine sensiblen Daten erfassen, ist laut der neuen Verordnung kein ausdrückliches Opt-in erforderlich.

Allerdings verstößt dieses Verhalten gegen die DSGVO, die eine klare, bejahende und eindeutige Einwilligung des Nutzers erfordert. Auch die CNIL muss vorankommen, um ihre Doktrin an die DSGVO anzupassen: Sie hat diesen Prozess im Juli 2019 begonnen, nutzt aber nun die Coronavirus-Krise als Vorwand, um diese notwendige Anpassung zu pausieren.

Criteo hat sogar ein Whitepaper zur DSGVO geschrieben, in dem es seine trügerischen Argumente ausführlich darlegt. Am Ende bleibt nur ein Punkt: Criteo könnte nicht überleben, wenn es sich auf eine echte Einwilligung der Nutzer stützen müsste. Das Unternehmen sieht sich daher gezwungen, die Definition der Einwilligung zu verdrehen.

Die Lügen von Criteo in seiner Datenschutzerklärung

In seiner Datenschutzerklärung gibt Criteo an, dass es keine personenbezogenen Daten erhält:

Es werden keine personenbezogenen Daten (Name, Vorname, Postanschrift, unverschlüsselte E-Mail-Adresse o.ä.) an uns weitergegeben.

Das ist falsch. Kunden von Criteo können Criteo Ihre E-Mail-Adresse im Klartext übermitteln, wie diese Support-Seite zeigt, um „eine Zielgruppe zu erstellen“:

Eine CRM-E-Mail-Adressdatei mit vollständigen Adressen, mit MD5 verschlüsselten E-Mail-Adressen oder einem SHA256-Hash von MD5 (vollständige Adressen > MD5 > SHA256).

Wenn der Client E-Mail-Adressen im Klartext sendet, sagt Criteo, dass er sie vor dem Speichern verschlüsseln soll. Sie sollten ihm also vertrauen.

Noch in seiner Datenschutzerklärung gibt Criteo zu, dass Daten, die nicht personenbezogener Natur sind (Pseudonyme), in der Europäischen Union und in Kalifornien als personenbezogene Daten gelten:

Diese Informationen gelten jedoch als personenbezogene Daten im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) sowie des California Consumer Privacy Act (CCPA).

Eine weitere Lüge: Im Abschnitt „Verpflichtungen von Criteo“ können wir lesen:

Bei Criteo-Anzeigen werden in keiner Weise die folgenden Daten erfasst: [...] dauerhafte Identifikatoren, wie z. B. Identifikatoren der von Ihnen verwendeten Geräte (UDID, MAC-Adresse usw.)

Außer, dass der hash Ihrer E-Mail-Adresse tatsächlich eine dauerhafte Kennung ist. Außerdem steht diese „Verpflichtung“ im Widerspruch zu dem Deck „Online-Identifizierung bei Criteo“ für Anleger. Auf Folie 16 gibt Criteo an, dass 96 % der „Identitäten“ (= Benutzer) in seinem „Identitätsdiagramm“ mindestens eine dauerhafte Kennung enthalten:

Identitätsdiagramm Criteo – persistente Bezeichner

Auf Folie 22 gibt Criteo außerdem an, dass es Dritte nutzt, um die Vorteile persistenter Identifikatoren zu nutzen und somit nicht mehr auf Cookies angewiesen zu sein:

Persistente Identifier-Partner

Die Doppelzüngigkeit von Criteo ist eklatant: einerseits die Verpflichtung gegenüber Internetnutzern, „unter keinen Umständen“ persistente Identifikatoren zu sammeln, aber andererseits die Erleichterung der Sammlung dieser persistenten Identifikatoren von Partner-Werbetreibenden und -Publishern (zur Erinnerung: die Support-Seite, die angibt, wie Criteo eine Liste mit E-Mails zu senden ist) und die Kommunikation dieser persistenten Identifikatoren an Investoren auf der anderen Seite.

Das Deaktivieren von Criteo-Diensten in mobilen Apps funktioniert nicht

Wie am Beispiel von s Fnac auf iOS zu sehen ist, sammelt Criteo weiterhin einen Hash Ihrer E-Mail-Adresse, auch wenn Sie die Anzeigenverfolgung deaktiviert haben:

Beschränken Sie das Werbe-Tracking

Auf der Seite „Deaktivieren Sie Criteo-Dienste in mobilen Anwendungen“ heißt es jedoch:

Criteo Einwilligung zum Widerruf

Hier finden wir eine doppelte Lüge von Criteo: Meine E-Mail (oder sogar ein Hash meiner E-Mail) ist eine dauerhafte Kennung, dennoch sammelt Criteo sie (erste Lüge), selbst wenn ich das Werbe-Tracking deaktiviere (zweite Lüge).

Wiederholte und dokumentierte Missbräuche, aber immer noch keine Sanktion

Die unethischen Praktiken von Criteo werden seit langem detailliert beschrieben und angeprangert. Hier sind einige Elemente:

  • Die Beschwerde von Privacy International gegen Criteo, Quantcast und Tapad wegen Verstoßes gegen die DSGVO stammt aus dem November 2018. Es dauerte 16 Monate, bis CNIL reagierte und mit der Anweisung begann.
  • Die CNAME-Technik ist nur ein Element unter anderen, das von Criteo entwickelt wurde, um die von Browsern eingerichteten Schutzmaßnahmen zu umgehen. Die EFF hat frühere Versuche von Criteo, ITP von Safari zu umgehen, dokumentiert.
  • Diese Techniken wurden von Gotham City Research LLC in einem speziellen report detailliert beschrieben.
  • Ein weiterer Bericht von Gotham City Research LLC, der weit verbreiteten Betrug bei von Criteo verwaltetem Inventar aufdeckt. Dabei ist zu beachten, dass die Berichte nicht interesselos waren, da Gotham offen auf fallende Criteo-Kurse spekulierte. Dennoch waren die angeprangerten Praktiken belegt.
  • Criteo ist Teil des Committee of Acceptable Ads, einer Initiative von Adblock Plus, die es Criteo ermöglicht, Werbung anzuzeigen, selbst wenn Sie Adblock Plus oder andere Adblocker, die die Initiative unterstützen, installiert haben (diese Werbung ist „angepasst“: Sie nehmen etwas weniger Platz ein als herkömmliche Criteo-Werbung). Schockierend, weil Criteo-Werbung besonders aufdringlich ist, „Akzeptable Werbung“ jedoch „nur“ auf visueller Verschmutzung basiert.

Doch es passiert nichts. Angesichts der Geschichte der CNIL darf man an der Annahme zweifeln, dass sie tatsächlich Sanktionen gegen einen französischen Digitalchampion mit erheblichem wirtschaftlichem und politischem Gewicht verhängen wird. Das zeigt auch der Besuch von Bruno Le Maire zum ersten Jahrestag des Criteo-Labors für künstliche Intelligenz im vergangenen Oktober. Für Bruno Le Maire ist Criteo „einer der großen französischen Erfolge der letzten 15 Jahre“:

Tweet Bruno Le Maire - Criteo

Was also tun? Während wir auf echten politischen Willen warten, bleiben die Lösungen leider individuell und technisch: im Web einen Werbeblocker wie uBlock Origin in Kombination mit Firefox nutzen (oder andere datenschutzfreundliche Browser wie Brave und Safari), unter iOS Apps wie DNSCloak, AdGuard oder NextDNS verwenden, oder sogar Pi-hole auf einem Raspberry Pi installieren, wenn Sie technikaffin sind.