La Fnac verschleudert Ihre personenbezogenen Daten

Schon auf der Startseite der Website werden Sie getrackt

Wenn Sie, wie ich, Ihre Abhängigkeit von den GAFAs begrenzen möchten, haben Sie vielleicht schon einmal auf der Website von La Fnac bestellt. Denn neben den Problemen mit Steuerflucht, Missbrauch einer marktbeherrschenden Stellung oder Ausbeutung von Beschäftigten ist Amazon auch ein zentraler Akteur des Überwachungskapitalismus, unter anderem mit:

Amazon Advertising und Amazon Publisher Services: Werbelösungen für Werbetreibende und Publisher. In der Öffentlichkeit wenig bekannt, ist Amazon bereits die Nummer 3 der Werbeplattformen weltweit, hinter Google und Facebook.
Amazon Alexa: der Sprachassistent von Amazon, ein Spion in Millionen Haushalten.
Amazon Ring: in den USA sehr beliebte vernetzte Video-Türklingeln. Ring wurde 2018 von Amazon gekauft, und diese Tochtergesellschaft schließt Partnerschaften mit zahlreichen Polizeibehörden.

Die Konkurrenten von Amazon im E-Commerce hätten also freie Bahn, ein Kundenerlebnis anzubieten, das die Privatsphäre respektiert. Leider ist das bei La Fnac nicht der Fall, wie wir sehen werden. Beginnen wir unsere Untersuchung mit der Fnac-Website:

Deaktivieren Sie Ihren Adblocker.
Löschen Sie die Cookies in Chrome (Einstellungen > Erweiterte Einstellungen > Browserdaten löschen), damit Sie von Ihrem Google-Konto abgemeldet sind.
Öffnen Sie die Chrome-Konsole (⌘+Option+J auf dem Mac, Strg, Shift und J auf dem PC), klicken Sie auf den Tab Application und dann links auf Cookies.
Gehen Sie dann zu fnac.com.
Surfen Sie nicht auf der Fnac-Website herum, sondern schauen Sie sich die verschiedenen Cookies an, die von Drittunternehmen (also nicht von Fnac) gesetzt werden.

Wie man sieht, werden Sie schon vor jeder Navigation und vor jeder Zustimmung zum Tracking von mehreren Unternehmen verfolgt:

AppNexus : vertreten durch die Domain adnxs, ein amerikanisches Unternehmen und einer der führenden Akteure im Adtech-Sektor (weit hinter Google), das sowohl Lösungen zur Werbemonetarisierung für Publisher als auch eine Plattform zum Einkauf von Werbeflächen für Werbetreibende anbietet. 2018 von AT&T gekauft, mit Blick auf den lukrativen Markt der Videowerbung, aber auch auf die Zusammenführung der namentlichen personenbezogenen Daten des amerikanischen Telekommunikationsriesen mit den Werbedaten von Hunderten Millionen Internetnutzern.
Criteo: der französische Adtech-Riese, weltweit führend im Retargeting. Wenn Sie Produktseiten besucht haben und anschließend tagelang oder sogar wochenlang überall im Web mit Werbebannern genau dieser Produkte bombardiert wurden, war es wahrscheinlich Criteo. Dieses Unternehmen hat der breiten Öffentlichkeit buchstäblich die aufdringliche Seite personalisierter Werbung vor Augen geführt.
Google: vertreten durch die Domain doubleclick.net, seine Werbelösung für Publisher und Werbetreibende, die den Adtech-Markt dominiert.
Eulerian: vertreten durch die Domain ew3.io, eine französische Lösung für Attribution (damit La Fnac versteht, welche Werbekampagnen Verkäufe auslösen) und Data Management (damit La Fnac Sie profilieren und besser ansprechen kann).
Smart AdServer: ein weiteres französisches Unternehmen, mit dem La Fnac sein Werbeinventar monetarisieren kann.
iAdvize: ein französisches Unternehmen, das dialogbasierte Kaufberatung anbietet.

La Fnac handelt hier eindeutig rechtswidrig, wie viele französische Websites (dazu: die Einholung von Einwilligungen im Internet: eine allgemeine Lüge). Und La Fnac hält sich nicht einmal an sein eigenes Informationsbanner, das behauptet, keine Drittanbieter-Cookies zu setzen, solange Sie Ihre Navigation nicht fortgesetzt haben.

Informationsbanner Tracking

Beachten Sie die fiktive „Einwilligung“, die dieses Banner präsentiert: Wenn Sie weiter surfen, akzeptieren Sie das Setzen von Cookies, den Abgleich mit Ihren Kundendaten, die Ausspielung personalisierter Inhalte und Werbung, die Durchführung von Marketingstudien und die Betrugsprävention! Diese Art von Banner, die auf vielen französischen Websites noch immer zu finden ist, stammt aus einer 2013 von der CNIL eingeführten Lücke, wonach „die Fortsetzung der Navigation als Zustimmung zum Setzen von Cookies auf dem Endgerät gilt“! Diese laxe Vorstellung von Einwilligung dürfte in einigen Monaten mit den neuen Empfehlungen der CNIL zur Einholung von Einwilligungen nicht mehr gültig sein.

Surfen Sie weiter, die Tracker vermehren sich

Was passiert, wenn Sie „weiter surfen“? Scrollen Sie einfach auf der Startseite der Fnac und beobachten Sie die neuen Anfragen, die über die Chrome-Konsole oder die Software Charles Proxy gesendet werden:

Fnac Tracking beim Weitersurfen

Viele neue Marketingunternehmen tracken Sie nun, darunter:

Mediarithmics: ein französisches Unternehmen, das eine Plattform für den Einkauf von Werbeflächen und eine Data-Management-Lösung anbietet, also besseres Profiling, um Sie gezielter anzusprechen.
Facebook: Wie Google sind auch die Überwachungswerkzeuge von Facebook im Web allgegenwärtig und werden von Werbetreibenden sehr breit eingesetzt.
Temelio: vertreten durch die Domain Leadplace, ein französisches Data-Marketing-Unternehmen, das Werbetreibenden anbietet, Ihre personenbezogenen Daten online und offline zusammenzuführen. Sie werden also überall getrackt!
Weborama: ein weiteres französisches Data-Marketing-Unternehmen (immer besseres Profiling, um Sie besser anzusprechen).
MediaMath: vertreten durch die Domain mathtag, ein amerikanisches Unternehmen und eine der wichtigsten Plattformen für den Einkauf von Werbeflächen.
Bluekai: ein Data-Marketing-Unternehmen, diesmal aus den USA, 2014 vom Riesen Oracle gekauft. Es war eines der ersten Unternehmen, das vor mehr als zehn Jahren eine DMP (Data Management Platform) auf den Markt brachte.
Bidswitch: ein russisches Unternehmen, das programmatische Werbeplattformen für zahlreiche Kunden baut und als Vermittler zwischen Plattformen für den Einkauf von Werbeflächen und Lösungen zur Werbemonetarisierung dient.
Rubicon: eine amerikanische Plattform zur Werbemonetarisierung.

Weitere Marketingunternehmen tauchen auf, wenn Sie auf der Fnac weiter surfen. All diese Unternehmen verfolgen Sie also ohne Ihre Einwilligung im Web und reichern Ihr Profil mit jeder aufgerufenen Seite, jedem Hinzufügen zum Warenkorb und jedem Kauf an. Manche gehen so weit, diese Online-Daten mit Informationen über Ihr Offline-Verhalten zusammenzuführen, stets mit dem Ziel, Sie mit personalisierter Werbung noch genauer anzusprechen.

Lehnen Sie Cookies ab, und man trackt Sie weiter

Niemand klickt auf Cookie-Informationsbanner, und sehr oft funktionieren sie ohnehin nicht. La Fnac ist keine Ausnahme; Sie können es überprüfen, indem Sie auf „Mehr erfahren und Cookies konfigurieren“ klicken.

Hier kann man zwar direkt „Alle erlauben“, aber der Button „Alle ablehnen“ existiert nicht. Man muss die Cookie-Typen einzeln abwählen, was klar gegen die DSGVO verstößt (es muss genauso einfach sein, die Einwilligung zu verweigern, wie sie zu erteilen). Außerdem ist es unmöglich, auf die Liste der Unternehmen zuzugreifen, die Sie tracken (keine Informationen zu Google, Facebook, Criteo, Eulerian oder Weborama und Co.).

Naiverweise könnte man meinen, dass das Deaktivieren der Werbe-Cookies das Tracking beenden müsste. Nicht ganz! Die Liste ist zwar kürzer als beim direkten Weitersurfen, aber Sie werden weiterhin von mehreren Werbeunternehmen verfolgt.

Criteo, Google (doubleclick), AppNexus (adnxs), Smart AdServer und Eulerian tracken Sie also weiterhin... Kehren wir zu diesem „Präferenzzentrum“ zurück und deaktivieren wir die „Analyse-Cookies“.

Fnac Analyse-Cookies

Diese Einstellung verhindert tatsächlich, dass Google, AppNexus, Smart AdServer und Eulerian Sie weiter tracken (abgesehen von Eulerian sind das allerdings keine Analytics-Tools, sondern Adtech-Unternehmen). Criteo hält weiterhin durch: Wenn man die Startseite neu lädt, taucht der Tracker wieder auf.

Fnac ohne Analyse-Cookies

Ein letzter Versuch mit Criteo: Lehnen wir nun alle Cookies ab, indem wir die „funktionalen Cookies“ deaktivieren.

Fnac funktionale Cookies deaktiviert

Pech gehabt: Criteo ist unsterblich, die Startseite von Fnac löst den Criteo-Tracker weiterhin aus.

Fnac alle Cookies deaktiviert

Datenschutz bei La Fnac? Zugriff verweigert!

Da ich mehr über diesen katastrophalen Umgang mit meinen personenbezogenen Daten erfahren möchte, beschließe ich, die Datenschutzerklärung zu lesen, weiterhin vom „Präferenzzentrum“ aus.

Ihr Datenschutz – Fnac

Wieder Pech: Wenn ich auf den Link „Weitere Informationen“ klicke, lande ich auf einer Testseite... Zugriff verweigert!

Datenschutz – Fnac – nicht zugänglich

Zum Glück können Sie die „Richtlinie zum Schutz personenbezogener Daten“ der Fnac trotzdem über den Footer der Website aufrufen... Hier lässt sich noch besser erkennen, in welchem Ausmaß die Fnac Ihre personenbezogenen Daten nutzt. So ist die Fnac etwa Teil der „Gravity-Allianz“, einer großen Datenbörse aus 150 Websites und Apps mit 2000 Targeting-Segmenten!

Aber Sie werden dort auch einige Lügen lesen, zum Beispiel:

Um gezielter Werbung zugunsten von Werbepartnern zu widersprechen, müssen Sie Werbe-Cookies ablehnen. Weitere Informationen und die Verwaltung Ihrer Werbe-Cookies finden Sie auf der Seite „Cookies“ der Website.

Das ist falsch für Criteo, Google, AppNexus, Smart AdServer und Eulerian, die Ihr Surfen auf der Fnac weiterhin nutzen, um Sie später gezielt anzusprechen. Eine weitere fragwürdige Passage:

Die Rechtsgrundlage für die Nutzung von Navigationsdaten zu Zwecken der Werbeprofilierung ist die Einwilligung (Einwilligung in Cookies).

Ich habe diesem Tracking nie zugestimmt; um nach der DSGVO gültig zu sein, muss eine Einwilligung frei und informiert erfolgen.

Loggen Sie sich ein, und verschleudern Sie Ihre personenbezogenen Daten

Solange Sie nicht angemeldet sind, können Sie Ihre Cookies löschen und bei den verschiedenen Adtech-Unternehmen wieder bei null anfangen. Wenn Sie sich anmelden, riskieren Sie, dass La Fnac auch dauerhafte Daten preisgibt. Ich wollte es überprüfen und habe mich in Chrome in mein Fnac-Konto eingeloggt. Leider bestätigte sich diese Vermutung: Schon beim Login gibt La Fnac an Mediarithmics einen Hash meiner E-Mail-Adresse sowie meine Fnac-Kontonummer weiter.

Fnac Hash E-Mail Mediarithmics

Wer ist Mediarithmics? Dieses französische Data-Management-Unternehmen wurde von der Gravity-Allianz ausgewählt, der großen Datenbörse, die in der „Richtlinie zum Schutz personenbezogener Daten“ der Fnac erwähnt wird. Die Fnac gibt Ihre personenbezogenen Daten also nicht nur an Dritte weiter; sie tut es mit einem dauerhaften Identifier, der mit Ihrer E-Mail-Adresse verknüpft ist, und teilt diese Informationen mit 150 weiteren Websites, den Partnern der Allianz... Was sagt die Fnac über Gravity?

Fnac Darty kann auch an Programmen zur gemeinsamen Datennutzung zu Werbezwecken teilnehmen, wie etwa der Alliance Gravity Data Media. [...] FNAC DARTY erstellt diese Segmente oder Profile auf Grundlage der Informationen, über die die Marken der Gruppe verfügen (Navigationsdaten, Kaufdaten, deklarative Daten), oder auf Grundlage von Informationen, die im Rahmen unserer Beziehungen mit Partnern gesammelt werden (z. B. Mitglied der Alliance Gravity Data Media).

Das Tracking geht in der Fnac-App für iOS weiter

Wenn Sie dachten, die Preisgabe Ihrer personenbezogenen Daten durch die Nutzung der Fnac-App vermeiden zu können, ist das vergebliche Mühe. Vorab: Ich habe auf meinem iPhone das Werbe-Tracking eingeschränkt.

iPhone Werbe-Tracking eingeschränkt

Für den Test habe ich anschließend die App Charles Proxy verwendet und bin folgendermaßen vorgegangen:

Schließen der Apps auf meinem iPhone.
Öffnen von Charles Proxy und Aktivierung der Aufzeichnung.
Start der Fnac-App.
Export der Charles-Proxy-Logs auf meinen Computer.

Hier das Ergebnis:

Fnac iPhone

An wen sendet La Fnac meine personenbezogenen Daten? An folgende Data-Marketing-Unternehmen:

Google: Google lässt sich schwer entkommen. La Fnac nutzt Crashlytics (Crash-Monitoring-Tool, von Twitter übernommen) und Google Analytics, das allgegenwärtige Analytics-Tool.
Accengage: ein französisches Push-Notification-Tool, 2018 übernommen vom Mobile-Marketing-Unternehmen Airship. Beim Blick in die Details der Anfragen an Accengage stelle ich fest, dass La Fnac meinen Vornamen und meinen Nachnamen im Klartext preisgibt, zusammen mit Details meines Smartphones, allen angesehenen Fnac-Produkten sowie einer Variable, die meine Zustimmung zur Geolokalisierung angibt, „optin_geoloc“: „Y“ (ich habe nie zugestimmt).
Adobe: Sie kennen Photoshop, aber Adobe ist auch ein Marketingriese, und La Fnac nutzt sein Analytics-Tool.
Criteo: Im Web werde ich gezielt angesprochen, in der Fnac-App ebenfalls. Und Criteo weiß, wie es mich wiederfindet: Bei jeder Anfrage wird ein Hash meiner E-Mail-Adresse gesendet.
Adjust: eine Mobile-Marketing-Lösung mit Fraud Prevention, Analytics, Attribution, aber auch einer Lösung zum Aufbau von Nutzerprofilen.
Glaze: eine französische Lösung zur Personalisierung des Kundenerlebnisses.

Namentliche Daten werden gesendet

La Fnac sendet also namentliche Daten (Vorname und Nachname) an Accengage. Abgesehen davon, dass ich einem solchen Tracking nie zugestimmt habe und La Fnac diese Preisgabe personenbezogener Daten nicht ankündigt: Was sagt die Datenschutzrichtlinie von Accengage?

Zweck SDK Accengage

Von namentlichen Daten ist keine Rede. La Fnac hat wahrscheinlich frei entschieden, Accengage die Namen seiner Kunden zu senden, was dann in die Kategorie „relevante Informationen“ fallen würde. Außerdem behauptet Accengage, die in den iOS-Einstellungen angegebenen Nutzerpräferenzen zu respektieren:

Widerspruch Tracking SDK Accengage

Das ist jedoch nicht der Fall: Ich habe die Option „Eingeschränktes Werbe-Tracking“ aktiviert, und Accengage trackt mich weiterhin namentlich.

Der Fall Criteo

La Fnac sendet ebenfalls einen Hash meiner E-Mail-Adresse an Criteo. Was sagt seine „Richtlinie zum Schutz personenbezogener Daten“ im Abschnitt über die Weitergabe von Daten an Dritte?

Damit wir Ihre verschiedenen Endgeräte (Computer, Mobiltelefon usw.) miteinander verknüpfen können und Ihnen ein harmonisiertes Erlebnis auf den verschiedenen von Ihnen genutzten Geräten bieten. Um mehr über das Verfahren zur Zusammenführung der verschiedenen Geräte zu erfahren oder diesem zu widersprechen, können Sie http://www.criteo.com/fr/privacy/ aufrufen.

Gehen wir also zur Datenschutzerklärung von Criteo und lesen den Abschnitt zur Deaktivierung der Criteo-Dienste in mobilen Anwendungen. Auch dort steht:

Aktivieren Sie für iOS (Version 6 und höher) die Option „Eingeschränktes Werbe-Tracking“: Gehen Sie dazu in Ihren Geräteeinstellungen zu „Datenschutz“ > „Werbung“ und aktivieren Sie die Option „Eingeschränktes Werbe-Tracking“.

Was sollte die Aktivierung der Option „Eingeschränktes Werbe-Tracking“ laut Criteo ändern?

Criteo Widerruf Einwilligung App

Ich stelle fest, dass der Hash meiner E-Mail-Adresse weiterhin gesammelt wird. Damit kann Criteo mein Gerät sehr wohl wiedererkennen und mich den Daten zuordnen, die Criteo bereits über mich besitzt. Vielleicht speichert Criteo diesen Hash nicht, aber ich kann es nicht beweisen. Und warum ihn überhaupt sammeln?

Man kann festhalten, dass La Fnac meine E-Mail-Adresse nicht im Klartext an Criteo sendet, Criteo aber von seinen Kunden die Übermittlung von E-Mail-Adressen im „Klartext“ akzeptiert, „um größtmögliche Flexibilität zu gewährleisten“, siehe die Criteo-Supportseite, die derzeit seltsamerweise offline ist, aber über den Google-Cache noch erreichbar ist. Criteo gibt anschließend an, die E-Mails zu „crypten“ (übrigens: man sagt nicht „crypter“, sondern „chiffrer“). Auch hier kann ich es nicht beweisen; man müsste Criteo vertrauen.

Criteo E-Mail-Adresse im Klartext

Besonders aufschlussreich ist dann der doppelte Diskurs von Criteo: beruhigend gegenüber den Nutzern, freizügig gegenüber den Werbetreibenden. Hier ist sein Versprechen an die Nutzer:

Engagement Criteo

Wenn die Kennung meines Smartphones dauerhaft ist, ist es meine E-Mail-Adresse (oder sogar ein Hash meiner E-Mail-Adresse) ebenfalls. Trotzdem sammelt Criteo sie, selbst wenn ich das Werbe-Tracking deaktiviere. Auch La Fnac bleibt schuldig: Wie lässt sich diese enge Partnerschaft mit einem Dritten rechtfertigen, der die Privatsphäre seiner Kunden so wenig respektiert?

Keine Möglichkeit, das Tracking in der Fnac-App für iOS einzuschränken

Wenn eingeschränktes Werbe-Tracking auf dem iPhone nicht ausreicht, wie lässt sich Tracking dann stoppen? Man könnte zu Recht erwarten, dass La Fnac in seiner App eine Option anbietet, um Tracking abzulehnen (schließlich zeigt La Fnac auf seiner Website ein Einwilligungsbanner an, auch wenn es nicht gut funktioniert). Am Ende habe ich die „Richtlinie zum Schutz personenbezogener Daten“ der Fnac in der iOS-App gefunden. Es ist ein echter Hürdenlauf. Man muss:

zu „Mein Konto“ gehen.
dann zu „Meine Kontaktdaten“.
dann ganz unten auf der Seite auf „Weiterlesen“ klicken.
dann bis ans Ende der Seite scrollen und auf „hier“ klicken.

Datenschutz Fnac iOS

Wieder Pech: La Fnac bietet keine Möglichkeit, sich nicht überwachen zu lassen. Fazit: Außer man installiert Adblocker für Apps (siehe Wie schützt man seine Privatsphäre auf einem iPhone?), ist es unmöglich, die Preisgabe personenbezogener Daten in der Fnac-App zu vermeiden. Bleibt zu hoffen, dass die CNIL künftig die Mittel und vor allem den Willen hat, das Recht durchzusetzen und Ihre Privatsphäre besser zu schützen.