Le Figaro, Symbol für invasives Werbe-Tracking auf französischen Medienseiten

EDIT 3. August 2021: Ende des Spiels am 29. Juli 2021: Die CNIL hat Le Figaro mit ... 50.000 Euro sanktioniert, weil auf lefigaro.fr Werbe-Cookies ohne vorherige Einwilligung der Internetnutzer gesetzt wurden. Diese lächerliche Sanktion lädt geradezu zum Weitermachen ein; das Problem ist außerdem noch immer nicht systematisch behoben, wie dieser Test zeigt.

EDIT 31. Oktober 2020: Hat Le Figaro seit der ursprünglichen Veröffentlichung dieses Artikels (19. April 2020, also vor mehr als 6 Monaten) Korrekturen vorgenommen? Nach der Prüfung:

(-) Lefigaro.fr gibt Ihre personenbezogenen Daten weiterhin massenhaft preis, sobald Sie auf der Website ankommen (noch bevor Sie zugestimmt oder abgelehnt haben, also unter Verstoß gegen das Gesetz). Überraschung: Es gibt sogar mehr Tracker als im April! All diese Unternehmen verfolgen Sie über eine eindeutige Kennung: ZBO Media, Comscore, ACPM, eStat, Taboola, Doubleclick (im Besitz von Google), Google Analytics, Chartbeat und Hubvisor.
(=) Wenn Sie sich die Mühe machen, in die Einstellungen zu gehen und die Erfassung Ihrer Daten durch Dritte abzulehnen, respektiert Lefigaro.fr Ihre Wahl nicht und vervielfacht die Tracker.
(-) Wenn Sie Zeit verlieren möchten, können Sie sich das Einwilligungsbanner genauer ansehen (die „CMP“ oder Consent Management Platform), das Lefigaro.fr nutzt und das von der Firma SFBX angeboten wird. Der Mechanismus ist noch schlimmer als im April. Gut versteckt können Sie dann feststellen, dass manche Marketingunternehmen selbst nach einem Klick auf „Alles ablehnen“ meinen, Sie weiterhin für verschiedene Zwecke ausspionieren zu dürfen (etwa „ein Werbeprofil erstellen“), unter dem Vorwand des berechtigten Interesses. Sie müssten dem berechtigten Interesse dann für 9 verschiedene Zwecke widersprechen, also 27 zusätzliche Klicks! Und Pech gehabt: Selbst das funktioniert nicht. Lefigaro.fr sendet weiterhin das Signal, dass Sie dem berechtigten Interesse nicht widersprochen haben, und Sie werden weiter von zahlreichen Unternehmen überwacht.
(-) Das Einwilligungsbanner umfasst inzwischen Analytics, aber Lefigaro.fr berücksichtigt Ihre Ablehnung nicht: Sie werden weiter von Google Analytics und Chartbeat überwacht, die Werbefunktionen von Google Analytics sind weiterhin aktiviert (über das Doubleclick-Cookie, mit dem Google Sie im Web überwachen kann), und das Cookie hat weiterhin eine Lebensdauer von mehr als 13 Monaten.
(=) Lefigaro.fr geht weiterhin davon aus, dass Scrollen auf der Seite als Einwilligung gilt (unter Verstoß gegen das Gesetz). Wenn Sie also scrollen (oder auf einen Artikel klicken), explodiert die Zahl der Drittunternehmen, die Sie ausspionieren, weiterhin.
(-) In der iOS-App gibt es inzwischen ein Einwilligungsbanner. Aber wie im Web gibt Le Figaro Ihre personenbezogenen Daten an zahlreiche Unternehmen weiter, bevor Sie überhaupt eine Wahl getroffen haben: Facebook, Adjust, Amazon, AppNexus, Google, Taboola und ACPM.
(-) Die gleiche Komplexität, um die Überwachung abzulehnen (weiterhin über die Firma SFBX), und die gleiche Missachtung Ihrer Entscheidungen. Nach der Ablehnung werden Sie weiterhin von zahlreichen Unternehmen überwacht, darunter Google, Facebook, Adjust, Taboola, Amazon, AppNexus, ACPM oder Smart AdServer.

Bedauerliches Fazit: Lefigaro.fr hat keines der festgestellten Probleme gelöst. Im Gegenteil, die Marketingüberwachung auf seiner Website und in seiner iOS-App ist sogar noch stärker geworden. Die Aktualisierung des Einwilligungsbanners nach der Migration zum TCF v2 (dem Mechanismus zur „Einholung der Einwilligung“ der Werbeindustrie) könnte Ihnen vorgaukeln, Sie hätten Kontrolle über das Durchsickern Ihrer personenbezogenen Daten. Das stimmt nicht. Warum sanktioniert die CNIL Le Figaro immer noch nicht?!

Le Figaro war im August 2018 Gegenstand einer Beschwerde

Am 11. August 2018 wandte sich eine Internetnutzerin an die CNIL, weil beim Setzen von Cookies auf der Website lefigaro.fr keine Einwilligung eingeholt wurde. Am 30. September 2019 (also mehr als ein Jahr später) teilte die CNIL der Internetnutzerin mit, sie habe den Datenschutzbeauftragten (DPO) von Le Figaro aufgefordert, „die erforderlichen Maßnahmen und Änderungen vorzunehmen“. Das scheint Le Figaro nicht sonderlich zu beeindrucken, das behauptet: „Wir behandeln diese Frage im Einklang mit den geltenden Vorschriften“.

Seitdem bewegt sich nichts, trotz der Nachfragen der Internetnutzerin:

Tweet Cellular Lefigaro CNIL

Le Figaro ist leider keine Ausnahme, sondern die Regel unter französischen Medienseiten. Dennoch ist es bedauerlich, dass die CNIL nicht schnell und hart reagiert: Die Angst vor der Aufsicht sollte Medienseiten dazu bringen, die Regeln einzuhalten. Ich hatte lefigaro.fr bereits in dem Artikel über die allgemeine Lüge der Einholung einer Einwilligung erwähnt; schauen wir nun genauer hin, wie Le Figaro Ihre Privatsphäre missachtet.

Le Figaro gibt Ihre personenbezogenen Daten schon beim Betreten der Website preis

Um mehr über das Tracking auf der Website lefigaro.fr zu erfahren, befolgen Sie die folgenden Schritte:

Deaktivieren Sie Ihren Adblocker.
Löschen Sie Cookies in Chrome (Einstellungen > Erweiterte Einstellungen > Browserdaten löschen), sodass Sie von Ihrem Google-Konto abgemeldet werden.
Öffnen Sie die Chrome-Konsole (⌘+Wahl+J auf Mac, Strg, Umschalt und J auf dem PC), die Registerkarte „Netzwerk“ oder starten Sie Charles Proxy.
Gehen Sie dann zur Homepage lefigaro.fr.

Wenn Sie das Einwilligungsbanner (unten) sehen, könnten Sie sich sagen: Solange ich keine Wahl getroffen habe, wird Le Figaro meine personenbezogenen Daten nicht an Dritte weitergeben.

Startseite lefigaro

Fehler! Die Liste der Anfragen an Drittanbieter-Tracker ist so lang, dass ich 2 Screenshots machen musste:

Lefigaro-Tracker-Liste 1 Lefigaro-Tracker-Liste 2

Und bevor ich mit meiner Navigation fortfahre, erlaubt Le Figaro einigen dieser Drittanbieter, Cookies in Ihrem Browser zu platzieren:

Lefigaro-Cookies

Unter Verstoß gegen das Gesetz und gegen sein eigenes Einwilligungsbanner erlaubt Le Figaro also den folgenden Unternehmen, Sie zu tracken:

Doubleclick: Muss man nicht mehr vorstellen. Le Figaro nutzt die Werbemonetarisierungslösung von Google ergänzend zu AppNexus. Es ist dennoch erstaunlich, dass Le Figaro Doubleclick nicht deaktivieren kann, solange Sie noch nicht auf der Website navigiert haben.
eStat: eine Tochtergesellschaft von Médiamétrie, spezialisiert auf Reichweitenmessung.
ACPM: die Allianz für Presse- und Medienzahlen, ehemals OJD, ebenfalls auf Reichweitenmessung spezialisiert.
Hubvisor: eine französische Lösung zur Werbemonetarisierung, spezialisiert auf „Header Bidding“, eine Praxis, bei der zahlreiche Werbemonetarisierungsplattformen gegeneinander antreten, wobei jede von ihnen wiederum mehrere Plattformen zum Einkauf von Werbeflächen gegeneinander antreten lässt, um Sie besser zu targeten (Inception).
Taboola: Anbieter von Links mit reißerischen Überschriften am Artikelende, fusioniert mit dem weltweiten Marktführer Outbrain. Auch hier: Warum Taboola-Artikel laden, bevor Sie überhaupt mit dem Surfen begonnen haben?

Lehnen Sie Cookies ab, Le Figaro gibt Ihre personenbezogenen Daten weiter preis

Was passiert, wenn Sie das „Einwilligungsbanner“ so konfigurieren, dass Cookies abgelehnt werden? Die Lösung (eine CMP, „Consent Management Platform“), die von der Firma SFBX aus Bordeaux angeboten wird (ehemals Chandago), macht es Ihnen nicht leicht: Statt einen „Ablehnen“-Button auf gleicher Ebene wie den „Akzeptieren“-Button anzuzeigen, braucht die Ablehnung des Trackings 7 Klicks!

Ablehnung der Lefigaro-Cookies

Das Motto von SFBX? „Privacy Matters“. Wenn Sie die Homepage von SFBX lesen, fühlen Sie sich wie im Jahr 1984:

SFBX Datenschutz durch Design

Was passiert, nachdem Sie die verschiedenen Kategorien von Cookies abgelehnt haben? Wieder kein Glück, die Verweigerung der Einwilligung hat keine Auswirkungen auf die oben genannten Drittanbieter-Cookies, diese Marketingunternehmen verfolgen Sie weiterhin von Seite zu Seite:

Cookies nach Ablehnung lefigaro

Insbesondere stellt Le Figaro Google über seinen Dienst Doubleclick einen Blankoscheck aus: Google kann Ihre verfügbare Gehirnzeit auch dann monetarisieren, wenn Sie Tracking ablehnen (während die große Mehrheit der anderen Werbemonetarisierungsplattformen ausgeschlossen wird).

Die Analytics-Tools von Le Figaro, eine schamlose Lüge

Ein weiteres Problem der „Consent Management Platform“ (CMP), die dem „Transparency & Consent Framework“ des IAB (dem Berufsverband der Internetwerbeunternehmen) folgt: Sie berücksichtigt keine Analytics-Tools und andere Marketingtools, sondern nur Tools, die direkt mit Werbung verbunden sind. Sie könnten also glauben, dass durch das Deaktivieren von „Messung“ die Analytics-Tools deaktiviert würden. Tatsächlich handelt es sich nur um den „Mess“-Baustein der Werbetools. Nachdem Sie Cookies über das Einwilligungsbanner abgelehnt haben, schauen Sie sich die Namen der „1st Party“-Cookies an (Cookies, die auf der Domain lefigaro.fr gesetzt werden):

Lefigaro-Cookies Messung

Sie können Cookies im Zusammenhang mit den folgenden Tools beobachten:

Google Analytics: Alle Cookies, die „ga“ enthalten, werden von Google Analytics gesetzt, dem „kostenlosen“ Web-Analytics-Tool von Google, das Sie auf dem größten Teil des weltweiten Webs verfolgt.
Chartbeat: Spezialisiertes Webanalysetool für Medienseiten.

Le Figaro hat eine Informationsseite zu Cookies geschrieben, ein Absatz ist den Cookies zur Zielgruppenmessung gewidmet:

Lefigaro-Cookies-Zielgruppenmessung

Le Figaro erklärt, die eingesetzten Analytics-Tools „übermitteln unseren technischen Dienstleistern oder Handelspartnern ausschließlich aggregierte Statistiken und Besucherzahlen“.

In Wirklichkeit zeigt das ein tiefes Missverständnis darüber, wie Analytics-Tools funktionieren. Le Figaro übermittelt personenbezogene Informationen an diese Unternehmen (einschließlich Ihrer Kennung, mit der Ihre Sitzung verfolgt und Sie bei einer Rückkehr auf lefigaro.fr wiedererkannt werden können). Diese Unternehmen berechnen anschließend aggregierte Informationen, darunter Besucherzahlen, die sie ihren Kunden dann in einer eigenen Oberfläche bereitstellen.

Le Figaro behauptet außerdem, dass diese Cookies zur Reichweitenmessung „es nicht ermöglichen, Ihre Navigation auf anderen Websites zu verfolgen“. Die meisten Analytics-Tools erlauben tatsächlich nicht, Ihre Navigation auf anderen Websites zu verfolgen (weil sie nur auf 1st-Party-Cookies basieren). Google Analytics bietet diese Option jedoch an (über die „Werbefunktionen von Google Analytics“), und Le Figaro hat sie aktiviert (diese Funktion ist „Opt-in“). Der Beweis im Screenshot unten:

Google Analytics Doubleclick Lefigaro

Darin ist zu lesen, dass Le Figaro Google durch den Einsatz von Google Analytics ermöglicht, Sie über folgende Elemente zu verfolgen (und Ihr Google-Profil anzureichern):

stats.g.doubleclick.net ist die mit Google Analytics verknüpfte Doubleclick-Domäne.
collect? ist die Funktion, mit der Google Analytics-Parameter zu Ihrem Besuch auf lefigaro.fr sammelt.
Das „IDE“-Cookie ermöglicht Google, Sie auf allen Websites zu identifizieren, weil es nicht mit der 1st-Party-Domain lefigaro.fr verknüpft ist, sondern mit der Google-Domain doubleclick.net.

Le Figaro belügt Sie schließlich über die Lebensdauer von Cookies zur Zielgruppenmessung und teilt Ihnen mit, dass diese „ 13 Monate nicht überschreitet“. Zunächst muss klargestellt werden, dass diese Dauer verlängerbar ist. Wenn Sie nach 12 Monaten zu lefigaro.fr zurückkehren, wird das Ablaufdatum des Cookies aktualisiert. Ein genauer Blick auf die von Google Analytics gesetzten Cookies genügt zudem, um zu sehen, dass bestimmte Cookies (wie „ga“ oder „gads“) eine Lebensdauer von 24 Monaten haben:

Cookies Google Analytics lefigaro 24 Monate

Wenn wir uns jetzt auf die Seite der CNIL Cookies & Tracer beziehen: Was sagt das Gesetz?:

CNIL Cookie-Lebensdauer

Le Figaro verstößt durch die Verwendung von Google Analytics gegen das Gesetz in diesen beiden Punkten:

Le Figaro verwendet Cookies, deren Lebensdauer 13 Monate überschreitet.
Diese Cookies haben bei neuen Besuchen der Website eine längere Lebensdauer.

Da Le Figaro Ihnen nicht erlaubt, Analytics-Cookies direkt über seine Website zu blockieren, weist es Sie lediglich darauf hin, dass Sie dies über Ihren Browser oder über die einzelnen Anbieter tun können, was nicht gerade einfach ist:

Opt-out-Analyse

Stöbern Sie weiter, Le Figaro vervielfacht die Tracker

Wenn Sie, wie fast alle Internetnutzer, das „Einwilligungsbanner“ nicht anfassen, sondern Ihre Navigation fortsetzen, indem Sie auf der Startseite scrollen oder auf einen Artikel klicken, lösen Sie eine Vielzahl zusätzlicher Tracker aus. Le Figaro betrachtet die Fortsetzung der Navigation nämlich als Einwilligung: Das ist eine illegale Praxis, die derzeit noch toleriert wird, weil die CNIL Mühe hat, unser Recht mit der DSGVO in Einklang zu bringen.

Wenn wir uns die Details über die Chrome-Konsole ansehen (⌘+Wahl+J auf Mac, Strg, Umschalt und J auf dem PC), dann „Anwendung“, Registerkarte „Cookies“, können wir sehen, dass über die Seite lefigaro.fr viele Cookies von Drittanbietern platziert werden (die Liste war zu lang, ich musste bestimmte Cookies für diese Aufnahme löschen):

Navigations-Lefigaro-Cookies

Zusätzlich zu den zuvor genannten Unternehmen werden Sie also auch von folgenden Akteuren getrackt:

ZBO Media: über zebestof.com, ein französisches Unternehmen, das sich als „programmatische Marketingplattform“ präsentiert.
LinkedIn: Sie wussten es vielleicht nicht, aber LinkedIn trackt und retargetet Sie im Web.
Twitter: Das Microblogging-Netzwerk muss man nicht mehr vorstellen; auch es trackt Sie im Web.
Liquidm: über lqm.io, eine deutsche Plattform zum Einkauf von Werbeinventar, kürzlich vom französischen Unternehmen Smart AdServer übernommen, das auf die Monetarisierung von Werbeinventar spezialisiert ist.
Facebook: Dem entkommen Sie nicht, selbst wenn Sie kein Konto haben; seine Toolbox wird Websites angeboten.
Krux: über krxd.net, eine Data-Marketing-Plattform, von Salesforce übernommen und von Le Figaro genutzt, um Sie genauer zu profilieren und Ihre Navigation zu monetarisieren.
AppNexus: die wichtigste Werbemonetarisierungslösung der Le-Figaro-Gruppe (Adserver und SSP), vom amerikanischen Telekommunikationsriesen AT&T übernommen.

Aber Ihre Überwachung endet hier nicht, einige Tracker lösen eine zweite Welle von Trackern aus, gekapselt in „Iframes“ (unsichtbare Seiten auf der Seite lefigaro.fr). So erlaubt Krux (im Besitz von Salesforce), die DMP („Data Management Platform“) der Le Figaro-Gruppe, die Installation folgender Cookies (auch hier war die Liste lang, ich musste bestimmte Cookies für die Bildschirmaufnahme löschen):

Lefigaro-Krux-Cookies

Sie werden von folgenden Unternehmen verfolgt:

Comscore: über scorecardresearch.com, amerikanisches Werbeanalyse- und Profiling-Tool.
Liveramp: über rlcdn.com, weltweit führend beim Abgleich personenbezogener Online- und Offline-Daten.
Xaxis: über mookie1.com, eine Werbeflächen-Einkaufsplattform der Werbeagentur WPP.
Nielsen: über exelator.com, ein Unternehmen für Marketinganalysen.
Bluekai: Data-Management-Unternehmen, von Oracle übernommen.

ZBO Media erlaubt die Platzierung der folgenden Cookies (reduzierte Liste für die Bildschirmaufnahme):

lefigaro ZBO Media Cookies

Sie werden daher auch von diesen folgenden Unternehmen getrackt:

Outbrain: der weltweit führende Anbieter von Links zu reißerischen Artikeln, fusioniert mit Taboola, das bereits erwähnt wurde.
Graphinium: über crm4d.com, ein französisches Unternehmen, das sich auf den Abgleich personenbezogener Online- und Offline-Daten spezialisiert hat.
Yahoo: Es ist immer wieder überraschend, diesen Internet-Dinosaurier wiederzusehen. Yahoo wurde von Verizon gekauft, das es dann mit AOL fusionierte, um Verizon Media zu gründen, eine riesige Werbeagentur.
Adyoulike: über omnitagis.com, eine Plattform zur Werbemonetarisierung, spezialisiert auf „native“ Werbung (die optisch mit dem Inhalt verschmelzen soll).
Weborama: französisches Data-Marketing-Unternehmen, von dem wir in diesem Artikel gesehen haben, dass es Ihre personenbezogenen Daten an russische Unternehmen durchsickern lässt.
Improve Digital: über 360yield.com, Werbemonetarisierungslösung.
Index Exchange: über casalemedia.com, eine weitere Lösung zur Werbemonetarisierung.

Wir haben die Lebensdauer von Analyse-Cookies besprochen, die laut Le Figaro 13 Monate nicht überschreitet (in Wirklichkeit 24 Monate). Auf seiner Cookie-Informationsseite geht Le Figaro etwas vorsichtiger mit Werbe-Cookies um (die Hervorhebung von grundsätzlich stammt von mir):

Die Lebensdauer der Werbe-Cookies, die beim Durchsuchen der Website/Anwendung gesetzt werden, beträgt grundsätzlich 13 Monate. Die zugehörigen Daten, die an Handelspartner übermittelt werden, werden von diesen für eine Dauer gespeichert, die grundsätzlich 13 Monate nicht überschreitet.

Welchen Sinn hat es, die 13 Monate zu melden, wenn Sie wissen, dass sie falsch sind? Wir sehen beispielsweise ein LinkedIn-Werbe-Cookie mit einer Lebensdauer von 24 Monaten:

Auch die Datenschutzerklärung des Figaro wiederholt die Lüge:

Die durch Cookies erfassten Daten im Zusammenhang mit Ihrer Navigation auf unseren Online-Diensten unterliegen in jedem Fall einer Aufbewahrungsfrist, die dreizehn (13) Monate nicht überschreiten darf.

In der iOS-App: hemmungsloses Tracking

Um meine Untersuchung abzuschließen, habe ich die iOS-App Le Figaro installiert und die folgenden Schritte ausgeführt:

Schließen der verschiedenen Hintergrundanwendungen.
Start der Anwendung Charles Proxy und Aktivierung des Trackings.
Die Anwendung Le Figaro starten und dann die App durchsuchen: Ich habe einige Artikel konsultiert.
Exportieren Sie Protokolle meiner Charles Proxy-Sitzung auf meinen Computer, um die von Le Figaro gesendeten Anfragen einfach zu analysieren.

Mir wurde kein „Einwilligungsbanner“ zuteil, dafür aber eine Vielzahl von Trackern (die gleichen wie im Web und einige zusätzliche):

Lefigaro App-Tracker 1 Lefigaro App-Tracker 2

Um Tracking zu vermeiden, müssen Sie im Menü nach „Einstellungen“ und dann nach „Info“ > „Meine persönlichen Daten“ suchen und schließlich die einzelnen Kategorien deaktivieren:

Lefigaro App – Meine persönlichen Daten

Wieder Pech gehabt: Während die Ablehnung des Trackings im Web die Zahl der Tracker sinken ließ, hat diese Ablehnung offenbar keinerlei Auswirkung auf die App. Le Figaro gibt meine personenbezogenen Daten weiterhin an zahlreiche Dritte weiter.

lefigaro App keine Einwilligung 1 le figaro App keine Zustimmung 2

Was sagt die Cookie-Informationsseite? Le Figaro behauptet, dass man dort Cookies blockieren kann:

Ablehnung von App-Cookies

Nur ist das falsch: Ich habe auf meinem iPhone die Option „Eingeschränktes Werbe-Tracking“ aktiviert (man sollte sie nicht deaktivieren, wie Le Figaro es nahezulegen scheint), doch das hat keinerlei Auswirkung auf die ausgelösten Tracker.

Beschränken Sie das Werbe-Tracking

Le Figaro ist leider keine Ausnahme

Wenn Le Figaro Ihre Privatsphäre völlig egal ist, ist das nur ein Beispiel unter vielen: Französische Medien hängen mehrheitlich am Werbe-Tracking. Sie könnten eine bessere Nutzererfahrung bieten, indem sie Werbung und andere Tracker begrenzen, den Begriff der Einwilligung respektieren und zugleich komfortable Einnahmen erzielen. Aber ohne echte Aufsicht und ohne Sanktionen (CNIL, sind Sie da?) ist es unwahrscheinlich, dass sich die Dinge ändern.