Monoprix verschleudert Ihre personenbezogenen Daten

Die Website vervielfacht die Tracker schon auf der Startseite

In Zeiten des Lockdowns erlebt der Lebensmitteleinzelhandel einen Boom bei Online-Bestellungen (und ebenso häufige Nichtverfügbarkeiten). Da ich regelmäßig bei Monoprix einkaufe, wollte ich genauer verstehen, wie dessen Website mit meinen personenbezogenen Daten umgeht. Beginnen wir die Untersuchung auf monoprix.fr:

• Deaktivieren Sie Ihren Adblocker.
• Löschen Sie Cookies in Chrome (Einstellungen > Erweiterte Einstellungen > Browserdaten löschen), sodass Sie von Ihrem Google-Konto abgemeldet werden.
• Öffnen Sie die Chrome-Konsole (⌘+Wahl+J auf Mac, Strg, Umschalt und J auf dem PC), die Registerkarte „Netzwerk“ oder starten Sie Charles Proxy.
• Gehen Sie dann auf die Startseite monoprix.fr.
• Surfen Sie nicht weiter, sondern beobachten Sie die verschiedenen Drittunternehmen, die Sie tracken.

Die Liste der Tracker ist lang; ich musste 2 Screenshots machen:

Beachten Sie: All diese Tracker wurden ausgelöst, bevor ich überhaupt mit dem Einwilligungsbanner spielen konnte, um zu signalisieren, dass ich nicht getrackt werden möchte. Diese Banner sind heute leider ein düsterer Witz: Sie sind für Nutzer nicht nur unerträglich, sie funktionieren auch selten korrekt.

Diese Unternehmen tracken Sie schon auf der Monoprix-Startseite, ohne Einwilligung:

• Google: Über seinen Werbedienst für Unternehmen Doubleclick und über Google Analytics.
• AB Tasty: französisches Tool für A/B-Tests und Website-Personalisierung.
• Commanders Act : über commander1.com, französisches Tag-Management-Tool. Es soll die anderen Tracker auslösen, wenn die Bedingungen erfüllt sind, nach Regeln, die Monoprix vorab festgelegt hat. Offensichtlich berücksichtigt Monoprix Ihre Einwilligung nicht, um zahlreiche Tags auszulösen.
• Effiliation: französisches Affiliate-Tool. Wie funktioniert Affiliate-Marketing? Eine Website, die für Monoprix-Produkte wirbt, erhält eine Provision, wenn ein Nutzer auf diese Werbung klickt und anschließend ein Produkt kauft.
• Evidon: inzwischen Crownpeak, bietet Websites ein Tool zur Einholung von Einwilligungen an.
• Eulerian: französisches Tool für Analytics, Attribution (bestimmen, welche Werbekampagne am wirksamsten ist) und Data Management; es ermöglicht Monoprix, Sie besser zu profilieren.
• Facebook: Muss man nicht mehr vorstellen; Facebook-Tracker sind im Web leider allgegenwärtig.
• Salecycle: Data-Management-Tool für E-Commerce-Websites, analysiert Kundenverhalten, um die Verkäufe von Monoprix zu maximieren.
• 3W RelevanC: alias 3WRégie, präsentiert sich bescheiden als „der französische Marktführer bei der Erhebung, Messung, dem Targeting und der Monetarisierung von Zielgruppen und Transaktionsdaten“.
• Mediarithmics: französische Plattform zum Einkauf von Werbeflächen und Data-Management-Tool, deren Rolle ich bereits bei Showroomprive und La Fnac erwähnt hatte.
• Outbrain: weltweit führend bei gesponserten Artikeln; Sie haben sicher schon die reißerischen Titel am Ende von Presseartikeln bemerkt, meistens sind sie es.
• AppNexus: über die Domain adnxs.com, von AT&T übernommen, einer der Adtech-Marktführer (weit hinter Google), bietet Werbetreibenden eine Plattform zum Einkauf von Werbeflächen und Publishern eine Monetarisierungslösung.
• CapitalData: über kdata.fr, ein französisches Unternehmen, das Ihr Profil erstellt, indem es Ihre Online- und Offline-Daten mischt. Laut Website: Indem wir die Schnittstelle zwischen digitalen Kontaktpunkten (E-Mails, Inhaltsaufrufe, Online-Kauf) und Ereignissen oder Interaktionen aus dem realen Leben (Ladenbesuche, Warenkörbe) schaffen, erleichtern wir die Umsetzung digitaler Aktivierungsstrategien, um zusätzliche Verkäufe im Geschäft zu erzielen.

Bei Monoprix sind alle Cookies willkommen, auch die aufdringlichsten.

Lehnen Sie die Einwilligung ab – die Dritt-Tracker bleiben trotzdem allgegenwärtig

Wenn Sie sich nun, anders als fast alle Internetnutzer, entscheiden, auf das Einwilligungsbanner zu klicken und die Weitergabe Ihrer personenbezogenen Daten an Dritte abzulehnen:

Beachten Sie: Um Tracking abzulehnen, müssen Sie auf den roten Button „Ich akzeptiere“ klicken. Die Tools zur Reichweitenmessung, Website-Personalisierung und Werbung sollten nun aber deaktiviert sein. Surfen Sie anschließend weiter auf Monoprix und beobachten Sie die von Ihrem Browser gesendeten Anfragen:

Das Tracking geht weiter, mit denselben Marketingunternehmen, über die wir eben gesprochen haben (darunter Google und Facebook, weiterhin allgegenwärtig), aber auch mit neuen Marketingunternehmen:

• Rakuten Advertising: über nxtck.com, die Werbesparte des japanischen E-Commerce-Riesen, der 2016 den französischen Retargeter NextPerformance übernommen hat.
• Target2Sell: französisches Tool für Produktempfehlungen.
• Criteo: französisches Unternehmen, weltweit führend im Retargeting.

Melden Sie sich an, und das Tracking wird dauerhaft

Solange Sie nicht angemeldet sind, können Sie Cookies immerhin noch löschen. Außerdem werden Ihre personenbezogenen Daten nicht mit namentlichen Daten verknüpft. Was passiert, wenn Sie sich bei Ihrem Monoprix-Konto anmelden, um Ihre Bestellung aufzugeben? Zur Prüfung habe ich zunächst das Drittanbieter-Tracking über das von Monoprix angebotene Einwilligungsbanner abgelehnt und mich dann angemeldet.

Auch hier ist die Liste der Tracker lang, und ich musste 2 Screenshots machen:

Welche Dritten erheben dauerhaft personenbezogene Daten?

• Salecycle: Dieses Unternehmen sammelt meine Navigationsdaten (alle angesehenen Monoprix-Produkte) sowie meinen Vornamen, meinen Nachnamen, meine Telefonnummer und meine E-Mail-Adresse!
• CapitalData: Über kdata.fr sammelt dieses Unternehmen einen Hash meiner E-Mail-Adresse, wodurch es mich dauerhaft tracken kann, unabhängig vom Gerät, mit dem ich mich verbinde, und unabhängig von der Anwendung (nicht nur auf Monoprix). Es sammelt außerdem meine Monoprix-Konto-ID. Es sammelt auch einen Fingerprint meines Computers, eine weitere „schmutzige“ Technik, um mich zu tracken. Zudem synchronisiert es seine Nutzerkennungen mit AppNexus, der Plattform zum Einkauf von Werbeflächen (wodurch es mich erneut ansprechen kann).
• 3W RelevanC: alias 3WRegie. Zusätzlich zu einem Hash meiner E-Mail-Adresse, meiner Monoprix-Konto-ID und sämtlichen angesehenen Produkten sammelt dieses Unternehmen auch mein Alter, mein Geschlecht und meine Postleitzahl.
• Target2Sell: sammelt meine Monoprix-Konto-ID sowie meine Navigation.
• Criteo: der bekannte französische Retargeter sammelt meine Monoprix-Konto-ID sowie meine Navigation.
• Rakuten Advertising: sammelt über nxtck.com einen Hash meiner E-Mail-Adresse sowie meine Navigation.

Monoprix lässt also dauerhafte und manchmal sogar namentliche personenbezogene Daten durchsickern, obwohl ich das Drittanbieter-Tracking abgelehnt habe. Das bricht klar den Vertrauensvertrag, den ich eventuell mit Monoprix haben könnte. Was passiert, wenn ich das Drittanbieter-Tracking akzeptiere (also das Einwilligungsbanner nicht konfiguriere, sondern einfach schließe)? Genau dasselbe: Die gleichen Tracker werden ausgelöst, mit den gleichen personenbezogenen Daten.

Monoprix lagert seine Cookie-Kontrollseite aus

Wenn wir nun die „Charta zum Schutz personenbezogener Daten“ von Monoprix lesen, finden wir dort eine Passage zu den Retargetern 3W RelevanC, Criteo und Capital Data:

Was ist die Rechtsgrundlage für diese Erhebung? Sicherlich nicht das berechtigte Interesse, aber Monoprix hat meine Einwilligung nie eingeholt (und sie sogar missachtet).

Monoprix erwähnt hier nicht die anderen Drittunternehmen, die meine personenbezogenen Daten sammeln, bietet aber gut versteckt einen Link zu einer von Evidon gehosteten Seite. Diese Seite ist eine altmodische „Opt-out“-Seite, auf der einige Monoprix-Partner anbieten, ein „Opt-out“-Cookie in Ihrem Browser zu installieren (während andere Partner gar nichts anbieten).

Die von einem Dienstleister verwaltete iOS-App von Monoprix verschleudert ebenfalls Ihre personenbezogenen Daten

Man könnte glauben, dass man mit der iOS-App von Monoprix einkaufen kann. Tatsächlich dient sie nur dazu, Coupons zu verwalten. Schauen wir uns die über Charles Proxy gesendeten Anfragen an:

Es gibt keinen einzigen Aufruf an die Domain monoprix.fr: Die App wird von Snapp gehostet, einer Agentur aus Bordeaux. Ein Beleg dafür, dass Monoprix in seiner digitalen Strategie erheblich zurückliegt. Den Trackern entkommen Sie trotzdem nicht, mit:

• Adobe: über demdex.net und campaign.adobe.com. Der amerikanische Riese bietet nicht nur Photoshop, sondern auch eine Suite namens Adobe Marketing Cloud. Monoprix (oder genauer: Snapp) gibt meine E-Mail-Adresse an Adobe weiter.
• Facebook: Die Monoprix-App nutzt Facebooks Werkzeugkasten.
• Google: wird für seine Firebase-Suite eingesetzt.
• Tune: über mobileapptracking.com, ein Attributionstool, mit dem Monoprix verstehen kann, welche Werbekampagnen funktionieren.
• Segment: der Tag-Manager für Apps, der es ermöglicht, Ihre personenbezogenen Daten an andere Dienstleister weiterzuleiten.

Und leider gibt es nichts, um diese Tracker zu deaktivieren. Man könnte sagen, dass man zur Nutzung einer Coupon-App bereits bereit sein muss, seine personenbezogenen Daten zu verschleudern. Das Mindeste wäre aber, dass Monoprix seine Kunden informiert und ihnen Kontrolle lässt.