Showroomprive gibt Ihre E-Mail-Adresse und CRM-Daten preis

Für die Private-Sales-Website ist Einwilligung ein sehr relativer Begriff

Veröffentlicht von Pixel de Tracking am 12. April 2020

Die iOS-App von Showroomprivé, Stammgast bei Trackern

Nachdem ich La Fnac analysiert habe, schauen wir uns nun eine weitere französische E-Commerce-Website an, einen Konkurrenten von Veepee (dem Marktführer für Private Sales, früher vente-privee.com): das Unternehmen Showroomprive. Um seine iOS-App zu analysieren, bin ich folgendermaßen vorgegangen:

  • Schließen der verschiedenen Apps im Hintergrund.
  • Start der App Charles Proxy und Aktivierung der Aufzeichnung.
  • Start der Showroomprive-App, anschließend Navigation in der App: Ich habe mir einige Produkte angesehen.
  • Export der Logs meiner Charles-Proxy-Sitzung auf meinen Computer, um die von Showroomprive gesendeten Anfragen leichter analysieren zu können.

Showroomprive iOS

Hier sind also einige Unternehmen, die Sie während Ihrer Einkäufe bei Showroomprive verfolgen:

  • Google: Über seine Entwickler-Toolbox Firebase nutzt Showroomprive Crashlytics (Crash-Tracking) und Firebase Remote Config, womit die App personalisiert werden kann, ohne sie erneut ausrollen zu müssen. Hier werden keine namentlichen Informationen gesendet (anders als bei Bolt), wohl aber Identifikatoren, also pseudonymisierte Daten, über die Showroomprive Sie informieren und für die es Ihre Einwilligung einholen müsste.
  • Facebook: Über seine Entwickler-Toolbox, die Showroomprive einsetzt, erfährt der amerikanische Riese von Ihren Besuchen in Private Sales, selbst wenn Sie kein Facebook-Konto haben. Auch hier: keine Information durch Showroomprive.
  • FollowAnalytics: über die Domain follow-aps.com. Ein französisches Tool für Analytics und gezielte Kampagnen (Push-Benachrichtigungen und In-App-Nachrichten).
  • Adjust: ein weiteres Tool für Mobile Analytics und Marketing. Hier gibt Showroomprive CRM-Daten preis: Ihr Geschlecht, die Anzahl Ihrer Bestellungen, Ihren RFM-Score, den Gesamtbetrag Ihrer Bestellungen usw.
  • Mediarithmics: ein französisches Unternehmen, das eine Plattform für den Einkauf von Werbeflächen und eine Data-Management-Lösung anbietet, also besseres Profiling, um Sie gezielter anzusprechen. Hier gibt Showroomprive Ihre CRM-Daten, Ihre Navigation in der App, aber auch deutlich sensiblere Daten wie Ihre E-Mail-Adresse, Ihre Postleitzahl oder Ihr Geburtsdatum preis.
  • Accengage: ein französisches Push-Notification-Tool, das 2018 vom Mobile-Marketing-Unternehmen Airship übernommen wurde. Hier lässt Showroomprive Ihre E-Mail-Adresse abfließen.

Eine vage Datenschutzerklärung

Da Showroomprive seine Kunden nicht direkt darüber informiert, wie es Dritten erlaubt, sie zu verfolgen, lesen wir die Datenschutzerklärung von Showroomprivé. Dort steht in Abschnitt 5, Empfänger Ihrer personenbezogenen Daten:

Die Empfänger Ihrer personenbezogenen Daten sind wie folgt: [...] Unsere Dienstleister, die Analysen und Segmentierungen, Marketing- und Vertriebsstudien sowie personalisierte Werbekampagnen durchführen

Der Kunde erfährt also weiterhin nichts über die Identität der Empfänger oder über die übermittelten personenbezogenen Daten.

Begrenzte Kontrolle über Tracker, gut versteckt

Beim Durchsehen der Einstellungen der Showroomprivé-App habe ich die Seite gefunden, auf der sich das Tracking konfigurieren lässt. Man muss zu „Konto“, dann zu „Meine persönlichen Daten“ und schließlich zu „Meine Daten verwalten“ gehen:

Meine Daten verwalten – Showroomprive

Standardmäßig ist alles erlaubt! Und auch hier gibt es keine Information über die Identität der Empfänger oder über die übermittelten personenbezogenen Daten. Wenn man jedoch alle Kästchen deaktiviert, lässt sich ein Rückgang der Tracker beobachten.

Showroomprive – Tracking deaktiviert

Die Tracker von Mediarithmics und Accengage, die insbesondere meine E-Mail-Adresse erfasst hatten, werden dadurch nicht mehr ausgelöst. Allerdings gibt Showroomprive meine Identifikatoren weiterhin an Google und Facebook weiter: Die Dienste der Schwergewichte der allgemeinen Überwachung lassen sich also nicht deaktivieren.

Mediarithmics, Anbieter von Überwachungswerkzeugen, schiebt die Verantwortung auf seine Kunden

In einem früheren Artikel hatten wir bereits gesehen, wie La Fnac Ihre personenbezogenen Daten an Mediarithmics und Accengage weitergibt, zwei französische Unternehmen aus dem „Data Marketing“. Im Rahmen der Gravity-Allianz (150 französische Websites, die Ihre personenbezogenen Daten untereinander austauschen) gab La Fnac einen Hash Ihrer E-Mail-Adresse und Ihren Verlauf auf der Website an Mediarithmics weiter.

Hier geht Showroomprive „weiter“, indem es Ihre E-Mail-Adresse im Klartext an Mediarithmics weitergibt. Was sagt die „Charta zum Schutz personenbezogener Daten“ von Mediarithmics? Kurz gesagt:

  • Der Kunde (Showroomprive) muss die Nutzer informieren und ihre ausdrückliche Einwilligung einholen, bevor Daten erhoben werden (Showroomprive hält sich nicht an diesen Vertrag: keine Information, keine ausdrückliche Einwilligung, sondern ein verstecktes Opt-out).
  • Mediarithmics führt die Daten seiner verschiedenen Kunden nicht zusammen (also beispielsweise keine Zusammenführung zwischen Showroomprive und der Gravity-Allianz).
  • Die Ausübung meiner Rechte auf Auskunft, Berichtigung, Widerspruch oder Löschung personenbezogener Daten muss direkt gegenüber den Kunden von Mediarithmics erfolgen, also gegenüber Showroomprive.

Kurz gesagt: Mediarithmics zieht sich aus der Verantwortung, Showroomprive ist zuständig. Hier sind die Daten, die Mediarithmics im Auftrag seiner Kunden sammeln darf:

Erhebung Mediarithmics

Mediarithmics liefert die „Waffe“; Showroomprive muss vorher die Einwilligung seiner Kunden einholen. Accengage wiederum weist, wie bereits am Beispiel der Fnac gesehen, nicht einmal darauf hin, dass es namentliche Daten wie die E-Mail-Adresse sammeln kann.

Die Website von Showroomprive gibt Ihre personenbezogenen Daten preis, wenn Sie nicht angemeldet sind

Wie wir gerade gesehen haben, gibt Showroomprive auf seiner iOS-App personenbezogene Daten ohne Ihre Einwilligung preis. Wie sieht es mit seiner Website aus? Schauen wir uns die Anfragen an, die ausgetauscht werden, wenn ich die Showroomprive-Website in Chrome aufrufe, weiterhin mit Charles Proxy, diesmal aber in der Desktop-Version (nachdem ich meinen Adblocker deaktiviert und die Cookies gelöscht habe):

Showroomprive – Web – Startseite

Noch bevor man auf das „Cookie-Banner“ unten auf der Seite klicken kann, sendet Showroomprive personenbezogene Daten an Google und Facebook, ein Verstoß gegen die DSGVO. Das „Cookie-Banner“ verweist auf die Datenschutzerklärung. Um seine Daten zu verwalten, muss man sich bei Showroomprive anmelden (zur Erinnerung: Sie wurden bereits von Google und Facebook getrackt, das lässt sich nicht rückgängig machen).

Wenn man sich anmeldet und zuvor alle Tracking-Optionen deaktiviert hat („Konto“ > „Meine persönlichen Daten“ > „Meine Daten verwalten“), löst Showroomprive kein zusätzliches Tracking durch Dritte aus (also weder Google noch Facebook, anders als in der iOS-App). Meldet man sich aber wieder ab, werden die Tracker von Google und Facebook wenig überraschend erneut ausgelöst.

Showroomprive – Abmeldung Web