Für Netzpolitik habe ich die neuen Pur-Abos von Zeit Online, Spiegel Online und derStandard.at getestet. Zwei der Verlage tun sich offenbar sehr schwer mit dem Datenschutz.
Hier ein paar Highlights, die Abonnenten unbedingt wissen sollten.
⬇️ Thread ⬇️

Warum ein Pur Abo?

"In letzter Zeit ist vermehrt zum Ausdruck gekommen, dass Nutzer und Nutzerinnen sich vom Werbe-Tracking gestört fühlen" schreibt Spiegel Online.

Oh really? Bing, Google und Facebook tracken schon die Registrierung.

RIP "große Transparenz".

Show thread

Auch jeder Login wird von Google Analytics (Zeit) und Facebook (Spiegel) registriert. Diese Anbieter können die Daten für eigenen Werbezwecke nutzen.

RIP "werbetrackingfrei".

Show thread

Im Abo-Betrieb meldet die Zeit jeden aufgerufenen Artikel an Mapp und Google Analytics. Spiegel meldet an die Trackingplattform von Adobe. Mit der persistenten pseudonymen ID betreiben die drei Unternehmen detaillierte Profilbildung.

RIP "anonyme Nutzungstatistik".

Show thread
Follow

Beide binden externe Pixel ein, die den eingeloggten Abo-Kunden auch auf anderen Seiten erkennbar machen können. Leser müssen damit diesen Anbietern vertrauen, dass die das Wissen um ihren Login nicht für konsistenteres Tracking auf anderen Seiten nutzen.

Spiegel Online hat außerdem Adobes ID-Synchronisation aktiv: Das ist Voraussetzung, damit Unternehmen ihre Nutzungsprofile serverseitig austauschen oder auf einem Markplatz verkaufen können.

RIP "keinerlei Werbetracking mehr möglich".

Show thread

Die Trackingserver sind unter Subdomains versteckt, um Trackingblocker zu täuschen (CNAME-Cloaking). Zeit Online fällt auf den eigenen Trick herein: Vertrauliche Cookies von 145.000 Abokunden gehen mit jedem Artikelaufruf an Google und Mapp. Darin auch die base64-codierte E-Mail des Lesers.

Upsi.

Show thread

Klar, die Daten nimmt dort vermutlich niemand an, aber ich würde trotzdem sagen: etwas unsicher konfiguriert. Drittanbieter sind immer ein Sicherheitsrisiko, aber ganz besonders, wenn man vergisst, dass sie unter dem eigenen Domainnamen versteckt wurden 🙄

Show thread

Pur-Abo Zeit und Spiegel:
✅ werbefrei
❌ werbetrackingfrei
❌ trackingfrei
❌ DSGVO-konform

Pur-Abo "der Standard":
✅ werbefrei
✅ werbetrackingfrei
✅ trackingfrei
✅ DSGVO-konform

Die ganze Recherche bei Netzpolitik:
netzpolitik.org/2020/nicht-gan

Show thread

Update: Wie Christopher Tavan herausgefunden hat, benötigt zumindest der Google-Cloud-Server evtl. die Cookies um Mehrfachabstimmungen zu verhindern. Man hätte die E-Mail natürlich dennoch verschlüsseln können, bevor man ein Auth-Cookie daraus macht.

twitter.com/ctavan/status/1277

Show thread

@rufposten Wenn es nicht DSGVO-konform ist, wie kommt der #Spiegel damit durch?

CC: @ulrichkelber

@jedie @ulrichkelber
Indem niemand eine Beschwerde stellt. Kann man übrigens sehr leicht mit meinem Tool (nur Bing kann es noch nicht).

träcktor.de/

@morre @jedie
Du meinst mich? Ich trenne streng zwischen Arbeit und Privat: Wenn ich über etwas schreibe, mach ich keine Beschwerden und wenn ich Beschwerden einreiche, schreibe ich nicht darüber. Das ist Grundprinzip der journalistischen Arbeit, damit bei Recherchen oder Interviews den Gesprächspartnern meine Rolle und Neutralität in dem Fall unmissverständlich klar ist.

@rufposten da kann auch noch SZ dazu, die ganzen Lokalzeitungen, z.B. die der Funkegruppe, haben ihr Onlineabo gleich an Werbefirmen ausgelagert.

@Qwertziop Naja hier ging es nur um die Pur-Abos, die ja eigentlich als nicht-profilbildende Alternative die Datensammlung per Einwilligung legal machen sollten. Das alle restlichen Verlage Werbetracking gegen die DSGVO verwenden, habe ich bereits in früheren Artikeln festgestellt:
rufposten.de/blog/2019/06/03/f
netzpolitik.org/2020/datenschu

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!