Für Netzpolitik habe ich die neuen Pur-Abos von Zeit Online, Spiegel Online und derStandard.at getestet. Zwei der Verlage tun sich offenbar sehr schwer mit dem Datenschutz.
Hier ein paar Highlights, die Abonnenten unbedingt wissen sollten.
⬇️ Thread ⬇️
Warum ein Pur Abo?
"In letzter Zeit ist vermehrt zum Ausdruck gekommen, dass Nutzer und Nutzerinnen sich vom Werbe-Tracking gestört fühlen" schreibt Spiegel Online.
Oh really? Bing, Google und Facebook tracken schon die Registrierung.
RIP "große Transparenz".
Auch jeder Login wird von Google Analytics (Zeit) und Facebook (Spiegel) registriert. Diese Anbieter können die Daten für eigenen Werbezwecke nutzen.
RIP "werbetrackingfrei".
Im Abo-Betrieb meldet die Zeit jeden aufgerufenen Artikel an Mapp und Google Analytics. Spiegel meldet an die Trackingplattform von Adobe. Mit der persistenten pseudonymen ID betreiben die drei Unternehmen detaillierte Profilbildung.
RIP "anonyme Nutzungstatistik".
Beide binden externe Pixel ein, die den eingeloggten Abo-Kunden auch auf anderen Seiten erkennbar machen können. Leser müssen damit diesen Anbietern vertrauen, dass die das Wissen um ihren Login nicht für konsistenteres Tracking auf anderen Seiten nutzen.
Spiegel Online hat außerdem Adobes ID-Synchronisation aktiv: Das ist Voraussetzung, damit Unternehmen ihre Nutzungsprofile serverseitig austauschen oder auf einem Markplatz verkaufen können.
RIP "keinerlei Werbetracking mehr möglich".
Die Trackingserver sind unter Subdomains versteckt, um Trackingblocker zu täuschen (CNAME-Cloaking). Zeit Online fällt auf den eigenen Trick herein: Vertrauliche Cookies von 145.000 Abokunden gehen mit jedem Artikelaufruf an Google und Mapp. Darin auch die base64-codierte E-Mail des Lesers.
Upsi.
Pur-Abo Zeit und Spiegel:
✅ werbefrei
❌ werbetrackingfrei
❌ trackingfrei
❌ DSGVO-konform
Pur-Abo "der Standard":
✅ werbefrei
✅ werbetrackingfrei
✅ trackingfrei
✅ DSGVO-konform
Die ganze Recherche bei Netzpolitik:
https://netzpolitik.org/2020/nicht-ganz-ohne/
Update: Wie Christopher Tavan herausgefunden hat, benötigt zumindest der Google-Cloud-Server evtl. die Cookies um Mehrfachabstimmungen zu verhindern. Man hätte die E-Mail natürlich dennoch verschlüsseln können, bevor man ein Auth-Cookie daraus macht.
@rufposten Wenn es nicht DSGVO-konform ist, wie kommt der #Spiegel damit durch?
CC: @ulrichkelber
@jedie @ulrichkelber
Indem niemand eine Beschwerde stellt. Kann man übrigens sehr leicht mit meinem Tool (nur Bing kann es noch nicht).
@rufposten @jedie @ulrichkelber hast du das dann jetzt schon getan?
@morre @jedie
Du meinst mich? Ich trenne streng zwischen Arbeit und Privat: Wenn ich über etwas schreibe, mach ich keine Beschwerden und wenn ich Beschwerden einreiche, schreibe ich nicht darüber. Das ist Grundprinzip der journalistischen Arbeit, damit bei Recherchen oder Interviews den Gesprächspartnern meine Rolle und Neutralität in dem Fall unmissverständlich klar ist.
@rufposten da kann auch noch SZ dazu, die ganzen Lokalzeitungen, z.B. die der Funkegruppe, haben ihr Onlineabo gleich an Werbefirmen ausgelagert.
@Qwertziop Naja hier ging es nur um die Pur-Abos, die ja eigentlich als nicht-profilbildende Alternative die Datensammlung per Einwilligung legal machen sollten. Das alle restlichen Verlage Werbetracking gegen die DSGVO verwenden, habe ich bereits in früheren Artikeln festgestellt:
https://rufposten.de/blog/2019/06/03/facebook-tracker-auf-deutschen-medienseiten/
https://netzpolitik.org/2020/datenschutzbehoerden-erhoehen-den-druck-auf-verlage/
@rufposten ah, super, danke für die Links!
Klar, die Daten nimmt dort vermutlich niemand an, aber ich würde trotzdem sagen: etwas unsicher konfiguriert. Drittanbieter sind immer ein Sicherheitsrisiko, aber ganz besonders, wenn man vergisst, dass sie unter dem eigenen Domainnamen versteckt wurden 🙄