Wollte hier endlich mal eine Geschichte raushauen, die ich unter Mitwirkung des SWR recherchiert habe, die aber am Ende nie veröffentlicht wurde.

Es geht um "Deutschlands fĂŒhrenden Vokabeltrainer", Phase6, den ĂŒber eine Million Personen nutzen, darunter viele Kinder.

Vermutlich ĂŒber eine Agentur hatte man fĂŒr Retargeting Pubmatic und Mathtag in die Website eingebunden, die dann die Cookies der Kinder zur Versteigerung von Anzeigen mit 20-30 anderen Anbieter austauschten (Cookie-Matching).

Pubmatic kann mit den Daten machen, was es will.

Richtig doof auch, dass Facebook die Nutzung des Vokabeltrainers live verfolgen konnte, weil FB's Pixel in die Seite integriert war. Diese Daten bleiben dauerhaft bei FB, man kann sie nicht einsehen und nicht löschen. Auch Werbetracker von Google und Microsoft waren integriert. Google erhielt von Phase6 die feste Login-ID der Kids, so dass diese Besuche dauerhaft zu einem Profil gebĂŒndelt werden konnten, selbst wenn die Cookies gelöscht werden.

Follow

Ciao, anonyme Youtube-Nutzung, das Kind hat Vokabeln gelernt đŸ€·â€â™‚ïž

Aber moment mal, braucht man fĂŒr Werbetracking nicht eine Einwilligung? đŸ€”

💡Lösung bei Phase6 (Juristen gut festhalten):

Man ging grundsÀtzlich von gegebener Einwilligung aus, die aber "schwebend unwirksam" war:
phase-6.de/magazin/rubriken/me

Mit dieser schwebenden Schrödinger-Einwilligung ließ sich der Vokabeltrainer aber wunderbar und endlos benutzen. Aber es kam noch dreister 


· · 2 · 8 · 4

Wollte man doch die Eltern fragen, bekamen die eine Tafel vorgelegt 


Hier willigten die Eltern also ahnungslos in die Nutzung von „anonymen Daten“ zur „Produktverbesserung“ ein, wĂ€hrend in Wahrheit „personenbezogene Daten“ fĂŒr die „Werbevermarktung“ verarbeitet wurden. Das ist Betrug, oder?

Auf der Seite gab es auch einen Cookie-Banner. Ja, wir haben alle schon Dark Patterns gesehen, aber das folgende war schon eine andere Nummer:

Dieser umkreiste Haken im linken Feld bedeutet nicht, dass die anderen Felder abgewÀhlt sind.

Aber wenn man hartnĂ€ckig herausgefunden hatte, dass die drei rechten aktiv sind, konnte man sie grau schalten. Mit solchen betrĂŒgerischen Tricks kann man auch ins GefĂ€ngnis wandern. Das BDSG sieht Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe vor.

In der App nutzt man bis heute die Analysetools von Amplitude und Adjust. Aber auch diese Marktforschung mit der AAID ist nur mit Einwilligung erlaubt.

Im Dezember 2020 hat der SWR dann Phase6 kontaktiert, einige Tracker hatte man bis dahin bereits von selbst entfernt, den Großteil nahm man dann im Dezember raus. Heute ist die Website trackingfrei, die App nicht ganz.

Am Ende wollte die Redaktion des SWR die Geschichte nicht mehr veröffentlichen, weil sie so lange auf die Stellungnahme der Berliner Behörde gewartet haben, dass Phase6 schon das meiste in Ordnung gebracht hatte. Eine abgelaufene Geschichte will keine Redaktion.

Happy End fĂŒr die Kinder - aber der Fall zeigt eine katastrophale Mischung, die bleibt: Hilflose Schulbehörden, untĂ€tige Datenschutzbehörden, NaivitĂ€t im Umgang mit privatwirtschaftlichen Akteuren im Bildungsbereich und skrupellose Softwareanbieter.

Ich hoffe, das war eine interessante Recherche - damit ich weiterhin unabhĂ€ngig arbeiten/veröffentlichen kann, freue ich mich ĂŒber Spenden.
rufposten.de/blog/spenden/
Das komplette Recherchedossier gibt es hier zum Nachlesen:
rufposten.de/sonst/recherche_p

@rufposten Ansonsten gut recherchiert. Es ist wirklich erschreckend, mit welcher NaivitÀt teilweise alle möglichen Tracker eingebunden werden.
Von „davon weiß ich nichts, das hat der Dienstleister von allein gemacht” bis „aber bei Google Analytics hab ich die Anonymisierungsfunktion aktiviert, dann gilt doch die DSGVO nicht mehr” hab ich auch schon alles gehört.

@rufposten Auch geil: Manchmal leugnen die Betreiber die Existenz von Trackern auf der Webseite, selbst wenn man denen das entsprechende JavaScript auf der Seite zeigt.

@rufposten
Happy end?
Hat Phase6 denn die betrĂŒgerisch geklauten Daten nachprĂŒfbar gelöscht? Ist endlich jemand angeklagt? Wurde wenigstens ein Bußgeld verhĂ€ngt?

Solange man mit "hups, ich habe das wieder abgestellt" aus jeder Nummer straflos rauskommt, wird das nicht aufhören. Sowas ist auch dann verboten, wenn es noch niemand bemerkt hat, und sollte entsprechend geahndet werden.

@Mr_Teatime Da hast du völlig recht. Manchmal verschieben sich wohl bei mir auch die MaßstĂ€be, weil ich schon so viel gesehen habe.

@rufposten @Mr_Teatime
Das heißt unabhĂ€ngig vom entstandenen schaden geht man straffrei raus wenn man nachtrĂ€glich die tracker entfernt?
Also ich halte es fĂŒr falsch den Beitrag nicht mehr zu veröffentlichen.

@rufposten @Mr_Teatime Na ja, vor Anklage und Verurteilung oder Strafbefehl (Bußgeld) stehen dann in einem Rechtsstaat mit unabhĂ€ngiger Justiz ja eigentlich erstmal deren Ermittlungen.
Das mit den Scheiterhaufen hat sich historisch gesehen einfach nicht bewÀhrt.

@rufposten Danke fĂŒr die Geschichte.
FĂŒr mich ist sie nicht abgelaufen oder vorbei, denn wenn so was so lange noch möglich ist, dann ist das kein Einzelfall und gehört veröffentlicht um anderen Menschen zu zeigen, das wir zwar Gesetze haben aber sich auch viele nicht dran halten

@rufposten Dann guck Mal auf die genaue Formulierung der EULA bei kitalino.com/

Nein, mit Tracking direkt hat es nichts zu tun, aber mit Verantwortung. Der Plattform-Betreiber beschreibt sich als DSGVO-konfrom, lehnt aber jede Verantwortung fĂŒr Daten und deren Verlust ab, weil das im Verantwortungsbereich des Auftraggebers (der Kita/des TrĂ€gers) ist. Die wiederum haben aber ĂŒberhaupt keine Möglichkeit, irgendwie darauf einzugehen, wie denn die Daten geschĂŒtzt werden.

@rufposten Sollte da mal was leaken gibt's sicher ein Gericht, dass sich damit jahrelang beschĂ€ftigen kann, aber der Schaden fĂŒr die Kinder ist dann schon da.

@rufposten das ganze ist dann natĂŒrlich geschickt auf mehrere Dokumente verteilt beschrieben, so daß jeder Teil fĂŒr sich erstmal halbwegs vernĂŒnftig klingt.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!