Der große Ausverkauf Ihrer personenbezogenen Daten auf Le Bon Coin

Le Bon Coin gibt Ihre persönlichen Daten preis, sobald Sie auf der Website ankommen

Le Bon Coin in Frankreich ein großer kommerzieller Erfolg ist, ist die Website für Kleinanzeigen für viele Menschen unverzichtbar geworden. Da ich regelmäßig Waren weiterverkaufen möchte, wollte ich wissen, ob Le Bon Coin meine Privatsphäre respektiert. Beginnen wir mit der Website leboncoin.fr, hier sind die Schritte, die Sie befolgen müssen, wenn Sie das Erlebnis reproduzieren möchten:

• Deaktivieren Sie Ihren Adblocker.
• Löschen Sie Cookies auf Chrome (Einstellungen > Erweiterte Einstellungen > Browserdaten löschen), sodass Sie von Ihrem Google-Konto abgemeldet werden.
• Öffnen Sie die Chrome-Konsole (⌘+Wahl+J auf dem Mac, Strg, Umschalt und J auf dem PC), die Registerkarte „Netzwerk“ oder starten Sie sie Charles Proxy.
• Gehen Sie dann zur Startseite leboncoin.fr.

Erste Beobachtung: Le Bon Coin bietet keine direkte Möglichkeit, sich von der Marketingüberwachung abzumelden. Diese Präsentation entspricht nicht RGPD: Die Option „Ich verstehe“ wird durch die Farbe Blau hervorgehoben und erfordert vor allem, dass der Benutzer seine Auswahl über die Schaltfläche „Personalisieren“ konfiguriert. Die überwiegende Mehrheit der Benutzer wird sich nicht die Mühe machen.

Schauen wir uns nun die Anfragen an, die bei Ihrer Ankunft auf der Website gesendet werden. Als Erinnerung daran, dass Sie noch nicht die Entscheidung getroffen haben, die Nachverfolgung anzunehmen oder abzulehnen:

Überraschung! Sie haben nichts unternommen, aber Le Bon Coin ruft bereits verstärkt Marketingunternehmen an. Einige dieser Unternehmen beginnen mit der Nachverfolgung ohne Ihre Zustimmung. Hier ist eine Liste von Trackern, die eine persönliche Kennung (Pseudonym) verwenden:

• Datadome : Bot-Schutzlösung.
• Sublime : über ayads.co, französisches Werbenetzwerk, spezialisiert auf Seiten-Skins (ehemals Sublime Skinz).
• AT Internet : über ati-host.net, AT Internet ist ein „historisches“ französisches Analyseunternehmen, ursprünglich Xiti genannt. Wir sind ihnen bereits anderswo begegnet, vgl. "Zustimmung: Die schlechteste Benutzererfahrung und Überwachung mit Lemonde.fr" und "Boursorama Banque gibt Ihre Verbindungsdaten preis".
• Facebook :Le Bon Coin verwendet Die Marketing-Toolbox von Facebook, unter anderem für seinen Analytics Brick.
• Google : über doubleclick.net. Le Bon Coin verwendet auch die Werbemonetarisierungslösung „Google Ad Manager“. von der Firma Mountain View.

Was passiert nun, wenn Sie auf die Schaltfläche „Anpassen“ klicken?

Gute Nachrichten, es gibt eine Schaltfläche „Alle ablehnen“. Klicken wir darauf und beobachten wir die gesendeten Anfragen:

Sie haben gerade den Versuch unternommen, jegliches Tracking zu verweigern, aber Sie geben Ihre persönlichen Daten immer noch an die Werbeüberwachungsgiganten weiter:

• Facebook : Kontinuierliche Überwachung, Facebook verfolgt alle Ihre Aktionen auf der Website leboncoin.fr. Ironischerweise sammelt die Firma Menlo Park hier speziell die Informationen darüber, dass Sie auf die Schaltfläche „Alle ablehnen“ geklickt haben.
• Google : Über seine Werbemonetarisierungsplattform Google Ad Manager (die Adserver und SSP vereint) stellt Google auch Ihr Surferlebnis wieder her.

Schauen Sie sich ein paar Seiten an und stellen Sie fest, dass Anrufe bei Marketingunternehmen immer noch den Großteil der Anfragen ausmachen:

Die meisten dieser Akteure scheinen hier Ihre Einwilligung zu berücksichtigen (es werden keine Cookies gesetzt, auch wenn sie Sie theoretisch mit Ihrer IP-Adresse und den Eigenschaften Ihres Browsers verfolgen könnten), aber man könnte sich fragen, warum Le Bon Coin sie anruft. Die bereits zuvor aufgeführten Tracer überwachen weiter (Google, Facebook, AT Internet, Sublime, Indexbörse (über casalemedia.com), eine weitere Plattform zur Werbemonetarisierung.

Wenn Sie nun Ihre Navigation fortsetzen, ohne auf das Einwilligungsbanner zu achten (wie die allermeisten Nutzer), kommt es im wahrsten Sinne des Wortes zu einem Blutbad:

Hier gibt es keine Nachbarschaft, jeder verfolgt dich, also können wir Folgendes erkennen:

• Weborama : Französisches Datenmarketingunternehmen, das insbesondere Ihre persönlichen Daten preisgibt an russische Unternehmen.
• Criteo : ein französischer Überwachungsmarketing-Gigant, der sich auf „Retargeting", mit unethischen Praktiken.
• AppNexus : über adnxs.com, eine amerikanische Werbemonetarisierungsplattform (SSP), eingelöst vom Telekommunikationsgiganten AT&T und bietet auch eine Werbeplatz-Einkaufsplattform (DSP) an.
• Realytics : eine programmatische TV-Einkaufsplattform.
• Amazon : In GAFA ist es nicht nur Google oder Facebook, Werbelösungen bereitzustellen, sondern auch Amazon seine Monetarisierungslösungen für Publisher.
• Smart AdServer : eine französische Werbemonetarisierungsplattform.
• TheTradeDesk : über https://adsrvr.org, eine amerikanische Plattform für den Kauf von Werbeflächen.
• Yahoo : ja Yahoo existiert noch... Und bietet Werbelösungen an.
• Temelio : über Leadplace.fr, eine französische Lösung, mit der Sie Ihre persönlichen Daten online und offline vergleichen können, Sie werden nicht entkommen!
• Graphinium : über crm4d.com, eine weitere französische Lösung, die es Ihnen ermöglicht, Ihre persönlichen Daten online und offline abzugleichen.
• Zemanta : eingelöst von Outbrain (weltweit führender Anbieter von Putaclic-Links am Ende von Artikeln) bietet Zemanta eine Plattform zum Kauf von „nativer Werbung“ („verkleidete“ Werbung, die das gleiche visuelle Erscheinungsbild wie der Inhalt hat, wie auf Facebook oder Twitter).
• Liverampe : über rlcdn.com, weltweit führend im Vergleich Ihrer persönlichen Daten online und offline (Konkurrent von Temelio und Graphinium).
• Nielsen : über exelator.com, Der Marktforschungsriese hat über das Internet expandiert Erlösung vom Anbieter personenbezogener Daten eXelate im Jahr 2015.
• ZBO-Medien : über zebestof.com, ein Unternehmen der Figaro-Gruppe - CCM Benchmark, präsentiert sich als „der einzige programmatische Player, der alle Daten der Figaro-Gruppe nutzen kann – CCM Benchmark". Zur Erinnerung lesen Sie den Artikel „Le Figaro, Sinnbild für invasives Werbe-Tracking auf französischen Medienseiten".
• Pubmatisch : Amerikanische Plattform zur Monetarisierung von Werbung.
• TripleLift : über 3lift.com, ein auf Native Advertising spezialisiertes Werbenetzwerk.
• Adform : Plattform, die eine komplette Suite von Werbetools bietet, zunächst für Werbetreibende und Agenturen (Adserver, DSP und DMP), aber auch für Publisher (Adserver und SSP).
• OpenX : eine weitere amerikanische Werbemonetarisierungsplattform.
• Teenager : über adotmob.com, französisches Werbenetzwerk.
• ESV Digital : über esearchvision.com, ein französisches Unternehmen, das früher für sein Tracking-Tool für gesponserte Linkkampagnen auf Google bekannt war.
• Integrale Werbewissenschaft : über adsafeprotected.com, Betrugserkennungstool, Sichtbarkeitsmessung (wird die angezeigte Werbung für den Benutzer oder am Ende der Seite sichtbar?) und „Markensicherheit“ (wird die Werbung auf einer „Qualitätsseite“ ausgestrahlt?).
• Adobe : über everesttech.netAdobe ist bekannt für Photoshop, doch das amerikanische Unternehmen hat zahlreiche Zukäufe getätigt (Analytics, Tag Management, DMP, Media Buying etc.), um dies zu ermöglichen eine komplette Marketing-Suite.
• Delta-Projekte : über de17a.com, ein Unternehmen, das den Kauf von Werbeflächen verwaltet.
• Ergänzung : Deutsches Unternehmen, das Werbelösungen für Werbetreibende und Verlage anbietet.
• Drehen : Unternehmen, das eine Werbeflächen-Einkaufsplattform und eine „Datenverwaltungsplattform“ anbietet, 2017 von Amobee übernommen.
• BidSwitch : wesentlicher Akteur in der programmatischen Werbung, Vermittler, der es ermöglicht, die Lücke zwischen Einkaufsplattformen und Monetarisierungsplattformen zu schließen, die nicht direkt miteinander verbunden sind. Es ist eine Tochtergesellschaft des russischen Unternehmens Iponweb.
• Bienenwachs : über bidr.io, bietet eine konfigurierbare Werbeflächen-Einkaufsplattform, der Werbetreibende hat somit einen größeren Handlungsspielraum zur Integration seiner eigenen Einkaufslogik (im Vergleich zu „schlüsselfertigen“ Lösungen wie der Google-Einkaufsplattform).
• Bid-Theater : Einkaufsplattform für Werbeflächen.
• OnAudience : Anbieter personenbezogener Daten.
• Quantcast : Werbenetzwerk, das auch ein Analysetool (mit dem ein Profil von Ihnen erstellt wird) und eine CMP (Plattform zur Einwilligungserfassung) anbietet.
• Unterhalten : über dotomi.com, ein amerikanisches Datenmarketingunternehmen.
• Beimischung : Unternehmen, das Werbetools für Verlage und Werbetreibende bereitstellt.
• Advendori : Unternehmen, das sich auf die Personalisierung von Werbebannern spezialisiert hat.
• Simpli.fi : Werbenetzwerk.
• Lotame : über crwdcntrl.net, Anbieter personenbezogener Daten.
• Wizaly : über tk.conforama.fr, Attributionsplattform. Ermöglicht einem Werbetreibenden zu verstehen, welche Werbekampagnen effektiv sind. Anscheinend nutzt Conforama daher Wizaly (das die Domain-Delegation oder CNAME durchläuft), um die Verteilung seiner Werbung auf Le Bon Coin zu messen.
• PulsePoint : über contextweb.com, programmatischer Player, spezialisiert auf den Gesundheitsbereich (!)
• CloudTechnologies : über erne.co, ein polnisches Unternehmen, das sich damit rühmt, die persönlichen Daten von Benutzern in mehr als 200 Märkten zu analysieren und zu monetarisieren.
• Tapad : Amerikanisches Werbeunternehmen, das sich auf die Überwachung mehrerer Geräte spezialisiert hat. Sein Motto: Finden Sie das Gerät, das Sie verwenden, und verkaufen Sie diese Informationen dann an Marken und andere Adtech-Unternehmen.
• DataXu : über w55c.net, Werbeflächen-Einkaufsplattform von Roku gekauft, der Marktführer für vernetztes Fernsehen in den Vereinigten Staaten (vor dem anderen ChromeCast, Android TV, Amazon Fire TV oder Apple TV).
• Adelphisch : über ipredictive.com, eine Werbeflächen-Einkaufsplattform, ist Teil des Marketingunternehmens Viant.
• Stammesfusion : altmodisches Werbenetzwerk, wir stehen hier auf schwerem Boden. Gehen Sie auf die Website und Sie werden sehen, dass sie immer noch Adobe Flash verwendet.
• Fünfzig : über twentyt.com, Unternehmen, das die Werbekampagnen von Werbetreibenden verwaltet (Trading Desk).
• Spielplatz : Unternehmen, das Tools zur Erstellung von Werbung und zur Messung ihrer Wirksamkeit bereitstellt.
• Gummi : Werbenetzwerk.

Melden Sie sich an und lassen Sie sich von Weborama dauerhaft verfolgen

Wenn Sie sich bei Ihrem Le Bon Coin-Konto anmelden, verfolgt Weborama Sie nicht nur über eine Werbekennung, die Sie durch Löschen Ihrer Cookies zurücksetzen können. Sie bekommt eine Hash Ihrer E-Mail-Adresse. Wie präsentiert sich Weborama? Wenn wir die Homepage lesen:

Weborama bietet fortschrittliche Consumer-Insight-Lösungen, die auf einer einzigartigen, äußerst präzisen und skalierbaren semantischen Analysetechnologie basieren und es Unternehmen ermöglichen, Wachstum zu generieren und gleichzeitig ihre Marketingkosten zu rationalisieren. Weborama wurde mit semantischer KI entwickelt und bietet eine Kombination aus effizienten und effektiven Technologien, Daten und Fachwissen. 100 % konform mit RGPD.

Wir hatten Weborama bereits zuvor treffen können:

• Weborama und Lemonde.fr, langsame Website und Verlust Ihrer persönlichen Daten nach Russland
• Zustimmung: Die schlechteste Benutzererfahrung und Überwachung mit Lemonde.fr
• L'Équipe, zuerst zum Thema Sport und Überwachung
• Fnac gleicht Ihre persönlichen Daten aus
• Le Figaro, Sinnbild für invasives Werbe-Tracking auf französischen Medienseiten

Weborama verhält sich auf der Website leboncoin.fr wie ein Trojanisches Pferd: Es „ermöglicht“ die Weitergabe Ihrer persönlichen Daten an eine ganze Reihe neuer Marketingunternehmen, von denen einige in Russland ansässig sind:

Nicht erschöpfende Liste der Partner, mit denen Weborama Ihre persönliche Kennung auf der Le Bon Coin-Site synchronisiert. Französische, amerikanische oder russische Unternehmen, mit denen Le Bon Coin keine Verbindung hat.

Weborama ruft aber auch die Details Ihres Surfens auf Le Bon Coin ab, verknüpft mit einer Signatur (der Variablen „_emailHash") entsprechend Ihrer E-Mail-Adresse. Hier sind die gesammelten Informationen für eine einfache Resopaltisch-Beratung:

„100 % konform mit RGPD“, wirklich Weborama?

Melden Sie sich bei Safari an und geben Sie Ihre Anmeldedaten an Criteo weiter

Wie wir bereits im Artikel „Criteo, ein französischer Überwachungsmarketing-Riese", drängt Criteo seine Kunden dazu, eine Sicherheitslücke auf ihren Websites zu schaffen, um Benutzer, die Adblocker oder datenschutzfreundliche Browser wie Safari verwenden, besser verfolgen zu können. Um zu überprüfen, ob Le Bon Coin anfällig ist, melden wir uns über an

Banco! Le Bon Coin gibt Ihre Anmeldedaten an Criteo weiter. Die seltsame Domäne bvubje.leboncoin.fr ist eine Domänendelegierung (oder CNAME) an dnsdelegation.io, bei dem es sich selbst um eine Domänendelegation handelt gum.criteo.com. Welchen Sinn hat es, wenn Criteo einen CNAME verwendet, um Sie auf Safari zu überwachen? Dieser Mechanismus hat mehrere Ziele:

• Vermeiden Sie die Blockierung durch bestimmte Adblocker (verwenden Sie uBlock Origin um dieses Tracking zu vermeiden). Dieses Argument gilt jedoch für alle Browser.
• Blockierung von Cookies von Drittanbietern außer Kraft setzen.
• Überschreiben Sie die Dauerbeschränkung für in Javascript erstellte Cookies (7 Tage), wobei das Cookie jetzt serverseitig erstellt wird (keine Dauerbeschränkung). Hinweis: Safari wird diesen Punkt bald korrigieren.

Das Domain-Delegationssystem ermöglicht jedoch das Senden aller mit der Domain verbundenen Cookies leboncoin.fr zu Criteo... Einschließlich des „luat“-Cookies (Cookie, das die Tatsache speichert, dass Sie verbunden sind), das ich über die Erweiterung kopieren und in Chrome einfügen kann EditThisCookie direkt verbunden werden. Ein Mitarbeiter von Criteo kann sich dann in Ihr Konto einloggen.

Auch in der iOS-App werden Sie getrackt, sobald Sie sie öffnen

Um den von der Anwendung gesendeten Anfragen nachzukommen Le Bon Coin auf iOS, ich benutze Charles Proxy. Öffnen wir die Le Bon Coin-Anwendung:

Wie Sie im Internet sehen und mögen, können Sie das lästige Einwilligungsfenster entfernen, indem Sie auf „Akzeptieren und schließen“ klicken (Auswahl durch blaue Farbe hervorgehoben) oder Ihre Energie darauf verwenden, einer Überwachung zu entgehen, indem Sie auf „Weitere Informationen“ klicken. Wieder einmal ein „Dunkles Muster"um Ihnen keine freie Wahl zu lassen. Was passiert mit der Marketingüberwachung? Noch bevor ich meine Einwilligung gebe (oder nicht), gibt Le Bon Coin meine persönlichen Daten preis:

Einige dieser Tracker haben bereits Ihre persönlichen Daten auf der Website erfasst, aber wir sehen auch neue Tracker:

• Weborama : bereits auf der Website vorhanden.
• Google : über Doubleclick (und die Publisher-Anzeigenmonetarisierungslösung Google Ad Manager) und Firebase (Googles Toolbox für mobile Entwickler), bereits auf der Website vorhanden.
• Appsflyer : Mobile-Marketing-Unternehmen, das insbesondere ein Attributionsprodukt anbietet, das es Le Bon Coin ermöglicht, zu erfahren, welche Werbekampagnen die Installation der Anwendung ausgelöst haben.
• Accengage : Französisches Push-Benachrichtigungstool, 2018 gekauft vom Mobile-Marketing-Unternehmen Airship.
• Datadome : bereits auf der Website vorhanden.
• Amazon : über Serving-sys.com, der Agentur- und Werbeserver von Sizmek, ehemals Mediamind, ursprünglich Eyeblaster genannt, wurde eingelöst des amerikanischen E-Commerce-Riesen im Jahr 2019.

Bei der Müllüberwachung gibt Le Bon Coin immer noch Ihre persönlichen Daten preis

Klicken wir auf „Mehr erfahren“:

So möchten einige Partner auf der Grundlage berechtigter Interessen gezielte Werbung oder Inhalte anbieten, was eindeutig im Widerspruch zu RGPD steht. Klicken wir auf „Alle ablehnen“ und schauen uns einige Anzeigen an:

Die Überwachung hört nie auf: Ich werde immer noch von Google, Appsflyer, Datadome und Weborama verfolgt.

Verbinden Sie sich, Weborama wird Sie finden

Wenn Sie sich anmelden, folgen Ihnen weiterhin dieselben Tracker. Doch ein Tracker geht noch weiter: Weborama erhält die Details jeder angesehenen Anzeige mit dem Hash Ihrer E-Mail-Adresse. Ja, Weborama verwendet dieselbe Kennung wie im Internet und kann Sie daher unabhängig von Ihrem Gerät verfolgen, selbst wenn Sie Ihre Kennungen zurücksetzen. Dieser Hash ermöglicht es ihm, Ihnen auf allen Websites und Anwendungen zu folgen, die seine Dienste nutzen, und so ein sehr genaues Profil über Sie zu erstellen.

In den Wendungen des berechtigten Interesses

Sie denken vielleicht, wenn ich immer noch verfolgt werde, liegt das daran, dass ich eine Option verpasst habe. Ganz unten im Formular „Mehr erfahren“ können Sie auf „Unsere Partner ansehen“ klicken:

Dort stellen Sie fest, dass im Widerspruch zum RGPD bestimmte Partner vorab geprüft werden:

Schauen wir uns den Weborama-Partner an:

Weborama prüft daher das berechtigte Interesse vorab und ist der Ansicht, dass es diese Rechtsgrundlage für verschiedene Zwecke nutzen kann, unter anderem für die Erstellung eines Profils zur Anzeige personalisierter Inhalte. Jetzt deaktivieren wir alle Partner:

Es ändert sich nichts, Weborama ist immer noch da, wir sehen auch wieder AT Internet:

Melden Sie sich an, Weborama ruft weiterhin den Hash Ihrer E-Mail-Adresse ab. Sie haben jedoch klar zum Ausdruck gebracht, dass Sie das Tracking aller Partner ablehnen, weshalb die Information über die Verweigerung der Einwilligung und das „Opt-out“ aus berechtigtem Interesse an Weborama gesendet wird:

Dieses Signal wurde gemäß dem Protokoll von codiert TCF v2 (Protokoll zum Sammeln und Übertragen von Zustimmungssignalen zwischen Werbeakteuren, eingerichtet von IAB Europe, der Lobby für Werbetechnologie), entschlüsseln wir es über diese Seite :

Wie kann Weborama mich dann so aggressiv verfolgen (Details zu allen angesehenen Werbeanzeigen, permanentes Tracking über die Verwendung eines Hashs meiner E-Mail-Adresse), wenn es die Information erhält, dass ich jegliche Verarbeitung aufgrund der Rechtsgrundlage der Einwilligung oder des berechtigten Interesses abgelehnt habe?! Wie können andere Partner wie Google mich weiterhin verfolgen?

„Weborama, eine Kombination aus Technologien, Daten und leistungsstarker Expertise 100 % konform mit RGPD„?!

Le Bon Coin verstößt gegen seine eigene Datenschutzrichtlinie

Wenn wir uns das genau ansehen Datenschutzrichtlinie der Website Le Bon Coin, Abschnitt „Nutzung Ihrer Daten“, Absatz „Nutzung Ihrer Daten mit Ihrer Einwilligung“, können wir unter anderem lesen:

• Mit Ihrer Einwilligung können wir Ihre Daten an unsere Werbepartner, Datenverantwortliche, weitergeben, um die Leistung der Kampagnen unserer Partner auf unserer Website zu verbessern.
• Wir geben Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an unsere Drittpartner weiter. Wenn Sie jedoch auf eine Anzeige klicken, kann der Werbetreibende erkennen, dass Sie die Seite besucht haben, auf die Sie geklickt haben.

Le Bon Coin verstößt damit gegen seine eigene Vertraulichkeitsrichtlinie.

Was tun?

Wie können Le Bon Coin und CNIL dies ermöglichen? In Ermangelung abschreckender Sanktionen von CNIL oder einer Reaktion der Website Le Bon Coin können Sie sich individuell schützen. Sie können einen Adblocker installieren, z uBlock Origin im Web oder Apps wie DNSCloak, AdGuard oder NextDNS auf iOS.