Einwilligung: die schlechteste Nutzererfahrung und Überwachung mit Lemonde.fr

EDIT 6. Juni 2021: Lemonde.fr hat einige zusätzliche Korrekturen vorgenommen:

• (+) Lemonde.fr löst bei der Ankunft auf seiner Website immer die Tracker von AT Internet aus. Aber AT Internet, sofern es entsprechend konfiguriert ist und deren Nutzung, die für das Funktionieren und die täglichen Verwaltungsvorgänge der Website unbedingt erforderlich ist, fällt in den Geltungsbereich von die im CNIL definierte Ausnahme von der Einwilligung.
• (+) Wenn Sie Ihre Einwilligung verweigern, blockiert Lemonde.fr das Laden des Dailymotion-Videoplayers und verhindert so die Weitergabe Ihrer persönlichen Daten.
• (-) Die Blogging-Plattform ist leider immer noch in Vergessenheit geraten, Sie gibt Ihre persönlichen Daten vor der Einwilligung an Google Analytics weiter.
• (+) Die iOS-App ignoriert AT Internet (Verzicht auf Einwilligung), Batch (Benachrichtigungen) und Google Firebase (technisch) und verfolgt Sie weder beim Start noch wenn Sie die Einwilligung verweigern.

EDIT 20. September 2020: Über Twitter (hier und dort), wurde mir mitgeteilt, dass Lemonde.fr Korrekturen vorgenommen hat. Nach Kontrollen:

• (-) Lemonde.fr gibt Ihre personenbezogenen Daten immer an AT Internet weiter, wenn Sie auf seiner Website ankommen.
• (-) Lemonde.fr bietet weiterhin kein Opt-out für AT Internet an.
• (-) Lemonde.fr gibt Ihre Anmeldedaten immer an AT Internet weiter.
• (+) Ihr Scrollen stellt keine Einwilligung mehr dar.
• (+) Wenn Sie die Überwachung verweigern, respektiert Lemonde.fr jetzt Ihre Entscheidung und erhöht die Anzahl der Tracker nicht. Insbesondere erfolgt bei einer Verweigerung einer Einwilligung keine Vorabprüfung des berechtigten Interesses mehr.
• (-) Aber Lemonde.fr hat leider seinen Dailymotion-Player vergessen, der von der Homepage aus integriert ist. Dies respektiert Ihre Entscheidungen nicht und gibt Ihre persönlichen Daten an verschiedene Unternehmen weiter (und stellt einen merkwürdigen Timer dar, Sie haben 10 Sekunden Zeit, um zu reagieren).
• (-) Lemonde.fr hat auch seine Blogging-Plattform vergessen, deren Artikel oft auf der Homepage hervorgehoben werden. Beispiel mit dieser Artikel Hervorgehoben am 20. September: Sie haben möglicherweise Tracker abgelehnt, aber Ihre persönlichen Daten bereichern mehrere Marketingunternehmen.
• (-) An der iOS-App ändert sich nichts: Lemonde.fr verfolgt Sie vom ersten Start an und wenn Sie die Verfolgung verweigern, wird die Überwachung fortgesetzt.

Sie haben die Werbeüberwachung bereits abgelehnt, aber das ist noch nicht vorbei: Sie haben 10 Sekunden Zeit, um die vom Dailymotion-Videoplayer initiierte Überwachung abzulehnen. Selbst wenn Sie sich die Mühe machen, auf „Anpassen“ und „Alle ablehnen“ auf der Seite „Ihre Datenschutzeinstellungen" von Dailymotion, die Überwachung geht weiter.

EDIT 2. September 2020: Dank der Erläuterungen von konnte ich die rechtlichen Informationen vervollständigen (und Tippfehler korrigieren). @Cellular_PP, danke!

Lemonde.fr gibt Ihre persönlichen Daten an AT Internet weiter, sobald Sie auf seiner Website ankommen

Seit dem 15. August, Google hat integriert der neue „Rahmen“ für die Einholung von Einwilligungen der Werbebranche mit dem treffenden Namen „Transparenz- und Einwilligungsrahmen (TCF) v2.0" und Verlage aktualisieren ihre Einwilligungsbanner. Eine Verbesserung der Benutzererfahrung? Nicht unbedingt gem mein Thread Twitter Französisch :

In England, es ist nicht besser :

Um besser zu verstehen, was sich bei den Medienseiten geändert hat, habe ich mich für einen Test entschieden Lemonde.fr, das „Referenzjournal“, das ich gelegentlich lese. Ehrlich gesagt hatte ich keine besonders gute Idee:

• Lefigaro.fr, historischer Rivale, stalkt seine Leser ausgiebig, vgl. „Le Figaro, Sinnbild für invasives Werbe-Tracking auf französischen Medienseiten".
• Diese Einwilligungsbanner führten bereits vor ihren neuen Versionen Internetnutzer in die Irre, siehe „Einholung von Einwilligungen im Internet: eine weit verbreitete Lüge".
• Letzten Dezember, Lemonde.fr hat Ihre persönlichen Daten bereits an zahlreiche Dritte, darunter russische Unternehmen, weitergegeben, siehe „Weborama und Lemonde.fr, langsame Website und Verlust Ihrer persönlichen Daten nach Russland".

Aber Sie haben das Recht, mehr Respekt für Ihr Privatleben zu fordern. Um über das Tracking auf der Website informiert zu sein Lemonde.fr, befolgen Sie die folgenden Schritte:

• Deaktivieren Sie Ihren Adblocker.
• Löschen Sie Cookies auf Chrome (Einstellungen > Erweiterte Einstellungen > Browserdaten löschen), sodass Sie von Ihrem Google-Konto abgemeldet werden.
• Öffnen Sie die Chrome-Konsole (⌘+Wahl+J auf dem Mac, Strg, Umschalt und J auf dem PC), die Registerkarte „Netzwerk“ oder starten Sie sie Charles Proxy.
• Gehen Sie dann zur Startseite Lemonde.fr.

Erste Beobachtung: Mit Le Monde können Sie das Tracking nicht direkt ablehnen, sondern nur „Cookies konfigurieren“. Diese Wahl widerspricht dem Geist von RGPD, auch wenn CNIL in seiner Umsetzung weit zurückliegt. Lesen wir zum Beispiel das Interview mit dem Präsidenten des CNIL in der Zeitung... Le Monde, im Februar 2020:

Das bedeutet, dass der Internetnutzer nicht mehr einen großen grünen Knopf zum „Akzeptieren“ und einen kleinen Text in der Ecke zum Ablehnen hat?

Es muss eine Symmetrie zwischen beiden bestehen. Darüber hinaus müssen Nutzer die Empfänger ihrer zum Zweck der Werbeprofilierung erhobenen Daten kennen. Es gibt geltende Texte, die die Einholung einer freien und informierten Einwilligung erfordern, diese Empfehlungen werden jedoch nicht allgemein umgesetzt.

Zur Erinnerung: Die RGPD trat im Mai 2016 in Kraft und ist seit dem 25. Mai 2018 anwendbar (vgl. Artikel 99 von RGPD). Die Fachleute hatten daher vier Jahre Zeit, sich vorzubereiten. Die CNIL sollte daher die Anwendbarkeit des Textes nicht unter Missachtung der Grundrechte der Menschen verschieben.

Aber Le Monde wartet vielleicht darauf, dass die neuen Empfehlungen (oder sogar Sanktionen?!) von CNIL handeln... Schauen wir uns nun die gesendeten Anfragen an:

3 Lektionen:

• Lemonde.fr ruft zwei Marketingunternehmen an, um ihre Javascript-Dateien hochzuladen. Batch und Amplitude, hier gibt es keine Tracking-Treffer.
• Iubenda ist die von Le Monde verwendete CMP (Consent Management Platform).
• Nach Recherche die Subdomain buf.lemonde.fr entpuppt sich als „Sex-Cache“ für das französische Analyseunternehmen AT Internet, Le Monde ermöglicht es, Sie zu verfolgen, noch bevor Sie Ihre Einwilligung gegeben haben.

Lemonde.fr bietet unter Verstoß gegen das Gesetz kein Opt-out für AT Internet an

Worauf kann sich Lemonde.fr verlassen, um Ihre personenbezogenen Daten an AT Internet weiterzugeben, noch bevor Sie Ihre Einwilligung erhalten haben? Vielleicht auf einem alte Ausnahme von CNIL, kaum im Einklang mit dem Geist von RGPD.

Außer dass diese Ausnahme ihren Ursprung in hatArtikel 6 der Beratung CNIL von 2013Die Bedingungen für die Platzierung von Cookies ohne Zustimmung sind nun in festgelegt Artikel 5 der Beratung CNIL vom Juli 2019. Die Tatsache, dass CNIL den Artikel online lässt, könnte einen Website-Redakteur dazu veranlassen, darauf hinzuweisen, dass CNIL ihn in die Irre geführt hat und dass er daher in gutem Glauben war, die Überlegungen von 2019 nicht anzuwenden, sodass CNIL seinen Artikel ändern sollte.

Aber egal, ob wir uns die Beratungen von 2013 oder 2019 ansehen, eine Regel bleibt verbindlich: die Umsetzung der Option.Opt-out" : "Es muss die Möglichkeit haben, über einen Widerspruchsmechanismus Einspruch einzulegen, der problemlos auf allen Endgeräten, Betriebssystemen, Anwendungen und Webbrowsern genutzt werden kann. Auf dem Endgerät, von dem aus der Widerspruch eingelegt wurde, darf kein Lese- oder Schreibvorgang erfolgen".

Klicken wir also auf „Cookies konfigurieren“:

Möchten Sie wissen, was sich hinter diesen „operativen Cookies“ verbirgt?

Überraschung! Neben Authentifizierungscookies ordnet Lemonde.fr die AT Internet-Tracker in die Kategorie „Betriebscookies“ ein (und nicht wie erwartet in „Analysecookies“). Die Entschuldigung gegeben? Das OJD, jetzt benannt CMPA, eine Zertifizierungsstelle für Medienpublikum, die es Le Monde ermöglicht prahlen erzielt regelmäßig gute Einschaltquoten.

Aufgrund dieser Einstufung von AT Internet in „Operative Cookies“ wurde die „Opt-out“-Option unter Verstoß gegen die Ausnahmebedingungen nicht implementiert.

Eine weitere Regel, die beachtet werden muss, um von der Ausnahme zu profitieren, ist die Information, die vor der Platzierung des Cookies erfolgen muss: „Die Person muss vor der Umsetzung informiert werden„(In der Beratung von 2013 wurde nur darauf hingewiesen, dass die Person informiert werden muss). Auch hier verstößt Lemonde.fr gegen die Bedingungen der Einwilligungsausnahme

Durch eine Sicherheitslücke gibt Lemonde.fr Ihre Verbindungsdaten an AT Internet weiter

Lassen Sie uns die Untersuchung dieser Aufrufe an AT Internet hinter der Subdomain fortsetzen buf.lemonde.fr, versteckt sich eine obskure Domäne :

Domain, zu der tatsächlich gehört AT Internet :

Dieses „Sex Hiding“ wird durch einen Mechanismus namens Domain-Delegation oder durchgeführt CNAME. Mit Lemonde.fr kann AT Internet über einen Alias-Mechanismus eine Subdomäne in seinem Namen verwalten. Das Interesse von Marketingunternehmen besteht darin, Browser-Schutzmaßnahmen außer Kraft zu setzen (z. B Safari ITP oder Firefox Erweiterter Tracking-Schutz) und andere Adblocker (auch wenn einige Adblocker wie z uBlock Origin auf Firefox es schaffen Blockieren Sie diese Tracker).

Die Verwendung von CNAME ist gefährlich, da Ihre Verbindungsdaten verloren gehen können: Cookies der konsultierten Domäne (z. B. Authentifizierungscookies von lemonde.fr) können an die Tracker-Subdomain gesendet werden (wie buf.lemonde.fr). Schauen wir uns also die Anfragen an, die an AT Internet gesendet werden, wenn ich mit der Lemonde.fr-Site verbunden bin:

AT Internet ruft alle Cookies von der Domäne ab lemonde.fr. Um zu prüfen, ob diese Cookies den Zugriff auf mein Kundenkonto Lemonde.fr ermöglichen, lösche ich meine Cookies anschließend über die Erweiterung Chrome Bearbeiten Sie dieses Cookie, gebe ich die verschiedenen von AT Internet gesammelten Cookies ein. Schnell wird mir klar, dass ich mit dem Cookie „lmd_a_s“ eine Verbindung zu meinem Konto herstellen kann:

Magie! Ein AT Internet-Mitarbeiter kann somit auf Ihr Konto zugreifen

Ich hatte bereits in früheren Artikeln Gelegenheit, über diese Sicherheitslücke zu sprechen:

• Criteo treibt die Kriminalität voran, indem es viele Verlage dazu ermutigt, es umzusetzen, siehe „Criteo, ein französischer Überwachungsmarketing-Riese".
• Auf einer Medienseite könnte man sich sagen, dass es nicht so schwerwiegend ist, aber dieser Fehler wird manchmal auf kritischeren Websites wie dem Kundenbereich der Boursorama Banque implementiert (Fehler inzwischen behoben), vgl. "Boursorama Banque gibt Ihre Verbindungsdaten preis".

Weigert sich, überwacht zu werden, Lemonde.fr erhöht die Anzahl der Tracker, insbesondere über Weborama

Lassen Sie uns unsere Reise auf dem Einwilligungsbanner von Lemonde.fr fortsetzen:

Abgesehen von operativen Cookies ist standardmäßig alles deaktiviert, Lemonde.fr bietet auch eine Schaltfläche „Alle ablehnen“. Gute Vorgehensweise, jetzt klicken wir auf „Speichern und fortfahren“. Erwarten Sie nun, nicht mehr überwacht zu werden?

Ja, Sie träumen nicht, das sind alle Anfragen, die gesendet werden, nachdem Sie sich bemüht haben, die Sendungsverfolgung zu verweigern. Und das, ohne einen einzigen Artikel zu konsultieren oder die Seite gar neu zu laden. Im Einzelnen sind hier die Tracker aufgeführt, die Cookies per HTTP-Header platzieren (einige Tracker erstellen Cookies auch per Javascript oder speichern Kennungen im lokalen Speicher des Browsers), mit persönlicher Kennung (Pseudonym):

• Outbrain : Die schmutzigen Artikel unten auf der Seite verfolgen Sie auch ohne Ihre Zustimmung im gesamten Web und auf der lemonde.fr-Site.
• Weborama : Französisches „Datenmarketing“-Unternehmen Arbeiten mit Lemonde.frerstellt ein Profil über Sie im Internet und gibt Ihre persönlichen Daten, wie Sie weiter unten lesen können, an viele andere Dritte weiter.
• Indexbörse : über casalemedia.com, Werbemonetarisierungsplattform (SSP), die von Lemonde.fr über ein System namens „Header Bidding“ (Wettbewerb von Werbeinventar auf mehreren Marktplätzen) verwendet wird.
• TheTradeDesk : über https://adsrvr.org, Plattform zum Kauf von Werbeinventar, genannt von Index Exchange und Weborama.
• Criteo : Weltmarktführer in Retargeting und Französisch, Verfolge dich aggressiv Im Web und in Apps hat Lemonde.fr seinen „Direct Bieter“ installiert (ermöglicht Criteo den Kauf, ohne Provision an eine Monetarisierungsplattform zu zahlen), Criteo wird auch von Weborama genannt.
• Nielsen : über exelator.com, das Unternehmen eXelate eingelöst des Marktforschungsriesen Nielsen im Jahr 2017 wird auch von Weborama genannt.
• Smart AdServer : Französische Werbemonetarisierungsplattform, die von Lemonde.fr über „Header Bidding“ verwendet wird, auch von Weborama genannt.
• Adobe : über everesttech.netDer amerikanische Riese bietet auch eine Marketing-Suite an, die auch Weborama genannt wird.
• MediaMath : über mathtag.com, Plattform zum Kauf von Werbeinventar, genannt Weborama.
• Temelio : über Leadplace.fr, ein französisches Datenmarketingunternehmen, bietet Werbetreibenden die Möglichkeit, Ihre persönlichen Daten online und offline abzugleichen, immer über Weborama.
• Graphinium : über crm4d.com, ein französisches Unternehmen, das sich auf den Abgleich personenbezogener Online- und Offline-Daten spezialisiert hat, ebenfalls über Weborama.
• Yahoo : Ja, Yahoo existiert noch, es wird von Weborama wiederbelebt.
• ZBO-Medien : über zebestof.com, französische Plattform für den Kauf von Werbeinventar, genannt Weborama.
• Sublime : über ayads.co, französische Werbemonetarisierungsplattform, spezialisiert auf Seiten-Skins („Sublime Skinz“), integriert von Lemonde.fr über „Header Bidding“.
• Pubstack ; über pbstck.com, französische „Header Bidding“-Lösung.

Wie bereits letzten Dezember gesehen, Lemonde.fr erlaubt Weborama, Ihre personenbezogenen Daten im alleinigen Interesse von Weborama an zahlreiche Unternehmen weiterzugeben. Nachfolgend die vollständige Liste der Partner (darunter mehrere russische Unternehmen):

Die Partner mit einem kleinen blauen Pfeil davor wurden beim Laden der Homepage aktiviert (Weiterleitung von Weborama zum Partner und damit Leak meiner persönlichen Daten), die anderen werden potentiell beim Lesen eines Artikels aktiviert, Freude!

Bitte beachten Sie, dass bestimmte Werbeanbieter Ihre Wahl respektieren und keine Cookies platzieren: Plattformen zur Werbemonetarisierung AppNexus, Magnite (ex Rubicon) und vor allem Google (das bei Lemonde.fr eine privilegierte Stellung einnimmt, da es der wichtigste Werbeserver und die Werbemonetarisierungsplattform ist).

Gut versteckt die Information, dass Ihre personenbezogenen Daten dennoch aufgrund einer zweifelhaften Rechtsgrundlage, „berechtigtem Interesse“, ausgenutzt werden können.

Was können diese Werbeunternehmen mit Ihren personenbezogenen Daten tun? Kehren wir zum Einwilligungsbanner und insbesondere zu „Werbe-Targeting-Cookies“ zurück:

Kein Fehler, Sie haben sie abgelehnt. Klicken wir jedoch auf „Beschreibung anzeigen und personalisieren“:

Immer noch kein Fehler, Lemonde.fr informiert Sie darüber, dass Ihnen durch die Deaktivierung dieser Cookies Werbung angeboten wird, die nichts mit Ihren vermeintlichen Interessen zu tun hat. Klicken wir nun auf „Werbeverfolgung personalisieren“ und lassen Sie uns überraschen! Viele Zwecke werden erläutert und die Einwilligung deaktiviert. Aber mit Ausnahme des Zwecks „Auf einem Endgerät gespeicherte Informationen speichern und/oder darauf zugreifen“ (der es Akteuren ermöglicht, ein Cookie mit einer Werbekennung zu platzieren) ist das Kästchen „Verarbeitung Ihrer Daten auf der Grundlage eines berechtigten Interesses für diesen Zweck genehmigen“ aktiviert:

Der Zweck „Auf einem Endgerät gespeicherte Informationen speichern und/oder darauf zugreifen“ erfordert Ihre Einwilligung (hier kein berechtigtes Interesse). Die verschiedenen Werbeanbieter verletzen Ihre Entscheidungen, indem sie Cookies mit Werbekennungen platzieren.

Der TCF v2 ermöglicht es verschiedenen Werbeunternehmen, berechtigte Interessen als Rechtsgrundlage für unterschiedliche Zwecke anzugeben. Um diese Zwecke zu erreichen, benötigen diese Akteure jedoch häufig eine Werbekennung (wofür immer Ihre Zustimmung erforderlich ist) ... Es ist die Schlange, die sich in den Schwanz beißt!

Somit würden sich die Werbeakteure, die Sie überwachen, eine andere Verarbeitung erlauben, nicht auf der Rechtsgrundlage der Einwilligung (zur Erinnerung: Sie haben dies bereits abgelehnt), sondern auf der Rechtsgrundlage von das berechtigte Interesse gemäß RGPD. Es ist schwierig, ein berechtigtes Interesse zu rechtfertigen, wenn es um Zwecke geht wie:

• Erstellen Sie ein personalisiertes Werbeprofil (= profilieren Sie sich selbst).
• Wählen Sie personalisierte Werbung aus (= beeinflussen Sie entsprechend Ihrem Profil).

Für die meisten der in diesem Einwilligungsbanner dargestellten Zwecke besteht wahrscheinlich kein berechtigtes Interesse. Der CNIL erinnert Darüber hinaus kann das berechtigte Interesse nur aufrechterhalten werden, wenn die Verarbeitung die Bedingung der „Notwendigkeit“ erfüllt; Überwachung und gezielte Werbung sind keine „Notwendigkeiten“.

Deaktivieren Sie das berechtigte Interesse für die verschiedenen Zwecke, es ändert sich nichts

Setzen wir unseren Marathon fort, berechtigtes Interesse für die verschiedenen Zwecke abzulehnen, die Schaltfläche „Alle ablehnen“ funktioniert nicht! Ein neues „Dunkles Muster„Wie wir sie mögen! Das berechtigte Interesse müssen Sie bei jedem der Zwecke einzeln abhaken, also 9 Klicks! Klicken Sie auf „Speichern und fortfahren“ und beobachten Sie das Ergebnis:

Caramba, nichts ändert sich! Wenn man sich das Detail ansieht, lassen die meisten dieser Schauspieler weiterhin einen Keks fallen, als wäre nichts passiert.

Berechtigtes Interesse für jedes Unternehmen einzeln deaktivieren?

Es ist nicht alle Hoffnung verloren, kehren wir zu unserem Einwilligungsbanner zurück, reproduzieren die verschiedenen Ablehnungen und scrollen dieses Mal zum unteren Rand des Fensters „Werbeverfolgung personalisieren“ (seien Sie schnell, denn Lemonde.fr verfügt über eine automatische Aktualisierung, die Sie zur Startseite zurückbringt und Sie zwingt, alle Schritte zu wiederholen):

Sie gelangen zu einer wachsenden Liste von Partnern (mehr als 500), von denen sich einige für bestimmte Zwecke auf berechtigte Interessen stützen. Und auch wenn Sie im vorherigen Schritt alle berechtigten Interessenzwecke deaktiviert haben, ist bei diesen Partnern das Kontrollkästchen „berechtigtes Interesse“ immer noch aktiviert! Zufällig, Google:

Google verlässt sich beim ersten Zweck auf die Einwilligung „Auf einem Terminal gespeicherte Informationen speichern und/oder darauf zugreifen„(er hat keine Wahl, es ist das Gesetz, und der TCF erlaubt Ihnen nicht, etwas anderes zu tun). Und tatsächlich hat Google keine Werbekennung auf meinem Computer platziert (kein Doubleclick-Cookie). IDE). Google hingegen weist darauf hin, dass es sich für verschiedene Zwecke auf berechtigte Interessen stützt, was höchst umstritten ist:

Wählen Sie Standardanzeigen aus. Erstellen Sie ein Profil, um personalisierte Inhalte anzuzeigen. Wählen Sie personalisierte Inhalte aus; Messen Sie die Leistung von Werbung; Nutzen Sie Marktforschung, um Zielgruppendaten zu generieren; Produkte entwickeln und verbessern.

Criteo ist eines der Unternehmen, das Sie auch dann noch verfolgt, wenn Sie Ihre Einwilligung verweigern. Welche Zwecke werden darin erklärt und auf welcher Rechtsgrundlage?

Criteo erklärt daher, sich für den ersten Zweck auf die Einwilligung zu verlassen.Auf einem Terminal gespeicherte Informationen speichern und/oder darauf zugreifen„(er hat keine Wahl, es ist das Gesetz und das TCF erlaubt es Ihnen nicht, etwas anderes zu tun), sie basiert niemals auf einem berechtigten Interesse. Criteo verstößt gegen das Gesetz, da es ohne meine Zustimmung (über das Cookie) eine Werbekennung auf meinem Computer platziert uid), was angesichts dieser Tatsache kaum verwunderlich ist die Haftung des Unternehmens im Hinblick auf Verletzungen Ihrer Privatsphäre.

Wir haben außerdem festgestellt, dass Weborama, das „Trojanische Pferd“, das Ihre personenbezogenen Daten an mehrere Unternehmen weitergibt, Ihre Verweigerung der Einwilligung nicht respektiert hat. Welche Zwecke werden darin erklärt und auf welcher Rechtsgrundlage?

Weborama erklärt, sich für den ersten Zweck auf die Einwilligung zu verlassen.Auf einem Terminal gespeicherte Informationen speichern und/oder darauf zugreifen„(er hat keine Wahl, es ist das Gesetz und das TCF erlaubt es Ihnen nicht, etwas anderes zu tun), sondern aus berechtigtem Interesse für viele andere Zwecke. Weborama verstößt daher gegen das Gesetz, indem es ohne meine Zustimmung eine Werbekennung auf meinem Computer platziert (über das Cookie „AFFICHE_W“) und sich erlaubt, diese Werbekennung mit zahlreichen anderen Unternehmen zu synchronisieren, die mich so überwachen können. Das von ihm für verschiedene Zwecke geltend gemachte berechtigte Interesse ermöglicht es ihm dann, ein Profil von mir zu erstellen und mein Surfverhalten auszunutzen.

Inwieweit missbrauchen Adtech-Werbeunternehmen diesen Begriff des berechtigten Interesses? Um das Thema weiter zu vertiefen, können Sie die Veröffentlichung von Célestin Matte, Cristiana Santos und Nataliia Bielova lesen: „Zwecke in IAB Europas TCF: Welche Rechtsgrundlagen und wie werden sie von Werbetreibenden genutzt?". Im Mai 2020 waren nur 325 Adtech-Unternehmen im TCF gelistet, aber Das berechtigte Interesse wurde weithin genutzt :

Natürlich kann ich das berechtigte Interesse all dieser Überwachungsunternehmen (mehr als 500 Unternehmen, mit denen Lemonde.fr theoretisch zusammenarbeiten könnte) nicht leugnen. Beachten Sie, dass Sie sich nicht für jedes Werbeunternehmen aus berechtigtem Interesse abmelden müssen:

• Wenn Sie die Einwilligung in Schritt 1 verweigern, sollten Sie „Ad-Targeting-Cookies“ ablehnen können: Normalerweise ist dies das Ende des Spiels für die Werbebranche.
• Wenn Sie weitersurfen, wird der Zweck „Auf einem Terminal gespeicherte Informationen speichern und/oder darauf zugreifen„kann nicht auf einem berechtigten Interesse beruhen, daher gibt es auch hier keine andere Wahl, als sich auf Ihre Zustimmung zu verlassen, um ein Cookie mit einer Werbekennung zu platzieren.
• Wenn Sie das Kontrollkästchen „Berechtigtes Interesse für verschiedene Zwecke“ deaktivieren, gilt dies für alle Werbeunternehmen. Sie sollten das Kontrollkästchen „Berechtigtes Interesse“ für kein Unternehmen speziell deaktivieren müssen.

Was passiert jedoch, wenn ich das berechtigte Interesse an Weborama ablehne („Opt-Out“)?

Wie Sie sehen, läuft alles wie gewohnt weiter. Sie werden immer noch ausgiebig gejagt. Weborama identifiziert Sie insbesondere immer über eine Werbekennung und synchronisiert diese Kennung stets mit der kleinen Welt der Online-Werbeüberwachung.

Lemonde.fr, sein CMP Iubenda und Adtech-Unternehmen, ein höllisches Trio

Fassen wir den Hindernisparcours eines Benutzers zusammen, der nicht verfolgt werden möchte und das von Lemonde.fr und seinem Dienstanbieter eingerichtete Protokoll befolgt Iubenda (Consent-Management-Plattform):

• Wenn Sie bei Lemonde.fr ankommen, scrollen Sie nicht und klicken Sie nicht auf einen Artikel, da über ein Fehler, der vom CNIL in einer Überlegung aus dem Jahr 2013 2013 eingeführt wurde, "Wenn Sie weitersurfen, stimmen Sie der Platzierung von Cookies auf Ihrem Endgerät zu". Und offensichtlich nutzt Lemonde.fr diesen Fehler aus, der nicht mehr gültig ist.
• Tatsächlich wurde dieser Beschluss im Juli 2019 aufgehoben. Die neue Beratung zeigt : "Die Stärkung der Rechte des Einzelnen veranlasst die Kommission, ihren Beschluss Nr. aufzuheben. 2013-378 vom 5. Dezember 2013 zur Verabschiedung einer Empfehlung zu Cookies und anderen Tracern im Sinne von Artikel 32-II des Gesetzes vom 6. Januar 1978 (im Folgenden „Empfehlung zu Cookies und anderen Tracern“), um sie durch diese Richtlinien zu ersetzen. Diese Leitlinien werden anschließend durch sektorale Empfehlungen ergänzt, die insbesondere darauf abzielen, die praktischen Modalitäten für die Einholung der Einwilligung zu präzisieren.„Der rechtliche Wert der Empfehlungen verschiebt jedoch nicht die Anwendung von ePrivacy oder RGPD oder die neue Beratung.“
• Insbesondere auf der Schriftrolle heißt es in der Beratung von 2019: „Die Kommission betont, dass die Einwilligung durch eine positive Handlung der Person zum Ausdruck gebracht werden muss, die zuvor über die Folgen ihrer Entscheidung informiert wurde und über die Mittel verfügt, diese Entscheidung auszuüben. Das weitere Surfen auf einer Website, die Verwendung einer mobilen Anwendung oder das Herunterscrollen der Seite einer Website oder mobilen Anwendung stellen keine eindeutigen positiven Handlungen dar, die einer gültigen Einwilligung gleichkommen".
• Trotz dieser Vorsichtsmaßnahmen werden Sie bereits von AT Internet verfolgt, Lemonde.fr verstößt bereits das Gesetz.

Setzen wir unseren Test des Einwilligungsbanners fort:

• Klicken Sie also auf „Cookies konfigurieren", da es auf der ersten Ebene keine Möglichkeit gibt, Cookies abzulehnen (im Gegensatz zur Schaltfläche ").Akzeptiere" auf der ersten Ebene).
• Erkennen, dass Lemonde.fr erneut einen Verstoß darstellt das Gesetz indem Sie das Opt-out nicht zulassen.
• Das „Werbe-Targeting-Cookies" sind deaktiviert, aber die meisten Werbeunternehmen überwachen Sie weiterhin (bemerkenswerte Ausnahme, Google). Klicken Sie auf „Beschreibung ansehen und anpassen" am unteren Rand des Fensters, um zu verstehen, ob wir diese Überwachung vermeiden können.
• Lesen Sie, dass Werbedienste dem Transparenz- und Einwilligungsrahmen IAB entsprechen und dass dieser nicht aktiviert ist, klicken Sie aber trotzdem auf „Personalisieren Sie das Werbe-Tracking".
• Beachten Sie auf der nächsten Seite, dass diese Werbedienste Ihre personenbezogenen Daten für verschiedene Zwecke verwenden (10 Zwecke und 2 spezielle Zwecke, auf die Sie keinen Einfluss haben) und dass bei deaktivierter Einwilligung für diese Zwecke das berechtigte Interesse für fast alle Zwecke außer einem geprüft wird („Auf einem Terminal gespeicherte Informationen speichern und/oder darauf zugreifen" erfordert Ihre Zustimmung). Da es keine Schaltflächen gibt, mit denen Sie das berechtigte Interesse für diese verschiedenen Zwecke gleichzeitig deaktivieren können, deaktivieren Sie sie einzeln (9 Klicks). Beachten Sie, dass dies keine Auswirkungen auf die Werbeunternehmen hat, die Sie weiterhin überwachen.
• Klicken Sie ganz unten in diesem langen Fenster auf „Verwalten Sie die Einstellungen für jeden Werbedienst„Machen Sie sich bewusst, dass es mehr als 500 Partner gibt, die Sie theoretisch überwachen können (Lemonde.fr könnte die Liste auch erheblich überfliegen, viele Player sind zu klein oder fehlen auf dem französischen Markt). Beachten Sie auch, dass Sie im vorherigen Schritt möglicherweise das Kontrollkästchen „Berechtigtes Interesse“ für die verschiedenen Zwecke deaktiviert haben. Das Kontrollkästchen „Berechtigtes Interesse“ ist jedoch bei vielen dieser Unternehmen für verschiedene Zwecke immer noch aktiviert.
• Da Sie keine Möglichkeit haben, das berechtigte Interesse für jedes der Unternehmen plötzlich zu deaktivieren, deaktivieren Sie Weborama, ein „Trojanisches Pferd“ der Werbeüberwachung, und stellen Sie fest, dass es keine Wirkung hat. Weborama überwacht Sie weiterhin und ermöglicht vielen anderen Unternehmen, Sie zu überwachen.

Eine Reise des Todes also, dank Lemonde.fr, seinem CMP Iubenda und Werbefirmen, denen Ihre Entscheidungen und Ihre Privatsphäre egal sind. Ein letzter Punkt Iubenda, der Dienstleister, der es Lemonde.fr ermöglicht, Ihnen dieses Banner zum Einholen der Einwilligung anzubieten, was ein sehr schmerzhafter Prozess ist. Seine Aufgabe besteht darin, Ihre Auswahl zu sammeln und an die verschiedenen Werbeunternehmen zu übermitteln und dabei zu überprüfen, ob das gesammelte und dann an die Werbeunternehmen übermittelte Signal korrekt ist.

Dies ist das Signal, das übertragen wird, wenn Sie das Werbebanner einfach ignorieren, indem Sie auf der Startseite der Lemonde.fr-Site scrollen (Was stellt eine Einwilligung dar, dank der CNIL). Wie konnte ich es zurückbekommen? Über Charles oder über die Chrome-Konsole das Feld „gdpr_consent“ aus einer an einen Werbeakteur gesendeten Anfrage abrufen und die Zeichenfolge dekodieren über diese Seite (TCF v2):

Ich bin einfach hängengeblieben, aber offensichtlich ist es ein „freie, spezifische, informierte und eindeutige Einwilligung". Schauen wir uns nun das Signal an, das gesendet wird, wenn Sie die Einwilligung und das berechtigte Interesse für jeden der vorgeschlagenen Zwecke verweigert haben:

Iubenda stellt nicht den Wert der Variablen bereit, die die unterschiedlichen Zwecke der Einwilligung und des berechtigten Interesses darstellen. Es stellt sich heraus, dass, wenn wir das lesen Spezifikation von TCF v2, es ist richtig:

Wenn die Variablen ZweckEinwilligungen und ZweckBerechtigte Interessen nicht definiert sind, muss dies als „Keine Einwilligung“ (also keine Cookies mit Werbekennzeichnungen) und „Berechtigtes Interesse nicht festgestellt“ interpretiert werden.

Gute Nachrichten, keine Überwachung Google... noch Werbung von Google

Wenn es Lemonde.fr, seinem CMP und der kleinen Welt der Werbeüberwachung gelingt, Ihre Entscheidungen zu verletzen und Sie weiterhin zu überwachen, können wir dennoch feststellen, dass Google keine Cookies mehr hinterlegt, wenn Sie sich die Mühe machen, auf dem Einwilligungsbanner auf „Personalisieren“ zu klicken und dann auf „Speichern und fortfahren“ zu klicken, und die Anzahl der Anzeigen stark sinkt, was Ihnen ein etwas besseres Leseerlebnis ermöglicht.

Warum? Die erste Version von TCF (Transparency & Consent Framework), das von IAB (der Werbebranche) eingerichtete Protokoll zum Sammeln und Verbreiten von Einwilligungssignalen in der gesamten Werbekette, wurde von Google nicht unterstützt.

Seit dem 15. August Google unterstützt TCF v2. Für Kunden seiner Monetarisierungsplattform Google Ad Manager (wie Lemonde.fr) ist Google verpflichtet, die Entscheidungen der Benutzer zu respektieren. Hier ist wie es über den ersten Zweck kommuniziert: „Informationen auf einem Gerät speichern und/oder darauf zugreifen“ :

Einige interessante Informationen hier:

Google ist nicht in der Lage, Werbung auszuliefern, ohne Sie zu überwachen (d. h. ohne das Setzen des Doubleclick-Cookies). IDE). Welche Gründe nennt er? Google erklärt, dass es diese benötigt, um Betrug und Missbrauch aufzudecken, die Anzahl der Kontakte mit derselben Werbung zu begrenzen („Frequency Capping“) und aggregierte Berichte bereitzustellen.

Google erklärt, dass es Ihre Zustimmung benötigt, um Cookies oder mobile Identifikatoren zu platzieren, auch für nicht zielgerichtete Werbung. Wenn wir sein „lesen“Regeln zur Benutzereinwilligung in der Europäischen Union", aber auch Hilfe zu den Regeln zur Benutzereinwilligung in der Europäischen Union„, Google weist darauf hin, dass sich diese Verpflichtung aus den „Cookie-Bestimmungen der EU-Richtlinie zum elektronischen Datenschutz“ (auch „Cookie-Bestimmungen“ genannt) ergibt Direktive ePrivacy):

Google benötigt Benutzerkennungen, um die Anzeigenleistung zu messen. Daher Ihre Zustimmung:

Ohne Zustimmung zum ersten Zweck sollten Redakteure Google nicht aufrufen (Lemonde.fr ignoriert dies und ruft Google auf). Wenn Google aufgerufen wird, wird keine Werbung übermittelt (und tatsächlich wird keine Werbung über Google bereitgestellt).

Rechtliche Erläuterungen zur Notwendigkeit einer Einwilligung zur Speicherung von Cookies

Seien Sie vorsichtig, das ist technisch @Cellular_PP für seine ausführlichen Erläuterungen. Beginnen wir mit Richtlinie 2002/58/EG, Artikel 5 Absatz 3 (die interessante Passage habe ich fett gedruckt):

Die Mitgliedstaaten stellen sicher, dass die Nutzung elektronischer Kommunikationsnetze zum Zweck der Speicherung von Informationen oder des Zugriffs auf Informationen, die im Endgerät eines Abonnenten oder Benutzers gespeichert sind, nur unter der Bedingung zulässig ist, dass dem Abonnenten oder Benutzer im Einklang mit der Richtlinie 95/46/EG Folgendes zur Verfügung gestellt wird:klare und vollständige Informationen, unter anderem über die Zwecke der Verarbeitung, und dass der Abonnent bzw. Nutzer hat das Recht, eine solche Behandlung abzulehnen durch den Datenverantwortlichen. Diese Bestimmung steht der technischen Speicherung oder dem Zugriff nicht entgegen, die ausschließlich dazu dienen, die Übertragung einer Kommunikation über ein elektronisches Kommunikationsnetz zu bewirken oder zu erleichtern, oder die für die Bereitstellung eines vom Abonnenten oder Benutzer ausdrücklich gewünschten Dienstes der Informationsgesellschaft unbedingt erforderlich sind.

Richtlinie 2009/136/EG, gültig seit 2012, ändert Artikel 5 Absatz 3 (fett gedruckt, beachten Sie die Einführung der Einwilligung):

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf bereits gespeicherte Informationen im Endgerät eines Abonnenten oder Benutzers nur unter der Bedingung zulässig ist, dass der Teilnehmer oder Benutzer dies tut gab sein Einverständnis, nachdem wir im Einklang mit der Richtlinie 95/46/EG klare und vollständige Informationen, unter anderem über die Zwecke der Verarbeitung, erhalten haben. Diese Bestimmung steht der technischen Speicherung oder dem Zugriff nicht entgegen, die ausschließlich der Übertragung einer Kommunikation über ein elektronisches Kommunikationsnetz dienen oder für den Anbieter unbedingt erforderlich sind, um einen vom Abonnenten oder Benutzer ausdrücklich angeforderten Dienst der Informationsgesellschaft bereitzustellen.

Die französische Umsetzung ist in Artikel 82 des Datenschutz- und Freiheitsgesetzes.

Der Begriff der Einwilligung wird in Artikel 2 derselben erwähnt Richtlinie 2002/58/EG :

die „Einwilligung“ eines Nutzers oder Abonnenten entspricht der in der Richtlinie 95/46/EG enthaltenen „Einwilligung der betroffenen Person“.

Hier ist die berühmte Definition von Einwilligung: Artikel 2 der Richtlinie 95/46/EG

„Einwilligung der betroffenen Person“: jede freie, konkrete und informierte Willensäußerung, mit der die betroffene Person zustimmt, dass die sie betreffenden personenbezogenen Daten verarbeitet werden dürfen.

Welcher Zusammenhang besteht zwischen diesen Richtlinien „ePrivacy“ und dem RGPD zu dieser Einwilligungspflicht? Artikel 95 von RGPD weist darauf hin, keine zusätzlichen Verpflichtungen aufzuerlegen:

Diese Verordnung erlegt natürlichen oder juristischen Personen keine zusätzlichen Verpflichtungen in Bezug auf die Verarbeitung im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union in Bezug auf die Aspekte auf, für die sie spezifischen Verpflichtungen mit demselben Ziel gemäß der Richtlinie 2002/58/EG unterliegen.

Eine Rezension des@EU_EDPB verdeutlicht die Beziehung zwischen den beiden Texten.

In Punkt 28 der Stellungnahme heißt es, dass Artikel 5 Absatz 3 für Cookies gilt:

Das übergeordnete Ziel der ePrivacy-Richtlinie besteht darin, den Schutz der Grundrechte und Grundfreiheiten der Öffentlichkeit bei der Nutzung elektronischer Kommunikationsnetze sicherzustellen. Vor diesem Hintergrund gelten Artikel 5 Absatz 3 und Artikel 13 der ePrivacy-Richtlinie sowohl für Anbieter elektronischer Kommunikationsdienste als auch für Website-Betreiber (z.B. für Kekse) oder andere Unternehmen (z. B. für Direktmarketing).

Punkt 40 der Stellungnahme weist darauf hin, dass, wenn in Artikel 5 Absatz 3 erwähnt wird, dass eine Einwilligung erforderlich ist, keine anderen Grundlagen herangezogen werden können:

Eine ähnliche Situation ergibt sich in Bezug auf Artikel 5 Absatz 3 der ePrivacy-Richtlinie, sofern es sich bei den auf dem Gerät des Endnutzers gespeicherten Informationen um personenbezogene Daten handelt. Artikel 5 Absatz 3 der ePrivacy-Richtlinie sieht vor, dass für die Speicherung von Informationen oder den Zugriff auf bereits gespeicherte Informationen im Endgerät eines Teilnehmers oder Nutzers grundsätzlich eine vorherige Zustimmung erforderlich ist. Soweit es sich bei den auf dem Gerät des Endnutzers gespeicherten übernommenen Informationen um personenbezogene Daten handelt, hat Artikel 5 Absatz 3 der ePrivacy-Richtlinie Vorrang vor Artikel 6 der DSGVO hinsichtlich der Tätigkeit der Speicherung dieser Informationen oder des Zugriffs darauf. Ähnlich ist das Ergebnis im Zusammenspiel zwischen Art. 6 DSGVO und Art. 9 und 13 der ePrivacy-Richtlinie. Wenn diese Artikel für die darin beschriebenen spezifischen Handlungen eine Einwilligung erfordern, kann sich der Verantwortliche nicht auf alle möglichen Rechtsgrundlagen gemäß Artikel 6 der DSGVO berufen.

Fazit: Es ist in der Tat illegal, ein berechtigtes Interesse vorzutäuschen, um ein Cookie mit einer Werbekennung zu platzieren.

Respektieren Sie Ihre Privatsphäre, die große Angst vor Adtech

Beim Lesen die Presse, können wir der Denkweise von Werbeagenturen folgen:

• Google liefert keine Werbung mehr über Google Ad Manager aus, wenn der Internetnutzer keine Einwilligung erteilt. Die meisten französischen Nachrichtenseiten nutzen Google Ad Manager als Werbeverteilungs- und Monetarisierungstool.
• Die aktuellen Einwilligungsbanner ekeln die überwiegende Mehrheit der Internetnutzer an, doch der CNIL muss neue Empfehlungen liefern, um endlich den Geist des RGPD zu respektieren.

Mögliche Konsequenz, wenn CNIL jemals seinen Job macht: ein echter Einwilligungsmechanismus (wie die Platzierung der Schaltflächen „Akzeptieren“ und „Ablehnen“ auf derselben Ebene oder besser eine einfache Auswahl auf Browserebene) mit echten Sanktionen im Falle eines Gesetzesverstoßes. Hier ist eine Reaktion Vertreter der Adtech-Branche:

Da die Weigerung des Internetnutzers keinen Einfluss auf sein Surferlebnis habe, sei es dramatisch, diese Option mit Akzeptanz gleichzusetzen, protestiert ein Adtech-Chef

Offensichtlich hätte die Verweigerung der Einwilligung enorme Auswirkungen auf das Surferlebnis: Sie würden nicht mehr verfolgt (Bonus, keine aufdringliche Werbung mehr) und die Ladezeiten der Seiten würden sich erheblich verkürzen.

Werbeagenturen sind gut beraten, sich die richtigen Fragen zu stellen: Sind die starke Verschlechterung des Nutzererlebnisses und die allgemeine Überwachung die Lösung ihrer wirtschaftlichen Probleme? Nicht wirklich, wenn wir uns die schlechte finanzielle Lage von Nachrichtenseiten ansehen, die mit aufdringlicher Werbung durchsetzt sind. Daher können Sie diese beiden hervorragenden Artikel lesen:

• Auf Wired: „Kann das Abtöten von Cookies den Journalismus retten?„: Die Erfahrung des niederländischen öffentlich-rechtlichen Radios (entspricht France Info), das jetzt mehr Geld mit ungezielter Werbung verdient als zuvor.
• Auf Forbes: „Vermarkter und Verleger verdienen mehr Geld, indem sie weniger Adtech einsetzen„: Erklärungen, wie Adtech-Vermittler den Großteil der von Werbetreibenden ausgegebenen Gelder monopolisieren und Publisher daran hindern, einen angemessenen Lebensunterhalt zu verdienen.

Was sollten Sie auf Ihrer Seite tun? Verlassen Sie sich wie immer nicht darauf, dass Websites Ihre Entscheidungen respektieren, sondern rüsten Sie sich mit einem Adblocker wie z uBlock Origin.

Mit der iOS-App verfolgt Le Monde Sie vom ersten Start an

Auf dem Smartphone müssen Sie nicht die Lemonde.fr-Website aufrufen, sondern können auch die Anwendung verwenden. Wird Ihre Privatsphäre mehr respektiert? Zum Testen die App iOS Le Monde, habe ich auf meinem iPhone das folgende Verfahren befolgt:

• Schließen der verschiedenen Hintergrundanwendungen.
• Installation von die Le Monde-Anwendung.
• Einführung von die Charles Proxy-Anwendung und Ermöglichen der Nachverfolgung.
• Starten der Le Monde-Anwendung.

Wie auf seiner Website zeigt Le Monde sein Einwilligungsbanner deutlich an, ohne eine Option der ersten Ebene zum Ablehnen von Trackern anzubieten. Schauen wir uns die Tracer an, die über den Export von Protokollen meiner Charles-Proxy-Sitzung an meinen Computer gesendet wurden:

Noch bevor das Einwilligungsbanner eingerichtet wurde, hat Le Monde Ihre persönlichen Daten bereits an mehrere Unternehmen weitergegeben:

• Accengage : Französisches Push-Benachrichtigungstool, eingelöst im Jahr 2018 vom Mobile-Marketing-Unternehmen Airship.
• Google :Le Monde verwendet Firebase, das Toolkit für Anwendungsentwickler.
• AT Internet : Das französische Analyseunternehmen verfolgt Sie auch über die Le Monde-App.
• Batch : mobile CRM- und Push-Benachrichtigungslösung.
• Outbrain : die verdammten Artikel, auch auf Appli.
• Microsoft : über appcenter.ms, Le Monde verwendet Visual Studio App Center, um die kontinuierliche Integration und Bereitstellung seiner Anwendung zu verwalten.

Müllverfolgung, kontinuierliche Überwachung

Kehren Sie zum Einwilligungsbanner zurück und klicken Sie auf „Cookies konfigurieren“:

Erste (böse) Überraschung: Alle Zwecke sind vorab geprüft, das entspricht nicht wirklich dem Geist von RGPD. Schauen wir uns die Details zu „Operational Cookies“ an:

Daher geht Le Monde (fälschlicherweise) davon aus, dass die Tracker von Auch die Einordnung von Accengage, Batch und Google in funktionale Cookies ist fraglich. Deaktivieren Sie nun die verschiedenen Zwecke, lesen Sie drei Artikel und beobachten Sie die Tracker:

Die Überwachung geht daher weiter, mit denselben Unternehmen, aber auch einem zusätzlichen Gast: Smart AdServer, ein französischer Adserver, der von Le Monde für seine Anwendung verwendet wird.

Wie schützt man sich? Während Sie auf mögliche Sanktionen des CNIL warten, können Sie Apps wie verwenden DNSCloak, AdGuard oder NextDNS auf iOS.