Ein Tief über Ihren personenbezogenen Daten: Météo France gibt Ihre Geolokalisierung preis

Die öffentliche Einrichtung ermöglicht es Madvertise, Sie zu verfolgen, auch wenn Sie „Nein“ sagen

Veröffentlicht von Pixel de Tracking am 10. Juli 2020

Météo-France missachtet Ihre Entscheidungen und gibt Ihre Geolokalisierung preis

Wenn Sie zuverlässige Wettervorhersagen abrufen möchten, ist Météo-France eine ausgezeichnete Wahl. Die Wetterdaten, die die Apple-Wetter-App auf dem iPhone (die Standard-App) verwendet, stammen von The Weather Channel, einem amerikanischen Unternehmen, das Anfang 2016 von IBM übernommen wurde, und seine Vorhersagen für Frankreich sind leider nicht sehr zuverlässig. Da Météo-France eine öffentliche Verwaltungsanstalt ist, ging ich davon aus, in seiner iPhone-App nicht getrackt zu werden. Dennoch wollte ich es überprüfen und bin dabei folgendermaßen vorgegangen:

  • Schließen der verschiedenen Hintergrund-Apps.
  • Start der App Charles Proxy und Aktivierung des Trackings.
  • Start der Météo-France-App nach deren Installation.

Beim ersten Start fordert Météo-France Sie auf, Ihren Standort zu verwenden:

Standort

Misstrauen fällt schwer: Météo-France braucht Ihren Standort, um die Wettervorhersage für die Stadt anzuzeigen, in der Sie sich gerade befinden (sonst müssen Sie die Stadt von Hand eingeben). Ich erlaube Météo-France also, meinen Standort zu verwenden, und mir wird daraufhin die Datenschutzrichtlinie angezeigt:

Vertraulichkeit

Météo-France bittet Sie eindeutig um Zugriff auf Ihre Geolokalisierungsdaten, einschließlich Längen- und Breitengrad, zu Werbezwecken. Météo-France weist dabei darauf hin, dass Ihre Daten nicht erhoben werden, wenn Sie auf „Ich lehne alles ab“ klicken. Scrollen wir über den Bildschirm, um die verschiedenen Zwecke zu prüfen, und klicken wir auf „Ich lehne alles ab“:

Einwilligung1Einwilligung2

Wie Sie auf den Screenshots sehen können, ist der Ansatz sauber: Die verschiedenen Zwecke sind standardmäßig alle deaktiviert („Opt-in“-System). Ich prüfe trotzdem die gesendeten Daten, indem ich die Aufzeichnung meiner Charles-Proxy-Sitzung stoppe und die Protokolle zur Analyse an meinen Computer schicke:

starten

Überraschung! Ich habe in der App noch gar nicht navigiert, sondern lediglich die Werbeüberwachung durch die Partner von Météo-France abgelehnt, und werde dennoch bereits von zahlreichen Unternehmen getrackt:

  • Facebook: Météo-France ruft die Lösung zur Werbemonetarisierung von Facebook für Apps auf, Facebook Audience Network. Und diese Lösung ist besonders gierig, wenn es darum geht, Ihre Daten abzugreifen, ohne dass man versteht, warum Facebook so viele Informationen sammelt: Facebook erfasst zum Beispiel den gesamten sowie den freien Speicher Ihres iPhones (in Byte), den Ladestand Ihres Akkus, ob dieser gerade geladen wird, sowie die Einstellungen Ihres Beschleunigungssensors.
  • Google: Météo-France ruft Firebase auf, den Werkzeugkasten von Google für Entwickler, mit dem es seine App personalisieren kann, ohne ein Update auszuliefern. Météo-France ruft außerdem die Lösung zur Werbemonetarisierung für Apps Google AdMob auf.
  • Smart AdServer: Französische Werbemonetarisierungslösung, die von Météo-France verwendet wird.
  • Madvertise: über mng-ads.com, eine weitere französische Lösung zur Werbemonetarisierung. Madvertise ist die exklusive Vermarktungsagentur von Météo-France. Madvertise ist damit (gemeinsam mit Météo-France) mitverantwortlich für die Werbeaufrufe an Google und Smart AdServer. Sieht man sich die an mobile.mng-ads.com gesendeten Daten im Detail an (zur Erinnerung: Ich habe jede Erhebung personenbezogener Daten abgelehnt und auf keinen Bildschirm geklickt), erkennt man 7 Anfragen, die meine GPS-Koordinaten (Längengrad, Breitengrad) preisgeben und damit ermöglichen, meinen Wohnort genau zu bestimmen.

So eignet sich Madvertise, die exklusive Vermarktungsagentur von Météo-France, Ihre Geolokalisierung an. Dabei habe ich jede Erhebung personenbezogener Daten ausdrücklich abgelehnt. Wer ist also dieser Dienstleister, der mich über die etwaige Erhebung meiner personenbezogenen Daten durch Partner „entscheiden“ ließ? Es ist erneut Madvertise (!), und zwar über die Domain cmp.madvertise.mgr.consensu.org. Fassen wir zusammen:

  • Météo-France bittet den Nutzer über die Consent Management Platform (CMP) von Madvertise um seine Einwilligung in die Erhebung personenbezogener Daten durch Partner (zu denen auch Madvertise zählt).
  • Ich lehne jede Erhebung personenbezogener Daten ab.
  • Madvertise berücksichtigt meine Entscheidung nicht und erhebt insbesondere ein besonders sensibles personenbezogenes Datum: meine Geolokalisierung.

Ich navigiere weiter, die Überwachung verschärft sich

Was passiert, wenn ich in der Météo-France-App navigiere? Um zu sehen, ob die App aufhört, meine personenbezogenen Daten preiszugeben, starte ich über Charles Proxy eine neue Analyse und navigiere zwei Minuten lang in der App:

Fortsetzung

Wir können sehen, dass zusätzlich zu den vorherigen Tracern, die immer noch sehr präsent sind, neue Tracer auftauchen:

  • Integral Ad Science: über adsafeprotected.com. Dieses Unternehmen ist auf Sichtbarkeitsmessung (ist die ausgelieferte Werbung auf dem Bildschirm sichtbar oder verborgen?), Betrugserkennung (wird die Werbung einem Menschen oder einem Bot angezeigt?) und „Brand Safety“ spezialisiert (passt die Website, auf der die Werbung erscheint, zur Marke? Eine Streaming-Site etwa wird von Marken selten geschätzt).
  • AppNexus: über adnxs.com; das 2018 vom amerikanischen Telekommunikationsriesen AT&T übernommene Unternehmen bietet sowohl eine Plattform zur Werbemonetarisierung als auch eine Plattform zum Einkauf von Werbeflächen an.
  • Index Exchange: über casalemedia.com, eine Plattform zur Werbemonetarisierung.
  • MobSuccess: eine Plattform zum Einkauf von Werbeflächen (DSP), die auf das App-Universum spezialisiert ist.
  • Teads: ein auf das InRead-Format spezialisiertes Ad-Network (Autoplay-Werbevideos, die mitten in Artikeln erscheinen), das 2017 von Altice gekauft wurde (unter anderem Eigentümer von SFR).
  • OpenX: eine weitere Plattform zur Werbemonetarisierung.

Man sieht außerdem, dass Météo-France Ihre Geolokalisierung fortlaufend an Madvertise preisgibt. Ich habe den Screenshot abgeschnitten, doch in nur 2 Minuten Surfen gab es doppelt so viele Anfragen (und jede einzelne enthält meinen Längen- und Breitengrad):

Madvertise

Ein letzter Punkt: Wenn Sie Météo-France weiterhin nutzen, indem Sie die Anwendung neu starten (oder sie neu installieren, wie ich es für diese Tests getan habe), fordert sie Sie auf, Ihren Standort zu verwenden, selbst wenn Sie die App gar nicht benutzen (!)

Geolokalisierung

Beachten Sie, dass der von Météo-France angeführte Grund derselbe ist wie bei aktiver App: direkt auf die Vorhersagen für die Stadt zugreifen, in der Sie sich befinden, und Ihnen ermöglichen, Ihre Beobachtungen zu teilen. Kurz gesagt: kein Nutzen für den Nutzer, aber eine Berechtigung, dank derer Madvertise zum perfekten Schnüffler wird, der Sie auf Schritt und Tritt verfolgt, selbst wenn Sie Météo-France nicht starten.

Schützen Sie sich, solange ein besserer Schutz auf iOS-Seite noch aussteht

Mitanzusehen, wie eine so angesehene öffentliche Einrichtung wie Météo-France das Gesetz bricht und einem Schnüffler erlaubt, Sie ununterbrochen zu verfolgen, ist besonders schockierend. Auch wenn die CNIL angesichts dieser wiederholten DSGVO-Verstöße leider machtlos bleibt, bleiben Ihnen einige Möglichkeiten:

  • Bevorzugen Sie die von Apple auf iOS angebotene Wetter-App (auch wenn sie weniger zuverlässig ist) oder besuchen Sie die Website von Météo-France mit einem Inhaltsblocker.
  • Verwenden Sie eine App, die Tracker blockiert, um besser vor der Überwachung in Apps wie Météo-France geschützt zu sein: DNSCloak, Adguard oder NextDNS auf iOS.

Und schon bald werden Sie dank iOS 14 besser geschützt sein: Mit diesem Update können Sie ausgewählten Apps nur noch einen ungefähren Standort übermitteln (in einem Umkreis von 25 km²), was für Apps wie Wetter-Apps ausreicht.

ungefähr