• Über mich
  • Kurse
  • Kontakt / Impressum / Datenschutz
  • Unterstützen / Donations
Rufposten
  • Über mich
  • Kurse
  • Kontakt / Impressum / Datenschutz
  • Unterstützen / Donations
14 April 2021
Allgemein

Phase 6: Wie Deutschlands beliebtester Vokabeltrainer Kinder getrackt und Eltern betrogen hat

Wollte hier endlich mal eine Geschichte raushauen, die ich für den SWR recherchiert habe, die aber am Ende nie veröffentlicht wurde.

Es geht um „Deutschlands führenden Vokabeltrainer“, Phase6, den über eine Million Personen nutzen, darunter viele Kinder.

Vermutlich über eine Agentur hatte man für Retargeting Pubmatic und Mathtag in die Website eingebunden, die dann die Cookies der Kinder zur Versteigerung von Anzeigen mit 20-30 anderen Anbieter austauschten (Cookie-Matching). Pubmatic kann mit den Daten machen, was es will.

Richtig doof auch, dass Facebook die Nutzung des Vokabeltrainers live verfolgen konnte, weil FB’s Pixel in die Seite integriert war. Diese Daten bleiben dauerhaft bei FB, man kann sie nicht einsehen und nicht löschen. Auch Werbetracker von Google und Microsoft waren integriert.

Google erhielt von Phase6 die feste Login-ID der Kids, so dass diese Besuche dauerhaft zu einem Profil gebündelt werden konnten, selbst wenn die Cookies gelöscht werden.

Ciao, anonyme Youtube-Nutzung, das Kind hat leider Vokabeln gelernt 🤷‍♂️

Moment mal, braucht man für Werbetracking nicht eine Einwilligung? 🤔
💡Lösung bei Phase6 (Juristen gut festhalten):
Man ging grundsätzlich von gegebener Einwilligung aus, die aber „schwebend unwirksam“ war:
https://www.phase-6.de/magazin/rubriken/medien-und-digitalisierung/dsgvo-inhalt-und-neuerungen-bei-phase6/

Mit dieser schwebenden Schrödinger-Einwilligung ließ sich der Vokabeltrainer aber wunderbar und endlos benutzen. Aber es kam noch dreister: Wollte man doch die Eltern fragen, bekamen die eine Tafel vorgelegt …

… hier willigten die Eltern also ahnungslos in die Nutzung von „anonymen Daten“ zur „Produktverbesserung“ ein, während in Wahrheit „personenbezogene Daten“ für die „Werbevermarktung“ verarbeitet wurden. Das ist Betrug, oder?

Auf der Seite gab es auch einen Cookie-Banner. Ja, wir haben alle schon Dark Patterns gesehen, aber das hier ist schon eine andere Nummer: Dieser umkreiste Haken im linken Feld bedeutet nicht, dass die anderen Felder abgewählt sind.

So sahen die Feld aus, wenn man hartnäckig herausgefunden hatte, dass die drei rechten aktiv sind. Mit solchen betrügerischen Tricks kann man auch ins Gefängnis wandern. Das BDSG sieht Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe vor.

In der App nutzt man bis heute die Analysetools von Amplitude und Adjust. Die Daten landen normalerweise nicht in den Werbenetzwerken. Aber auch diese Marktforschung mit der Android Advertister ID ist nur mit Einwilligung erlaubt. Bis heute wird nicht gefragt. Im Dezember 2020 hat der SWR dann Phase6 kontaktiert, einige Tracker hatte man bis dahin bereits von selbst entfernt, den Großteil nahm man dann im Dezember raus. Heute ist die Website trackingfrei, die App nicht ganz. Am Ende wollte die Redaktion des SWR die Geschichte nicht mehr veröffentlichen, weil sie so lange auf die Stellungnahme der Berliner Behörde gewartet haben, dass Phase6 schon das meiste in Ordnung gebracht hatte. Eine abgelaufene Geschichte will keine Redaktion.

Happy End für die Kinder – aber der Fall zeigt eine katastrophale Mischung, die bleibt: Hilflose Schulbehörden, untätige Datenschutzbehörden, Naivität im Umgang mit privatwirtschaftlichen Akteuren im Bildungsbereich und skrupellose Softwareanbieter. Ich hoffe, das war eine interessante Recherche – damit ich weiterhin unabhängig arbeiten und veröffentlichen kann, freue ich mich über Spenden.

https://rufposten.de/blog/spenden/

Das komplette Recherchedossier gibt es hier zum Nachlesen:

https://rufposten.de/sonst/recherche_phase6_public.pdf

1 Comment

  1. Mawoka Reply
    11. August 2021 at 20:56

    Wie kann man als Entwickler bitte all diesen Tracking-Mist in seine App klatsch und dann einfach wieder raus nehmen? Wieso baut man dass dann bitte alles ein?! Ein guter Tracker reicht doch: matomo!

Leave a Reply

Antworten abbrechen

Text. Bild. Ton. Daten.

Diese Seite berichtet seit 2004 über multimedialen Journalismus und Datenschutz. Und stellt eigene Entwicklungen in diesem Bereich vor.

Rufposten wird betrieben von Matthias Eberl.

Vorheriges Weblog (2004-2014)

RSS Rufposten Toots (via Mastodon)

  • May 13, 2022, 07:58 13. Mai 2022
    Und zum Ausklang noch die schönste Meldung der Woche, zu der ich noch nicht gekommen bin: Unser wunderbares Multimedia-Projekt MADE TO MEASURE hat den Datenschutzpreis gewonnen🥇https://www.bvdnet.de/datenschutzmedienpreis/Ich habe wochenlang bei den Recherchen mitgearbeitet und weiß, wieviel Arbeit und unbeirrbarer Wille vom Team Laokoon in das Projekt gesteckt wurde. 🎉 https://madetomeasure.online/de/
  • May 12, 2022, 15:18 12. Mai 2022
    A new study finds 3,000 websites on which third-party tracking companies scoop up what you type into forms in real time — even if you never hit submit. This happens on about 1,800 websites for E.U. users too, likely in violation of the GDPR.https://homes.esat.kuleuven.be/~asenol/leaky-forms/leaky-forms-usenix-sec22.pdf(Via https://twitter.com/random_walker/status/1524433565668102144)
  • May 02, 2022, 05:50 2. Mai 2022
    Die Rheinische Post wollte auch auf wiederholte Frage nichts zu unseren Vorwüfen sagen. Die zuständige Datenschutzbehörde in Nordrhein-Westfalen bestätigte, dass bereits ein Verfahren in dieser Sache geführt wird. Das Traurige an der ganzen Sache ist, dass eine Regionalzeitung eigentlich eine besonders vertrauenswürdige Instanz im Leben der Menschen sein sollte. Was die Redaktion mit an Vertrauen […]
  • May 02, 2022, 05:50 2. Mai 2022
    Trauriger Höhepunkt: Der Drittanbieter Taboola erhält von der Rheinischen Post meine (base64-codierte) E-Mail-Adresse, mit der ich mein Abo angemeldet habe. Nach Datenschutzerklärung kann der Anbieter damit nun machen was er will und meine Verhaltensdaten beim Lesen auch an weitere Partner geben.
  • May 02, 2022, 05:32 2. Mai 2022
    Die Rheinische Post wollte auch auf wiederholte Frage nichts zu unseren Vorwüfen sagen. Die zuständige Datenschutzbehörde in Nordrhein-Westfalen bestätigte, dass bereits ein Verfahren in dieser Sache geführt wird. Das Traurige an der ganzen Sache ist, dass eine Regionalzeitung eigentlich eine besonders vertrauenswürdige Instanz im Leben der Menschen sein sollte. Was die Redaktion mit an Vertrauen […]
  • May 02, 2022, 05:32 2. Mai 2022
    😈 Facebook Pixel erkennt eingeloggte Nutzer😈 Profilbildende Werbecookies z.B. Criteo, Doubleclick, SpotX😈 Weitergabe der gelesenen URLs an 20 Anbieter u.a. für personalisierte Werbung (Yieldlab, Adform, Videoplaza, Xandr oder Emetriq)😈 Weitergabe der IP für Haushaltstracking
  • May 02, 2022, 05:28 2. Mai 2022
    Diesmal ist es die Rheinische Post, die sich seit mindestens fünf Monaten eine unterirdische Trickserei erlaubt: Die bis vor kurzem so angebotene Alternative zum freiwilligen Tracking ist kein trackingfreies Abo, sondern eigentlich nur das volle Plus-Abo. Das ist rechtlich schonmal nicht erlaubt, weil nicht gleichwertig. Wenn man es bucht, steigt man aber für 7,99€ erst […]
  • May 02, 2022, 05:25 2. Mai 2022
    Wie eine der zehn größten deutschen Zeitungen Einwilligungen mit einem Fantasie-Abo ertrickst und sich schließlich eine Behörde einschaltet https://www.kuketz-blog.de/rheinische-post-erzwingt-einwilligungen-mit-fantasie-abo/⬇️ Das wichtigste im Thread
  • May 01, 2022, 09:15 1. Mai 2022
    Wer es noch nicht gesehen hat: Die Big-Brother-Awards in der Aufzeichnung:https://digitalcourage.video/w/1JGytG6mwhNdbxX1UJjUv8Darunter auch zB das Blockchain-Zeugnis, über das ich berichtet habe.Amüsiere mich immer noch über die Kategorie "Lebenswerk" für die Irische Datenschutzbehörde 😄@digitalcourage
  • Apr 29, 2022, 09:10 29. April 2022
    Netzpolitik is starting a series on Digital Colonialism. Today with a report on how Facebook aims on monopolizing the entire food supply chain in India. 🇩🇪 https://netzpolitik.org/2022/reihe-zu-digitalem-kolonialismus-wie-meta-den-indischen-agrarsektor-dominieren-will/🇬🇧 https://netzpolitik.org/2022/series-on-digital-colonialism-how-meta-aims-to-dominate-indias-agriculture-sector/

Kategorien

  • Allgemein
  • Audio-Slideshow
  • Beispiele
  • Daten- und Informantenschutz
  • Interna
  • Narration
  • Reporterpreis
  • Scrollytelling
  • Testbericht
  • Tools
  • Tutorial
  • Video
  • z-Aufmacher
  • z-featured
  • Popular
  • Recent
  • Privacy Analysis of Tiktok’s App and Website 5. Dezember 2019
  • Die Zwei-Browser-Lösung gegen Datentracking 2. November 2016
  • Der große Scrollytelling-Tool-Test 15. April 2015
  • Datenschutz bei Microsoft Teams? 17. Mai 2020
  • Spenden 2021 – zweites Halbjahr 8. Januar 2022
  • How you are tracked without cookies using Identity Providers 5. Dezember 2021
  • Spenden 2021 – erstes Halbjahr 2. Juli 2021
  • Phase 6: Wie Deutschlands beliebtester Vokabeltrainer Kinder getrackt und Eltern betrogen hat 14. April 2021

Archiv

  • Januar 2022 (1)
  • Dezember 2021 (1)
  • Juli 2021 (1)
  • April 2021 (1)
  • Juli 2020 (1)
  • Juni 2020 (1)
  • Mai 2020 (1)
  • Februar 2020 (1)
  • Dezember 2019 (1)
  • November 2019 (1)
  • Oktober 2019 (4)
  • Juni 2019 (2)
  • April 2019 (1)
  • Februar 2019 (1)
  • September 2018 (1)
  • August 2018 (2)
  • Juli 2018 (1)
  • Juni 2018 (1)
  • November 2017 (1)
  • Oktober 2017 (1)
  • September 2017 (1)
  • Juli 2017 (1)
  • November 2016 (1)
  • März 2016 (1)
  • Februar 2016 (2)
  • August 2015 (1)
  • Mai 2015 (1)
  • April 2015 (2)
  • Januar 2015 (1)
  • Oktober 2014 (2)
  • September 2014 (3)
  • August 2014 (1)
  • Juli 2014 (3)

Tags

Aesop auftragsarbeit Ausstellungstrailer Beruf BR Comic Debatte Erzählstimme Facebook Filterblase Google HTML5 Interview klynt Linius Musik Pageflow Print Racontr Scrollytelling Spark Storyform sway Tech Tonlos Tools Wordpress

Social Media

RSS RSS
 Twitter
Mastodon Mastodon