Wollte hier endlich mal eine Geschichte raushauen, die ich für den SWR recherchiert habe, die aber am Ende nie veröffentlicht wurde.
Es geht um „Deutschlands führenden Vokabeltrainer“, Phase6, den über eine Million Personen nutzen, darunter viele Kinder.
Vermutlich über eine Agentur hatte man für Retargeting Pubmatic und Mathtag in die Website eingebunden, die dann die Cookies der Kinder zur Versteigerung von Anzeigen mit 20-30 anderen Anbieter austauschten (Cookie-Matching). Pubmatic kann mit den Daten machen, was es will.
Richtig doof auch, dass Facebook die Nutzung des Vokabeltrainers live verfolgen konnte, weil FB’s Pixel in die Seite integriert war. Diese Daten bleiben dauerhaft bei FB, man kann sie nicht einsehen und nicht löschen. Auch Werbetracker von Google und Microsoft waren integriert.
Google erhielt von Phase6 die feste Login-ID der Kids, so dass diese Besuche dauerhaft zu einem Profil gebündelt werden konnten, selbst wenn die Cookies gelöscht werden.
Ciao, anonyme Youtube-Nutzung, das Kind hat leider Vokabeln gelernt 🤷♂️
Moment mal, braucht man für Werbetracking nicht eine Einwilligung? 🤔
💡Lösung bei Phase6 (Juristen gut festhalten):
Man ging grundsätzlich von gegebener Einwilligung aus, die aber „schwebend unwirksam“ war:
https://www.phase-6.de/magazin/rubriken/medien-und-digitalisierung/dsgvo-inhalt-und-neuerungen-bei-phase6/
Mit dieser schwebenden Schrödinger-Einwilligung ließ sich der Vokabeltrainer aber wunderbar und endlos benutzen. Aber es kam noch dreister: Wollte man doch die Eltern fragen, bekamen die eine Tafel vorgelegt …
… hier willigten die Eltern also ahnungslos in die Nutzung von „anonymen Daten“ zur „Produktverbesserung“ ein, während in Wahrheit „personenbezogene Daten“ für die „Werbevermarktung“ verarbeitet wurden. Das ist Betrug, oder?
Auf der Seite gab es auch einen Cookie-Banner. Ja, wir haben alle schon Dark Patterns gesehen, aber das hier ist schon eine andere Nummer: Dieser umkreiste Haken im linken Feld bedeutet nicht, dass die anderen Felder abgewählt sind.
So sahen die Feld aus, wenn man hartnäckig herausgefunden hatte, dass die drei rechten aktiv sind. Mit solchen betrügerischen Tricks kann man auch ins Gefängnis wandern. Das BDSG sieht Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe vor.
In der App nutzt man bis heute die Analysetools von Amplitude und Adjust. Die Daten landen normalerweise nicht in den Werbenetzwerken. Aber auch diese Marktforschung mit der Android Advertister ID ist nur mit Einwilligung erlaubt. Bis heute wird nicht gefragt. Im Dezember 2020 hat der SWR dann Phase6 kontaktiert, einige Tracker hatte man bis dahin bereits von selbst entfernt, den Großteil nahm man dann im Dezember raus. Heute ist die Website trackingfrei, die App nicht ganz. Am Ende wollte die Redaktion des SWR die Geschichte nicht mehr veröffentlichen, weil sie so lange auf die Stellungnahme der Berliner Behörde gewartet haben, dass Phase6 schon das meiste in Ordnung gebracht hatte. Eine abgelaufene Geschichte will keine Redaktion.
Happy End für die Kinder – aber der Fall zeigt eine katastrophale Mischung, die bleibt: Hilflose Schulbehörden, untätige Datenschutzbehörden, Naivität im Umgang mit privatwirtschaftlichen Akteuren im Bildungsbereich und skrupellose Softwareanbieter. Ich hoffe, das war eine interessante Recherche – damit ich weiterhin unabhängig arbeiten und veröffentlichen kann, freue ich mich über Spenden.
https://rufposten.de/blog/spenden/
Das komplette Recherchedossier gibt es hier zum Nachlesen:
Wie kann man als Entwickler bitte all diesen Tracking-Mist in seine App klatsch und dann einfach wieder raus nehmen? Wieso baut man dass dann bitte alles ein?! Ein guter Tracker reicht doch: matomo!