Contentpass: Die trackingfreie Flatrate im ausführlichen Check

1. ContentpassContentpass

Contentpass ist ein Startup, das auf mittlerweile 172 Webseiten einen trackingfreien Zugang als Flatrate für nur 1,99€ anbietet. Der trackingfreie Zugang ersetzt also nur die Werbung. Es bietet sonst keine zusätzlichen Premium-Inhalte. Damit ist es ein gemeinschaftliches Konkurrenzangebot zu den einzeln buchbaren Pur-Abos von zum Beispiel Zeit oder Spiegel (Testbericht).

Neben einigen sehr bekannten Marken wie PC-Welt und Ökotest, Regionalzeitungen wie Sächsische Zeitung oder Harz Kurier, Wetterseiten wie wetter.com und donnerwetter.de (hier bereits ausführlich getestet) finden sich sehr viele weitere Special-Interest-Seiten (kunststoffe.de oder die Omnibus Revue). Außerdem einige leichtgängige Wissensportale, die nach meinem Eindruck existieren, um Suchmaschinentraffic mit eingekauften Texten zu monetarisieren wie beispielsweise das Gartenlexikon. Der renommierte Berliner Tagesspiegel steht offenbar ebenfalls kurz vor einem Contentpass-Abo, es wäre die erste mehr-oder-weniger-überregionale Zeitung in dem Angebot.

Contentpass-Logo

Das Startup Contentpass wurde von Dirk Freytag gegründet, der jahrelang in der Marketingbranche gearbeitet hat und außerdem Präsident des Bundesverbands Digitale Wirtschaft ist.

Unser Test wird den Dienst sehr genau untersuchen und dabei auch den Unternehmer dahinter etwas genauer beleuchten. Die Lesedaten von verschiedenen Nachrichtenseiten sind in dieser Masse überaus sensibel und daher muss man der Technik und dem Betreiber vertrauen können. Ob das bei einer Person geht, die derart stark in der Werbebranche verwurzelt ist, wollen wir beleuchten.

Der Preis und das Gesetz

Mit dem Preis – der wohl bald auf 2,99 € steigen wird – bewegt sich das Angebot auch gefühlt im Rahmen des Gesetzes, anders als bei den einzelnen Pur-Abos für oft 5€: Die trackingfreie Alternative muss nämlich »gleichwertig« sein, darf also nicht mehr kosten als der Gegenwert der nicht eingeblendeten Werbung. Noyb.eu hat das mal berechnet und kam auf 16 Cent pro Medium pro Monat. Und Contentpass zahlt den Verlagen tatsächlich exakt die Höhe der Werbeeinnahmen aus, die ihnen durch die Abos entgeht und verwendet den Rest für den eigenen Betrieb.

Es ist kein Geheimnis, dass alle Pur-Abos als Hauptzweck primär die massive Steigerung der Einwilligungsbereitschaft im Blick haben. Mit so einem kostenpflichtigem Alternativzugang können Verlage ihre Zustimmungsraten enorm steigern, von etwa 65%-85% auf 99%, wie der Contentpass-Gründer in diesem älteren Interview erklärte. Das liegt natürlich auch am fehlenden Interesse für einen trackingfreien Bezahlzugang.

2. Datenschutzerklärung

Wir starten mit der Datenschutzerklärung, die einen relativ guten Eindruck macht: Es finden sich dort keine Hinweise darauf, dass die Lesedaten für Marketing an Dritte weitergegeben werden. Contentpass sichert in den FAQs zu, dass Contentpass keine genauen Seitenaufrufe aufzeichnet, sondern lediglich die »Anzahl der Seitenaufrufe« pro Publisher registriert. Diese werden nach der Abrechnung automatisch gelöscht, schreibt das Startup. Das schauen wir uns technisch noch genauer an.

Aber die ersten Schwachstellen werden hier schon sichtbar: Auffällig sind die zahlreichen Drittanbieter: E-Mails werden über Flowmailer versendet, Zahlungen über Kreditkarte benötigen gleich zwei Anbieter (Chargebee und Stripe) und die ganze Technik wird in der Google Cloud gehostet. Hier zeigt sich bereits, dass Contentpass die DNA eines auf schnelle Skalierung ausgelegten Tech-Startups trägt. Zahlungstechnologie ist ja eine der größten Hürden bei der Expansion in andere Länder und darauf wollte man offenbar vorbereitet sein. Privacy by Design, wie in den FAQs versprochen wird, stelle ich mir anders vor, auch wenn viele andere Startups natürlich ähnlich arbeiten. Mal sehen, was bei der Bezahlung technisch genau passiert und wie Contentpass das begründet.

3. Registrierung und Bezahlung

Datensparsam ist die Anmeldung: Mehr als eine E-Mail-Adresse, die per Code verifiziert wird, und ein Passwort ist für den Account nicht notwendig. Diese Daten gehen vom Browser auch nicht an Dritte. Sie werden allerdings direkt und unverschlüsselt auf einem Google-Cloud-Server verarbeitet. Weil diese Daten generell gegenüber Geheimdienstzugriffen nicht rechtlich ausreichend gesichert sind, ist das nicht sonderlich gut, auch wenn es wirklich nur die Stammdaten und keine Nutzungsdaten sind. Die Bezahldaten werden nach meinen Erkenntnissen nicht in dieser Datenbank gespeichert, sondern sind nur über die Nutzer-ID verknüpft, die in beiden Datenbanken gespeichert ist (Contentpass bestätigte dies, die Bezahldaten liegen getrennt und ausschließlich bei Chargebee). Wer beide Daten zusammenbringen will, müsste also auch bei Chargebee an die Datenbank ran. Eine pseudonyme E-Mail-Adresse könnte für besonders kritische Datenschützer’innen etwas mehr Verschleierung zwischen dem Login und den persönlichen Bezahldaten bewirken.

Warum nicht kostenlos mit Werbung lesen?

Ein paar Euro zahlen, damit man kein Werbetracking hat – lohnt sich das? Für eine gute Entscheidung solltest du erst mal alle Fakten zu personalisiertem Werbetracking kennen:

  • Die Verhaltensdaten werden oft browser- und geräteübergreifend zu einer Person gesammelt und ständig zwischen hunderten Firmen ausgetauscht
  • Die Anzeigen werden in einer Echtzeitversteigerung in den wenigen Millisekunden des Seitenaufbaus versteigert
  • Geboten wird auf dein Profil, nicht auf den Inhalt der Seite
  • Manche Anbieter haben zu den pseudonymen Cookies auch deine echten Daten wie E-Mail-Adresse oder Telefonnummer
  • Personalisierte Werbung kann deine Schwächen ausfindig machen und Geld daraus ziehen (bis hin zu Eigenschaften wie problematischem Spielverhalten oder niedrigem Körper-Selbstbewusstsein)
  • Verhaltensdaten können auch für eine Manipulation demokratischer Wahlen missbraucht werden
  • Cookies löschen bringt oft nichts: Die meisten Anbieter setzen langlebige Identitätsdienste ein, die z.B. deine anonymen Nutzungen erkennen, weil jemand anderes in deinem Haushalt eingeloggt ist.

Überlege dir in Ruhe, ob du in diese Sache einwilligst, um ein paar Euro zu sparen.

Für die Bezahlung wird über den Anbieter Chargebee ein Frame eingeblendet. Dort kann man Kreditkarte, Paypal oder Lastschrift auswählen. Im nächsten Schritt wird dann zusätzlich Stripe eingebunden. Chargebee scheint die Abonnements und die Kontrolle der Zahlungen im System zu organisieren, während Stripe für die eigentliche Abrechnungsabwicklung benutzt wird. Chargebee ist dabei als Auftragsverarbeiter eingebunden, was einen hohen Datenschutz gewähren sollte (beispielsweise werden alle Daten wieder gelöscht, sobald man seinen Vertrag mit Contentpass kündigt). Stripe ist hingegen laut Datenschutzerklärung ein unbeteiligter Dritter, der sozusagen in meinem Auftrag eine Zahlung an Contentpass vornimmt. Ähnlich sind auch andere Zahlungsanbieter wie eine Kreditkarte oder Paypal datenschutzrechtlich organisiert. Contentpass gab hingegen an, mit Stripe ein Auftragsverhältnis zu haben. Bei Kündigung lösche auch Stripe die Daten. Wie auch immer: Diese Kette an Mittelsmännern im Zahlungssystem, die teilweise nicht mehr unter der Kontrolle von Contentpass stehen, ist eine wirkliche Datenschutzschwäche. Auch Google-Maps-Scripte und Scripte von einem Amazon-Server werden hier aufgerufen.

Contentpass-Bezahlung

Ärgerlich ist auch, dass die Datenschutzerklärung von Stripe zulässt, dass Transaktions-Daten für Werbung innerhalb enger Grenzen (z.B. durch Contentpass oder direkt von Stripe) genutzt werden. Das könnte zum Beispiel einer sogenannten »Revenue Recovery« dienen: Wenn ein Abo nicht mehr bezahlt wird, könnte Contentpass über Stripe eine Erinnerungs-E-Mail schreiben. Contentpass gab aber an, das nicht zu nutzen. Eine Weitergabe an Dritte ist auch bei Stripe ausgeschlossen.

Als amerikanischer Anbieter steht auch Stripe unter dem Problem, dass Geheimdienste auf die Daten ohne funktionierende Schutzmechanismen Zugriff haben. Bei der Zahlung mit Lastschrift werden auch persönlichen Daten wie die E-Mail-Adresse an Stripe übertragen, obwohl dies nicht notwendig ist. Contentpass hat das ebenfalls als Problem erkannt und Chargebee angewiesen, die E-Mail-Adresse nicht mehr an Stripe weiterzugeben. Dies ist angeblich auch schon umgesetzt.

Contentpass wies noch darauf hin, dass bei einer Bezahlung mit Paypal keine Einbindung von Stripe erfolgt. Das konnte ich mangels Paypal-Account nicht testen. Außerdem kündigte Contentpass an, für die Zukunft nach Vorbild von Mailbox.org eine Bargeld-Bezahlung einführen zu wollen. Da gäbe es aber noch umsatzsteuerliche Hürden, meinte Dirk Freytag. Bezahlung ist wie immer ein leidiges Thema: Es ist immer noch nicht einfach, Bezahlungen mit europäischer Technik oder anonymisiert durchzuführen, aber möglich wäre es. Posteo ist eines der besten Beispiele dafür.

4. Nutzung

Bei der Umsetzung im eigentlichen Betrieb hat man sich einige gute Ideen einfallen lassen, um die Daten der Nutzenden zu schützen. Denn Logins sind ja immer ein zusätzliches Risiko für profilbezogenes Tracking. Ich zeige das mal exemplarisch bei dem Portal utopia.de auf. Mit Contentpass ist man nicht grundsätzlich bei den teilnehmenden Seiten angemeldet, sondern wird erst zum Login aufgefordert, wenn man mit der Cookie-Wall konfrontiert wird und dann Hier anmelden wählt.

Utopia-Cookiewall

Contentpass ist also kein zentraler Login, der auf anderen Seiten ohne Kontrolle Daten preisgibt. Der Nachteil: man muss sich bei allen teilnehmenden Publikationen einzeln anmelden. Hier melde ich mich nun also nur für utopia.de an.

Utopia-Login

Obwohl ich bei Contentpass eine gleichbleibende User-ID (customer_handle) in der Stammdatenbank habe, wird diese nicht an Utopia weitergegeben. Ich authentifiziere mich isoliert bei Contentpass und werde dann an utopia.de weitergeleitet. Dort erhalte ich eine temporäre Sitzungs-ID, die nicht mit meinem Account verbunden ist:

_cpi: s:d04e1549-e9aa-4e28-a8d9-5134743fc74e.82SUXLglDkZCAugTTyXtqe/6c39+Sy/erNG0WJjhmy0

Utopia weiß also nicht, welcher Nutzer gerade da ist. Um keine Spuren zu hinterlassen, hat man sogar in dem Authentifizierungstoken, das die Publisher für die lokale Kontrolle des Logins in meinem Browser ablegen, die User-ID herausgenommen – entgegen der offiziellen Spezifikation. Die Tokens von zwei Accounts sehen also in meinem Browser exakt gleich aus:

Zwei User

Selbst wenn der Publisher über Cross-Site-Scripting irgendwie auf die IDs in der Subdomain von Contentpass zugreifen kann, findet er dort maximal eine Sitzungs-ID. Bei Contentpass gab man zu, dass diese Lösung einige technische Nachteile hatte, die man aber in Kauf nahm, um grundsätzlich keine User-IDs an die besuchten Seiten zu übermitteln.

Wenn ich in der gleichen Sitzung eine andere Contentpass-Seite besuche (zum Beispiel juraforum.de), dann habe ich nochmals eine andere temporäre ID. Die Sitzungs-ID ändert sich also pro Anbieter und pro Anmeldevorgang:

_cpi: s:ff4bb4de-a2ae-4991-a318-3a5b905af86c.MSDDd+FD6RNwRNQ1tWLDZflJpTaA962eLWdIUk5V4go

Da die Prüfung in der Subdomain stattfindet, erfährt Utopia noch nicht mal direkt die temporäre ID. Es wird nur ein Cookie cpauthhint auf den Wert 1 gesetzt – kontrolliert wird der Zugang weiterhin von der eingebundenen Contentpass-Subdomain.

In der anderen Richtung war diese Diskretion bis vor kurzem weniger gut umgesetzt: Der mitgesendete Referrer (also jede einzelne URL einer aufgerufenen Seite bei Utopia) gelangte bei unsicher konfigurierten Browsern auf die Google Cloud von Contentpass.

Utopia-Referer

So könnte Contentpass alle Seiten mitverfolgen, die ich bei utopia.de durchgelesen habe. Da man die Übertragung des Referrers im Browser leicht abschalten kann (und sollte), wird dieses Datum für eine statistische Auswertung üblicherweise nicht verwendet, da es viel zu vereinzelt funktioniert. Google Analytics beispielsweise überträgt eine URL immer zusätzlich als Parameter. Daher ist nicht davon auszugehen, dass Contentpass aus diesen Daten eine Statistik erstellt. Auch waren andere Publisher wie juraforum.de so konfiguriert, dass sie keinen Referrer über die Contentpass-Subdomain sendeten.

Ich habe Contentpass darauf aufmerksam gemacht und man hat zugesagt, dass man die Übertragung der kompletten URL an Contentpass im Header in Zukunft verhindern wird, z.B. mit der Referrer-Policy. Aktuell werden diese Daten laut Contentpass nicht aktiv erhoben bzw. gespeichert.

Noch bevor ich mit dem Schreiben des Artikels fertig war, hat man außerdem den Google Cloud Server als Sicherheitsmaßnahme über den französischen Anbieter OVH umgeleitet. Dadurch werden alle Metainformationen aus den Requests getilgt. Im Betrieb sind Nutzer’innen daher nun innerhalb der Google-Cloud-Datenbank anonym. Ich gehe davon aus, dass nun auch der Referrer nicht mehr übertragen wird – das kann ich allerdings nicht kontrollieren. Auch ein Abgreifen der Referrer bei OVH halte ich für extrem unwahrscheinlich.

Von außen wäre es für mich übrigens nicht mehr erkennbar, dass hinter OVH noch die Google Cloud genutzt wird. Auch hier fällt die offene Kommunikation des Unternehmens angenehm auf. Ganz verzichten will man aber dort nicht auf den Cloud Server: Angeblich trifft über die Publisher so viel Traffic auf Contentpass und die Abrechnungsdatenbank ein, dass es keine Alternative zu dem Cloud-Dienst Big Query gibt. Was allerdings bereits angedacht ist, ist ein Umstieg auf die von der Telekom geführte Cloud, die in der Zukunft mit Google-Technologie laufen soll.

5. Interne Statistiken

Bei der Einbindung sind auch Aufrufe an zwei verschiedene Statistik-Lösungen erkennbar, die Contentpass selbst betreibt. Die Angaben in der Datenschutzerklärung dazu sind etwas spärlich, aber man hat mir mitgeteilt, dass eine ausführlichere Datenschutzerklärung noch auf der To-do-Liste steht.

Die erste Statistik sammelt nur Daten, bis der Login bei einem Anbieter abgeschlossen ist. Gesendet wird hier die jeweilige Sitzungs-ID cpabid und die ID des besuchten Abos (cppid). Bei jeder neuen Sitzung ändert sich die cpabid. Die weiteren Aufrufe im Angebot des Publishers wird von diesen Requests dann nicht mehr erfasst.

https://cp.juraforum.de/stats
cpabid "fba57409-edac-45ed-9956-69df1ab25970"
cppid "1ea8f39b"
ea "beforeunload"
ec "funnel"
el "consent"
ni true

Nach Angaben von Contentpass ist dies Teil eines Error-Logs, das hauptsächlich bei Anmelde-Problemen helfen soll, die beispielsweise durch übereifrige Ad-Blocker produziert werden.

Die zweite Statistik-Lösung sendet nur eine Request-ID iid, die sich bei jedem Seitenaufruf ändert. Sie dient nach Angaben von Contentpass nur der fairen Ausschüttung der Erlöse unter den teilnehmenden Webseiten und wird nach einem Monat gelöscht. Die iid hat dabei die Aufgabe, die versehentlich doppelte Zählung des gleichen Requests zu verhindern.

https://cp.juraforum.de/pass/hit
pid=b5f00676
iid=a6c342a2-acf9-4ce0-b719-e23ea6b93a54
t=pageview

Soweit ich das nachvollziehen kann, ist diese Statistik damit wirklich anonym. Diese Datenbank ist außerdem nach Angaben von Contentpass technisch eine andere als die Stammdatenbank mit Kundendaten.

Beide Statistiken erhalten damit keine IDs, die für eine Profilbildung notwendig wären – zumindest nicht direkt. Allerdings enthalten die Cookies zu diesen Aufrufen die Sitzungs-IDs, sodass theoretisch aus der anonymen Aufrufstatistik eine pseudonyme Sitzungsstatistik werden könnte, wenn man die Server-Logfiles hinzuzieht. Das sieht technisch aber nicht danach aus und Contentpass hat auch verneint, dass diese durchgeführt wird.

6. Wie trackingfrei sind die enthaltenen Publisher?

Contentpass schreibt den Seitenbetreibern klar vor: Kein Werbetracking und kein profilbezogenes Analysetracking ist laut FAQ erlaubt. Nur eine anonyme Abrufstatistik ohne Profilbildung darf durchgeführt werden.

Leider wird das nicht immer eingehalten. Bereits in verschiedenen vorherigen Artikeln habe ich das bemängelt, auch bei diesem Test musste ich feststellen, dass beispielsweise plantopedia.de noch Google Analytics mit einer Marketingerweiterung zu doubleclick.net enthielt. Besonders schlimm ist die Mopo.de, die zahlreiche Werbetracking-Einbettungen enthält, die zwar keine Marketing-Cookies setzen, aber bereits vorhandene lesen können.

Bemerkenswert war die Geschwindigkeit, mit denen sich Contentpass um diese Probleme gekümmert hat. Noch bevor ich den Artikel jeweils veröffentlichen konnte, hatte Contentpass den Seitenbetreiber dazu gebracht, das Tracking zu entfernen – so auch bei plantopedia.de. Contentpass meinte dazu, dass viele Fehler tatsächlich versehentlich passieren, da häufig bei Drittanbietern etwas geändert oder nachträglich etwas eingebettet wird. Contentpass fungiert hier also auch als technische und datenschutzrechtliche Unterstützung für die Unternehmen, die beim Datenschutz nicht ganz durchblicken. Auch ein Crawler werde dafür eingesetzt, erklärte Contentpass. Und dieser melde zunächst an Contentpass und wenn der Fehler nicht behoben wird, blende er auch beim Endkunden Warnungen vor Seiten ein, die nicht dem Standard entsprechen. Dauerhaft dulde Contentpass keine Verstöße: Ein Publisher sei bereits wieder aus dem Verbund herausgeflogen, weil er offensichtlich nicht in der Lage war, seine Einbettungen trotz mehrmaliger Aufforderungen in den Griff zu bekommen.

7. Der Unternehmer Dirk Freytag

Gegründet wurde Contentpass von Dirk Freytag. Der Unternehmer ist in der Marketingbranche vielen ein Begriff, weil er bereits sehr früh bei Firmen wie Adtech gearbeitet hat und später auch in den USA im Werbegeschäft von AOL mitwirkte.

Dirk Freytag ist außerdem Präsident des Bundesverbands Digitale Wirtschaft (BVDW). In seiner Funktion als Präsident unternimmt er nach Angaben aus diesem älteren Interview auch Lobbyarbeit mit dem Ziel, Gesetzgebungsverfahren etwas wirtschaftsfreundlicher und etwas weniger datenschutzfreundlich zu machen.

In einem anderen Interview sprach Freytag auch offen über seine Investments und gab an, Investmentbeteiligungen bei Mediamath und Zeotap (Testbericht) zu haben. Am unschönsten für Datenschützer dürfte aber sein Investment in Palantir sein, das eine der umstrittensten Firmen des Silicon Valley ist und Überwachungsdaten aus dem kommerziellen Bereich wie zum Beispiel von Facebook mit den internen Daten von Geheimdiensten und Polizei kombinieren und aufbereiten kann.

Darauf angesprochen gab er an, dass er bei Palantir bereits wieder ausgestiegen sei und auch einen Ausstieg aus Zeotap anstrebe. Grund sei unter anderem auch, dass Zeotap an dem mangelhaften Consent-Framework TCF festhält, was er geschäftlich für eine Fehlentscheidung hält:

Man kann nicht mehr mit Daten alles machen.

Er sei nicht der größte Datenschützer, sagt er von sich, sondern denke Themen in Geschäftsmodellen. Er gibt zu:

Ich versuche, mit Datenschutz monetäre Interessen zu verfolgen.

Der Ausgangspunkt von Contentpass war Adblocking: Viele Leute haben keine Lust auf Werbung und Tracking und er wollte ihnen ein Angebot machen, das diesen Wunsch ermöglicht. Datenschutz ist für ihn damit vor allem ein Anliegen von Konsumenten. Freytag denkt nicht unbedingt gegen den Datenschutz, aber er denkt aus einer anderen Richtung: Würde man das Thema Datenschutz insgesamt größer bekommen, würde es auch wirtschaftlich bedeutender werden. Eine Enttäuschung sei es bei Contentpass daher gewesen, dass nicht mal 1-2% der Seitenbesucher bereit sind, für den Datenschutz zu bezahlen, aber das bleibe weiterhin Zielmarke.

Wenn ihm eine Sache über die Rechtslage hinaus wichtig wäre, dann sei das Transparenz, nicht nur im Datenschutz, meint Dirk Freytag.

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

8. Fazit

Contentpass ist ein vielversprechendes Startup mit einer trackingfreien Flatrate, die jetzt schon für jeden ein paar nützliche Seiten bereithält. Die Zuwachsrate ist beachtlich und sicher haben auch gute Branchenkontakte hier eine Rolle gespielt. Denn Verlage sind traditionell sehr bockig mit externen Flatrate-Anbietern.

Leider gibt es einige Mängel, die sogar datenschutzrechtlich relevant sein könnten. Sie liegen im Bereich der Registrierung: Die Stammdaten liegen in der Google Cloud und die Zahlungsdaten laufen über den US-amerikanischen Anbieter Stripe. Das hätte man nach meiner Einschätzung anders lösen können, aber die Nachteile wollte man offenbar aus Gründen der schnellen Skalierbarkeit nicht eingehen. Immerhin verraten die Zahlungen an den Flatrateanbieter aber nichts über Leseinteressen oder politische Einstellungen wie bei einem Direktabo.

Im Betrieb ist das Abo wie versprochen datenschutzfreundlich. Sowohl von der technischen Gestaltung als auch über die strenge Überwachung der teilnehmenden Seiten. Ich habe noch nie ein Unternehmen gesehen, das so schnell auf Datenschutzprobleme reagiert hat. Hinzu kommt die ehrliche und transparente Kommunikation: Mir wurde an keiner Stelle eine irreführende oder ablehnende Auskunft gegeben, sondern man hat mir von Anfang bis Ende geholfen, den Test sachlich fundiert zu schreiben und alle Datenschutzfragen beantwortet. Wenn sich diese Einstellungen auch auf andere Startups überträgt, wäre das ein Kompromiss aus Datenschutz und Wirtschaftlichkeit, mit dem schon vielen Verbrauchern geholfen wäre.

Vor allem die Lesedaten sind in der internen Statistik des Anbieters durch eine Anonymisierung gut geschützt. Wenn Contentpass oder die Publisher tricksen würden, könnten sie maximal eine Sitzungs-ID aus den anfallenden Daten erstellen. Wer sicher gehen will, nutzt Contentpass also in einem Browser, der alle Cookies nach Ende der Sitzung wieder löscht.

Hinter dem Startup steht ein Unternehmer, der im Zweifelsfall Entscheidungen für die Wirtschaftlichkeit und gegen den Datenschutz stellt. Er ist in diesen Dingen aber transparent.

Für mich ist Contentpass nicht perfekt, aber ich habe nach den vielen Antworten und der technischen Analyse ausreichend Vertrauen, um mein trackingfreies Abo dort weiterzuführen. Mit meiner umfangreichen Analyse kann hoffentlich jeder für sich eine eigene Entscheidung treffen.

Bildquellen:

Newsstand: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Eberl

Matthias Eberl

Matthias Eberl ist freiberuflicher Multimedia-Journalist und schreibt außerdem für verschiedene Publikationen über Datenschutz-Themen. Für Journalisten gibt er auch Kurse im Bereich Informantenschutz. Er ist als Datenschutzbeauftragter von der IHK zertifiziert.

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

13 Ergänzungen zu “Contentpass: Die trackingfreie Flatrate im ausführlichen Check”

  1. Comment Avatar Moni sagt:

    Interressanter Artikel.

    Aber:

    „Stammdaten liegen in der Google Cloud und die Zahlungsdaten laufen über den US-amerikanischen Anbieter Stripe.“

    Da werden grundlegende datenschutzpolitische Einstellungen, d.h. besonders sensible Daten laut DSGVO 9, für Google und Stripe erkennbar, denn nur datenschutzpolitisch in bestimmter Weise orientierte Nutzer, werden Kunden werden.

  2. Comment Avatar Christian S. sagt:

    Ich stoße immer öfter auf diese 1,99€ Angebote ohne (Werbe)Tracking.
    Wäre interessant, sowas abzuschließen, wenn die Versprechen gehalten werden.

    Nur: ist das Angebot überhaupt legitim bzw. erlaubt?
    Gemäß der GDPR/ DSGVO hätte ich ja die Möglichkeit, dem Tracking kostenlos zu widersprechen (bekomme dann halt trotzdem – irrelevante – Werbung).
    Der Datenverarbeitung gegen Geld zu widersprechen wäre ein GDPR Verstoß?
    Oder habe ich gerade einen Denkfehler?

    • Comment Avatar Matthias Eberl sagt:

      Die Versprechen werden manchmal eingehalten, aber leider oft nicht. Ich teste immer mal wieder Abos, richtig vertrauenswürdig im Betrieb war bisher nur Meteoblue, derStandard und Contentpass, Lücken gab es vor allem beim Analysetracking und beim Bezahlvorgang. Werbetracking im Betrieb ist meistens aber wirklich deaktiviert.

      Die andere Fragen ist kompliziert und weitergehend noch nicht durchgeklagt, ich versuch es mal als Nichtjurist: In den meisten Modellen ist der Bezahlvorgang die offizielle Alternative nach DSGVO und damit dürfen im Werbezugang Angebotsbeschränkungen/Sperren durchgeführt werden, sobald du widersprichst. Der Bezahlzugang unterliegt dann sozusagen nicht mehr den Anforderungen, der sonst an eine „freiwillige“ Einwilligung gegeben wird, z.B. „kein Zwang“, weil die Alternative ja als Bezahlzugang bereitsteht. Beiden Angebote sind dann über die DSGVO sozusagen verknüpft.

      Sehr wenige Häuser beginnen gerade aber mit eine ziemlich absurden Konstruktion, bei der das Tracking sozusagen Teil des geschlossenen Vertrages ist und der Bezahlzugang daneben nicht nach DSGVO als Alternative damit verknüpft ist. Man erkennt das in den genauen Formulierungen, die z.B. das Tracking zum Teil der Vertragsbedingungen machen. Das ist meiner Meinung nach nicht mehr erlaubt, weil dann eben die freiwillige Einwilligung nicht gegeben ist, weil ohne Einwilligung der Vertrag aufgehoben wird.

      • Comment Avatar Christian S sagt:

        Bei GMX ist es so, dass ich ein TrackFree- Abo für 1,99€ buchen kann.
        Ob mit oder ohne TrackFree- Abo: Werbung bekomme ich immer.
        Zahlen oder Tracking: das halte ich nicht für legal.

  3. Comment Avatar Denis Müller sagt:

    Vielen Dank für diese kritische Betrachtung, genau danach habe in der Vergangenheit schon öfters gesucht. Bisher bin ich aber nicht fündig geworden und wollte dieses Thema für den Blog schon angeregt haben.

    Im Artikel wird erwähnt, dass die Übertragung des Referrers im Browser deaktiviert werden sollte. Soweit ich das gelesen habe, bietet die verlinkte Seite kb.mozillazine.org zwar dazu technische Hintergründe, aber keine konkrete Anleitung.
    Die Firefox-Addons Toggle Referrer (with optional spoofing feature) und Smart Referer, die im Artikel „HowTo: Beliebige Add-Ons in Fennec auf Android installieren“ geführt werden, tun genau das, oder? Danke

  4. Comment Avatar Anonymous sagt:

    Der Artikel unterlässt leider eine kritisch rechtliche Betrachtung der Wahl zwischen „Tracking“ und „Zahlen“. Die Einwilligung ist bei solchen Modellen nicht freiwillig. Wie schon im Artikel beschrieben werden Einwilligungsraten von 99% erzielt. Da kann nie und nimmer von freier Wahl die Rede sein.

    Obwohl die technischen Details interessant sind, wäre diese rechtliche Diskussion unbedingt anzustossen bevor Loblieder auf Contentpass gesungen werden.

    • Comment Avatar Matthias Eberl sagt:

      Das stimmt natürlich. Auch wenn die rechtliche Lage durch Behördenentscheidungen schon als recht sicher gilt, gibt es auch Gegenmeinungen (zum Beispiel hat NOYB dagegen Beschwerden eingelegt und ein Gericht hat dazu noch nicht entschieden. Das hätte ich zumindest kurz erwähnen können. Demnächst wird es vermutlich einen eher rechtlichen Beitrag zum Dauerthema Purabo geben, dann greife ich das nochmal auf.

      Siehe auch: Malte Engeler: Das überschätzte Koppelungsverbot – Die Bedeutung des Art. 7 Abs. 4 DS-GVO in Vertragsverhältnissen [€]
      ZD 2018, S. 55

      • Comment Avatar Anonymous sagt:

        Ein rechtlicher Beitrag wäre wünschenswert. Wobei es sicherlich nicht nur um das Kopplungsverbot gehen kann, sondern um die allgemeinere Frage, ob ich denn Daten (und indirekt also mein Grundrecht auf Datenschutz) verkaufen kann. Dies ist gerade was durch solche Modelle wie Contentpass legitimiert wird.

      • Comment Avatar Datenschutzjurist NGO sagt:

        Als Datenschutzjurist muss ich zum Kopplungsverbot sagen, dass dies so in der Datenschutz-Grundverordnung (DSGVO) tatsächlich angelegt ist und daher die kritischen Stimmen von Anonymous und Robert sehr berechtigt sind. Die zitierten Aufsätze von Engeler und Golland (Wirtschaftsanwalt!) sind juristisch schwach und nicht überzeugend und stellen keine Mehrheitsmeinung dar. Nach DSGVO steht tatsächlich in Frage, ob das Modell von contentpass überhaupt rechtlich zulässig ist, weil der Kunde sich von Tracking freikauft, obwohl Tracking und personalisierte Werbung für den Betrieb einer Webseite nicht „erforderlich“ im Sinne der DSGVO sind. Nach DSGVO ist eine Datenschutz-Einwilligung nicht „freiwillig“ und damit nicht wirksam, wenn
        – der Kunde die Datenschutz-Einwilligung nicht „verweigern kann, ohne Nachteile zu erleiden“ (Erwägungsgrund 42) oder
        – die Datenschutz-Einwilligung Voraussetzung für den Vertragsschluss ist, „obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist“ (Art. 7 Abs. 4 und Erwägungsgrund 43).
        Das Modell „Tracken oder Bezahlen“ als Alternative ist damit rechtlich nicht möglich, da eine Ablehnung ohne Nachteil (Kunde muss entweder zahlen oder kann Webseite nicht nutzen) nicht möglich ist und Werbe-Tracking niemals erforderlich im Sinne der DSGVO für den Betrieb einer Webseite ist (im Gegensatz z.B. zur Kundenadresse beim E-Commerce).
        Rechtlich nach DSGVO möglich ist dagegen
        – reines Bezahlangebot oder
        – wenn neben Tracking und Bezahlen noch eine gleichwertige Nutzungsmöglichkeit ohne Tracking angeboten wird.
        Herr Eberl hat aber im Ergebnis recht mit der Aussage, dass diese Frage letztendlich erst verbindlich vom Europäischen Gerichtshof geklärt wird. Bis dahin sprechen aber sehr gute Gründe für ein Kopplungsverbot und sollte es entgegen Engeler eher heißen: „Das unterschätzte Kopplungsverbot!“.

  5. Comment Avatar Robert sagt:

    Den Name CONTENTpass finde ich hier schon reichlich irreführend und mindestens ebenso – wenn nicht noch gar noch viel mehr – den Begriff „Flatrate“ in diesem Zusammenhang. Genau deshalb dachte ich erst das Ganze ist eine andere Art von Readly.
    Im Grunde geht es dann aber nur um dein Geld anstatt deine Daten. Im Supermarkt kann ich die Kundenkarte ablehnen, im Internet das Tracking nicht. Und nun hat man also die Möglichkeit sich von der Datensammelwut der beteiligten Anbieter freikaufen zu können. Für mich riecht das ganze schon relativ streng nach einem Vertrag, dessen Gesamtcharakter möglicherweise Sittenwidrig ist. Und ein Rechtsgeschäft, welches gegen die guten Sitten verstößt, ist gemäß § 138 BGB Abs. 1 von Anfang an nichtig.

    • Comment Avatar Matthias Eberl sagt:

      Also sittenwidrig ist es mit Sicherheit nicht, aber wie bereits in einem vorherigen Kommentar beschrieben, gibt es auch in Fachkreisen eine kleinere Gruppe, die unter diesen Bedingungen an der Freiwilligkeit zweifelt. Befürworter argumentieren, dass die Gestaltung der Geschäftsmodelle dann datenschutzrechtlich unproblematisch ist, wenn wenigstens ein Modell ohne die einwilligungspflichtigen Datenverarbeitung auskommt (z.B. Golland: Das Kopplungsverbot in der Datenschutz-Grundverordnung). Um bei dem Beispiel mit dem Supermarkt zu bleiben: Du kannst die Kundenkarte ablehnen, aber bekommst dann auch nicht das Fissler-Topf-Set geschenkt. Wenn du dann an der Kasse normal dafür bezahlst, ist es auch kein Freikaufen von Daten, sondern der Preis für das Topf-Set. Entscheidend ist dabei nur immer die Gleichwertigkeit beider Optionen.

      • Comment Avatar Robert sagt:

        Es ist doch vollkommen klar und offensichtlich. dass es dabei um eine Art von „sich Freikaufen“ bzw. Tribut-Zahlungen geht. Man soll / kann für etwas zahlen, was dann NICHT mehr eingebaut wird. Und wenn es um die Einhaltung meiner Privatsphäre, den Schutz meiner persönlichen Daten, ergo also um ein eigentliches Grundrecht auf Selbstbestimmung der Verwendung meiner Daten geht, dann kann man sich hier schon irgendwie erpresst fühlen!
        Ein paar Analogien: Alle Autohersteller bauen standardmässig eine Kiste zur Aufzeichung aller Fahrrouten ein und ohne Kiste kostet das Auto plötzlich 1000 Euro mehr. Alle Wohnungen in einem Häuserblock haben mindestens eine Überwachungskamera in einem Zimmer und ohne Kamera kostet die gleiche Wohnung dann 500 Euro mehr Miete.
        Zurück zum vorliegenden Thema: Hier macht sich jemand eine vorhandene Datenübermittlung (die eben gerade nicht in jedem Fall immer zweifelsfrei rechtlich korrekt und abgeklärt ist -> Verwendung von Cookies, Cookiebanner, Opt-In, Opt-Out, Einhaltung GDPR) zu nutze, um darauf ein Geschäftmodell aufzubauen. Für mich persönlich verstoßen solche Art von Verträgen immer gegen die allgemeinen Rechtsnormen, weil damit Konsumenten überfordert, von ihren normalen Rechten abgelenkt und – u. a. tatsächliche – Zwangslagen ausgenutzt werden (können).
        Das mit der Sittenwidrigkeit muss natürlich im Zweilfelsfall immer ein Gericht klären und entscheiden.

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.