eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

1. eBay Kleinanzeigen

Im Rahmen der Artikelserie »App-Check« werden bekannte und weitverbreitete Apps auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Apps beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin eine App eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich eine App in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt. Eine rechtliche Bewertung des ermittelten Datensendeverhaltens erfolgt durch Spirit Legal (Peter Hense) – eine Rechtsanwaltssozietät mit Sitz in Leipzig.

Im vorliegenden Beitrag wird die App eBay Kleinanzeigen analysiert, die für Android und iOS verfügbar ist. Die Analyse erfolgt sowohl unter Android als auch unter iOS. Die Ausgangslage für den nachfolgenden Test der App ist wie folgt:

• Betriebssystem: Android 10 (Xiaomi Mi A1) | iOS 15.4.1 (iPhone SE)
• App-Version: 13.22.0 (Android) | 13.22.0 (iOS)
• Verbreitung: Über 10 Millionen Downloads (Google Play Store)
• Exodus Privacy: In der Version 13.21.0 (Android) sind 10 Tracker integriert

Die App wird aktuell wie folgt beworben:

Immer alles auf dem Schirm haben

• DB Navigator: Datenschutz fällt heute aus – App-Check Teil1
• Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2
• eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3
• Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4

2. Datensendeverhalten

2.1 Android und iOS

Die nachfolgende Analyse erfolgte unter den Plattformen Android und iOS. Grundsätzlich ist das Datensendeverhalten der eBay-Kleinanzeigen-App auf beiden Plattformen ähnlich.

2.2 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

Die nachfolgenden Datenübermittlungen erfolgen noch bevor der Nutzer eine Interaktion ausgeführt hat. Dies ist oftmals problematisch, da diese Daten/Informationen noch vor der Abgabe einer ausdrücklichen, informierten, freiwilligen und aktiven Einwilligung abgefragt bzw. übermittelt werden.

[1] Unmittelbar nach dem Start der App wird eine Verbindung zu Google Firebase (USA) initiiert – eine Entwicklungs-Plattform für mobile Anwendungen [firebaseinstallations.googleapis.com]:

POST /v1/projects/project-4644380990139517935/installations HTTP/1.1
Content-Type: application/json
Accept: application/json
Cache-Control: no-cache
X-Android-Package: com.ebay.kleinanzeigen
x-firebase-client: H4sIAAAAAAAAAKtWykhNLCpJSk0sKVayio7VUSpLLSrOzM9TslIyUqoFAFyivEQfAAAA
X-Android-Cert: 2A715B64F9C05C1814F265B882188291C1FF10CC
x-goog-api-key: AIzaSyBRxephnuqd5oCRyZwhl547U92ocQslfcM
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: firebaseinstallations.googleapis.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 129

{
   "fid":"fh4ysPAgQQeLqXH5_QYP8_",
   "appId":"1:557320552179:android:d112cd85034f3b00",
   "authVersion":"FIS_v2",
   "sdkVersion":"a:17.0.1"
}

[2] Eine weitere Verbindung erfolgt zu Google Firebase Crashlytics (USA), einem Dienst für die Erstellung/Auswertung von Absturzberichten [firebase-settings.crashlytics.com]:

GET /spi/v2/platforms/android/gmp/1:557320552179:android:d112cd85034f3b00/settings?instance=e36c06e94a3f72ac23c5cc3d0e6bbc4d794b5c39&build_version=38163&display_version=13.22.0&source=4 HTTP/1.1
X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa
X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Mi A1
X-CRASHLYTICS-INSTALLATION-ID: 62fa8f9d2ca24b7699b708677b5b46c7
X-CRASHLYTICS-OS-DISPLAY-VERSION: 10
Accept: application/json
X-CRASHLYTICS-API-CLIENT-VERSION: 18.2.11
User-Agent: Crashlytics Android SDK/18.2.11
X-CRASHLYTICS-API-CLIENT-TYPE: android
X-CRASHLYTICS-GOOGLE-APP-ID: 1:557320552179:android:d112cd85034f3b00
X-CRASHLYTICS-OS-BUILD-VERSION: 10037230
Host: firebase-settings.crashlytics.com
Connection: close
Accept-Encoding: gzip, deflate

[3.1] Weiterhin nimmt die App diverse Verbindungen mit den Servern/Adressen von eBay Kleinanzeigen auf. Lokal (auf dem Gerät) wird zunächst eine UUID (54f68fed-c230-481d-bcff-69879b65891f1658134036559) generiert, welche die App dann im ersten Aufruf an die Gegenstelle übermittelt [api.ebay-kleinanzeigen.de]:

GET /api/featureflags/54f68fed-c230-481d-bcff-69879b65891f1658134036559 HTTP/1.1
Host: api.ebay-kleinanzeigen.de
X-Ebayk-App: 54f68fed-c230-481d-bcff-69879b65891f1658134036559
X-Ebayk-Userid-Token:
X-Ecg-User-Agent: ebayk-android-app-13.22.0
X-Ecg-User-Version: 13.22.0
Authorization: Basic YW5kcm9pZDpUYVI2MHBFdHRZ
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.9.3
Connection: close

Die Antwort der Gegenstelle bzw. des Servers lässt auf User-Tracking bzw. A/B-Testing schließen:

HTTP/1.1 200
Server: rhino-core-shield
Date: Mon, 18 Jul 2022 08:47:20 GMT
Content-Type: application/json;charset=UTF-8
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Content-Security-Policy: default-src='self'
X-Content-Security-Policy: default-src='self'
Cache-Control: no-store, no-cache
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
X-Frame-Options: DENY
Via: 1.1 google
Set-Cookie: GCLB=CKGvp-vAt-D_hwE; path=/; HttpOnly
Alt-Svc: h3=":443"; ma=2592000,h3-29=":443"; ma=2592000
Connection: close
Content-Length: 95393

{
   "followUsersEnabled":true,
   "newerAppVersionAvailable":false,
   "abTests":[
      {
         "testName":"share_ad_dialog_test",
         "testGroup":"social_sharing-default",
         "testDescription":"share_ad_dialog_test(Legacy monolith ab test)",
         "testTags":[
         ],
         "allGroups":[
            "social_sharing-a-off_control",
            "social_sharing-b-push_only",
            "social_sharing-default"
         ],
[...]

[3.2] Weiter geht es dann mit dem Abruf einer Feed-URL api.ebay-kleinanzeigen.de/api/feed, die im Hintergrund offenbar die ersten Anzeigen lädt:

[...]
{
   "adId":"2160263116",
   "title":"Zu verschenken - defekter Kondenstrocker von AEG",
   "image":"https://img.ebay-kleinanzeigen.de/api/v1/prod-ads/images/6a/6a41a580-e843-41b3-ba25-f937d87a880f?rule=$_{imageId}.JPG",
   "locationName":"Nordrhein-Westfalen - Recklinghausen",
   "source":[
      "ANONYMOUS"
   ],
   "sellerAccountType":"PRIVATE"
},
[...]

[3.3] eBay Kleinanzeigen unterteilt sich in unterschiedliche Kategorien (Familie, Haustiere, Elektronik etc.), die von der App über einen JSON-Link abgerufen werden:

GET /api/categories.json HTTP/1.1
Host: api.ebay-kleinanzeigen.de
X-Ebayk-App: 54f68fed-c230-481d-bcff-69879b65891f1658134036559
X-Ebayk-Userid-Token:
X-Ecg-User-Agent: ebayk-android-app-13.22.0
X-Ecg-User-Version: 13.22.0
Authorization: Basic YW5kcm9pZDpUYVI2MHBFdHRZ
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.9.3
Connection: close

[4] Anschließend erfolgt ein Aufruf zu einer Subdomain, die ich via whois dem Registrar MarktMonitor (USA) zuordne. Laut Wikipedia existiert MarktMonitor seit 1999 und bietet folgende Dienstleistungen:

It develops software intended to protect corporate brands from Internet counterfeiting, fraud, piracy, and cybersquatting.

Inhaber der Domain classifiedscloud.io ist die Marktplaats B.V., die im Impressum von eBay Kleinanzeigen auftaucht und wohl der Mutterkonzern sein dürfte.

Im Aufruf wird die generierte UUID (54f68fed-c230-481d-bcff-69879b65891f1658134036559) an die Gegenstelle übermittelt [lms.ebayk.liberty-prod.classifiedscloud.io]:

GET /api/v1/settings?uuid=54f68fed-c230-481d-bcff-69879b65891f1658134036559&dc[user_pro_quota_package_name]=&dc[gdpr_full_consent]=false&dc[android_app_supports_proseller]=true HTTP/1.1
Host: lms.ebayk.liberty-prod.classifiedscloud.io
Authorization: Basic YW5kcm9pZDpUYVI2MHBFdHRZ
X-Ecg-User-Version: 38163
X-Ecg-User-Agent: ebayk-android-app-13.22.0
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.9.3
Connection: close

In der Datenschutzerklärung von eBay Kleinanzeigen konnte ich keine Informationen zum Zweck dieser Datenübermittlung finden. Somit bleibt unklar, welchen Zweck der Aufruf erfüllt.

[5.1] Eine weitere Verbindung erfolgt zu Criteo (Frankreich), einem Dienst für Online-Marketing [bidder.criteo.com]:

POST /config/app HTTP/1.1
Content-Type: text/plain
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: bidder.criteo.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 166

{
   "cpId":"B-055179",
   "bundleId":"com.ebay.kleinanzeigen",
   "sdkVersion":"4.4.0",
   "rtbProfileId":235,
   "deviceId":"d57fa49c-45a8-4a60-8b53-2aad7bde9a73",
   "deviceOs":"android" 
}

Ohne ausdrückliche, informierte, freiwillige und aktive Einwilligung wird hier die Google-Advertising-ID (d57fa49c-45a8-4a60-8b53-2aad7bde9a73) vom Gerät ausgelesen und an Criteo übermittelt. Bei der Google-Advertising-ID handelt es sich um ein eindeutig personenbeziehbares Datum.

[5.2] Damit aber nicht genug. Criteo erhebt Gerätedaten und übermittelt diese wiederum [bidder.criteo.com]:

POST /inapp/v2 HTTP/1.1
Content-Type: text/plain
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Host: bidder.criteo.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 1482

{
   "id":"62d51e16d9afa0a482d6cb3e62f658d8",
   "publisher":{
      "bundleId":"com.ebay.kleinanzeigen",
      "cpId":"B-055179",
      "ext":{
      }
   },
   "user":{
      "deviceId":"d57fa49c-45a8-4a60-8b53-2aad7bde9a73",
      "deviceIdType":"gaid",
      "deviceOs":"android",
      "ext":{
         "device":{
            "make":"Xiaomi",
            "model":"Mi A1",
            "contype":2,
            "w":1080,
            "h":1920
         },
[...]

[5.3] Bei App-Events (neue Ansicht, Button antippen etc.) und in regelmäßigen Abständen wird (ohne das Zutun des Nutzers) eine Art »Ping« bzw. Lebenszeichen (inkl. Google Advertising-ID) an Criteo übermittelt [gum.criteo.com]:

GET /appevent/v1/2379?gaid=d57fa49c-45a8-4a60-8b53-2aad7bde9a73&limitedAdTracking=0&appId=com.ebay.kleinanzeigen&eventType=Active HTTP/1.1
Content-Type: text/plain
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Host: gum.criteo.com
Connection: close
Accept-Encoding: gzip, deflate

[6] Anschließend lädt die App Bilder von den Servern/Adressen von eBay Kleinanzeigen nach [img.ebay-kleinanzeigen.de]:

GET /api/v1/prod-ads/images/4f/4fd10308-6098-4b97-8fda-f27155bc9b1d?rule=$_12.JPG HTTP/1.1
Host: img.ebay-kleinanzeigen.de
X-Ebayk-App: 54f68fed-c230-481d-bcff-69879b65891f1658134036559
X-Ebayk-Userid-Token:
X-Ebayk-Groups: BLN-19260-cis-login_B|backend_ab_bln13364_B|backend_ab_bln404_A|backend_ab_bln418_B|backend_ab_bln_abc2_B
X-Ecg-User-Agent: ebayk-android-app-13.22.0
X-Ecg-User-Version: 13.22.0
Authorization: Basic YW5kcm9pZDpUYVI2MHBFdHRZ
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.9.3
Connection: close

[7] Eine weitere Verbindung erfolgt zu Google Firebase Remote Config (USA), einem Cloud-Dienst, mit dem App-Updates bzw. Anpassungen an Design etc. zeitnah möglich sind – ein Update der App ist nicht erforderlich [firebaseremoteconfig.googleapis.com]:

POST /v1/projects/557320552179/namespaces/firebase:fetch HTTP/1.1
X-Goog-Api-Key: AIzaSyBRxephnuqd5oCRyZwhl547U92ocQslfcM
X-Android-Package: com.ebay.kleinanzeigen
X-Android-Cert: 2A715B64F9C05C1814F265B882188291C1FF10CC
X-Google-GFE-Can-Retry: yes
X-Goog-Firebase-Installations-Auth: eyJhbGciOiJFUzI1NiIsInR5cCI6IkpXVCJ9.eyJhcHBJZCI6IjE6NTU3MzIwNTUyMTc5OmFuZHJvaWQ6ZDExMmNkODUwMzRmM2IwMCIsImV4cCI6MTY1ODczODg0MCwiZmlkIjoiZmg0eXNQQWdRUWVMcVhINV9RWVA4XyIsInByb2plY3ROdW1iZXIiOjU1NzMyMDU1MjE3OX0.AB2LPV8wRAIgJzeN5Z7rxo0b1EVwzqfC6dszcV1hAf5bSfmJcM6Z4FwCIESLyrHfQLRQVGL62l2zrf0ocWVsWE-QY1doPPT5C9yF
Content-Type: application/json
Accept: application/json
Content-Length: 650
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: firebaseremoteconfig.googleapis.com
Connection: close
Accept-Encoding: gzip, deflate

{
   "appInstanceId":"fh4ysPAgQQeLqXH5_QYP8_",
   "appVersion":"13.22.0",
   "countryCode":"DE",
   "analyticsUserProperties":{},
   "appId":"1:557320552179:android:d112cd85034f3b00",
   "platformVersion":"29",
   "timeZone":"Europe\/Berlin",
   "sdkVersion":"21.1.0",
   "packageName":"com.ebay.kleinanzeigen",
   "appInstanceIdToken":"eyJhbGciOiJFUzI1NiIsInR5cCI6IkpXVCJ9.eyJhcHBJZCI6IjE6NTU3MzIwNTUyMTc5OmFuZHJvaWQ6ZDExMmNkODUwMzRmM2IwMCIsImV4cCI6MTY1ODczODg0MCwiZmlkIjoiZmg0eXNQQWdRUWVMcVhINV9RWVA4XyIsInByb2plY3ROdW1iZXIiOjU1NzMyMDU1MjE3OX0.AB2LPV8wRAIgJzeN5Z7rxo0b1EVwzqfC6dszcV1hAf5bSfmJcM6Z4FwCIESLyrHfQLRQVGL62l2zrf0ocWVsWE-QY1doPPT5C9yF",
   "languageCode":"de-DE",
   "appBuild":"38163"
}

[8] Eine weitere Verbindung erfolgt zu Google Firebase Performance Monitoring (USA), einem Dienst für die Erhebung von (Leistungs-)Daten zur Verbesserung der App(-Geschwindigkeit) [firebaselogging-pa.googleapis.com]:

POST /v1/firelog/legacy/batchlog HTTP/1.1
User-Agent: datatransport/3.1.5 android/
Content-Type: application/json
Accept-Encoding: gzip, deflate
X-Goog-Api-Key: AIzaSyCckkiH8i2ZARwOs1LEzFKld15aOG8ozKo
Host: firebaselogging-pa.googleapis.com
Connection: close
Content-Length: 2245

{
   "logRequest":[
      {
         "requestTimeMs":1658138782977,
         "requestUptimeMs":1710193352,
         "clientInfo":{
            "clientType":"ANDROID_FIREBASE",
            "androidClientInfo":{
               "sdkVersion":29,
               "model":"Mi A1",
               "hardware":"qcom",
               "device":"tissot",
               "product":"lineage_tissot",
               "osBuild":"QQ3A.200805.001",
               "manufacturer":"Xiaomi",
               "fingerprint":"xiaomi/tissot/tissot_sprout:8.0.0/OPR1.170623.026/8.1.10:user/release-keys",
               "locale":"de",
               "country":"DE",
               "mccMnc":"26201",
               "applicationBuild":"38163"
            }
         },
         "logSourceName":"GDT_CLIENT_METRICS",
         "logEvent":[
            {
               "eventTimeMs":1658138782969,
               "eventUptimeMs":1710193344,
               "sourceExtension":"Cg4I8Ki+haEwEPfZl4ahMBoLCgkIgMADEICAgAUiFmNvbS5lYmF5LmtsZWluYW56ZWlnZW4=",
               "timezoneOffsetSeconds":7200,
               "networkConnectionInfo":{
                  "networkType":"WIFI",
                  "mobileSubtype":"UNKNOWN_MOBILE_SUBTYPE"
                }
             }
          ],
[...]

Das Attribut sourceExtension verrät übrigens, dass diese Übermittlung zur eBay-Kleinanzeigen-App gehört. Ein Base64-Decode offenbart die Datenquelle (Package-Name der App):

[BinaryStuff]com.ebay.kleinanzeigen

2.4 (Cookie-)Consent-Banner

Bevor die eBay-Kleinanzeigen-App genutzt werden kann, erscheint auf dem Bildschirm ein (Cookie-)Consent-Banner. Zum Hintergrund: Mit einem solchen Consent-Banner (Einwilligungs-Banner) kann eine Einwilligung des Nutzers zu einer Datenverarbeitung eingeholt werden. Sowohl die DSGVO als auch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sehen solche Einwilligungen vor, bei der DSGVO auch neben anderen Rechtsgrundlagen. Das TTDSG erlaubt hingegen einen Zugriff auf im Endgerät gespeicherte Daten grundsätzlich nur nach Einwilligung – unabhängig davon, ob ein Personenbezug vorliegt oder nicht. Ausnahmen davon sind nur im engen Rahmen erlaubt, darunter die Übertragung einer Nachricht oder wenn dies »unbedingt erforderlich« ist, um den Dienst bereitzustellen. Wie die DSK in ihrer Orientierungshilfe (OH Telemedien 2021) auf Seite 19 und 23 schreibt, ist dies technisch und aus der Perspektive des Nutzers auszulegen:

Die Vorschrift enthält im Wesentlichen zwei Tatbestandsmerkmale, die grundsätzlich auslegungsbedürftig sind – dies sind „einen vom Nutzer ausdrücklich gewünschten Telemediendienst“ und „unbedingt erforderlich“. Beide Tatbestandsmerkmale stehen in einem untrennbaren Zusammenhang. Die unbedingte Erforderlichkeit von Speicher- und Auslesevorgängen ist in Bezug auf den konkret von der Endnutzerin oder dem Endnutzer gewünschten Telemediendienst zu prüfen, um festzustellen, ob die Ausnahmevorschrift greift.

In der Gesetzesbegründung zum TTDSG wird jedoch von einer technischen Erforderlichkeit ausgegangen, was ein strenges Verständnis nahelegt. Dies bedeutet, dass auch für von Endnutzer:innen ausdrücklich gewünschte Dienste nur solche Zugriffe auf die Endeinrichtung von der Ausnahme umfasst sind, die technisch erforderlich sind, um gerade den gewünschten Dienst bereitzustellen.

Zusammengefasst: Sobald ein Verantwortlicher/Betreiber oder sein(e) Auftragsdatenverarbeiter

• nach der DSGVO personenbezogene Daten erheben, verarbeiten oder nutzen möchte(n) und keinen anderen Rechtsgrund dafür vorweisen kann
• und/oder nach TTDSG Daten auf der Endeinrichtung (Endgerät) speichert oder ausliest, die für den gewünschten Dienst technisch nicht notwendig sind

besteht die Notwendigkeit, vom Betroffenen eine ausdrückliche, informierte, freiwillige, aktive Einwilligung einzuholen.

Werfen wir nun einen Blick auf den (Cookie-)Consent-Banner der eBay-Kleinanzeigen-App:

Als Nutzer hat man zwei Optionen:

• Alle akzeptieren: Diese Option hebt sich durch das auffällige grün deutlich von der anderen Option ab. Die meisten Nutzer werden aufgrund der Gestaltung vermutlich darauf tippen – das ist Nudging, also eine Form der Beeinflussung, um den Nutzer in seiner Entscheidung/Verhalten zu manipulieren.
• Einstellungen: Mit einem Tipp auf die Option Einstellungen gelangt man in eine weitere Ansicht (zweite Ebene), in der etliche Zwecke zur Datenverarbeitung genannt werden. Einer der Zwecke ist bspw. Marktforschung einsetzen, um Erkenntnisse über Zielgruppen zu gewinnen. Mit einem Fingertipp auf den Pfeil nach unten werden anschließend alle Dienstleister bzw. Partner aufgelistet, mit denen eBay Kleinanzeigen zu eben genanntem Zweck zusammenarbeitet. Als Nutzer kann man sich anschließend durch eine Liste mit 342 Dienstleistern bzw. Partnern scrollen – da muss man erstmal tief durchatmen. Das einzig positive: Die Vorauswahl der Schieberegler ist datenschutzfreundlich [Nein] bzw. standardmäßig deaktiviert. Ob die Einstellungen in der Praxis berücksichtgt werden, prüfen wir im weiteren Verlauf der Analyse. Mit einem weiteren Tipp auf Fortfahren geht es weiter.

Anbei ein Screenshot von der erweiterten Ansicht (zweite Ebene), nachdem ein Nutzer auf Einstellungen getippt hat. Den rot hervorgehobenen Text sollte man sich gut durchlesen:

Ist das nicht schön? Von einigen Partnern wird man um Zustimmung für die Verarbeitung der eigenen Daten gebeten. Bei anderen hingegen muss man einen Opt-Out Vornehmen – mit der DSGVO sind solche Praktiken nicht vereinbar.

2.5 Während der aktiven Nutzung

Nachfolgend wird das Datensendeverhalten der App untersucht, nachdem beim (Cookie-)Consent-Banner die Auswahl Einstellungen -> Fortfahren getroffen wurde – alle Schieberegler sind entsprechend der Vorauswahl [Nein] deaktiviert/aus.

[1.1] Die Auswahl der Schieberegler des (Cookie-)Consent-Banners wird (nachfolgend in drei Übermittlungen) an eBay Kleinanzeigen gemeldet [gateway.ebay-kleinanzeigen.de]:

POST /gdpr/api/consent-v2/get-consent-storage-data HTTP/1.1
Host: gateway.ebay-kleinanzeigen.de
Accept: application/ebayk.v2+json
Application: ebayk-app.v2
X-Ebayk-App: 09b3f55a-2a00-4e0a-b02d-65e2415db1da1658821813227
X-Ebayk-Userid-Token:
X-Ebayk-Groups: BLN-19260-cis-login_B|backend_ab_bln13364_A|backend_ab_bln404_B|backend_ab_bln418_B|backend_ab_bln_abc_B|backend_ab_bln_abc2_B
X-Ecg-User-Agent: ebayk-android-app-13.22.0
X-Ecg-User-Version: 13.22.0
Content-Type: application/json; charset=UTF-8
Content-Length: 3341
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.9.3
Connection: close

{
   "customPurposes":[
   ],
   "ekConsentBucket":"",
   "googleConsentGiven":false,
   "inAppData":{
   },"purposes":[
   ],"specialFeatures":[
      1,
      2
   ],
   "vendors":[
      1,
      2,
      4,
[...]

[1.2] Offenbar werden wir einer bestimmten A/B-Testing-Group (abTestGroups) zugeordnet [gateway.ebay-kleinanzeigen.de]:

POST /gdpr/api/consent-v2/interaction HTTP/1.1
Host: gateway.ebay-kleinanzeigen.de
Accept: application/ebayk.v2+json
Application: ebayk-app.v2
X-Ebayk-App: 09b3f55a-2a00-4e0a-b02d-65e2415db1da1658821813227
X-Ebayk-Userid-Token:
X-Ebayk-Groups: BLN-19260-cis-login_B|backend_ab_bln13364_A|backend_ab_bln404_B|backend_ab_bln418_B|backend_ab_bln_abc_B|backend_ab_bln_abc2_B
X-Ecg-User-Agent: ebayk-android-app-13.22.0
X-Ecg-User-Version: 13.22.0
Content-Type: application/json; charset=UTF-8
Content-Length: 1141
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.9.3
Connection: close

{
   "abTestGroups":"BAND-4614_kill_payment_default|BAND-5053_flag_ad_B|BAND-5078_explicit_consen_R|BAND-5218_CallbackRequest_C|BAND-5402_hide_pay_fdbk_default|BAND-5556_dispute_flow_A|BAND-5614_company_page_ff_B|BAND-5646_offer_from_vip_default|BAND-5778_kill_shipping_default|BAND-6639-buy_now_A|BAND-6687_api_switch_A|BAND4254_tmx_login_reg_A|BAND4535_reblaze_sdk_A|BAND4547_fraud_protection_default|BAND4635_gdpr_tcf20_B|BAND5693_phone_verify_B|BAND5811_format_ad_desc_A|BAND5977_ga_behind_consen_A|BAND6112_ga_advertising_A|BAND6131_floor_ai_default|BAND6393-pri_offer_button_B|BAND6672-buy_now_checkout_A|BAND_MVVM_VIP_Refactoring_B|BAND_PNV_kill_switch_A|BLN-19260-cis-login_B|",
   "clientVersion":"13.22.0",
   "deviceId":"09b3f55a-2a00-4e0a-b02d-65e2415db1da1658821813227",
   "encodedConsentString":"CPcvCRcPcvCRcE1ABADECQCgAAAAAAAAAAYgIxNd_X__bX9n-_7_7ft0eY1f9_r3_-QzjhfNs-8F3L_W_L0X32E7NF36tq4KuR4ku3bBIQNtHMnUTUmxaolVrzHsak2cpyNKJ7LkknsZe2dYGH9Pn9lD-YKZ7_5___f53T___9_-39z3_9f___d__-__-vjf_599n_v9fV_7___________-_________wAAAElIAMAAQRiJQAYAAgjEQgAwABBGIdABgACCMQyADAAEEYhUAGAAIIxCIAMAAQRiDQAYAAgjEEgAwABBGIA",
   "platform":"android",
   "userId":""
}

[1.3] Durch die Auswahl im (Cookie-)Consent-Banner werden gewisse »Flags« übermittelt. Die Übermittlung der nachfolgenden Informationen erfolgt bei der Nutzung der App regelmäßig [gateway.ebay-kleinanzeigen.de]:

POST /gdpr/api/consent-v2/validate HTTP/1.1
Host: gateway.ebay-kleinanzeigen.de
Accept: application/ebayk.v2+json
Application: ebayk-app.v2
X-Ebayk-App: 09b3f55a-2a00-4e0a-b02d-65e2415db1da1658821813227
X-Ebayk-Userid-Token:
X-Ebayk-Groups: BLN-19260-cis-login_B|backend_ab_bln13364_A|backend_ab_bln404_B|backend_ab_bln418_B|backend_ab_bln_abc_B|backend_ab_bln_abc2_B
X-Ecg-User-Agent: ebayk-android-app-13.22.0
X-Ecg-User-Version: 13.22.0
Content-Type: application/json; charset=UTF-8
Content-Length: 173
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.9.3
Connection: close

{
   "consentInterpretationFlags":[
      "googleAdvertisingFeaturesAllowed",
      "googleAnalyticsAllowed",
      "firebaseAnalyticsAllowed",
      "infonlineAllowed",
      "theAdexAllowed"
   ],
   "customVersion":4
}

[2] Eine Zustimmung zu diesem Dienst erfolgte zwar nicht, dennoch werden weiterhin (Leistungs-)Daten an Google Firebase Performance Monitoring (USA) übermittelt [firebaselogging-pa.googleapis.com]:

POST /v1/firelog/legacy/batchlog HTTP/1.1
User-Agent: datatransport/3.1.5 android/
Content-Type: application/json
Accept-Encoding: gzip, deflate
X-Goog-Api-Key: AIzaSyCckkiH8i2ZARwOs1LEzFKld15aOG8ozKo
Host: firebaselogging-pa.googleapis.com
Connection: close
Content-Length: 1814

{
   "logRequest":[
      {
         "requestTimeMs":1658821952696,
         "requestUptimeMs":89733889,
         "clientInfo":{
            "clientType":"ANDROID_FIREBASE",
            "androidClientInfo":{
               "sdkVersion":29,
               "model":"Mi A1",
               "hardware":"qcom",
               "device":"tissot",
               "product":"lineage_tissot",
               "osBuild":"QQ3A.200805.001",
               "manufacturer":"Xiaomi",
               "fingerprint":"xiaomi/tissot/tissot_sprout:8.0.0/OPR1.170623.026/8.1.10:user/release-keys",
               "locale":"de",
               "country":"DE",
               "mccMnc":"26201",
               "applicationBuild":"38163"
            }
         },
         "logSourceName":"GDT_CLIENT_METRICS",
         "logEvent":[
            {
               "eventTimeMs":1658821952689,
               "eventUptimeMs":89733882,
               "sourceExtension":"Cg4I8Ki+haEwEPfZl4ahMBoLCgkIgMADEICAgAUiFmNvbS5lYmF5LmtsZWluYW56ZWlnZW4=",
               "timezoneOffsetSeconds":7200,
               "networkConnectionInfo":{
                  "networkType":"WIFI",
                  "mobileSubtype":"UNKNOWN_MOBILE_SUBTYPE"
                }
             }
          ],
[...]

[3] Wir erinnern uns: Schon unmittelbar nach dem Start der eBay-Kleinanzeigen-App (noch bevor Einwilligung/Ablehnung beim Consent-Banner) wurden Daten an Criteo (Frankreich) übermittelt. Auch zu diesem Dienstleister erfolgte keine Einwilligung, dennoch wird weiterhin die personenbeziehbare Google-Advertising-ID (d57fa49c-45a8-4a60-8b53-2aad7bde9a73) übertragen [gum.criteo.com]:

GET /appevent/v1/2379?gaid=d57fa49c-45a8-4a60-8b53-2aad7bde9a73&limitedAdTracking=0&appId=com.ebay.kleinanzeigen&eventType=Active HTTP/1.1
Content-Type: text/plain
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Host: gum.criteo.com
Connection: close
Accept-Encoding: gzip, deflate

2.6 Konto anlegen

Über das Hamburger-Menü -> Einloggen wird nachfolgend ein neues Konto angelegt. Nach der Eingabe von E-Mail-Adresse und Passwort wird der Vorgang mit dem Tipp auf Registrieren abgeschlossen.

[1] An die Server von eBay Kleinanzeigen wird eine Art »mobile Konfiguration« übertragen [fdts.ebay-kleinanzeigen.de]:

POST /fp/mobile/conf HTTP/1.1
Referer: http://com.ebay.kleinanzeigen
Cookie: thx_guid=62ded2a806dbb0e54db8b9f3c4321826
Accept-Language: de-DE
Cache-Control: no-cache, no-store, must-revalidate, no-transform
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Content-Type: application/x-www-form-urlencoded
Content-Length: 102
Host: fdts.ebay-kleinanzeigen.de
Connection: close
Accept-Encoding: gzip, deflate

os=android&osVersion=10&org_id=udd8uxur&sdk_version=5.4-73&session_id=ac1126c945524d519b4ff226bda2707e

[2] Anschließend wird sowohl die E-Mail-Adresse als auch das gewählte Passwort an den Server übermittelt [api.ebay-kleinanzeigen.de]:

POST /api/account/registration HTTP/1.1
Host: api.ebay-kleinanzeigen.de
X-Ebayk-Wenkse-Session-Id: ac1126c945524d519b4ff226bda2707e
X-Ebayk-App: 09b3f55a-2a00-4e0a-b02d-65e2415db1da1658821813227
X-Ebayk-Userid-Token:
X-Ebayk-Groups: BLN-19260-cis-login_B|backend_ab_bln13364_A|backend_ab_bln404_B|backend_ab_bln418_B|backend_ab_bln_abc_B|backend_ab_bln_abc2_B
X-Ecg-User-Agent: ebayk-android-app-13.22.0
X-Ecg-User-Version: 13.22.0
Authorization: Basic YW5kcm9pZDpUYVI2MHBFdHRZ
Content-Type: application/json; charset=utf-8
Content-Length: 122
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.9.3
Connection: close

{
   "email":"test@testmail.de",
   "password":"SuperSicheresPasswort!#2022",
   "passwordConfirmation":"SuperSicheresPasswort!#2022",
   "marketingOptIn":false
}

[3] Begleitet wird der Vorgang erneut von Criteo (Frankreich) – die nachfolgenden Informationen werden regelmäßig bei der App-Nutzung übermittelt [gum.criteo.com]:

GET /appevent/v1/2379?gaid=d57fa49c-45a8-4a60-8b53-2aad7bde9a73&limitedAdTracking=0&appId=com.ebay.kleinanzeigen&gdpr_consent=CPcvCRcPcvCRcE1ABADECQCgAAAAAAAAAAYgIxNd_X__bX9n-_7_7ft0eY1f9_r3_-QzjhfNs-8F3L_W_L0X32E7NF36tq4KuR4ku3bBIQNtHMnUTUmxaolVrzHsak2cpyNKJ7LkknsZe2dYGH9Pn9lD-YKZ7_5___f53T___9_-39z3_9f___d__-__-vjf_599n_v9fV_7___________-_________wAAAElIAMAAQRiJQAYAAgjEQgAwABBGIdABgACCMQyADAAEEYhUAGAAIIxCIAMAAQRiDQAYAAgjEEgAwABBGIA&eventType=Inactive HTTP/1.1
Content-Type: text/plain
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Host: gum.criteo.com
Connection: close
Accept-Encoding: gzip, deflate

2.7 Konto bestätigen

Nach der Registrierung muss das Konto über die angegebene E-Mail-Adresse bestätigt bzw. freigeschaltet werden. In der E-Mail ist ein Button mit der Aufschrift E-Mail-Adresse bestätigen hinterlegt. Nach dem Antippen öffnet sich ein Browser-Fenster mit der erneuten Einblendung eines (Cookie-)Consent-Banners:

Erneut muss der Nutzer nun seine Einwilligung geben/verweigern, obwohl er dies bereits innerhalb der App getan hat. Da wir nicht auf das Nudging reinfallen und unsere Daten nicht an über 324 Dienstleister übermitteln möchten, klicken wir (auch bei diesem Banner) auf Auswahl treffen und prüfen in der zweiten Ebene, ob alle Schieberegler auf Nein (Vorauswahl) stehen. Anschließend bestätigen wir mit Fortfahren:

Nach der Auswahl erscheint ein weiteres Popup, mit dem Hinweis, eine Telefonnummer zur Verifikation anzugeben:

Abgeschlossen wird die Verifikation mit der angegebenen Nummer per SMS:

Deine Registrierung war erfolgreich. Mit deiner E-Mail-Adresse und deinem Passwort kannst du dich nun jederzeit bei eBay Kleinanzeigen einloggen.

2.8 Einloggen

Nachdem das Konto angelegt und verifiziert ist, erfolgt nachfolgend die Anmeldung bei eBay Kleinanzeigen.

[1] Sowohl Benutzername als auch Passwort werden an die Server von eBay Kleinanzeigen zur Authentifizierung gesendet [gateway.ebay-kleinanzeigen.de]:

POST /auth/login HTTP/1.1
Host: gateway.ebay-kleinanzeigen.de
X-Ebayk-Wenkse-Session-Id: 948369b492264808bd782ac9cd1870b3
X-Ebayk-App: 5995a367-c6d1-44eb-be07-b5015ef863701658828726053
X-Ebayk-Userid-Token:
X-Ebayk-Groups: BLN-19260-cis-login_B|backend_ab_bln13364_B|backend_ab_bln404_A|backend_ab_bln418_B|backend_ab_bln_abc2_A
X-Ecg-User-Agent: ebayk-android-app-13.22.0
X-Ecg-User-Version: 13.22.0
Content-Type: application/json; charset=UTF-8
Content-Length: 62
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.9.3
Connection: close

{
   "password":"SuperSicheresPasswort!#2022",
   "username":"test@testmail.de"
}

Die Gegenstelle gateway.ebay-kleinanzeigen.de antwortet unter anderem mit einem Access-Token:

HTTP/1.1 200
Server: rhino-core-shield
Date: Tue, 26 Jul 2022 09:47:10 GMT
Content-Type: application/json
Vary: Accept-Encoding
Set-Cookie: route_d6bfec5b_c9f3_4715_b3e6_f05b02bf3b58=6e454b6830c4cd3a1893c012d9ac2a82; Path=/
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
X-Frame-Options: DENY
Via: 1.1 google
Set-Cookie: GCLB=CNu21PfT1dDUOw; path=/; HttpOnly
Alt-Svc: h3=":443"; ma=2592000,h3-29=":443"; ma=2592000
Connection: close
Content-Length: 1159

{
   "accessToken":"elJdbGciOiJSUzI1LiIsImtpZCI6ImRlLWViYXlrLXNpZy0yMDIxLTEwLTA4VDA0OjUxOjExLjIyMzYyOVoifQ.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.G0ulvgsKivqv1aX6GpqS4U16ZNFkKe0HmQOxM4DcFX5sS0l9ybs02Rf_5z57eO5m2Y_bFKbs41SmMAOcADKqzDlzuK96WYnEBlvpFIL_txhOweyqvInRa-gMhwLuhubZ13x6nxhv6sh5LiE2PpgxlGDlIxKKLTw-tHRcUZtL_MldyCRJF7cR_BEwk5wPr3i69SCAOpPgku4WV79PjNzXRyHocN8n8A2vHAzIbpTVjrc4mr6Qbuw1cq0PqKB840QBpx3SZNBDeHk6KG1dE7k6kadqYBXkvz1Upwot3LPLapY-bW2-iu8MMhxT-X3fMviA_HFSN_lLfeycewusbhwikg",
   "refreshToken":"RT-81944-ob3DjCvD7WV4xiA3ZqSFCWqsuuSjvwJi",
   "expiresInSeconds":1799,
   "user":{
      "id":121125463,
      "uuid":"13c7d87b-eb6d-4663-bdfb-701563f40782"
   }
}

Nach der Anmeldung werden etliche Verbindungen mit den Servern von eBay Kleinanzeigen hergestellt. Nachfolgend eine kleine Auswahl.

[2.1] Übermittlung eines Fingerprints [api.ebay-kleinanzeigen.de]:

POST /api/users/121125463/fingerprint HTTP/1.1
Host: api.ebay-kleinanzeigen.de
X-Ebayk-App: aed7de07-91d8-4d0c-b11d-fd0230203c8e1658905313694
X-Ebayk-Userid-Token:
X-Ebayk-Groups: BLN-19260-cis-login_B|backend_ab_bln13364_B|backend_ab_bln404_A|backend_ab_bln418_A|backend_ab_bln_abc2_B
X-Ecg-User-Agent: ebayk-android-app-13.22.0
X-Ecg-User-Version: 13.22.0
Authorization: Basic YW5kcm9pZDpUYVI2MHBFdHRZ
X-Ecg-Authorization-User: email=test@testmail.de,access=elJdbGciOiJSUzI1LiIsImtpZCI6ImRlLWViYXlrLXNpZy0yMDIxLTEwLTA4VDA0OjUxOjExLjIyMzYyOVoifQ.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.cfzocClIN8jlSAQp-p1WQNoOnAdj0V9LOjFKlENPyH8bdQQDUZzjz6KusD5lQpGU3O-JuAWXMH8wrWYXxCWRWdp4hlLzlc3tC8Jub0jNGdlJ0KJ3b7d8xdqP6AqqdWc53dDJzynrS0VmaziTrTmvEdT5iMx2P1APk-rHU9A8K8U4djm3TE2sF9RZFgH3xEqtIiC5J9smlIgc6G85U1tLbPY2gmSwnKOL9Do_bXd6V_z8EfoYTVOWmPzn6waXq8gpEIp19Kn--KBTFnLrXqOShiPLwtH0GtEnOVJ-jCNQG1FsPLEjW1TsUmmkkmjMGK6bsIBxK9GMK6Yp_irOLql_Fg
Content-Type: application/json; charset=utf-8
Content-Length: 67
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.9.3
Connection: close

{
   "fingerprint":"aed7de07-91d8-4d0c-b11d-fd0230203c8e1658905313694"
}

[2.2] Abruf des Nutzer-Profils (E-Mail-Adresse, Registrierungsdatum, AnalyticsID) [api.ebay-kleinanzeigen.de]:

GET /api/users/121125463/profile.json HTTP/1.1
Host: api.ebay-kleinanzeigen.de
X-Ebayk-App: aed7de07-91d8-4d0c-b11d-fd0230203c8e1658905313694
X-Ebayk-Userid-Token:
X-Ebayk-Groups: BLN-19260-cis-login_B|backend_ab_bln13364_B|backend_ab_bln404_A|backend_ab_bln418_A|backend_ab_bln_abc2_B
X-Ecg-User-Agent: ebayk-android-app-13.22.0
X-Ecg-User-Version: 13.22.0
Authorization: Basic YW5kcm9pZDpUYVI2MHBFdHRZ
X-Ecg-Authorization-User: email=test@testmail.de,access=elJdbGciOiJSUzI1LiIsImtpZCI6ImRlLWViYXlrLXNpZy0yMDIxLTEwLTA4VDA0OjUxOjExLjIyMzYyOVoifQ.eyJpc3MiOiJodHRwczovL2lkLmViYXkta2xlaW5hbnplaWdlbi5kZS9vaWRjIiwianRpIjoiVEdULTE2MDM0MS1MNVZHbnFTNlBvNjdiUklTMUt6RDZMbW5kSGY0RzVTVllVVk5Wd1pKV2tKRVJMclU5dWhEMkxlcDZYdndtblV5U240LWNpcy1hdXRoLTdmOGI4YmI4OTgtczdyNzc7QVQtODI3NTE0My1rOUN5WlpYRGxtUWYwYjJEZWxrdUlzMHpFRmk1cG1qaiIsImlhdCI6MTY1ODkwNTQxNSwiZXhwIjoxNjU4OTA3MjE1LCJzdWIiOiIxM2M3ZDg3Yi1lYjZkLTQ2NjMtYmRmYi03MDE1NjNmNDA3ODIiLCJhenAiOiJlYmF5a19hcGlfaFZIZjZGdHQiLCJzY29wZSI6Im9wZW5pZCBwcm9maWxlIHVybjplYmF5LWtsZWluYW56ZWlnZW46dXNlciIsImVjZzppZDpibG9ja2VkIjpmYWxzZSwicHJlZmVycmVkX3VzZXJuYW1lIjoiMTIxMTI1NDYzIn0.cfzocClIN8jlSAQp-p1WQNoOnAdj0V9LOjFKlENPyH8bdQQDUZzjz6KusD5lQpGU3O-JuAWXMH8wrWYXxCWRWdp4hlLzlc3tC8Jub0jNGdlJ0KJ3b7d8xdqP6AqqdWc53dDJzynrS0VmaziTrTmvEdT5iMx2P1APk-rHU9A8K8U4djm3TE2sF9RZFgH3xEqtIiC5J9smlIgc6G85U1tLbPY2gmSwnKOL9Do_bXd6V_z8EfoYTVOWmPzn6waXq8gpEIp19Kn--KBTFnLrXqOShiPLwtH0GtEnOVJ-jCNQG1FsPLEjW1TsUmmkkmjMGK6bsIBxK9GMK6Yp_irOLql_Fg
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.9.3
Connection: close

[3] Bereits obligatorisch: Die Übermittlung der Google-Advertising-ID an Criteo (Frankreich) [gum.criteo.com]:

GET /appevent/v1/2379?gaid=d57fa49c-45a8-4a60-8b53-2aad7bde9a73&limitedAdTracking=0&appId=com.ebay.kleinanzeigen&gdpr_consent=CPcvCRcPcvCRcE1ABADECQCgAAAAAAAAAAYgIxNd_X__bX9n-_7_7ft0eY1f9_r3_-QzjhfNs-8F3L_W_L0X32E7NF36tq4KuR4ku3bBIQNtHMnUTUmxaolVrzHsak2cpyNKJ7LkknsZe2dYGH9Pn9lD-YKZ7_5___f53T___9_-39z3_9f___d__-__-vjf_599n_v9fV_7___________-_________wAAAElIAMAAQRiJQAYAAgjEQgAwABBGIdABgACCMQyADAAEEYhUAGAAIIxCIAMAAQRiDQAYAAgjEEgAwABBGIA&eventType=Inactive HTTP/1.1
Content-Type: text/plain
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Host: gum.criteo.com
Connection: close
Accept-Encoding: gzip, deflate

[4] Obwohl beim (Cookie-)Consent-Banner alle Schieberegler auf [Nein] standen bzw. deaktiviert waren (auch die bezüglich der Werbetreibenden), bindet eBay Kleinanzeigen Werbung von Google Doubleclick (USA) ein. Offenbar kann man dieser Werbeeinblendung bzw. Datenübermittlung an Google nicht widersprechen [googleads.g.doubleclick.net / pubads.g.doubleclick.net]:

GET /gampad/ads?submodel=Mi A1&native_templates=1,2,4,5&android_app_volume=1&disable_ml=false&adid_p=1&format=320x50_mb&native_version=3&omid_v=a.1.3.3-google_20200416&android_app_muted=false&am=0&dv=221908400&gl=DE&hl=de&js=afma-sdk-a-v221908999.221310000.1&lv=221310600&ms=CpgECoACsUxA51Tqyl62bXE2_omgQv-kiYFyiNPDnOiyS390yqr7aZ24G1FRxUMTrRs-pW31L0EtoV6bRAdscHEh0ovWy5r0myl1bfc5lZpM2DHh3wZQc9S5BXkJ981rsEuSfgAyNbdhzXF5DZ03zUUZs_vNUx1y1kj7bx46UOVgI2mmAKndGNLnFWEZ3S-IzLqnO7fTkZwkJSsE42hBzdBWDpMkTpzwO42d-T__quuRCQ6m9tGQc-aGXrCRguab_9SzGZ44zysPntUcQcMOsZ2U_JFphr_TGJvpF8w2S1mkWFan-mOh8BnD4w5hOmqFZB6_7DuW389eEnnmR8LprfuDcnchTAqAAiovLU6CvgtUWbwBRXngJlah5mjVd9JkYZV9IH2I09jdTTqbxt-65tnjNEKnxzRGfeuOBB4ODXqFkvR_x4odF1j_qNfySLImxAzEoy4ltuZqnW0V7M1CDplQw9TTimsGa0JxxXgsNUgt_0HSFzNt0_dfBs5A-aemPQI112Cm6AHODVMBGoDWVZOKt8iQvQvBKlHE7g8sHAD3o9Dhc98L9ghyHCLOEK3M5zjoqX8Tn8jn-Hcrc-KoxWV7hm1amVsRx-J-uFPqG62zIKHvtK5bose6v_qUTUkGlcb4ErGYHy5FowMs5mOuFmD5lyM3cTsqfcruT_fp75k17RvaZEaf5BQSEKznIzTrkj68KmQEhiyF-hYSlQIKgAJZ7Qc6Yl1jTleiytMxdZNA_u4_kNolF0H17XHypm4v5gTo3Wg-uvdtFC2Ck3YQTrTJcbJriyyCmmBgByCe4vBqEYJl_DVfKHkq36yaC8fSuuNIgpivAiVmM17cNtGJBN-dVeCcPmQGQbwXtz_jkz1QalTEIMW7uJCwRv3UylZi1D1zVK1wD7ybmxPuWGn5_JvzamsGEpaoA99VYwuVL8Bun9PcS1cZ4W4_PlefIwEMsPUXilsJVowks5wEHCaG74SL5ZeR8hDP5igjlb36W9TwECi15U4VcWAux8ZHmSnwI4FCui1pePNqMb-DX0iVKyhdNxY8lKtLwxhD16CkwDrOEhAv9rtST7gC2y_PIrDmvtEx&mv=83151610.com.android.vending&rm=1&sp=false&coh=true&riv=0&vnm=13.22.0&ppid=2d5a1a9466e2a1f96f3d2d0aacd7992c&u_sd=3&request_id=594440083&render_in_browser=false&use_custom_mute=false&target_api=31&request_pkg=com.ebayclassifiedsgroup.commercialsdk.dfp_custom_rendering_facebook_mediation.DfpCrFacebookMediationPlugin&app_open_version=2&is_sidewinder=0&fbs_aeid=5944677068522355450&fbs_aiid=619f1d2ced0c3f7818fb483779d23a44&native_multiple_images=false&seq_num=1&is_gbid=false&eid=318496669,318500618,318486317,318491267,318483611,318484496,318486815,318492496,318500349,318501236,318502072,318503837,318502753,318475417,318503658&_c_csdk_npa_o=false&gdpr=1&gdpr_consent=CPcyN1UPcyN1UE1ABADECQCgAAAAAAAAAAYgIxNd_X__bX9n-_7_7ft0eY1f9_r3_-QzjhfNs-8F3L_W_L0X32E7NF36tq4KuR4ku3bBIQNtHMnUTUmxaolVrzHsak2cpyNKJ7LkknsZe2dYGH9Pn9lD-YKZ7_5___f53T___9_-39z3_9f___d__-__-vjf_599n_v9fV_7___________-_________wAAAEhoAMAAQRiCQAYAAgjEUgAwABBGIlABgACCMRCADAAEEYh0AGAAIIxDIAMAAQRiFQAYAAgjEIgAwABBGIA&addtl_consent=1~&guci=0.0.0.0.0.0.0.0&sdk_apis=7,8&omid_p=Google/afma-sdk-a-v221908999.221310000.1&cap=m&u_w=360&u_h=640&msid=com.ebay.kleinanzeigen&an=38163.android.com.ebay.kleinanzeigen&_package_name=com.ebay.kleinanzeigen&u_audio=1&net=wi&u_so=p&preqs_in_session=0&support_transparent_background=true&preqs=0&time_in_session=0&output=html&region=mobile_app&u_tz=120&content_url=https://www.ebay-kleinanzeigen.de/&url=38163.android.com.ebay.kleinanzeigen.adsenseformobileapps.com&gdfp_req=1&markup=html&m_ast=afmajs&impl=ifr&iu=/7233/eBay_Kleinanzeigen_Android_App/feed&sz=320x50&gsb=wi&ogsb=wi&apm_app_id=1:557320552179:android:d112cd85034f3b00&gmp_app_id=1:557320552179:android:d112cd85034f3b00&apm_app_type=1&lite=0&caps=inlineVideo_interactiveVideo_mraid1_mraid2_mraid3_sdkVideo_exo3_th_autoplay_mediation_scroll_av_av_transparentBackground_sdkAdmobApiForAds_di_sfv_dinm_dim_nav_navc_dinmo_ipdof_gls_gcache_demuxedGcache_xSeconds&bisch=false&blev=0.85&canm=false&_mv=29.android&heap_free=3875392&heap_max=536870912&heap_total=16614784&wv_count=0&rdps=45800&blockAutoClicks=false&trt=0&cust_params=google-consent=false&fav_ct&imp_id=32526789-82be-4467-b312-c07c30cdacac&app_version=13.22.0&yo_app=and_g_home_NO_SEGMENT,and_g_home,and_g_home_r1,and_g&And_RevenueTrackingTest_3=R&fb=false&hn=com.ebay.kleinanzeigen&hu=2d5a1a9466e2a1f96f3d2d0aacd7992c&li=1&or=portrait&pn=0&pt=Homepage&sw=360.0&lsc&lsk&pos=40102&ptg=BAND-5053_flag_ad_B,BAND-5078_explicit_consen_R,BAND-5218_CallbackRequest_C,BAND4535_reblaze_sdk_A,BAND4635_gdpr_tcf20_B,BAND5977_ga_behind_consen_A,BAND6112_ga_advertising_A,BAND6393-pri_offer_button_B,BAND6672-buy_now_checkout_B,BAND_4295_android_msg_box_B,backend_ab_bln13364_B,backend_ab_bln404_A,backend_ab_bln418_A,backend_ab_bln_abc2_B,liberty_gcp_android_A,liberty_query_optimizatio_A,new_registration_flow_B,pre_filter_offers_A,Lib_G&ad_h=9&city=Deutschland&g_hd=f296c1bc4e48c0462485bc9be0bff9e576186ae6e9ec1624973c4557d04dbf89&g_pn=0&page=Homepage&gam_count=1&treatmentsegment=NO_SEGMENT&consent=none2&excl_cat&includeDoritos=false&includeCookies=false&is_latl=-1&blob=ABPQqLFjVZW8lyDro6fuAQpwv3mPQHECA8JMZu3L7nYBp57y5-gUmEUGe-Pic9RnOywLtEl_36JvBnr0XaT3BRy2l565kIZPcc5HdqJcPQxBtzpuqeWVBte9hFboqVjCmb7t58z0IyPBLAyxg03VWtd1c3UXortMmQ-dEeZC4Mmzs76DNQCjkqKKJ2DUA7u54L5O63_Ms3QW4az2s3w6ihBLktyunytzzyZK87k4xVsIQ2yvoOfwQblXyEcHxw&et=28&d_imp=1&swipeable=0&unr=true&jsv=sdk_20190107_RC02-production-sdk_20220721_RC00&tcar=64 HTTP/1.1
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36 (Mobile; afma-sdk-a-v222615030.222615030.0)
Host: pubads.g.doubleclick.net
Connection: close
Accept-Encoding: gzip, deflate

2.9 Datenschutzeinstellungen anpassen

Über das Hamburgermenü -> Hilfe möchte ich eigentlich die Datenschutzeinstellungen aufrufen bzw. prüfen – da fiel mir das Untermenü Messung und Analyse ins Auge:

Man glaubt es kaum: Obwohl beim (Cookie-)Consent-Banner alle Schieberegler auf [Nein] standen bzw. deaktiviert waren, muss man der Übersendung von Absturzberichten an Google Firebase Crashlytics (USA) im Untermenü Messung und Analyse gesondert widersprechen.

2.10 Nach einem Artikel/Angebot suchen

Über die Suchmaske möchte ich nun nach einem Artikel/Angebot suchen. Mit einem Fingertipp auf das Suchfeld löse ich die nachfolgenden Verbindungen aus.

[1] Beim Initiieren einer Suche (lediglich das Antippen des Suchfelds) wird eine Verbindung zu Google (Suche) aufgebaut [www.google.com]:

GET /afs/ads?iab_gdprApplies=1&hm=Xiaomi&num=0&channel=Android_BRP_Total+or_portrait+and_g_srpb_no_segment+and_g_srpb_all+and_g_srpb_r1+and_3_R+none2&sdkv=afsn-sdk-android-4.0.1&adpage=1&source=afsn&type=1&adsafe=high&hw=Mi A1&nnad=5&output=uds_ads_only&oe=utf-8&client=vert-pla-mobile-app-ebay-kleinanzeigen-de-ios-cat&uio=-&cpp=0&mappver=com.ebay.kleinanzeigen-13.22.0&os=29&iab_cmpSdkId=309&ms=CoACSNHzHqFv6KSKFLiQwveKPYXuUwoR3eSnZd39PtVXK5NnNt8Rkal8PszUBYmlBDGzHZJEjcfBbHJcjvDrdmZrOcuKO_HPU4GJhODQhgiT44G6A8iw4_JBjzNG6jdrv6jiDYS57ulTZWjlFT4qvHMw7MjbpF3aIsA7fCwhq7Z7_33qrxktsEM0noP932YwYhclDtmm1Mu0HBNCLFP89FIlRLb9QrzfqDwcu-oz2rosu2QAKNrjbHCZ2J-MxRebeJ26gcXd6fH-I_eO8V3cy36CQQcbefX57MTK7gcpS88PV7ehiuJeKwaeEmmVd7Lpod9TDuOZgcLvYh33aDoq0UBb9gqAAob1SOHtAzMrsjQFewsg49GcwdPEyAuWoo-N3WdhUVV78PzrXwlN4WPXM-3XB1pw_Nq68SFPnJpn55ZOwy7jIAGB2BjT2WmrmDhpPH6wyWlD0HX-Y8utzmjBeiKFq0tWbBLxYUfcj2BmH1kewBQUoecJ2MdU9lPF4KxzuzjKnHNLaQJNqNAusvclkQVEpS3aAk5YZFav8kI1m4pTX2E-104SdqBDPuH4JyMvuJXlBa4qJ62tn7mDOVkzSxHh1pD5alW8t05YmgiGsRb5P10IZro7VWfnqeBkDpVjPhGuc4700v2uCV5mOckkDYMO7bKi-KBlE_o9caHnY53NtUQRKMQSECfTVS5b8dHX5Tpo5vyt_WI&iab_tcString=CPcyTunPcyTunE1ABADECQCgAAAAAAAAAAYgIxNd_X__bX9n-_7_7ft0eY1f9_r3_-QzjhfNs-8F3L_W_L0X32E7NF36tq4KuR4ku3bBIQNtHMnUTUmxaolVrzHsak2cpyNKJ7LkknsZe2dYGH9Pn9lD-YKZ7_5___f53T___9_-39z3_9f___d__-__-vjf_599n_v9fV_7___________-_________wAAAElIAMAAQRiCQAYAAgjEGgAwABBGIRABgACCMQqADAAEEYhkAGAAIIxDoAMAAQRiIQAYAAgjESgAwABBGIA&psid=1992743374&q=iphone&r=m&v=4&rdid=d57fa49c-45a8-4a60-8b53-2aad7bde9a73&expid=21404 HTTP/1.1
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36 afsn-sdk-android-4.0.1
Host: www.google.com
Connection: close
Accept-Encoding: gzip, deflate

In diesem Aufruf befinden sich ebenfalls personenbeziehbare Informationen wie die Google-Advertising-ID (d57fa49c-45a8-4a60-8b53-2aad7bde9a73). Nun kann man sich die Frage stellen, weshalb Google informiert wird, wenn jemand eine Suchanfrage bei der eBay-Kleinanzeigen-App starten möchte. Die URL bzw. der Aufruf könnte ein Indiz für den Zweck sein:

GET /afs/ads?iab_gdprApplies=1[…]

Es geht vermutlich schlichtweg um die Einblendung interessenbezogener Werbung. Anhand der Google-Advertising-ID, dürfte dies für Google problemlos möglich sein.

[2] Jegliche Eingabe in das Suchfeld bzw. die Suchmaske (im Beispiel dachbox) wird an Algolia (USA), einer Suchmaschine, die man als Software as a service (SaaS) buchen kann, übermittelt [8ys7j0y0h2-dsn.algolia.net]:

POST /1/indexes/ebayk_prod_suggest/query HTTP/1.1
Accept-Encoding: gzip, deflate
X-Algolia-Application-Id: 8YS7J0Y0H2
X-Algolia-API-Key: a29d2bf6a595867b238e885289dddadf
User-Agent: Algolia for Android (3.27.0); Android (10)
Content-type: application/json; charset=UTF-8
Host: 8ys7j0y0h2-dsn.algolia.net
Connection: close
Content-Length: 100

{
   "params":
   "hitsPerPage=10&optionalFilters=["categories.pathToRoot.id:232"]
   &query=dachbox" 
}

[3] Die gesamte Suchhistorie wird ebenfalls an Google Doubleclick (USA) übermittelt [pubads.g.doubleclick.net]:

GET /gampad/ads?submodel=Mi A1&android_app_volume=1&disable_ml=false&adid_p=1&format=300x250_as&omid_v=a.1.3.3-google_20200416&android_app_muted=false&am=0&dv=221908400&gl=DE&hl=de&js=afma-sdk-a-v221908999.221310000.1&kw=Dachbox / Gepäckträger&lv=221310600&ms=CpgECoACtX9YRDmv2oKTqfiL_8ezYEQj3HyXz9DDIwSPRmhJ0xORZOJAYsIIEDeLTFqdWZ-wPkkFkrLxOQmatKbN3nAhc5FRDxWNPyrcb878aXSNCl70b7N8lCSSEftedpQeK3aSyPAbpa_ckBU711nrfM-ugiwww5xqp2zqsqIdqACcboxGY-k29cJ8sGXZjEysxaPOC-p7YBluLhGtSAhgPfBCVNkbiBZ6bKbWcYAGPIDVYHX8Q7LarUFT2TnvduH3901GJ_F3qvS3fs_vWC22fr3YkwQwPlz9BYfotJig7T5WBKU1sdh9jd_w5lUke6cjPBNwVZkULC2fNTusOqD33LipyQqAAmllw-3CwxAUWj7IiZUMMNGDVW9Thw63xsSLH445K7lwBVFeAWWgHIU5pBVbHvBZQVip-zrAokEz15dM_mGNt2PsG-GCFM8ONGkSqcFJ91LvSH9KER947YRVpT18KVDlP-MpLINaEPioEDqoB_q2HmeMY6tFGgKW7GlMEne5TahaUsBJS0egwOykWenWFNHR-8LVJHgu_jidrrI2Zu_i-zpdkgf_yugt19hPZ_Nlgo415CPAzIoP4pGIIng_Jc9ZjpS0hrj5nlZKXdtHTep0WV0Pk6BDsTkfYP0sbiPctE1dCHNtl2e_JhO_Ojp4iaV3JZGyYi6k1u81zx3k6myDf-YSEGTHIvM7iSs37zYq1WsJwtYSlQIKgAJ8L_qODptpMlOnDU6BhOr-SdyfSomOdX8K8TEXH7qMfQwPgqplz3-onT_fDF_VHld_xft0CfYwFhbMD-r2ETUbOjcmBPLWP01GPF2284IUJtrDpxp981r7WKly34qRo3VCvE0nAJSrkwci_xwgLQQrundfe28DCcCLi66w4jiNv_jKVNVzimWLEWWduIQCi8l1RQ6F6PfXb56r2FSZbEApQkHiGnZNXaTi8lBaouxanQkFmoLQP2YRNepymUz_NIhDTbhLw0kjP6pzp7krqGszlj4DrGproT5IjeCEIXIl5PUfVlai7tCyjs1zo8U1kz6bfJ-k4o6Zf_ahVGZDpiH9EhDvReneH143p8K9qFxPZquu&mv=83151610.com.android.vending&rm=1&sp=false&sz=320x50|300x250&coh=true&riv=0&vnm=13.22.0&ppid=2d5a1a9466e2a1f96f3d2d0aacd7992c&u_sd=3&request_id=1245918551&fluid=height&render_in_browser=false&target_api=31&request_pkg=com.ebayclassifiedsgroup.commercialsdk.dfp_criteo.DfpAdViewWithCriteoPlugin&app_open_version=2&is_sidewinder=0&fbs_aeid=5944677068522355469&fbs_aiid=619f1d2ced0c3f7818fb483779d23a44&seq_num=5&is_gbid=false&eid=318496669,318500618,318486317,318491267,318483611,318484496,318486815,318492496,318500349,318501236,318502072,318503837,318502753,318475417,318503658&_c_csdk_npa_o=false&gdpr=1&gdpr_consent=CPcyTunPcyTunE1ABADECQCgAAAAAAAAAAYgIxNd_X__bX9n-_7_7ft0eY1f9_r3_-QzjhfNs-8F3L_W_L0X32E7NF36tq4KuR4ku3bBIQNtHMnUTUmxaolVrzHsak2cpyNKJ7LkknsZe2dYGH9Pn9lD-YKZ7_5___f53T___9_-39z3_9f___d__-__-vjf_599n_v9fV_7___________-_________wAAAElIAMAAQRiCQAYAAgjEGgAwABBGIRABgACCMQqADAAEEYhkAGAAIIxDoAMAAQRiIQAYAAgjESgAwABBGIA&addtl_consent=1~&guci=0.0.0.0.0.0.0.0&sdk_apis=7,8&omid_p=Google/afma-sdk-a-v221908999.221310000.1&cap=m&u_w=360&u_h=640&msid=com.ebay.kleinanzeigen&an=38163.android.com.ebay.kleinanzeigen&_package_name=com.ebay.kleinanzeigen&u_audio=1&net=wi&u_so=p&preqs_in_session=1&support_transparent_background=true&preqs=4&time_in_session=34190&dload=-78094458&pcc=0&ismediation=false&output=html&region=mobile_app&u_tz=120&content_url=https://www.ebay-kleinanzeigen.de/s-anzeige/dachbox-gepaecktraeger/2167441947-223-8259&url=38163.android.com.ebay.kleinanzeigen.adsenseformobileapps.com&gdfp_req=1&markup=html&m_ast=afmajs&impl=ifr&iu=/7233/eBay_Kleinanzeigen_Android_App/BTF/belly&kw_type=broad&gsb=wi&ogsb=wi&apm_app_id=1:557320552179:android:d112cd85034f3b00&gmp_app_id=1:557320552179:android:d112cd85034f3b00&apm_app_type=1&lite=0&caps=inlineVideo_interactiveVideo_mraid1_mraid2_mraid3_sdkVideo_exo3_th_autoplay_mediation_scroll_av_av_transparentBackground_sdkAdmobApiForAds_di_sfv_dinm_dim_nav_navc_dinmo_ipdof_gls_gcache_demuxedGcache_xSeconds&bisch=false&blev=0.79&canm=false&_mv=29.android&heap_free=10750258&heap_max=536870912&heap_total=49929978&wv_count=2&rdps=45800&blockAutoClicks=true&trt=0&cust_params=target_location&google-consent=false&Verkaeufer=privat&g_adid=2167441947&imp_id=f5f760d8-c5eb-4749-8e62-1842ce054114&app_version=13.22.0&yo_app=and_g_vip_NO_SEGMENT,and_g_vip_motors,and_g_vip_r1,and_g&ExactPreis=50&And_RevenueTrackingTest_3=R&ct=223&hn=com.ebay.kleinanzeigen&hu=2d5a1a9466e2a1f96f3d2d0aacd7992c&kw=Dachbox / Gepäckträger&li=1&or=portrait&pt=VIP&sw=360.0&Art=Weitere Autoteile&cat=210&lsc=0,0,0,232&lsk=dachbox,hund,dachbox,haus&plz=69168&pos=40800&ptg=BAND-5053_flag_ad_B,BAND-5078_explicit_consen_R,BAND-5218_CallbackRequest_C,BAND4535_reblaze_sdk_A,BAND4635_gdpr_tcf20_B,BAND5977_ga_behind_consen_A,BAND6112_ga_advertising_A,BAND6393-pri_offer_button_B,BAND6672-buy_now_checkout_B,BAND_4295_android_msg_box_B,backend_ab_bln13364_B,backend_ab_bln404_A,backend_ab_bln418_A,backend_ab_bln_abc2_B,liberty_gcp_android_A,liberty_query_optimizatio_A,new_registration_flow_B,pre_filter_offers_A,Lib_G&ad_h=10&city=Deutschland&g_hd=f296c1bc4e48c0462485bc9be0bff9e576186ae6e9ec1624973c4557d04dbf89&page=ViewItemPage&tcat=223&Preis=50&g_lsk=dachbox,hund,dachbox,haus&versand=false&posterid=53719767&gam_count=1&treatmentsegment=NO_SEGMENT&consent=none2&Angebotstyp=Angebot&excl_cat&includeDoritos=false&includeCookies=false&is_latl=-1&blob=ABPQqLG6AkhdTtMcjxYLof9FU-CDCqtVVsv-VsO5UwuiDLM-JAHG01jaz03NQWItwNurJUXYrD-uRYU8nHQtr2ZmDZ7qQ1ePN2zqhciGd9j0gIhaHaAGoAQ2Z8UVxkPMbKSzRuToN9EUjyAXY46rzf93Ep_7qHof8BVXtFk_1ASav0TxEQAZlaU-TdKAEYxEZxAAw2UPecyrrBHAvZXE4JY7X9sNkl_vSCeL_gc_-RgTUctrE-QrxxWbVxn7-A&et=27&jsv=sdk_20190107_RC02-production-sdk_20220721_RC00&tcar=74 HTTP/1.1
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36 (Mobile; afma-sdk-a-v222615030.222615030.0)
Host: pubads.g.doubleclick.net
Connection: close
Accept-Encoding: gzip, deflate

Scrollt man nach rechts, kann man unter anderem aktuelle und vergangene Suchanfragen auslesen. Auch hier ist der Zweck vermutlich wieder die Ausspielung interessenbezogener Werbung:

dachbox,hund,dachbox,haus

Weiterhin lässt sich der Artikel bzw. das Angebot entnehmen, auf das der Nutzer getippt hat:

https://www.ebay-kleinanzeigen.de/s-anzeige/dachbox-gepaecktraeger/2167441947-223-8259

[4] Beim Antippen eines Angebots erfolgt ebenfalls (wieder) eine Datenübermittlung an Criteo (Frankreich) [bidder.criteo.com]:

POST /inapp/v2 HTTP/1.1
Content-Type: text/plain
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Host: bidder.criteo.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 975

{
   "id":"62e0f513f91b864a65c68bc4789a6964",
   "publisher":{
      "bundleId":"com.ebay.kleinanzeigen",
      "cpId":"B-055179",
      "ext":{
      }
   },
   "user":{
      "deviceId":"d57fa49c-45a8-4a60-8b53-2aad7bde9a73",
      "deviceIdType":"gaid",
      "deviceOs":"android",
      "ext":{
         "device":{
            "make":"Xiaomi",
            "model":"Mi A1",
            "contype":2,
            "w":1080,
            "h":1920
         },
         "data":{
            "orientation":"Portrait",
            "inputLanguage":[
               "de"
            ],
            "sessionDuration":4657
         },
         "user":{
            "geo":{
               "country":"DE"
            }
         }
      }
   },
   "sdkVersion":"4.4.0",
   "profileId":235,
   "gdprConsent":{
      "consentData":"CPcyTunPcyTunE1ABADECQCgAAAAAAAAAAYgIxNd_X__bX9n-_7_7ft0eY1f9_r3_-QzjhfNs-8F3L_W_L0X32E7NF36tq4KuR4ku3bBIQNtHMnUTUmxaolVrzHsak2cpyNKJ7LkknsZe2dYGH9Pn9lD-YKZ7_5___f53T___9_-39z3_9f___d__-__-vjf_599n_v9fV_7___________-_________wAAAElIAMAAQRiCQAYAAgjEGgAwABBGIRABgACCMQqADAAEEYhkAGAAIIxDoAMAAQRiIQAYAAgjESgAwABBGIA",
      "gdprApplies":true,
      "version":2
   },
   "slots":[
      {
         "impId":"62e0f513f51b66ebad23b283ab26d300",
         "placementId":"/7233/eBay_Kleinanzeigen_Android_App/BTF/belly",
         "isNative":true,
         "sizes":[
            "2x2"
         ]
      }
   ]
}

An dieser Stelle beenden wir die Analyse – diese Erkenntnisse muss man erstmal verarbeiten.

3. Rechtsverstöße

Die nachfolgende rechtliche Bewertung erfolgt durch Spirit Legal (Peter Hense) – eine Rechtsanwaltssozietät mit Sitz in Leipzig. An dieser Stelle möchten wir auf den ersten Teil der Artikelserie »App-Check« verweisen, in dem unter Ziffer 3 die rechtliche Ausgangslage erläutert wird.

3.1 Sanktionswürdigkeit heimlicher Datenverarbeitung (datenschutzrechtliches Transparenzdefizit)

Bevor Nutzer:innen mit der App interagieren, nutzt das Management der eBay Kleinanzeigen GmbH die Chance, Verbindung mit sechs externen Trackingdiensleistern aufzunehmen, von denen sie, wie gezeigt, nicht einmal ansatzweise die gesetzlichen Pflichtinformationen zum Datenschutz nach Art. 12, 13, 14 DSGVO vorhält. Transparenz zu schaffen war das Ziel der ePrivacy-Richtlinie, die 2009 mit folgendem Erwägungsgrund (66) aktualisiert wurde:

Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden.

Seit 2009 ist viel Wasser die Elbe herabgeflossen, doch bei den Kleinanzeigern aus Kleinmachnow sind diese Worte noch nicht angekommen. „Hach, Brandenburg“ könnte man schulterzuckend meinen, wenn es andernorts denn deutlich besser um datenschutzrechtliche Compliance bestellt wäre.

Bereits weniger außergewöhnliche Transparenzverstöße haben bei Instagram zu einem substanziellen Bußgeld geführt, das angesichts des Gesamtumsatzes von Adevinta, der Konzernmutter der App-Betreiberin, doch immerhin spürbar ausfallen müsste. Criteo, einer der von der App by default geladenen und stets mit der semipermanenten Google Advertising ID (GAID) gefütterten Tracker, musste im August ein offizielles 8-K-Statement veröffentlichen, weil die französische Datenschutzaufsichtsbehörde CNIL das Unternehmen wegen offensichtlicher Datenschutzmängel im Geschäftsmodell mit 60 Millionen EUR strafen möchte. Es ist zu hoffen, dass in nicht allzu ferner Zukunft ähnlich gute Nachrichten auch zur Betreiberin der vorliegenden App vernommen werden können.

3.2 Sanktionswürdigkeit des Trackings ohne nachgewiesene Einwilligung

Wie zuletzt im 2. Teil des App-Checks im Detail ausgeführt, sind Zugriffe auf Endeinrichtungen zu Zwecken der Webanalyse, der Marktforschung und jede Form der Werbung ohne informierte Einwilligung nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um, dessen Vorgaben von den Mitgliedstaaten sichergestellt werden müssen. Als gemeinsame Verantwortliche nach Art. 26 DSGVO haften App-Betreiber und Tracking-Dienstleister gemeinsam, wenn sie ohne Rechtsgrundlage und unter Verletzung aller datenschützenden Normen illegal Nutzer:innendaten missbrauchen. Die gemeinsame Verantwortlichkeit („Joint Control“) zwingt alle Beteiligten zur Sicherstellung des Vorliegens einer gültigen Rechtsgrundlage, wie es bereits die britische Aufsichtsbehörde ICO explizit für den Bereich Advertising Technology feststellte (ICO, Update report into adtech and real time bidding, 2019, S. 6). Dass § 25 TTDSG neben den Websitebetreibern selbstverständlich auch die Tracking-Dienstleister wie z. B. Google, Meta, Amazon, Xandr, AdForm, Pubmatic und eben Criteo erfasst, hat kürzlich Dr. Hanloser in der ZD 2022, 529, 530 zutreffend festgestellt:

[…] Normadressat des Verbots aus § 25 TTDSG und zugleich Einwilligungsadressat in den Fällen des § 25 Abs. 1 TTDSG ist der Akteur, der von seinem Server aus Informationen auf der Endeinrichtung des Nutzers speichert oder ausliest. Bei der Nutzung eines Telemediendienstes erfolgt die Mehrzahl der Gerätezugriffe nicht durch den Telemedienanbieter selbst, sondern durch Technologieanbieter, die der Telemedienanbieter einbindet (Multipolarität digitaler Dienste). Zwar können die Telemedienanbieter die erforderlichen Informationen zur Verfügung stellen (vgl. EuGH ZD 2019, 556 Rn. 81 mAnm Hanloser – Planet49) und die Einwilligung der Endnutzer als Boten für die Technologieanbieter abfragen. Materiellrechtlich sind jedoch nicht die Telemedienanbieter, sondern die Technologieanbieter die Einwilligungsadressaten iSd § 25 Abs. 1 TTDSG. […]

Für das Vorliegen einer wirksamen Einwilligung sind alle beteiligten Akteure, App-Betreiber und Tracking-Dienstleister, gleichermaßen beweisbelastet. Als gemeinsam Verantwortliche haben sie aufgrund der gesetzlichen Rechenschaftspflichten nach Art. 7 Abs. 1 DSGVO (anwendbar über den direkten Verweis in § 25 Abs. 1 TTDSG) den Nachweis für das Vorliegen einer wirksamen Einwilligung zu erbringen. Dies stellte der EuGH erst kürzlich erneut in der Rechtssache C-61/19 – Orange România/ANSPDCP fest:

(42) Hinzuzufügen ist, dass der für die Verarbeitung personenbezogener Daten Verantwortliche nach Art. 6 Abs. 1 lit. a und Abs. 2 RL 95/46 sowie Art. 5 Abs. 1 lit. a VO 2016/679 u.a. die Rechtmäßigkeit der Verarbeitung dieser Daten zu gewährleisten hat und, wie Art. 5 Abs. 2 dieser VO klarstellt, in der Lage sein muss, diese Rechtmäßigkeit nachzuweisen. Was insb. eine etwaige Einwilligung der betroffenen Person angeht, sieht Art. 7 lit. a der genannten RL vor, dass die betroffene Person „ohne jeden Zweifel“ ihre Einwilligung gegeben haben muss, was, wie der G/A in Nr. 56 seiner Schlussanträge ausgeführt hat, bedeutet, dass die Beweislast für das Vorliegen einer gültigen Einwilligung dem für die Verarbeitung Verantwortlichen obliegt. Art. 7 Abs. 1 VO 2016/679 sieht nunmehr vor, dass dieser Verantwortliche nachweisen können muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, wenn die Verarbeitung auf einer Einwilligung beruht. […]

Ob Criteo oder Google, die App von eBay Kleinanzeigen öffnet Tür und Tor für jeden, der seine Nase in die Nutzer:innendaten stecken will, nur eben ohne Einwilligung. Es wäre sicherlich hilfreich, wenn möglichst viele Nutzer:innen sowohl Google als auch Criteo auf diese Missstände aufmerksam machen würden und so einen privaten Sanktionsdruck erzeugen, der das Geschäftsmodell der wechselseitigen Verantwortungslosigkeit, das beißgehemmte Datenschutzbehörden viel zu lange haben blühen lassen, endlich auszutrocknen.

3.3 Sanktionswürdigkeit der gezielten Irreführung von Nutzer:innen durch Cookie-Banner

Wie bereits unter 2.4 beschrieben, ist das Cookie-Banner aus Kleinmachnow eine Klickfalle. Nicht weniger als 342 „Partner“ (juristisch: Mittäter) werden aufgelistet, doch angesichts der defizitären Gestaltung der Einwilligungserklärung („Cookie-Banner“), der es an jeglicher Informiertheit mangelt, kann, ob mit oder ohne unzulässige Voreinstellung oder andere Designtricks, in keinem Fall wirksam eine Einwilligung erteilt werden. Das Thema Dark Patterns wurde bereits im ersten App-Check unter 4.1 detailliert besprochen. Im Kern sollte man als Jurist oder Datenschutzexperte im Blick behalten, dass Einwilligungserklärungen stets in den Anwendungsbereich von Art. 3 und 5 der Klauselrichtlinie (RL 93/13 EG) fallen und damit einer intensiven Prüfung auf Fairness und Transparenz unterzogen werden müssen. Die gleichfalls einschlägige Richtlinie über unlautere Geschäftspraktiken (UGP-Richtline, RL 2005/29/EG) sorgt zudem für einen umfassenden Irreführungsschutz. Was für einen durchschnittlich informierten, aufmerksamen und verständigen Durchschnittsverbraucher unfair, intransparent oder sonst irreführend ist, kann datenschutzrechtlich nie zulässig sein. Vor diesem Hintergrund ist das von eBay Kleinanzeigen verwendete CMP-Design Sondermüll, der dringend entsorgt werden muss. Bereits die im Design angelegte Möglichkeit, aus Versehen seine Daten an hunderte von Empfängern zu senden, ist bereits eine unzulässige, rechtswidrige Gestaltung, aus der niemals eine wirksame Einwilligungserklärung entspringen kann.

Was die Arbeit mit der vorliegenden App aber so besonders macht, ist der Umstand, dass nicht nur die Einwilligungsmechanik nicht funktioniert und in geradezu haarsträubender Weise nach Sanktionen ruft, sondern dass zudem auch noch eine nicht erteilte und ausdrücklich verweigerte Einwilligung schlicht ignoriert wird. Dies geschieht, wie oben dargestellt, nicht nur bei Google Firebase und Criteo, sondern rein zufällig auch bei der Einbindung des besonders lukrativen Dienstes Google Doubleclick (seit 2018: Google Marketing Platform), der für die Monetarisierung der App eine besonders große Rolle spielt. Auch hier erleben wir das virtuose Zusammenspiel von Google und App-Anbietern, bei denen letztere ihre Kunden ans Messer der Data Broker liefern und diese versuchen, ihre Hände in Unschuld zu waschen.

Bei der Bemessung von möglichen Bußgeldern und Sanktionen durch Behörden sowie bei zivilrechtlichen Klagen gegen Verantwortliche und deren Geschäftsführung, sollte diese Gemengelage genauer betrachtet werden, denn die Rechtsfigur der gemeinsamen Verantwortlichkeit beginnt gerade erst ihre Wirkung zu entfalten.

Wenn eBay Kleinanzeigen und Google für verhängte Bußgelder haften, Schadensersatz leisten und ihre Führungsetagen zumindest eine Vorladung als Zeugen oder gar Beschuldigte erhalten, werden die Daten-Hazardeure aus Kleinmachnow und andernorts vielleicht wach. Denn auch wenn das Online-Advertising-Ökosystem offenbar weiträumig von organisiertem Rechtsbruch lebt, so kann man diese Auswüchse mit schnellen und gerechten Sanktionen doch stark zurückdrängen.

Wofür existieren denn sonst Aufsichts- und Strafverfolgungsbehörden?

4. Fazit

Die Datenverarbeitungen, die von eBay Kleinanzeigen als Betreiberin der App verantwortet werden, stehen im krassen Widerspruch zu allen rechtlichen Regelungen, die das deutsche und europäische Datenschutzrecht seit Jahrzehnten ausmachen. Dass es sich um Sorglosigkeit oder Nachlässigkeit handeln könnte, ist aufgrund der Unternehmensstruktur und -historie auszuschließen. Die eBay Kleinanzeigen GmbH muss sich vorwerfen lassen, eklatant rechtswidrige Datenverarbeitungen aufrechtzuerhalten und intensiv als Geschäftsmodell zu betreiben. Dass diese Art der kommerziellen drittschädigenden Datenverarbeitung strafrechtlich verfolgt werden muss, wurde bereits unter 4.6 des App-Checks zum DB Navigator erläutert. Eine detaillierte Prüfung der Rechtslage, die Evaluierung der Maßnahmen zur Sicherstellung von Rechtmäßigkeit und Sicherheit der Verarbeitung im Verarbeitungsprozess sowie die Herstellung eines angemessenen Schutzniveaus, für die personenbezogenen Daten der Nutzer:innen der App, sind die geltenden gesetzlichen Anforderungen an die App-Anbieterin. Diese hat jedoch nichts dergleichen getan.

Am Ende bleibt uns nur ganz im Stil von eBay Kleinanzeigen zu fragen:

Datenschutz: Was letzte Preis?

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge

10. September 2023

Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test

Manche Ladeapps sind eine Datenschutzkatastrophe. Wir haben 41 Apps getestet und geben Tipps für datensparsames Laden.

11. Mai 2023

Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4

Die Datenschutzverletzungen von Booking.com sind vergleichbar mit einem verheerenden Verkehrsunfall, bei dem man einfach nicht wegsehen kann.

11. April 2022

DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

Die Analyse des DB Navigators offenbart eklatante Verstöße gegen die DSGVO und das TTDSG. Ist das Vorsatz oder Unfähigkeit?

20. Juni 2022

Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2

Der Datenschutz ist bei der Post-&-DHL-App offensichtlich unbekannt verzogen.

9. November 2021

Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20

Firefox ist im Auslieferungszustand kein datenschutzfreundlicher Browser - er lässt sich aber zu einem umwandeln.

Weitere Themen

AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP

---

Diskussion

8 Ergänzungen zu “eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3”

1. Unbekannt verzogen sagt:

   24. Oktober 2022 um 20:18 Uhr

   Im Cookie Banner (sowohl in der App als auf der Webseite) gibt es noch einen gut versteckten „Knopf“, eher Link:

   Möchtest du uns keine Einwilligung geben klicke bitte hier.

   Zur entsprechenden Stelle im Fließtext kommt man unter Umständen erst durch Scrollen.
   Damit ist die Ablehnung leicht erteilt. Inwiefern das dann natürlich technisch berücksichtigt wird habe ich nicht überprüft.

2. Himbeere sagt:

   24. Oktober 2022 um 20:19 Uhr

   Wer einen ebay Kleinanzeigen Account ohne Handynummer hatte, der wird wohl auch mitbekommen haben, dass ebay Kleinanzeigen die Nutzer auch massiv zur Angabe einer Handynummer zwingt.

   Wer nämlich
   – bereits ohne Handynummer eingestellte Artikel editieren wollte, wurde gezwungen eine Handynummer anzugeben, sonst lässt sich der Artikel nicht mehr editieren
   – wer auf erhaltene Nachrichten antworten möchte, muss eine Handynummer angeben, sonst kann man nicht mehr antworten.
   – wer neue Artikel einstellen wollte, muss eine Handynummer angeben sonst lassen sich auch keine neuen Artikel einstellen

   Die Begründung: „wir möchten wissen, dass du du bist“ ist dabei auch irreführend bis quatsch. ebay Kleinanzeigen ließ sich ohne personenbezogene Daten (jetzt Tracking ausgenommen) wie Namen usw. nutzen. Also mit anonymer E-Mail, mit Nickname usw. – dann eine Handynummer oder Telefonnummer angeben zu müssen, dass man plötzlich weiß wer das ist, ist fadenscheinig.

   Bei Nachfrage bei ebay Kleinanzeigen, meinten sie das es zur Sicherheit sei….jedoch bieten sie auch keinen zweiten Faktor wie TOTP an, sondern nur die Handynummer. Ich würde gerne sagen, dass man das ruhig machen könnte aber ebay Kleinanzeigen hatte auch mal einen Skandal, wo sie „ausversehen“ diese Handynummern veröffentlicht haben.

   • Leser sagt:

     25. Oktober 2022 um 00:11 Uhr

     Ich würde gerne noch ergänzen, dass sich der von Himbeere beschriebene Zwang zur Angabe der Handynummer inzwischen noch ausgeweitet hat:
     Wer inzwischen versucht, sich mit einem vormals pseudonymen Account anzumelden, wird sofort zur Angabe der Handynummer genötigt, es lassen sich bei Nicht-Angabe keinerlei Funktionen mehr nutzen.
     Diese bewusste Datensammelwut hat mich bereits vor einiger Zeit dazu gebracht, Ebay-Kleinanzeigen final ad acta zu legen, da es aus den von Himbeere genannten Gründen (keine Alternative wie TOTP) offensichtlich nicht um „Sicherheit“, sondern um die Akquise möglichst umfassender Personendaten geht, welche sich anschließend gewinnbringend verkaufen lassen.

   • Klaus sagt:

     28. Oktober 2022 um 16:50 Uhr

     Wenn ich mich recht erinnere hat eBay Kleinanzeigen den Zwang zur Mobilnummer eingebaut, weil man sich (fast) anonym anmelden konnte und das von Straftätern genutzt wurde.
     Dafür haben sie einen auf den Deckel bekommen und deswegen jetzt der Zwang der SMS Verifizierung.

     Sie hätten auch PostIdent o.ä. nehmen können, aber das war wohl zu teuer.

     • Joe sagt:

       9. Dezember 2022 um 18:36 Uhr

       Habe eben mal nachgeschaut, weil ich dort regelmäßig anbiete und suche, die App aber erst lange nach meiner Anmeldung anno 2009 nutze. Es geht wohl auch mit einer Festnetznummer, die ist zumindest bei mir als verifiziert angegeben. Vermutlich habe ich einen automatisch vorgelesenen Code bestätigen müssen.
       Falls so etwas möglich ist, halte ich die Festnetznummer für die bessere Wahl, weil dort kein SMS-Spam ankommen kann.

3. Roland sagt:

   24. Oktober 2022 um 23:06 Uhr

   Hallo,

   Du schreibst „Anschließend erfolgt ein Aufruf zu einer Subdomain, die ich via whois dem Unternehmen MarktMonitor (USA) zuordne“

   Damit meinst Du wohl die Domain „classifiedscloud.io“, die aber gehört:

   „Registrant Organization: Marktplaats B.V.“

   Also der Mutter von EbayKA.

   • Mike Kuketz sagt:

     25. Oktober 2022 um 09:30 Uhr

     Korrekt. Registrar ist: MarkMonitor Inc. | Domaininhaber ist aber: Marktplaats B.V.

4. Gelegenheitsleser sagt:

   25. Oktober 2022 um 18:03 Uhr

   Man kann außerdem seinen Account bei Kleinanzeigen nicht selbst löschen. In der Hilfe wird man stattdessen auf das Kontaktformular verwiesen, siehe: https://themen.ebay-kleinanzeigen.de/hilfe/nutzerkonto/datenloeschung/

Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.