Rheinische Post erzwingt Einwilligungen mit Fantasie-Abo

Rheinische Post Tracking1. Cookie-Paywall

Ein Pur-Abo, das es mit den versprochenen Bedingungen nicht gibt: Das haben wir bei der Rheinischen Post gefunden. Wie viele andere Verlage nutzt auch die Rheinische Post eine Cookie-Paywall: Entweder man willigt in verhaltensbasierte Werbung ein. Oder man schließt ein Abo ab. Dann könne man das normale Angebot ohne Werbetracking, aber dafür gegen einen Monatsbetrag lesen, schreibt der Verlag auf der Startseite:Paywall

2. Das Abo-Angebot

Bei genauerem Hinsehen fällt auf, dass dieses werbetrackingfreie Abo nicht extra geschaffen wurde, sondern eigentlich das RP+ Abo ist, das auch kostenpflichtige Artikel beinhaltet. Na sowas! Nicht dass es ein Problem wäre, dass zusätzliche Leistungen in dem Paket sind – aber wenn dafür teuer bezahlt werden muss, ist die Alternative natürlich nicht mehr gleichwertig und eine Verknüpfung mit einer Einwilligung nicht mehr erlaubt (siehe Hintergrundkasten). Mit 7,99 € ist das Abo auch unverhältnismäßig teuer: Die meisten Pur-Abos kosten weniger als 5 €. Und eine Berechnung der Datenschutzorganisation noyb.eu kommt auf einen monatlichen Realwert von 16 Cent, die bei einem werbetrackingfreiem Abo verloren gehen. Die Realität (mit Abrechnungskosten etc.) liegt vermutlich irgendwo dazwischen.

Warum die Rheinische Post kein eigenes Abo geschaffen hat, sondern nur ein bestehendes Angebot heranzieht, das nicht den gesetzlichen Kriterien entspricht, darüber kann man nur spekulieren: Der Verlag wollte sich auch auf mehrmalige Anfrage zu den Vorwürfen nicht äußern. Der Verdacht liegt nahe, dass es gar nicht um ein reales, datenschutzfreundliches Angebot ging, sondern nur mit möglichst wenig Aufwand Druck auf Besucher’innen ausgeübt werden sollte.

Nach Registrierung und Anmeldung kamen dann die ersten Zweifel auf, ob das Abo überhaupt irgendeinen Datenschutznutzen hat.

Hintergrund und Rechtslage

Wer auf seiner Seite personalisierte Werbung einsetzt, benötigt vorher eine freiwillige Einwilligung seiner Leser’innen. Gerade bei den Verlagen wurde diese Regelung seit 2018 recht wenig beachtet. Bis die Datenschutzbehörden aufgrund der vielen Beschwerden in diesem Bereich Schwerpunktuntersuchungen durchgeführt haben.

Die Ausweichbewegung der Verlage sah in den letzten Jahren so aus: Sie gestalteten die freiwilligen Einwilligungsbanner oft so kompliziert, dass viele Besucher’innen genervt auf „OK“ klickten. Mit diesen sogenannten Dark Pattern lassen sich die Zustimmungsraten um 20 % und mehr heben. So konnten sie weiter personalisierte Werbung mit Trackingcookies vermarkten, was mehr Geld einbringt.

Noch wirkungsvoller bei den Zustimmungsraten ist eine Cookie-Paywall: Bei den sogenannten Pur-Abos kann das Publikum entscheiden, ob es die personalisierte Werbevermarktung zulässt oder stattdessen einen kleinen Monatsbeitrag für die entgangenen Werbeeinnahmen zahlt. Sonst ist kein Zugriff auf die Seite möglich. Das Modell stößt bei vielen Internet-User’innen auf Unverständnis, weil sie sich in den letzten zwanzig Jahren an kostenlose Nachrichtenseiten gewöhnt haben. Wenn sich der Betrag in einem fairen Rahmen bewegt, ist das Modell aber eine interessante Möglichkeit für beide Seiten. Auch der Gesetzgeber hat das berücksichtigt. Unter bestimmten, noch nicht ganz von Behörden und Gerichten geklärten Umständen ist es erlaubt, dass eine Einwilligung an eine Bedingung gekoppelt wird. Also bei den sogenannten Pur-Abos: Wenn du das Angebot wahrnehmen willst, hier kostenlos zu lesen, dann musst du in die Datenverarbeitung einwilligen. Solche Koppelungen sind nur unter strengen Bedingungen zulässig, weil sonst das Ziel einer freiwilligen Einwilligung verloren ginge. Eine Bedingung ist beispielsweise, dass das Alternativ-Angebot bis auf die Datenverarbeitung gleichwertig sein muss: Nur dann kann man eine freiwillige Entscheidung treffen, die nicht mit anderen Vor- oder Nachteilen verbunden ist. Wie man rechtswidrige Einwilligungsabfragen erkennt und dagegen vorgeht, haben wir hier beschrieben: Rechtswidrige Einwilligungs-Abfragen erkennen und dagegen vorgehen.

3. Facebook-Pixel

Direkt nach Abschließen des Abos und dem ersten Login tauchte der Facebook-Tracker in der Netzwerkanalyse auf. Diese auch „Pixel“ genannte Einbettung ist mittlerweile oft so konfiguriert, dass sie von sich aus keine Cookies setzt. Aber falls ich vorher im gleichen Browser bei Facebook angemeldet war, erhält Facebook die User-ID aus einem vorhandenen Cookie und erkennt, dass ich die Rheinische Post lese.

Facebook Cookie

Zum Glück werden nicht genaue URLs übertragen, aber natürlich ist die Einbettung nur mit Einwilligung (nach TTDSG § 25) erlaubt: Auch das Auslesen von Cookies ohne technische Notwendigkeit ist einwilligungspflichtig.

4. Werbecookies ohne Ende

Aber dabei bleibt es nicht. Nach wenigen Seitenaufrufen werden zahlreiche Werbetracker eingebunden, die ebenfalls Cookies mit bis zu zwei Jahren Laufzeit setzen. Darunter z.B. das IDE-Cookie, das bei Google Ads ein zentrales Verhaltensprofil eröffnet oder die Cookies des globalen Videowerbungsanbieters SpotX und das eines weiteren Spezialisten für personalisiertes Targeting, Criteo.

Criteo UID

Ein Teil dieser Cookies listet die Rheinische Post korrekt als Marketingcookies. Auch hier ist es also unklar, wie es passieren konnte, dass diese Cookies in einem werbetrackingfreien, kostenpflichtigen Abo auftauchen konnten.

Wie definieren die werbetrackingfrei?

Schauen wir nochmal ins FAQ, ob wir das alles richtig verstanden haben:

Was bedeutet Premiumwerbung ohne Werbetracking?

Antwort:

„Wir verzichten auf Werbetracking-Verfahren mit Zielgruppenansprache (‚Targeting‘). Ihre Nutzungsdaten werden nicht an Dritte weitergegeben.“

Schauen wir mal, ob etwas weitergeben wird.

5. Weitergabe an Dritte

Jede aufgerufene URL wird an über 20 Anbieter gesendet, die meisten davon sind Anbieter für personalisierte Werbung, z.B. Yieldlab, Adform, Videoplaza, Xandr oder Emetriq. Selbst wenn einige dieser Anbieter keine Cookies setzen, können sie mit IP-basierten Identitätsdiensten ein Verhaltensprofil erstellen.

Und das geschieht offenbar auch: So schreibt der Anbieter Glomex:

„The IP address transmitted from a user’s device is completely anonymised and used to form household networks. In household networks, devices connected to the internet, such as computers, telephones, connected TVs and others, can be identified and the usage data collected from individual websites can be combined across the various devices.“

6. Tracking über die IP-Adresse

IP-Adressen werden also zum Erstellen von Haushaltsprofilen verwendet. Auch das ist einwilligungspflichtiges, personalisiertes Werbetracking. Das Wort „anonym“ macht in Verbindung mit „identifiziert“ natürlich wenig Sinn, hier handelt es sich um die klassische Ano-Pseudonymisierungs-Verständnisschwäche der gesamten Werbebranche: Die IP-Adresse wird vermutlich gehasht (kann so nicht mehr zurückgerechnet werden), aber bleibt weiterhin ein eindeutiger Identifier. Bei Werbeleuten heißt das dann anonymisiert, was natürlich falsch ist. Klingt nur harmloser.

7. Cookie-Matching

Weiter in der Netzwerkanalyse: Besonders interessant sind immer die Requests, die mit dem HTTP-Status-Code 302 antworten. Das ist der Code für eine Weiterleitung. Und mit Weiterleitung wird das sogenannte Cookie-Matching durchgeführt.

So funktioniert Cookie-Matching

In Millisekunden sendet ein Anbieter sein Cookie huckepack an einen anderen, dieser leitet den Request zurück und kann so mit seinem eigenen Cookie antworten. Im Screenshot startet Adex den Tausch, indem es sein Cookie an Adition sendet und Adition antwortet sofort an Adex mit seinem Cookie: Die beiden Anbieter können nun die Verhaltensprofile, die sie über mich gesammelt haben, austauschen und damit Werbung an mich adressieren – auch auf anderen Seiten. Die ausgetauschten Cookies sind mit vielen anderen Cookies von mir verknüpft, ich werde global adressierbar und als Profil handelbar.

Cookie Matching

Es gibt wirklich keine Erklärung für dieses Cookie-Matching, außer personalisiertes, globales Werbetracking.

8. Taboola

Ein Anbieter fiel datenschutzrechtlich als besonders problematisch auf: Taboola. Diese US-amerikanische Werbefirma hat sich auf die Vermarktung für Nachrichtenseiten spezialisiert und bietet ein Programm, das nicht nur die Werbung, sondern auch die redaktionellen Inhalte auf der Seite personalisiert. Die dadurch gesammelten Verhaltensdaten sind aber nicht mehr in Besitz der Rheinischen Post, sondern gehen komplett auf Taboola über:

„If you reside in the EEA or UK, Taboola.com Ltd. will be the controller of your Personal Data provided to, collected by or for, or processed by Taboola in connection with our Services.“

Die Rheinische Post hat also meine Verhaltensdaten an Dritte gegeben. Dort werden Sie mit anderen Daten von mir von anderen Seiten angereichert und wiederum weitergegeben. Jetzt sind die Daten im globalen Werbehandel – und dafür hab ich Trottel ein Abo gezahlt.

Hilf mit die Spendenziele zu erreichen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

9. Weitergabe der E-Mail-Adresse

Neben den URLs der aufgerufenen Artikel erhält Taboola auch eine Nutzer-ID. Diese bleibt immer gleich, wenn ich mit meinem Abo eingeloggt bin. Dadurch kann Taboola ein dauerhaftes Profil meiner Interessen anlegen. Und weil ich schon einen Verdacht hatte, versuchte ich die ID mal als Base64-Kodierung zu behandeln. Das ist eine sehr weit verbreitete Zeichencodierung, mit der man beliebige Daten in standardisierte ASCII-Zeichen umwandeln kann, damit sich keine Schnittstelle daran verschluckt. Und siehe da: In der ID steckt also meine E-Mail-Adresse drin.

Taboola E-Mail

Zusammenfassung und Bewertung

Die Rheinische Post versendet also mein Leseverhalten mit meiner E-Mail-Adresse an einen Drittanbieter. Mit dem Abo habe ich Werbetracking inklusive zahlreicher Datenschutzverstöße für 7,99 € gekauft und zusätzlich meine E-Mail-Adresse an ein US-amerikanisches Unternehmen verloren. Geht so Bezahljournalismus?

Wie kann man das jetzt einordnen, wenn man nicht weiß, wie es dazu gekommen ist? Meine Einschätzung: Es war der Rheinischen Post herzlich egal, was in diesem Abo passiert ist. Man hat sich ja nicht einmal die Mühe gemacht, ein eigenes Abo einzuführen. Die rechtswidrigen Datenübertragungen laufen seit mindestens fünf Monaten und größtenteils auch jetzt noch, nachdem wir die Rheinische Post um eine Stellungnahme gebeten haben. Entscheidend war offenbar der Effekt, dass niemand das Abo wählt, sondern gezwungen ist, in die Werbevermarktung einzuwilligen. Das ganze Produkt war im Kontext der Einwilligungsabfrage ein Betrug – wenn man mal von den Plus-Artikeln absieht, die ich gar nicht haben wollte.

Die zuständige Datenschutzbehörde in Nordrhein-Westfalen wollte sich zu dem Fall nicht äußern, weil sie bereits ein Verfahren in der Sache führt.

Das Traurige an der ganzen Sache ist, dass eine Regionalzeitung eigentlich eine besonders vertrauenswürdige Instanz im Leben der Menschen sein sollte. Was die Redaktion mit ihrer Arbeit an Vertrauen aufbaut, macht ein Verlag mit seiner kaputten und unfähigen Vermarktungsstrategie wieder zunichte.

Bildquellen:

Reading: Freepik from www.flaticon.com is licensed by CC 3.0 BY
Ghost: Smashicons from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Eberl

Matthias Eberl

Matthias Eberl ist freiberuflicher Multimedia-Journalist und schreibt außerdem für verschiedene Publikationen über Datenschutz-Themen. Für Journalisten gibt er auch Kurse im Bereich Informantenschutz. Er ist als Datenschutzbeauftragter von der IHK zertifiziert.

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

2 Ergänzungen zu “Rheinische Post erzwingt Einwilligungen mit Fantasie-Abo”

  1. Comment Avatar Sven sagt:

    Das gleiche Verfahren kommt mutmaßlich auch bei der Westdeutschen Zeitung (www.wz.de) und anderen zur Verlagsgruppe gehörenden Zeitungen bzw. deren Onlineangeboten zum Einsatz. Die Webseiten sind quasi identisch gestaltet und haben größtenteils auch die selben Inhalte.

  2. Comment Avatar Klaus sagt:

    Der Verlag Neven Dumont (Express, Kölner Stadtanzeiger,…) nutzt ebenso ein Paywall. Würde mich nicht wundern, wenn das da genauso läuft.

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.