Mike Kuketz
12. September 2022 | 09:42 Uhr

ZDFtivi-App: Consent-Banner und Tracking bei Zielgruppe Kinder/Jugendliche

ZDFtivi ist ein Medienangebot für Kinder und Jugendliche, so steht es jedenfalls in der App-Beschreibung:

Das ZDF-Kinder- und Jugendprogramm mobil erreichen

Mit der ZDFtivi-App stehen eine Vielzahl der beliebten Kinderserien und Kinderfilme aus dem Programm von ZDFtivi und KiKA mobil zur Verfügung. Wie alle ZDF-Onlineangebote ist die ZDFtivi-App werbefrei, ohne In-App-Käufe und kostenlos. […]

Werfen wir nachfolgend mal einen Blick auf das Datensendeverhalten der ZDFtivi-App in der Version 3.1.2.

[1] Unmittelbar nach dem Start der App wird zunächst eine Verbindung zu Mobile App Consent von OneTrust initiiert, um den Consent-Banner zu laden [mobile-data.onetrust.io]:

POST /bannersdk/v2/applicationdata HTTP/1.1
Host: mobile-data.onetrust.io
Location: cdn.cookielaw.org
Application: 06a3d3db-9f47-4bd1-81c9-5d86d9f0bc52
Lang: de
Sdkversion: 6.31.0
Fetchtype: APP_DATA_ONLY
Content-Type: application/json
Content-Length: 0
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.7.2
Connection: close

Danach erscheint der (Cookie-)Consent-Banner auf dem Smartphone-Screen:

Consent-Banner: ZDFtivi

Dieser (Cookie-)Consent-Banner erfüllt nicht annähernd die Anforderungen an eine ausdrückliche, informierte, freiwillige und aktive Einwilligung. Ein paar Details:

  • Einfach zugängliche Ablehnung: Allein schon die Ablehnung auf die zweite Ebene zu packen ist nicht in Ordnung. Bereits auf der ersten Ebene muss es möglich sein, dem Ablegen von Cookies bzw. dem Zugriff auf Informationen auf dem Endgerät zu widersprechen. Das bedeutet: Eine Ablehnung muss genauso einfach wie eine Zustimmung sein. Die Verweigerung ist in diesem Fall erst auf weiteren Ebenen bzw. über mehrere Klicks erreichbar. Die Orientierungshilfe (OH Telemedien 2021) sagt, wie bei der Einwilligung muss dem Nutzer eine einfache Möglichkeit angeboten werden, die Verarbeitung seiner Daten abzulehnen.
  • Unbedingte Erforderlichkeit: Die rechtlichen Grenzen sollten eigentlich klar sein. »Unbedingt erforderlich« ist ausschließlich anhand der Intensität des mit dem Endgerätezugriff ausgelösten Grundrechtseingriffs zu bestimmen. Erforderlichkeit ist unionsrechtlich (»Europarecht« hat hier Vorfahrt) nur insoweit gegeben, wie der Grundrechtseingriff auf das geringstmögliche Maß reduziert ist. Zur Prüfung der Verhältnismäßigkeit eines solchen Grundrechtseingriffs bedarf es zunächst klarer Definitionen des legitimen Zwecks der Verarbeitung. Nach höchstrichterlicher Rechtsprechung des BGH in der Cookie-Einwilligung-II-Entscheidung fallen Zwecke der Werbung und Marktforschung bereits deshalb nicht unter die Ausnahmeregelung, weil der Gesetzgeber in Art. 5.3 der ePrivacy-Richtlinie (RL 2002/58/EG), die 2009 nach dem Phorm-Skandal in UK deutlich verschärft wurde, diese Entscheidung bereits getroffen hat. Das mag schmecken oder nicht, es ist aber nun einmal Gesetz. Die »unbedingte Erforderlichkeit« beim Einsatz von Tracking- und Analyseverfahren kann es daher nicht geben – das ZDF bzw. die Verantwortlichen sollten dies eigentlich wissen.

Abgesehen von diesen Schnitzern finde ich es bemerkenswert, dass eine App bzw. Angebot, das sich gezielt an Kinder bzw. Jugendliche richtet, überhaupt Tracking und Analyse betreibt bzw. einen Consent-Banner einsetzt.

Werfen wir mal einen Blick in Art. 8 DSGVO:

(1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.

Daraus lässt sich ableiten, dass die ZDFtivi-App ausschließlich gemeinsam mit einem Erwachsenen genutzt werden sollte, da das Kind keine Einwilligung abgeben darf. Ziehen wir nun noch den DSGVO-Erwägungsgrund 38 hinzu:

Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen. Die Einwilligung des Trägers der elterlichen Verantwortung sollte im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein.

Ich denke, der Erwägungsgrund muss nicht weiter kommentiert werden. Vor diesem Hintergrund ist die Verwendung von Tracking in einer App, die sich an Kinder richtet, nicht nur höchst fragwürdig, sondern moralisch und ethisch verwerflich.

Verwendet ein Kind die ZDFtivi-App also allein – wovon wir bei der heutigen Verbreitung von Smartphones und der Sorglosigkeit einiger Eltern (leider) ausgehen können – wird dieses vermutlich auf den hervorgehobenen Zustimmen-Button tippen. Dann werden weitere Verbindungen zu Tracking- und Analyseanbieter initiiert. Wohlgemerkt bei einer App, die sich an Kinder richtet:

[2] Verbindungsaufbau zur SZM-Messung (User-Tracking) [config.ioam.de]:

POST /appcfg.php HTTP/1.1
Accept-Encoding: gzip, deflate
Content-type: application/json
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: config.ioam.de
Connection: close
Content-Length: 521

{
   "application":{
      "package":"de.zdf.mediathek.tivi",
      "versionName":"3.1.2",
      "versionCode":24010312
   },
   "client":{
      "osIdentifier":"android",
      "uuids":{
         "installationId":"755dbf98347ade988c8426c6c95f869"
      },
      "screen":{
         "resolution":"1080x1920",
         "dpi":480,
         "size":2
      },
      "language":"de",
      "country":"DE",
      "osVersion":"10",
      "platform":"Xiaomi,Mi A1,tissot,Xiaomi,qcom,lineage_tissot",
      "carrier":"Telekom",
      "network":2
   },
   "library":{
      "libVersion":"2.3.1",
      "configVersion":"2021020200",
      "offerIdentifier":"aadtivi",
      "privacySetting":"lin"
   },
   "protocolVersion":1
}

[3] Weiter geht es dann mit einer Verbindung zum Tracking- bzw. Analysedienstleister XiTi | AT Internet (Bonn, Deutschland) [logs1187.xiti.com]:

GET /hit.xiti?s=584121&idclient=a8dc317d91b43c87d62195540c766c28eb492d81c2dc4690e5bdbafc21d6d768&vtag=2.21.2&ptag=Android&lng=de-DE-&mfmd=[Xiaomi]-[mia1]&manufacturer=Xiaomi&model=Mi A1&os=[android]-[10]&apid=de.zdf.mediathek.tivi&apvr=[3.1.2]&hl=07x57x10&r=1080x1920&dg=5.5&car=&cn=wifi&ts=1662962230.10700011253356934&dls=int&s:tivi_app_level_2=ZdfChen&n:tivi_app_profil_count=1&stc={"broadcast":"ZDF","lifecycle":{"fs":1,"fsau":0,"sc":1,"fsd":20220912,"dsls":0,"dsfs":0,"sessionId":"c58a1732-9aaf-4f62-b517-57abc5694d92"},"idType":"UUID","chapter4":"","chapter1":"\/ZDFchen","domain":"zdf","id":"zdfchen-100","level1":"zdf","inhaltsTyp":"brand","level2":"ZDFtivi"} HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001) ZdfTivi/3.1.2
Host: logs1187.xiti.com
Connection: close
Accept-Encoding: gzip, deflate

[4] Und noch eine weitere Verbindung zu secure-eu.nmrodam.com, bei dem erneut (eindeutige) IDs und Geräteinformationen übermittelt werden [secure-eu.nmrodam.com]:

GET /cgi-bin/gn?prd=session&c9=devid,&c13=asid,PFEFD48ED-C8D8-46D2-BA40-C0764E4ECE37&sessionId=s78jjaljw4tvr37u08tksjuwlm1je1662962179&c16=sdkv,aa.8.2.0&uoo=&fp_id=&fp_cr_tm=&fp_acc_tm=&fp_emm_tm=&ve_id=&c30=bldv,aa.8.2.0.0_aaxkonn&uid2=&uid2_token=&hem_sha256=&hem_sha1=&hem_md5=&hem_unknown=&emm=1&sdd=retry,0~~retryreason,~~devmodel,Mi A1~~devtypid,Xiaomi-Mi-A1~~sysname,Android~~sysversion,10~~manuf,Xiaomi&rnd=1662962269392 HTTP/1.1
Accept-Charset: UTF-8
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Content-Type: text/plain
Host: secure-eu.nmrodam.com
Connection: close
Accept-Encoding: gzip, deflate

Fazit

Die App reiht sich nahtlos in das App-Angebot des öffentlichen Rundfunks ein: ARD & ZDF Apps unter der Lupe: Tracking und Verstöße gegen das TTDSG. Allerdings können wir bei der ZDFtivi-App einen anderen Maßstab anlegen und der lautet: Kinder und Jugendliche, die unter einem besonderen Schutz stehen.

Liebes ZDF, schämt euch. Was ihr da macht, geht gar nicht.

Du kannst den Blog aktiv unterstützen! Mitmachen ➡
Ähnliche Beiträge
eBay Kleinanzeigen
24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.
Post & DHL App
20. Juni 2022

Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2

Der Datenschutz ist bei der Post-&-DHL-App offensichtlich unbekannt verzogen.
Microblog
13. Januar 2022

TTDSG: Stellungnahme vom ZDF bezüglich Apps liegt vor

Im Dezember 2021 hatte ich diverse Apps des öffentlichen Rundfunks (ARD, ZDF) auf ihr Datensendeverhalten überprüft: ARD Mediathek (Version 9.3.0):…
DB Navigator
11. April 2022

DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

Die Analyse des DB Navigators offenbart eklatante Verstöße gegen die DSGVO und das TTDSG. Ist das Vorsatz oder Unfähigkeit?
TC-String
26. April 2022

Der TC-String des Interactive Advertising Bureau (IAB) – Teil2

Der TC-String des Interactive Advertising Bureau ist als personenbezogenes Datum einzuordnen.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.