Pur-Abos im Test

Pur-Abos im Test

08/2020

Nicht ganz ohne

Zeit und Spiegel haben nach dem Vorbild des österreichischen Standard ein sogenanntes Pur-Abo eingeführt. Aber kommen die Angebote wirklich ohne Werbetracking aus? Wie es um den Datenschutz steht, schaut sich unser Gastautor in einem Test der drei Anbieter an.

Vor einigen Monaten haben zwei der wichtigsten deutschen Nachrichtenportale nach dem Vorbild des österreichischen Standard ein sogenanntes Pur-Abo eingeführt. Damit können Leser die Website grösstenteils ohne Werbung und ohne Werbetracking lesen.

 

Gute Gründe für das Modell „Geld statt Daten“

Die Nachfrage nach werbe- und trackingfreien Nachrichten sei gestiegen. So begründen der Spiegel und die Zeit die Einführung ihrer Pur-Abos. Das stimmt sicher, aber ein wichtiger Grund ist auch die neue Auslegung der Datenschutzgrundverordnung (DSGVO), die gerade nochmals vom Europäischen Datenschutzausschuss bestätigt wurde: Verhaltensbasierte Werbung, die für die Verlage eine wichtige Einnahmequelle bildet, ist nur dann zulässig, wenn die Benutzer freiwillig eingewilligt haben. Und freiwillig bedeutet, dass eine gleichwertige Alternative besteht.

Daraus folgt wiederum, dass neben dem kostenlosen Zugang auch die Option bestehen muss, die Website ohne die einwilligungspflichtige Datenverarbeitung zu besuchen. Dabei ist den Verlagen nach der vorherrschenden Rechtsmeinung erlaubt, den ungefähren Gegenwert der Werbeeinnahmen von den Nutzerinnen und Nutzern der Seite zu verlangen. Kein Verlag soll gezwungen werden, seine Inhalte unter Wert herauszugeben. Für das Modell „Geld statt Daten“ gibt es also auch einen guten rechtlichen Grund.

Die Einwilligungsboxen sind zwar nervig, aber offenbar war das der beste Kompromiss zwischen Datenschutz und ökonomischen Interessen. Nach Ansicht des Verlegerverbandes BDZV sind Bezahlinhalte in den vergangenen Jahren immer selbstverständlicher geworden. Das datenschutzfreundliche Abo könnte es also in Zukunft öfters geben.

Den Abschied von einem umfangreichen kostenlosen Nachrichtenangebot muss dabei niemand befürchten: Verhaltensbasierte Werbung ist ein stabiles Geschäft. Nur der Datenschutz bleibt dabei ziemlich auf der Strecke, weil Leseverhalten und Interessen in teilweise geräteübergreifenden Profilen gespeichert werden.

Die Daten werden meist in Echtzeit an grosse Werbenetzwerke gesendet und für Anzeigen ausgewertet, vor allem über das von Google angeführte Real Time Bidding. Aber auch Facebook oder Adobe erhalten von den Verlagen grosse Datenmengen, die profilbezogen gespeichert werden. Aus diesen Daten entstehen die Zielgruppen der Werbetreibenden.

Mit Einwilligung und Pur-Alternative haben die drei Verlage ein Modell umgesetzt, das Datenschutz und kostenloses Angebot aufspaltet, so dass jeder die Wahl hat. Fast alle anderen privatwirtschaftlichen Verlage von FAZ bis taz geben den Nutzern keine Alternative. In unserem Test schauen wir zuerst auf Spiegel, dann auf die Zeit und am Ende auf den österreichischen Standard.

 

Der Spiegel: Nicht ganz ohne

Der Spiegel verspricht seinen Lesern ein weitgehend werbefreies Angebot, das „ganz ohne Werbetracking“ auskommen soll. Nur eine interne, allgemeine Nutzungsanalyse soll noch durchgeführt werden, erfährt man bei der Registrierung.

Klingt gut, aber während man das liest, wird man schon von Bing, Facebook und Google getrackt. Die Einbindungen sind für sogenanntes Retargeting gedacht: Ein Interessent, der nicht „konvertiert“, also keinen Vertrag abschliesst, kann dann auf diesen Plattformen – zum Beispiel in seinem Facebook-Stream – persönlich neu beworben werden. Der Spiegel bestätigte uns, dass man „im Rahmen der Registrierstrecke“ auch beim Pur-Abo Daten für Retargeting an Facebook sende, aber nicht im „redaktionellen“ Bereich des Pur-Abos. Allerdings setzt sich das Tracking fort: Auch bei allen weiteren Anmeldungen erfährt Facebook von meinem erfolgreichen Login.

Damit ist das Abo nicht mehr werbetrackingfrei. Auch wenn der Spiegel keine Werbung für Pur-Abonnenten in deren Facebook-Stream schaltet: Facebook nutzt diese Daten auch für andere Werbekunden. Und auch die DSGVO-Konformität ist damit dahin: Facebook Pixel ist ohne Einwilligung natürlich auch ausserhalb des redaktionellen Angebots ein Datenschutzverstoss, unter anderem weil dadurch externe Seitenaufrufe mit ihrem Profil bei Facebook verknüpft werden können.

 

Flott und ablenkungsfrei

Im laufenden Betrieb laden die Seiten dann angenehm flott und sind ablenkungsfrei zu lesen. Werbeanzeigen waren im Test keine zu sehen. Bei den Drittanbieter-Einbettungen sind vor allem Content-Provider nachvollziehbar, die Bilder oder Videos schnell und günstig ausliefern können. Sie erhalten keine Cookies oder andere Nutzerdaten. Ausserdem wird jeder Seitenaufruf an ioam.de gemeldet, der in Deutschland üblichen Reichweitenmessung. Dahinter steht Infonline, eine von Verlegerverbänden getragene GmbH. Die Verlage können damit ihre Online-Nutzungszahlen in einer standardisierten Form vergleichen, der Spiegel hält diese Analyse für geschäftskritisch und unverzichtbar, wie ein Sprecher gegenüber netzpolitik.org mitteilte. Man kann dagegenhalten, dass beim Print-Abo auch nicht jeder gelesene Artikel registriert wird. Wer bei der Reichweitenmessung nicht teilnehmen will, kann aber ein Opt-Out-Cookie direkt bei Infonline setzen lassen. Eine freiwillige Teilnahme oder ein direkter Opt-Out über das Nutzungsprofil wäre für besonders kritische Kundschaft sicher die bessere Lösung.

 

Profilbildung unter Tarnnamen

Weniger nachvollziehbar werden die zahlenden Nutzerinnen und Nutzer es finden, dass der Spiegel zusätzlich eine recht umfangreiche profilbildende Nutzungsanalyse integriert hat. Für das Kundentracking wird Adobe Analytics genutzt und für die Zielgruppengenerierung Adobe Audience Manager. Beides sind Bestandteile der Adobe Experience Cloud, eine führende Marke für profilbildendes Marketing. Grundsätzlich können damit Verhaltensprofile erstellt und vermarktet werden, es gibt sogar einen eigenen, eingebetteten Marktplatz für solche Daten. Damit gibt es beim Spiegel keine technische Sicherheit, dass die Daten nicht angereichert, verkauft und für Marketing verwendet werden. Die Nutzungsanalysen werden unter sams.spiegel.de erhoben. Dieser Server gehört zu Adobe, ist aber mit einem zweifelhaften Trick namens „CNAME-Cloaking“ auf der Spiegel-Domain registriert, damit der Browser den Drittanbieter nicht sperren kann: Der Pur-Abonnent kann diese Datensammlung nur mit einer gut gepflegten Sperrliste von Tracking-IPs oder durch manuelle Konfiguration verhindern.

Der Adobe-Server erhält bei jedem Seitenaufruf die dauerhafte Abo-ID, so dass das Leseverhalten lückenlos in einem Profil erfasst wird. Über diese pseudonyme Profilbildung wird nicht aufgeklärt. Spiegel behauptet in Bezug auf Adobe: „Durch die Anonymisierung werden keine personenbezogenen oder pseudonymen Daten gespeichert.“ Nur in einem etwas versteckten Beitrag im Spiegel-Service war die pseudonyme Profilbildung bei Adobe nachzulesen. Spiegel Online versicherte aber, die Angabe in der Datenschutzerklärung entsprechend ändern zu wollen. Die pseudonymen Daten seien ausserdem durch technische Massnahmen vom Nutzerkonto getrennt. Weder Adobe noch Spiegel-Mitarbeiter könnten das gespeicherte Leseverhalten an die Kontoidentität des Abokunden knüpfen, hiess es vom Verlag.

 

Das Login verrät dich auch auf anderen Seiten

Neben dem Adobe-Server im Deckmantel von sams.spiegel.de werden noch weitere URLs von Adobe eingebunden. Demdex.net und everesttech.net tragen noch den Namen älterer Trackingfirmen, wurden aber von Adobe aufgekauft. Über die läuft das geräte- und websiteübergreifende Tracking von Adobe: Besucht der Aboleser nach der Lektüre eine andere Seite mit Adobe-Tracking, erkennt Adobe ihn.

Nur mit dem Adobe-Tracking unter sams.spiegel.de wäre das nicht möglich. Der Spiegel nutzt das Feature vermutlich, um den Abo-Leser auf seinen anderen Angeboten (z. B. Bento oder Manager Magazin) wiederzuerkennen, wo er nicht eingeloggt ist. Hier zeigt sich allerdings eine generelle Gefahr von Seiten-Logins und Drittanbieter-Tracking: Adobe erhält durch den Login vom Spiegel ja eine persistente Identität. Mit den Drittanbieter-Einbettungen erkennt Adobe diese wiederkehrende Identität auch auf zahlreichen anderen Seiten und Geräten. Das wird ausserhalb von Europa und der DSGVO sogar als Dienst angeboten: Beim sogenannten Co-op-Device-Tracking nutzen die teilnehmenden Unternehmen ihr Wissen über Geräte und Logins gemeinsam.

 

Ich geb dir meinen Keks, du gibst mir deinen

Und noch ein zweifelhaftes Feature ist beim Spiegel aktiv: Die Cookies der Drittanbieter werden auf anderen Seiten mit weiteren Trackinganbietern zum ID-Abgleich ausgetauscht, das nennt sich Cookie-Matching. Es reicht bereits ein Klick auf einen Artikel auf dem Schwesterportal Bento, damit Cookies aus der vorherigen Pur-Sitzung an den fremden Anbieter Teads gingen. Das läuft über Aufrufe an dpm.demdex.net/ibs:dpid. Zu diesem Dienst schreibt Adobe:

Bei der ID-Synchronisierung werden durch den ID-Dienst zugewiesene IDs mit von unseren Kunden zu Sitebesuchern zugewiesenen IDs abgeglichen. Angenommen, der ID-Dienst hat eine Besucher-ID 1234 zugewiesen. Eine andere Plattform kennt diesen Besucher mit der ID 4321. Der ID-Dienst ordnet diese IDs während des Synchronisierungsprozesses zusammen.

Das ermöglicht einen serverseitigen Datenaustausch – zum Beispiel auf dem erwähnten Profil-Marktplatz. Dieser findet nicht mehr im Browser statt und kann daher nicht mehr überprüft werden. Es ist äusserst fragwürdig, was eine solche Einbettung in einem werbetrackingfreien Abo macht. Der Spiegel bestätigte auf Nachfrage, dass diese Funktion eingebunden und vorhanden ist, betonte aber, dass sie im Pur-Abo ausdrücklich nicht zum Teilen von Profilidentitäten mit anderen Adobe-Kunden genutzt werde.

 

Das Pur-Abo in der Spiegel-Online-App auf Android

Das Spiegel-Abo lässt sich auch über die App nutzen. Dabei kann man sich nicht nur über die fehlende Werbung freuen, sondern auch über mehr Datenschutz: Die getestete Android-App nutzt vorwiegend den internen Browser des Smartphones – und der kapselt die Sitzung in einer „Sandbox“ ab. Adobe kann das Leseverhalten eines Profils also nur noch auf der Spiegel-Seite dauerhaft tracken. Werbetracking in der App (über hinzugefügte Module, sogenannte SDKs) fanden sich bei der Spiegel-Online-App nicht. Nur ein Modul von Infonline registriert das Gerät beim ersten Start mit Android Werbe-ID oder einer anderen dauerhaften Geräte-ID (vermutlich zur Abwehr von Reichweitenbetrug).

 

Das Pur-Abo der Zeit: inklusive Google Analytics

Die Zeit meint mit „pur“ ein Abo mit „weniger Werbung und ohne Werbetracking“. „Insbesondere Tracking-Verfahren, die es Werbekunden erlauben, bestimmte Teilzielgruppen anzusprechen, sogenanntes Targeting, stehen in der Kritik“, schreibt die Zeit in ihrer Pur-FAQ. Und meldet gleichzeitig den Aufruf dieser Seite mit Google-Analytics-ID und weiteren Parametern wie Bildschirmgrösse an Google. Bei der Registrierung, beim Login und bei jedem Seitenaufruf ist das Trackingtool eingebunden. Und diese Daten kann Google für eigene Zwecke nutzen, auch zur Ausspielung von personalisierter Werbung.

Neben anderen Gründen darf Google Analytics deshalb nicht mehr ohne Einwilligung genutzt werden, wie auch der Bundesdatenschutzbeauftragte Ulrich Kelber vor einigen Monaten betonte. Damit ist auch das Pur-Abo der Zeit nicht mehr komplett werbetrackingfrei und verstösst gegen die DSGVO. Die Verlagssprecherin teilte zu diesem Punkt auf Anfrage mit, man sei grundsätzlich von der datenschutzrechtlichen Konformität des neuen Pur-Angebots überzeugt. Solche sich verändernden Rahmenbedingungen werde man kontinuierlich überprüfen und gegebenenfalls ändern.

 

Ungewohnt schnelles und schönes Leseerlebnis

Im Betrieb auch hier: Ohne Werbung ist die Zeit ein ungewohnt schönes und schnelles Leseerlebnis. Ein Clouddienst von Google liefert auf der Startseite eine interaktive Stimmungsanalyse aus. Hier hätte die IT technisch etwas strenger hinschauen sollen: Die im Sitzungscookie codierte E-Mail des Abonnenten geht versehentlich auch an den fremden Server (der damit aber nicht viel anfangen dürfte). Darüber hinaus erhalten die Content-Hoster aber keine Cookies oder Parameter.

Auch die Zeit meldet jeden Seitenaufruf für die vergleichbare Reichweitenmessung an die von Verlagen gemeinsam getragene Infonline GmbH. Die Reichweiten sind artikelgenau und nutzen eine technisch absichtlich abgeschwächte Fingerprinting-Methode, um Nutzer mit einer gewissen, aber nicht perfekten Wahrscheinlichkeit ohne Cookies wiederzuerkennen. Auch hier wäre eine freiwillige Teilnahme oder ein direkter Opt-Out im Aboprofil die bessere Lösung als das angebotene Opt-Out bei Infonline.

 

Profilbildung mit der Ever-ID

Für das allgemeine Tracking wird bei der Zeit der US-Anbieter Mapp eingesetzt, der vor kurzem die deutsche Trackingsoftware Webtrekk übernommen hat. Der Schwerpunkt dieser Software liegt, anders als bei der Adobe Experience Cloud, auf internen Nutzungsanalysen. Wieder findet sich der CNAME-Trick: Mapp erstellt die Profile unter der Domain audev.zeit.de, um die üblichen Mechanismen gegen Trackingschutz auszuhebeln. Die Analyse ist ebenfalls profilbildend: Die sogenannte Ever-ID „wteid“ erfasst die Artikelaufrufe eines Abonnenten in einem lückenlosen Profil. In der Datenschutzerklärung wird darauf nicht hingewiesen, zu Webtrekk wird behauptet, das sei eine „anonymisierte statistische Auswertung des Nutzerverhaltens“. Pseudonymisierte Profildaten würden nur mit Einwilligung oder bei vertraglicher Verpflichtung erhoben werden. Die Zeit versprach dazu auf Nachfrage, dies zu prüfen und die Datenschutzerklärung gegebenenfalls dahingehend zu schärfen.

Auch bei der Zeit ist der Trackingdienst nicht nur über die Tarnadresse audev.zeit.de, sondern zusätzlich über eine externe URL (wt-safetag.com) eingebunden. Eine Leserin sendet dorthin das gleiche Cookie, das auch andere Seiten von ihr erhalten (z. B. flixbus.de). Das theoretische Problem auch hier: Besucht die Abonnentin nach der Lektüre eine andere Seite mit Mapp-Einbindung, kann Mapp sie dort als diese Abonnentin wiedererkennen, weil die Ever-ID aus dem Abo mit dem kurzfristigen externen Cookie von wt-safetag.com gemeinsam auftrat. In der Praxis wird diese Funktion bei Webtrekk aber über eine andere Einbindung erreicht (fbc.wcfbc.net). Diese „Cross Device Bridge“ ist bei der Zeit nachweislich nicht aktiv, so dass nachvollziehbar ist, dass das Tracking über Mapp auf eine internen Nutzungsanalyse beschränkt ist. Die Zeit wollte sich nicht konkret zu der eingesetzten Drittanbieter-URL wt-safetag.com erklären.

Erfreulich ist, dass das auf allen Seiten eingebundene Google Analytics immerhin nicht über die Login-Identität unterrichtet wird (möglich wäre das). Mit anderen Worten: Ein wiederkehrender Abo-Leser wird nach gelöschten Cookies von Google als andere Identität wahrgenommen, auch wenn er sich wieder einloggt.

Aber auch in diesem Pur-Abo wird ein Datensatz angehäuft, den man nicht so leicht loswird: Man müsste den mühsamen Weg eines Löschantrags nach der DSGVO gehen, um die Datensammlung von seinem Profil zu lösen. In der kostenlosen Variante startet man hingegen nach dem Löschen seiner Cookies bei den zahlreichen Werbevermarktern normalerweise wieder als leeres Blatt (bis man sich irgendwo einloggt).

 

Das Pur-Abo in der Zeit-Online-App (Android)

Auch das Zeit-Abo lässt sich über die App nutzen, was ebenfalls einen zusätzlichen Vorteil hat: Neben der fehlenden Werbung kann auch Mapp das Leseverhalten nicht mehr websiteübergreifend tracken, es gibt keine Verbindungen mehr zu Besuchen bei anderen Websites oder anderen Apps. Auch hier eine Ausnahme: Das Unternehmen Airship wird offensichtlich für Push-Nachrichten eingesetzt, erfährt dadurch aber den Start und das Ende der App-Nutzung mit einer bei der Installation festgelegten ID. Das ist im Vergleich zu anderen Apps eine relativ harmlose Datenweitergabe. Ein Hinweis in der Datenschutzerklärung hätte nicht geschadet.

 

Das Pur-Abo von Standard.at: Wirklich ganz ohne

Die österreichische Nachrichtenseite standard.at führte als erstes deutschsprachiges Medium ein werbe- und trackingfreies Abo ein. Und im Vergleich zu den Pur-Abos von Spiegel und Zeit muss man nicht viel dazu schreiben: Es ist in gleicher Weise werbefrei, aber darüber hinaus enthält es wirklich keine einzige Trackingeinbettung. Keine Reichweitenmessung, keine interne Nutzungsanalyse, kein Remarketingtool – auch nicht bei Login oder Registrierung. Der Server sendet nur die eigene Website und bindet dabei externe Content-Hoster ein (die aber keine Cookies oder Nutzerdaten erhalten). So gesehen passt der Name „Pur“ nur für das Abo des Standard. Für Datenschutzinteressierte ist es uneingeschränkt zu empfehlen.

 

Netzpolitik.org; Matthias Eberl; 26.06.2020

https://netzpolitik.org/2020/nicht-ganz-ohne/

http://creativecommons.org/licenses/by-nc-sa/4.0/

 

 

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.

 

Swiss Infosec AG; 27.07.2020

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

 

datenschutz fingerabdruck

 

Datenschutz

Datenschutz greift auch in unsere Lebensprozesse ein

 

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

 

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind! Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

 

Mehr