Die NZZ fiel in letzter Zeit nicht nur mit wundersamen Trump-Wahlempfehlungen, hämischen Harris-Lachanalysen oder katholischen Olympia-Einordnungen auf. Sondern hat im Hintergrund noch ein paar technische Änderungen vollzogen die Dich — ob Du nun privacybewusst bist oder nicht — endgültig an den Big Tech-Konzern in den USA ausliefern. (Ein Schelm, wer böse denkt, dass das Verfassen von redaktionellen Clickbaiting-Artikeln und Strategien für die Erhöhung von Werbeeinnahmen keine zufällige Koinzidenz ist.)
Wer seit einigen Wochen auf nzz.ch surft, kann noch so viele Spielereien und Änderungen bei seinen Cookie-Einstellungen machen: Er, sie oder they wird definitiv an Microsoft ausgeliefert.
Inhalte
ToggleXandr: Der Advertising-Tech-Arm von Microsoft
Grund dafür: Die NZZ bietet bei ausgewählten Datenhändlern NEU gar KEINE Wahl mehr an zur Datenverarbeitung. Der Medienkonzern MACHT einfach. Das prominenteste Beispiel ist Xandr (früher AppNexus genannt). Die Advertising-Tech-Abteilung von Microsoft (seit Juni 2022) erhält alle Daten von NZZ-Leser:innen. Ob mit oder ohne Abonnement, ob mit aufmerksamen Cookie-Einstellungen oder nicht: es hilft lediglich NUR das Blockieren mit Plugins oder eine alternative Browserwahl (kein Chrome wählen).
Xandr ist sowohl eine Supply Side Platform (SSP), eine Demand Side Platform (DSP) und eine Ad Exchange (Marktplatz/Umschlagsplatz oder auch Werbebörse). Zur Begriffsklärung nochmals: Die DSPs untersuchen, ob das Profil der Leserin zu ihrem Werbekunden passt und offerieren je nachdem mit bei der Online-Auktion. Die SSPs vermarkten die Webseite des Publishers bzw. deren zur Verfügung stehende leeren Werbebanner-Slots. Und der Ort, der alle die beteiligten Parteien zusammenbringt und wo die Echtzeitauktionen verhandelt werden, sind eben die Ad Exchanges. (Microsoft wollte übrigens laut dem Medienmagazin Adzine nach der Akquisition den Namen „Xandr“ loswerden und die Technologie unter drei neuen Namen verkaufen: Microsoft Monetize (Supply-Side-Plattform), Microsoft Invest (Demand-Side-Plattform) und Microsoft Curate (Marktplatz für Daten plus Inventar. Doch bei den Schweizer Medienverlagen ist weiterhin noch der alte Name gelistet).
Xandr/Microsoft verkörpert alle 3 Typen des AdTech-Ökosystems in Einem (wie auch Google) und ist daher auch an jedem Werbeschritt beteiligt, kassiert bei allen Schritten der Online-Werbeauktion mit und hat Unmengen an Daten über eine Person, egal, wie viele Geräte sie nutzt.
Kurz: Xandr ist neben Google ein Werbegigant, über den viel zu wenig gesprochen wird. Eine Recherche von The Markup und Netzpolitik.org von Sommer 2023 zeigte anhand eines riesigen Excelfiles aus der technischen Dokumentation den Umfang dieser Datensammlung: Es existieren 650 000 separate Datenkategorien, in die eine Leserin einsortiert wird.
NZZ liefert Gesundheitsinformationen an Xandr
Infosperber.ch hatte den Faden letztes Jahr aufgenommen und die Geschichte „eingeschweizert„. So fand das Magazin die Schweizer Datenlieferanten (Coop, Emmi, Sympany) heraus. Etwa, dass die NZZ mit ihrer eigenen Vermarktungsfirma audienzz (eine Supply Side Platform) ein paar interessante Benutzerprofile direkt an Xandr liefert. Unter anderem schickt die Vermarktungsagentur der NZZ Benutzerprofile mit der Kategorie an Xandr: AUDIENZZ_SWITZERLAND_INTEREST_FAMILY LOW/HEAVY. Ich habe mir die Exceldatei ebenfalls angeschaut und noch ein weiteres interessantes Segment gefunden:
AUDIENZZ_SWITZERLAND_INTEREST_HEALTH_HEAVY/MIDDLE/LOW
Ein potenziell sehr heikles Terrain. Gesundheitsinformationen gehören zu besonders schützenswerten Personendaten und enthalten sehr vulnerable Informationen über eine Person. Ob jemand stark an Gesundheitsthemen interessiert ist, auch schon dazu zählt, ist wohl ein rechtlicher Grenzfall.
Vorab: die Vermarktungsagentur audienzz vermarktet nicht nur die NZZ sondern noch weitere Webseiten wie Nebelspalter.ch, kleinanzeigen.de, lefigaro.fr (hier ist eine Liste). Deshalb ist unklar, woher genau die Rohdaten für obige Kategorien genau stammen, aber die Leserdaten der NZZ werden sicherlich substanziell dazu beitragen.
Fakt ist: Die NZZ fragt nicht mehr nach der Einwilligung, erlaubt niemandem irgendetwas abzulehnen, sondern liefert im Moment des Klicks die Daten direkt zur Rockefeller Avenue 1 nach New York, dem Hauptsitz von AppNexus/Xandr. Betroffen sind wie gesagt auch zahlende NZZ-Abonnentinnen. Da andere Medien wie Watson und Tagesanzeiger ebenfalls mit Xandr arbeiten, jedoch keine fixe Voreinstellung haben und die Wahl der Userin überlassen, gehe ich davon aus, dass es sich NICHT um eine Standard-Änderung im Template von IAB handelt. IAB ist der Branchenverband, der die Standards für die berühmten Cookie-Fenster ausarbeitet und gegen den auch ein Verfahren beim belgischen Appellationsgericht läuft (es geht u.a. um den Rechtsstreit ob IAB mithaftet für Rechtswidrigkeiten).
Das untere Bild veranschaulicht das Problem bei der NZZ: Während bei anderen AdTech-Datenhändlern die Schalter manuell betätigt werden (wobei da auch zwar ALLE schon auf ON geschaltet sind, was aus datenschutzrechtlicher Sicht genauso ein No-Go ist) können, gibt es bei Xandr seit einigen Wochen keine Wahlmöglichkeit.
Was sagt der Bund dazu? Nicht viel
Wir kennen die rechtliche Grundlage aus anderen DNIP-Artikeln: Marketing-Cookies müssen in der Schweiz „nur“ transparent gemacht werden und man muss diese ablehnen können. Im Gegensatz zu EU-Staaten bei denen es ein explizites Opt-In und eine ausdrückliche Einwilligung braucht, wobei das im Endeffekt genau zu denselben nervigen Cookie-Bannern führt.
Und hier nochmals sicherheitshalber eine Klarstellung: Wir meinen nicht funktionale oder technische Cookies die von NZZ & CO automatisch gesetzt werden müssen, um gewisse Funktionen der Website fehlerfrei anbieten zu können. Auch DNIP.ch setzt auf solche notwendigen Textdateien, etwa beim Spendenformular.
Wir beziehen uns explizit auf die 3rd-party-Cookies, die nur einem Zweck dienen: die Leserin zu vermessen, um ihr basierend auf ihrem Datenprofil zielgenaue Werbung auszuspielen. Für dieses Profiling braucht es rechtlich gesehen eine Möglichkeit abzulehnen.
Und diese ist im Fall des Datenbrokers/SSP/DSP Xandr nicht gegeben. Nachfrage bei der Unternehmenskommunikation der NZZ: weshalb?
„Unser Vorgehen steht im Einklang mit dem Schweizer Datenschutzgesetz. Es besteht nach aktueller Rechtslage keine Pflicht zur Einholung einer ausdrücklichen Einwilligung beim Setzen von Cookies. Unser Cookie-Banner informiert die Nutzer transparent über die Verwendung von Cookies und bietet die Möglichkeit, bestimmte Arten von Cookies abzulehnen.„
NZZ-Mediensprecher
Ich wende ein: Es gibt ja GAR KEINE Möglichkeit der Ablehnung im Fall von Xandr?
Daraufhin: keine Antwort.
Interessant ist die Begründung für die Datenerhebung, die beim Cookie-Fenster von nzz.ch angezeigt wird. Sie stützt sich sogar auf die europäische DSGVO:
Welche Daten erhoben werden bei eimnem Xandr-Cookie:
- Sichtbarkeit von Anzeigen messen
- Zeitstempel
- Klicks auf Anzeigen verfolgen
- IP
- Uhrzeit und Datum verfolgen
- Verfolgen des Benutzergeräts
- Verfolgung des Benutzerstandorts
- Besucherverhalten
- User-Agent
- Sprache
- Besuchte Webseite
- Zeitzone
- IP-Adressen
- Gerätemerkmale
- Gerätekennungen
- Aus Authentifizierungen abgeleitete Kennungen
- Surf- und Interaktionsdaten
- Ungefähre Standort-Daten
- Genaue Standortdaten
- Benutzerprofile
- Datenschutzeinstellungen
- Zweck der Datenverarbeitung
Kategorien der Datenverarbeitung durch Xandr:
- Speichern von oder Zugriff auf Informationen auf einem Endgerät (Einwilligung (DSGVO 6.1.a))
- Erstellung von Profilen für personalisierte Werbung (Einwilligung (DSGVO 6.1.a))
- Verwendung von Profilen zur Auswahl personalisierter Werbung (Einwilligung (DSGVO 6.1.a))
- Verwendung reduzierter Daten zur Auswahl von Werbeanzeigen (Einwilligung (DSGVO 6.1.a))
- Messung der Werbeleistung (Einwilligung (DSGVO 6.1.a))
- Entwicklung und Verbesserung der Angebote (Einwilligung (DSGVO 6.1.a))
- Gewährleistung der Sicherheit, Verhinderung und Aufdeckung von Betrug und Fehlerbehebung (Berechtigte Interessen (DSGVO 6.1.f))
- Bereitstellung und Anzeige von Werbung und Inhalten (Berechtigte Interessen (DSGVO 6.1.f))
Ihre Entscheidungen zum Datenschutz speichern und übermitteln (Berechtigte Interessen (DSGVO 6.1.f))
Eigenschaften:
- Verknüpfung verschiedener Endgeräte
- Identifikation von Endgeräten anhand automatisch übermittelter Informationen
- Rechtsgrundlage für die Datenverarbeitung
- Einwilligung (DSGVO 6.1.a)
- Berechtigte Interessen (DSGVO 6.1.f)
Ich habe sowohl den Eidgenössischen Datenschutzbeauftragten EDÖB als auch das Bundesamt für Kommunikation BAKOM darauf aufmerksam gemacht. Denn diese Praxis verstösst sowohl gegen die gängige Cookie-Auslegung des neuen Datenschutzgesetzes (weil die Möglichkeit der Ablehnung fehlt) als auch gegen das Fernmeldegesetz. Der EDÖB hat eine aufschlussreiche Auslegeordnung TOM zu Beginn 2024 publiziert, die die Anforderungen an Cookies und ihre Einwilligungen präzisiert. Kurz gesagt:
Marketing-Cookies = Ja es braucht eine Einwilligung oder mindestens eine Information und eine Möglichkeit der Ablehnung.
Funktionale/Technische Cookies = Nicht nötig, weil es sich um notwendige Funktionen handelt.
Fazit: EDÖB und BAKOM kennen nun den Fall Xandr/NZZ auch. Sie bleiben aber leider tatenlos.
Hier die Stellungnahme des EDÖB:
„Die Datenbearbeitungen im Zusammenhang mit Cookies können technisch sehr komplex sein, weshalb eine rechtliche Beurteilung nicht ohne weiteres möglich ist. Ob die Datenschutzkonformität des «Cookie-Fensters» der NZZ bzw. die darin beschriebenen Datenbearbeitungen den Vorgaben des DSG entsprechen, kann deshalb aufgrund der vorhandenen Informationen nicht beurteilt werden.
Allgemein kann festgehalten werden, dass eine Bekanntgabe von Personendaten an Dritte für andere Zwecke (Werbung) (…) einer Persönlichkeitsverletzung entspricht (Art. 30 Abs. 2 lit. b DSG). Diese Persönlichkeitsverletzung kann durch überwiegende private oder öffentliche Interessen gerechtfertigt werden (Art. 31 Abs. 1 DSG). Ob dies in Ihrem konkreten Fall zutrifft, ist fraglich und kann aufgrund fehlender Kenntnisse nicht beurteilt werden.„
Mediensprecherin EDÖB
Beim EDÖB fällt auf, dass er sich um die Marketing-Cookie-Frage schon länger foutiert bzw bis heute keinen Medienverlag explizit an die Kandare genommen hat. Schliesslich haben viele Schweizer Medien den Datenfluss im Cookie-Fenster auch bei Werbetracker auf „aktiv“ voreingestellt, was schon mal gegen den Grundsatz „Privacy by Design“ verstösst, wie er vom Art. 7 DSG grundsätzlich gefordert wird. Beim Artikel 7 geht es um „Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen„.
Doch die verzweifelte Medienbranche in der Schweiz und in Europa geht sehr gehässig gegen allfällige Verbote oder Einschränkungen durch die Politik vor, was auch dazu führt dass die EU bis heute kein Update der ePrivacy-Richtlinie vollzogen hat.
Der EDÖB empfahl sich an das Bundesamt für Kommunikation BAKOM zu wenden. Die Cookie-Praxis ist in der Tat kurioserweise auch im Fernmeldegesetz geregelt. Doch auch das BAKOM hat keine Lust, sich mit dem Fall NZZ/Xandr genauer zu beschäftigen. Das BAKOM antwortete, dass Verletzungen von Artikel 45c FMG („Daten auf fremden Geräten“) Ordnungswidrigkeiten seien gemäss Artikel 53 FMG. Sie können mit einer Busse bis zu 5000 Franken bestraft werden. Zum Fall NZZ wollte sich das BAKOM nicht äussern. Ordnungswidrigkeiten würden mit Verwaltungsstrafverfahren geahndet. Das BAKOM kann auch entscheiden, kein Verwaltungsstrafverfahren zu eröffnen, „wenn die Schuld und die Tatfolgen geringfügig sind“.
Ein interessanter letzter Halbsatz: Sind denn Tatfolgen „geringfügig“ wenn durch ein gesetztes AdTech-Cookie NZZ-Webseitenbesucherinnen identifiziert und ihre gesamte Browserhistorie (inklusive Informationen rund um Gesundheitsthemen) nach New York und im schlimmsten Fall auch zu Diktatur-Staaten wie Russland, China, Nordkorea und in den Iran geliefert werden? Wo sie dann munter und auf unkontrollierte Art und Weise massenhaft geteilt werden mit einem gesamten riesigen Ökosystem voller krimineller und dubioser Akteur:innen (die sich als Demand Supply Platform DSP ausgeben können? Wie das funktioniert, habe ich hier beschrieben).
Ein No-Go findet IT-Anwalt Simon Schlauri
Kurz: Niemand vom Bund fühlt sich verantwortlich „den einzelnen Fall“ zu prüfen und die Business-Abteilung der NZZ dazu zu drängen, diesen automatisierten Datenfluss zu stoppen. Obwohl es sich ja um Millionen von Fällen handelt. Jede:r einzelne Leser:in ist betroffen. Und jede:r potenziell durch Abertausende von Datenweitergaben.
Die Kultur der Straflosigkeit bei Datenschutzvergehen wird damit in der Schweizer Privatwirtschaft nur noch gefördert. Anders gesagt: Schweizer Unternehmen fühlen sich dadurch bestärkt, dass Verstösse gegen Datenschutzrecht fast immer folgenlos bleiben. Bald werden wohl weitere datenhungrige und werbeverzweifelte Medien-Verlage dazu übergehen, ihre Cookie-Schalter ebenfalls zu deaktivieren bzw. als „gegeben“ den User*innen vor die Nase zu setzen.
Der EDÖB wollte nicht prüfen, ob bei der NZZ ein „berechtigtes Interesse“ vorliegt für die Datenweitergabe an Xandr. Wir haben deswegen den IT Recht-Anwalt Simon Schlauri um eine Beurteilung des Sachverhalts gebeten. Schlauri ist auch aktives Mitglied bei der Digitalen Gesellschaft. Er äusserte sich zuerst grundsätzlich zur Cookie-Handhabung der Schweizer Medienverlage:
„Mit Cookies kann man umfangreiche Persönlichkeitsprofile von Internetnutzern erstellen, die auch Informationen über Gesundheit (z.B. Schwangerschaft), politische Interessen oder ähnliche Aspekte enthalten. (…)
Teils argumentieren die Anbieter, eine stillschweigende Einwilligung reiche aus (d.h. eine Einwilligung „im Vorbeisurfen“ ohne aktiven Klick). Eine stillschweigende Einwilligung ist aber nur möglich, wenn nicht besonders schützenswerte Personendaten wie Gesundheit oder politische Positionen bearbeitet werden, wenn die Daten nicht in unsichere Länder übermittelt werden und wenn kein sogenanntes Profiling mit hohem Risiko stattfindet. [Redaktionelle Anmerkung von DNIP.ch: Es gibt Stand heute noch kein Datentransferabkommen zwischen der Schweiz und der USA analog zur EU]
Oftmals werden durch Cookies auch Personendaten in unsichere Länder übermittelt, insbesondere die USA. Dafür braucht es auf jeden Fall eine ausdrückliche Einwilligung. (…) Gerade ein Beobachten im Internet mithilfe von Cookies kann aus meiner Sicht ein hohes Risiko für betroffene Personen mit sich bringen, weil umfangreiche Daten zum Verhalten der betroffenen Personen gesammelt werden können.
Ich bin daher generell skeptisch, ob für Cookies eine stillschweigende Einwilligung ausreichend ist. (…)
Stillschweigende Einwilligung heisst nicht, dass die Verwendung von Cookies verschleiert werden darf. (…) Wenn also beispielsweise ein Unternehmen den Widerruf einzelner Cookies hinter einem Link „immer aktiv“ verbirgt, sodass der Besucher der Website davon ausgeht, dass er die Cookies ohnehin nicht deaktivieren kann, verletzt dies das Gesetz. Genau so habe ich es aber auch schon gesehen.„
IT-Anwalt Simon Schlauri
Die Ausführungen beziehen sich auf die allgemeinen Voreinstellungen bei vielen Schweizer Medien, etwa bei Watson.ch, das die Schalter bei den Funktionen „immer aktiv“ (in pinker Farbe) setzt, was der Userin vorgaukelt dass sie ohnehin keinen Handlungsspielraum zur Änderung habe.
An dieser Stelle möchte ich noch darauf hinweisen, dass der Bundesrat am 14. Juni noch einen Bericht veröffentlichte zu diesem Thema. Kurzfassung davon: Er sieht keinen Handlungsbedarf beim Thema „Dark Pattern“ (irreführende Benutzerführung).
Weiter bat ich den Experten Simon Schlauri sich zum Fall Xandr/NZZ zu äussern, auf den er auch selber gestossen ist bei seiner Nutzung der NZZ-App. Und auch hier ist das Verdikt klar: Auch das ist ein No-Go.
„Die betroffene Person muss die Einwilligung (auch eine stillschweigende) jederzeit ablehnen oder später widerrufen können. Cookies, die nicht technisch für das Funktionieren einer Website nötig sind, müssen abgelehnt werden können. Kurz: Die Einwilligung muss abgelehnt werden können.„
IT-Anwalt Simon Schlauri
Nochmals: Bei NZZ.ch lässt sich bei manchen AdTech-Lieferanten wie Xandr eben gar nichts ablehnen.
Google macht munter weiter mit Cookies
Vielleicht bringt ein Urteil des Oberlandesgerichts in Frankfurt von letzter Woche Schwung in die Debatte: Eine Klägerin in Deutschland ging gegen Microsoft vor. Sie besuchte eine Website, bei der Cookies von Microsoft automatisch gesetzt wurde. Microsoft stellte sich auf den Standpunkt, dass der Webseitenbetreiber die Einwilligung zu holen habe (was ja eine NZZ eben genau nicht tut). Und verlor mit dieser Argumentation vor dem Gericht. Natürlich ist dieses Urteil nicht direkt auf die Schweiz anwendbar, aber Schweizer Datenschutzbehörden verfolgen natürlich die Rechtsprechung in Deutschland.
„Soweit die Beklagte [Microsoft] sich darauf verlasse, dass die jeweiligen Webseiten-Betriebe die erforderliche Einwilligung einholten, entlaste sie dies nicht. Sie bleibe darlegungs- und beweisbelastet für den Umstand, dass die Endnutzer vor der Speicherung von Cookies auf ihren Endgeräten eingewilligt haben. Wie sie diesen Nachweis führe, obliege ihr. Sie müsste aber sicherstellen, dass diese Einwilligung vorliege. Das Gesetz gehe zu Recht davon aus, dass dieser Nachweis der Beklagten sowohl technisch – als auch rechtlich – möglich sei.„
OLG Frankfurt am Main
Wenn jetzt Microsoft nach diesem Urteil nun Druck macht auf all die Webseitenbetreiber zugunsten von expliziten Einwilligungen, wäre damit schon viel erreicht.
Zu guter Letzt: Warum weisen wir immer und immer wieder auf die Gefahren des AdvertisingTech hin? Weil die Problematik trotz Verbesserungen durch die Browser-Hersteller (etwa Brave, Firefox, Safari die diese Art von Cookies seit Längerem sperren) aktuell bleibt: Google merkte in den letzten Wochen offenbar, dass ihre Privacy Sandbox nicht so gut ankommt bei seinen Werbekunden. Und verzichtet nun auf das definitive Rollout vorerst. Daher lässt der beliebteste Browser immer noch allerlei Überwachungs-Cookies zu. Und bleibt damit das grösste Leck für globale Datenabflüsse. Und solange der riesige Werbekonzern daran festhält, solange werden wir über das Thema berichten. Hier nochmals eine Wiederholung: Es besteht dato heute kein Nachfolgeabkommen zum aufgekündeten Privacy Shield zwischen der USA und Schweiz (auch wenn es immer wieder heisst, man sei nah dran). Mit anderen Worten: Die Schweiz hat offiziell der USA bis heute kein angemessenes Datenschutzniveau bescheinigt.
Wir können es nicht genug oft betonen: Advertising Tech ist und bleibt eines der grössten Risiken für unseren Datenschutz und für unsere Cybersicherheit. Mit all‘ unseren IDs bei Microsoft, Google, und 800 weiteren „Partnern“ von Medienverlagen lassen sich detailreiche Profile und Bewegungsmuster von Internet-Nutzerinnen über alle Geräte hinweg nachvollziehen. Neuere Enthüllungen zum Berliner Datenhändler datarade.ai wie von BR/Netzpolitik.org sowie SRF zeigen, dass es ein Einfaches ist, den Alltag von Militärs und Geheimdienstlerinnen fast live mitzuverfolgen. Die schweizerischen und europäischen Medienwebsites werden mit ihren rund „800 Partnern“ zu willigen Erfüllungsgehilfen aller russischen, nordkoreanischen, iranischen und chinesischen Hackerinnen und Spionen (wo sie doch publizistisch dagegen anschreiben).
Zur Erinnerung: Eigentlich hatte die NZZ in ihrem letzten Jahresbericht angekündigt GANZ auf 3rd-party-Cookies verzichten zu wollen. Die Alternative: kontextsensitive Anzeigen neben Artikel zu platzieren (also abhängig vom redaktionellen Thema), was ein sehr begrüssenswerter Move wäre. Selbst die Werbeabteilung scheint also erkannt zu haben, dass Überwachungskapitalismus nicht so gut bei den Leser:innen ankommt. Warum nun genau das Gegenteil eingetreten ist und die NZZ quasi eine „Heirat“ mit Xandr/Microsoft eingegangen ist … dies werden wir wohl nicht so schnell erfahren.
Update 31.7.2024 14:00: Ein aufmerksamer Twitter-User machte mich darauf aufmerksam dass auch das Online-Portal von Radio FM1Today.ch sowie TeleZueri „Xandr“ unveränderbar voreingestellt haben. Fm1today.ch und TeleZueri gehören zur CH Media-Gruppe. Interessanterweise bieten aber watson.ch und die aargauerzeitung.ch im Gegensatz dazu eine freie Auswahl bei Xandr an. Anfrage an die Presseabteilung von CH Media ist raus. Update folgt.
Update 31.7.2024 17:00: Ab heute gelten auch neue Regeln für die Nutzung von Google-Produkten für die Schweiz. Google verlangt von „partners using Google advertising products will be required to obtain Swiss users’ consent to the use of cookies or other local storage where legally required, as well as the collection, sharing, and use of personal data for the personalization of ads“. In welcher Form diese Zustimmung geholt werden muss, ist wohl wieder den Verlagen überlassen.
Update 9.8.2024: CH Media antwortete zum Fall Xandr: „Bei einem Update der Consent Management Platform (CMP) der genannten Websites von Mitte Juli kam es zu einem technischen Fehler. Aufgrund dieses Fehlers konnte der Vendor Xandr im CMP-Banner zwischenzeitlich nicht deaktiviert werden. Unterdessen wurde der Fehler behoben und Xandr ist in der Standardeinstellung wieder inaktiv. Bereits vor dem CMP-Update von Mitte Juli war Xandr in der Standardeinstellung der betreffenden Websites inaktiv.„
NZZ hat mir keine solche Antwort geliefert, also dass es sich um einen technischen Fehler handeln würde. Es ist also nach wie vor davon auszugehen dass die Zusammenarbeit zwischen NZZ und Xandr forciert worden ist, um höhere Werbeeinnahmen erzielen zu können.
10 Antworten
Frage des Laien:
Was muss ich mir bei News-Sites eigentlich unter ’notwendigen‘ Cookies vorstellen?
Ich stelle fest, dass es beispielsweise bei tagesschau.de, bei bbc.com/news oder bei politico.com auch ganz gut ohne geht.
Oder verschweigen die mir einfach, dass ich ‚gecooked‘ werde?
Im engeren Sinne technisch notwendig sind z.B. Cookies, welche deinen Abonnementsstatus angeben, also ob du auch die „nur für Abonnenten“-Artikel ohne Einschränkung ansehen darfst. Die brauchst du aber eigentlich nur, wenn du eingeloggt bist.
Manchmal werden auch Cookies als technisch notwendig angesehen, die aussagen sollen, ob du ein Mensch seist (und nicht z.B. ein Download-Programm, das gerade ein Duplikat der ganzen Webpräsenz erstellt).
Weitere Cookies, die gerne als technisch notwendig verkauft werden, sind solche, mit denen A/B-Tests durchgeführt werden: Wenn eine Änderung an der Wrbseite geplant ist, ob du die alte oder neue Version zu sehen bekommst.
Es gibt aber auch Webseitenbetreiber, die am liebsten alles, was sie als zu ihrem Geschäftsmodell gehörig ansehen (inklusive der Erfassung aller möglicher Eigenschaften und Interessen ihrer Leserinnen), als aus ihrer Sicht notwendig erachten… (Diese sollten aber maximal in der Kategorie „berechtigtes Interesse“ auftauchen.)
Besten Dank für Ihre Erläuterungen, Herr Waldvogel.
Meine persönliche Befürchtung dürfte also nicht ganz abwegig sein: Etikettenschwindel nicht auszuschliessen.
Danke für den aufschlussreichen Artikel.
Ich stosse mich an „russischen, nordkoreanischen, iranischen und chinesischen Hackerinnen und Spionen“, wobei andere ebenfalls ernstzunehmende Nationen, wie die amerikanische oder israelische, ausgeslassen werden, sehr.
Entweder benennt man alle oder man setzt keinen Fokus auf bestimmte Nationen. Das entbehrt der Vollständigkeit und ist tendentiös.
Danke für das Kompliment!
Ich schreibe immer wieder über amerikanische Geheimdienste/Strafverfolgungsbehörden und israelische Geheimdienste (siehe mein letzter Artikel zu Verint bei der Republik). Aus europäischer Sicht ist jeglicher Daten-Zugriff natürlich ein Verstoss gegen digitale Souverenität und verletzt die DSGVO/DSG. Deshalb auch mein Hinweis auf das fehlende Abkommen USA-CH (for a reason, wahrscheinlich möchten US-Behörden keine Garantien abgeben bei ihren FISA-Scanprogrammen des Kabelverkehrs). Ich habe mich jetzt einfach nur auf diejenigen Akteure konzentriert, mit denen aus europäischer Sicht gerade grosse Spannungen bestehen und wo die Menschenrechtslage gerade SEHR problematisch ist.
Seit heute* lassen sich sowohl Xandr als auch Audienzz sowie diverse weiter anbieter ausschalten. Ihr Beitrag hier und Ihr Nachfragen bei den Behörden scheint auf das NZZ Management eine gewisse Wirkung zu zeigen 🙂
*Di, 13. August 2024, vermutlich auch neue app version. immer noch opt-out.
Danke für die Rückmeldung. CH Media hat die fehlende Deaktivierungsmöglichkeit von Xandr als technischen Fehler bezeichnet, der sich bei einem Update im Juli eingeschlichen hat. Egal aus welchem Grund: Gut ist, dass das Abschalten jetzt wieder funktioniert.
Danke auch von meiner Seite für den Hinweis, Herr Isenegger. Journalism matters. :-)) Ich glaube im Gegensatz zu CH Media war es eben kein technischer Fehler. Ich habe den NZZ Verlag darauf hingewiesen, ebenfalls auch mit der Frage verbunden ob das vielleicht im Zuge eines Updates passiert sei. Doch da kam eben die Antwort dass „alles rechtens“ sei. Und übrigens: viele weitere AdTech-Lieferanten sind bei der NZZ.ch immer noch auf „default“ und unveränderbar eingeschaltet:) Das ist ein weiterer potenzieller Hinweis für mich darauf dass man nur bei Xandr aufgrund des öffentlichen Drucks gehandelt hat. Aber ich kann nur spekulieren.
Als zahlender Abonnent habe ich von der NZZ eine Stellungnahme zu diesem Blog-Artikel eingefordert. Das war am 05.08. per Mail. Nach dreimal Nachhaken habe ich gestern 03.09. (!) eine Antwort von einer NZZ-Juristin erhalten. Die Antwort enthielt nebst Standardfloskeln die Klarstellung, „dass die NZZ keine Daten an Microsoft oder andere Unternehmen verkauft“ sowie das Statement „Die Behauptungen im Artikel sind unbegründet“. Es wird darauf hingewiesen, dass die NZZ „freiwillig ein Cookie-Banner implementiert“ habe, wo sich alle Datenweitergaben deaktivieren lassen. Ferner wird darauf hingewiesen, dass „entgegen den Behauptungen im Artikel keine Gesundheitsdaten oder andere sensible Daten verarbeitet und auch nicht ohne Ihre Zustimmung weitergegeben werden“.
So weit, so…. fast gut. Sämtliche Sätze sind im Präsens formuliert, d.h. sie beziehen sich nicht auf die Vergangenheit sondern auf die aktuelle Situation. Wenn ich die Kommentare von Lorenz, Patrick und Adrienne lese, dann sieht das für mich so aus, dass jetzt keine Datenweitergaben (mehr) stattfinden bzw. dass dies unterbunden werden kann. Dann hat die NZZ-Juristin wohl recht mit ihren Aussagen. Aber… ich muss davon ausgehen, dass dies in der Vergangenheit nicht unbedingt so war und dass die Aussagen im Artikel stimmen. Das würde auch erklären, weshalb sich die NZZ fast einen Monat Zeit genommen hat mit ihrer Antwort – nämlich bis der Missstand behoben ist und sie verkünden können, dass alles gut ist.
Vielen Dank Herr Ehrbar…Ich habe den gleichen Verdacht. Stillschweigend entfernt, aber nach aussen kommuniziert: alles in bester Ordnung, wir halten uns an das Datenschutzgesetz. Ich kann Ihnen versichern dass unsere Screenshots (und auch anderer NZZ-Leser*innen) echt sind und auch unsere genutzten Tools (Wireshark, Exodus, Ghostery) in der Vergangenheit Traffic in Richtung Microsoft-Server/Xandr angezeigt haben, sobald wir ohne Schutzvorkehrungen die nzz.ch besuchten.