Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Spiegel Online-Webseite: Datenschutzverstöße vorhanden oder ein riesen großes Cookie-Missverständnis?

1

Das Online Magazin von DER Spiegel nutzt auf der Webseite spiegel.de eine Paywall. Damit hat der Nutzer angeblich die Wahl: Alle Datenverarbeitungen akzeptieren oder Geld bezahlen. Leider werden Ihre Daten bereits umfangreich analysiert und weitergegeben, bevor Sie überhaupt etwas angeklickt haben. Den Spiegel bat ich um eine Stellungnahme und um Korrektur der Webseite.

Einleitung

Die Webseite von Spiegel Online (kurz: spon) lautet spiegel.de. Wer diese Webseite besucht, sieht in etwa folgendes Bild und könnte den Eindruck gewinnen, spon nimmt Datenschutz ernst (so ist es aber nicht):

Paywall auf spiegel.de, Stand: 25.10.2022

Sie haben also angeblich die Wahl:

  • Weiter mit Werbung: Jeglicher Verwendung Ihrer Daten zu werblichen Zwecken zustimmen, die DER Spiegel auf der Agenda hat.
  • Werbefrei lesen: Geld bezahlen und ohne Werbetracking weiterlesen.

Leider sieht die Realität anders aus. Ihre Daten werden bereits umfangreich in Werbenetzwerke eingeschleust, wenn Sie die Spiegel-Webseite besuchen, und zwar, ohne etwas angeklickt zu haben.

Noch einmal: Die Paywall fragt nach Ihrer Zustimmung für Werbetracking oder nach Ihrer Bereitschaft, Geld zu bezahlen. Tun Sie gar nichts, dann findet dennoch Werbetracking in ganz erheblichem Ausmaß statt.

DER Spiegel ist kein seriöses Medium mehr.

Meine Meinung. Begründung: Siehe Beitrag. Wer Datenschutzregeln massiv missachtet, hat kein anderes Urteil verdient.

Das Argument, der Spiegel müsse sich ja irgendwie finanzieren, greift hier also ganz und gar nicht. Der Spiegel arbeitet nämlich mit Falschaussagen, indem so getan wird, als würden Sie und Ihre Daten erst nachverfolgt, wenn Sie auf “Akzeptieren und weiter” klicken.

Der Einfachheit halber habe ich nur die Cookies analysiert. Dinge wie Nutzerprofilbildung (“Tracking”) oder Datentransfer in unsichere Drittländer will ich hier gar nicht anführen.

Mein Befund der Spiegel-Webseite

Am 16.10.2022 besuchte ich wieder mal die Webseite spiegel.de („Spiegel-Webseite“, „Spiegel Online“, „spon“). Dabei fielen mir einige Ungereimtheiten bezüglich des Datenschutzes auf. Ich beziehe mich hier der Einfachheit halber nur auf Cookies. Meine Untersuchung berücksichtigt den § 25 TTDSG. Kurz gesagt: Cookies sind nur einwilligungsfrei, sofern sie unbedingt erforderlich sind. Wie vielen bekannt ist, sind die meisten Cookies nicht unbedingt erforderlich, was ich in vielen Fällen sogar hart beweisen kann.

Die folgenden Cookies stellte ich bei Aufruf der Spiegel-Webseite fest, ohne irgend eine Nutzeraktion auf der Webseite vorgenommen zu haben. Ich habe nichts angeklickt und auch nichts zugestimmt, ebenso habe ich nichts bezahlt.

Auf der Webseite spiegel.de gesetzte Cookies ohne Einwilligung und ohne Vertragsgrundlage. Stand: 16.10.2022

Insgesamt sind das 33 Cookies. Die Wertangaben sind zu meinen Gunsten weitgehend unkenntlich gemacht. Dennoch kann erahnt werden, dass die Werteausprägungen der Cookies zahlreich als Identifizierer geeignet sind und somit in Gänze ganz sicher nicht erforderlich sind im Sinne des § 25 TTDSG.

Der Screenshot konnte folgende Cookies nicht darstellen, die ebenso gesetzt wurden:

  • sara_gpv_page
  • sara_prev_data
  • sara_randomnumber
  • sara_user_day

Bei Aufruf im Opera-Browser zeigten sich im Bild sogar 40 Cookies, nämlich 7 weitere im lokalen Speicher (Firefox kann diese auch anzeigen, aber nicht in einer Weise wie der folgenden):

Cookies auf der Spiegel-Webseite spiegel.de, Stand 02.11.2022

Diese Ansicht ist neuer als der vorige Screenshot aus dem Firefox. Somit sind die Cookies anscheinend immer noch alle da. DER Spiegel hat es also nicht für nötig befunden, sein Datenschutzkonzept zu prüfen.

Daraufhin schrieb ich dem Spiegel eine E-Mail an  datenschutz@spiegelgruppe.de und fragte nach einer Rückmeldung bis zum 31.10.2022. Ich kündigte an, den Vorfall öffentlich zu machen, sofern die Spiegel-Webseite zur genannten Frist nicht korrigiert wurde oder meine Zweifel an der Rechtmäßigkeit der Datenverarbeitung auf der Spiegel-Webseite ausgeräumt werden würden.

DER Spiegel war rechtlich nicht verpflichtet zu antworten. Das müssten DER Spiegel erst, wenn jemand ein Auskunftsgesuch nach Art. 15 DS-GVO an das Magazin DER Spiegel richten würde, wenn also jemand eine Anfrage wie die folgende an die eben genannte Mailadresse schicken würde:

Am X. um Y. Uhr besuchte ich Ihre Webseite spiegel.de. Meine IP-Adresse lautete Z. Meine Wohnanschrift finden Sie unten in dieser Mail, für die ich eine Zustellbestätigung vorliegen habe und, sofern Sie diese erteilen, auch eine Lesebestätigung.

Ich fordere Sie auf, mir gemäß Art. 15 DS-GVO innerhalb eines Monats Auskunft über die von Ihnen verarbeiteten (vgl. Art. 4 Nr. 2 DS-GVO) mich betreffenden personenbezogenen Daten (vgl. Art. 4 Nr. 1 DS-GVO) zu geben, auch über Rechtsgrundlagen (etwa zum Einsatz von Facebook Connect/Pixel, Adobe Analytics o. ä., Twitter Conversion Tracking, Google Tag Manager bzw. für alle von Ihnen eingesetzten Tools, die meine Daten verarbeitet haben), Datenempfänger, Art der Datenverarbeitungen, Speicherdauern und Cookies (Namen, Zwecke, Funktionsdauern). Ich möchte Kenntnis hiervon erhalten, um die Rechtmäßigkeit der Datenverarbeitung zu überprüfen.

Mit freundlichen Grüßen

Maxi Musterperson
Musterstr. 1
01234 Musterstadt

Fiktives Auskunftsgesuch

Besonders schwierig wäre ein solches Auskunftsgesuch zu beantworten, wenn der Auskunftssuchende mehrere Spiegel-Adressen zuvor aufgerufen hat und aus Angst vor Datenschutzproblemen nichts angeklickt hat. Noch kritischer wäre die Sachlage, wenn der Auskunftssuchende Spiegel-Kunde ist.

Jedenfalls antwortete mir der Spiegel nur mit einer lapidaren Antwort, die jegliches Problem negierte. Eine weitere Antwort nach der Frist war eine vertröstende Nachricht ohne jeden Gehalt („wir haben Sie nicht vergessen“).

Zurück zur Untersuchung der DER Spiegel-Webseite.

Aufgerufene Adressen

Genau die folgende Adressen und keine weiteren rief ich am 16.10.2022 ab 16:50 Uhr in der eben beschriebenen Weise auf:

Dadurch wurde in meine Privatsphäre eingedrungen, indem einige Zugriffe auf mein persönliches Endgerät stattfanden. Dies geschah augenscheinlich vor allem durch Cookies, die meiner Einschätzung nach weitestgehend nicht erforderlich und somit nicht einwilligungsfrei sind. Auch mein Aufruf am 14.11.2022 zeigte ein erschreckend schlechtes Bild von „spon“ (Spiegel Online).

Analyse der Cookies

Im Folgenden gebe ich meine Analyse zu diesen festgestellten Cookies, die allesamt weder auf Grundlage einer Einwilligung noch auf Grundlage eines Vertrages oder ähnlichem in meinem Endgerät gespeichert wurden.

  • Cookie _fbp: Wird vom sogenannten Facebook Pixel gesetzt. Hat eine Lebensdauer von 3 Monaten.
  • Cookie IDE: ist das nicht ein Master-Cookie von Google, das Nutzer über viele Webseiten hinweg nachverfolgen kann? Hatte der Spiegel leider vergessen zu erwähnen.
  • Cookie _gcl_au: Auch Google, oder? Hatte der Spiegel leider vergessen zu erwähnen.
  • Cookie muc_ads: Twitter? Hatte der Spiegel leider vergessen zu erwähnen.
  • Cookies MUID, _uetsid, _uetvid: von Microsoft/Bing, oder? Hatte der Spiegel leider vergessen zu erwähnen.
  • Cooies sara_* und demdex (insgesamt 7 Cookies): Von Adobe, so wie DER Spiegel selbst schreibt.
  • Cookies _sp* (3 Cookies): Vom Spiegel selbst eventuell? Hatte der Spiegel leider vergessen zu erwähnen.
  • Cookies outbrain_*: Von Outbrain. Ist das ein „Außengehirn“? Auf der Cookie-Seite des Spiegel steht „Outbrain“ als „Dienst“, aber wer ist der Anbieter? Ist es vielleicht Outbrain Inc. aus den USA, so wie es auf einer anderen Seite beim Spiegel steht? Wie wäre es mal mit einer Seite, auf der alle Pflichtinformationen enthalten sind, um die Rechtmäßigkeit der Verarbeitung prüfen zu können?
  • Für die anderen Cookies fehlt mir die Lust. Reicht aber auch, oder?

Lieber DER Spiegel: Finden Sie es nicht auch eine Frechheit, derart viele Cookies ohne Rechtsgrundlage zu verwenden? Oder berufen Sie sich bei 33 Cookies auf Ihr berechtigtes Interesse? Kleiner Exkurs, falls jemand das berechtigte Interesse spaßeshalber anführen möchte: Für Cookies gibt es diese Rechtsgrundlage nicht. Siehe § 25 TTDSG.

So ganz nebenbei gefragt: Wo auf der Webseite von Spiegel Online (und nicht sonstwo) sind eigentlich Informationen zu den Cookies (Name, Funktionsdauer, Zweck, Benennung von Risiken bei Drittlandübermittlung) gegeben? Auf der Datenschutz-Seite und auf der Seite, die über „Cookies & Tracking“ erreichbar war, konnte ich beispielsweise den Begriff „_fbp“ nicht finden. Auch auf der Übersicht zu Cookies, die im Pur-Abo genutzt werden, fehlte leider eine Angabe.

Besonders frech finde ich folgende „Information“:

Auf der Seite, wo diese nicht wirklich hilfreiche Ansage ohne Abwahlmöglichkeit gegeben wird, werden u. a. ohne Einwilligung geladen (die Begriffe stammen aus einer Klassifikationsdatenbank. Sicher wissen Sie, was damit gemeint ist):

  • Adobe Dynamic Tag Manager. Ein Glück hat diese Firma laut Aussage des Spiegel einen Sitz in Irland (Achtung: viel Zeit zum Suchen mitbringen, da leider einige wichtige Informationen erst nach langem Scrollen und dem Aufklicken zahlreicher Bereiche erscheinen).
  • Adobe Audience Manager
  • Google Dynamic Remarketing. Waren das nicht die, die am Cambridge Analytica Datenskandal beteiligt waren?
  • Facebook Connect (oft als „Facebook Pixel“ bezeichnet). Waren das nicht die, die am Cambridge Analytica Datenskandal beteiligt waren?
  • Doubleclick bzw. Google Ads sowie Doubleclick Floodlight
  • Google Tag Manager.
  • Facebook Custom Audience. Mehr Tracking mit Facebook geht kaum.
  • Twitter Advertising. Waren das nicht die, die so ein verrückter Tech-Milliardär kaufen will (gekauft hat?), der Donald Trumps Account wieder freischalten will?
  • Twitter Conversion Tracking: Viel hilft viel?
  • TikTok Analysis. waren das nicht die aus China?
  • Hotjar: Leider fehlen in den Datenschutzhinweisen des Spiegel hierzu genaue Angaben. Dort steht nur etwas von der Nachverfolgung von Mausbewegungen. Kennt DER Spiegel den Anbieter selbst nicht?
  • Bing Ads. Laut Spiegel-Datenschutzhinweisen ein Dienst eines US-Konzerns
  • Digital Window (Axel Springer Verlag)
  • Neory: Kenne ich nicht. Immerhin schreibt DER Spiegel dazu: „Zudem können nach der NEORY-Technologie noch weitere Aufrufe zu den folgenden Technologien nachgeladen werden, welche ggf. Cookies setzen: Adform, Adition, Google, MediaMath, The Trade Desk, Emego. Dies dient dazu, Besuchern der Webseite im Rahmen unseres Partner-Werbenetzwerks interessenbezogene Werbeanzeigen zu präsentieren.“
  • The Trade Desk: Weil DER Spiegel zu Neory schon The Trade Desk erwähnte, hielt er es nicht für nötig, spezifische weitere Angaben zu machen, richtig?
  • Outbrain Amplify: Nutzt laut den Informationen von DER Spiegel „lediglich“ vier Cookies. Zum Glück verwendet DER Spiegel sonst keine Cookies (nur zur Sicherheit: Das war ein Scherz).

Noch einmal: All diese Dienste wurden von der Webseite von DER Spiegel geladen, ohne dass ich irgendetwas angeklickt hatte und somit ohne Einwilligung oder Vertragsgrundlage.

Cookie löschen: Big Fail

Es ist sehr freundlich, dass DER Spiegel auf der Seite, wo angeblich beschrieben wird, wie DER Spiegel mit meinen Daten umgeht, eine Möglichkeit zum Löschen aller Cookies anbietet:

Quelle: https://www.spiegel.de/datenschutz-spiegel#sp_privacy_manager. Stand: 16.10.2022

Tatsächlich kam nach Klick auf „Alle Cookies löschen“ ganz kurz eine Erfolgsmeldung („Cookies wurden erfolgreich gelöscht“), die nach einer Sekunde oder so wieder verschwand. Ganz schön clever, denn DER Spiegel war sich wohl zurecht nicht sicher, ob diese Funktion wirklich funktioniert.

Tut sie nicht, wie DER Spiegel sicher weiß. Einige der kritischen Cookies wurden nicht abgeräumt, wie etwa welche von Twitter, Bing, Adobe oder Google. Aber das sind ja ganz harmlose Unternehmen, die sehr sorgsam mit den Daten der Personen umgehen, die DER Spiegel ihnen zuschanzt.

Könnte mir DER Spiegel freundlicherweise erklären, wie DER Spiegel ein Cookie von einer Dritt-Domäne wie bing.com oder twitter.com löscht? Ich weiß nämlich nur so viel: Wenn ein Dienst (wie Bing oder Twitter) keine Schnittstelle für das Entfernen der zugehörigen Cookies anbietet, kann DER Spiegel diese Cookies gar nicht von meinem Endgerät löschen. Irre ich mich da vielleicht?

Fazit

DER Spiegel nimmt entweder Datenschutz nicht ernst oder kann Datenschutz aufgrund von Inkompetenz nicht einhalten. Ich tippe allerdings auf beides.

Keine gute Idee ist es, wenn DER Spiegel seinen prominenten Mitarbeiter mit dem roten Irokesenschnitt zum Datenschutz befragt. Er hat erwiesenermaßen wenig Ahnung davon, wie mir eine frühere Korrespondenz mit ihm aufgrund seiner eigenen Webseite zeigte. Vielleicht möchte DER Spiegel diesem Mitarbeiter empfehlen, zukünftig nur noch über Dinge zu schreiben, die eher in sein Metier fallen als der Datenschutz.

DER Spiegel hat sich aufgrund zahlreicher bedenklicher Datenverarbeitungen aus dem Kreis seriöser Medien selbst ausgeschlossen.

Mein Fazit.

Ich jedenfalls nutze das Informationsangebot von DER Spiegel nun noch widerwilliger. Die Tagesschau-App ist eine gute Alternative. Die müsste man auch mal hinsichtlich der Einhaltung verbindlicher Datenschutzregeln untersuchen. Sehr wahrscheinlich kommt dabei aber ein weniger desaströses Bild heraus, wie es DER Spiegel von sich selbst zeichnet. Auch die ZDF heute-App kann die Lücke schließen, die eine Deinstallation der Spiegel-App zunächst auftun könnte.

Die Webseite von Spiegel Online war jedenfalls der Anlass dafür, einen Generator für Auskunftsgesuche nach Art. 15 DSGVO zu erstellen. Der Generator erzeugt einmalige Texte, die Sie an den Verantwortlichen für eine Webseite schicken können. Im Generator sind mehrere Webseiten vorgegeben. Nach Auswahl einer dieser Websites wird ein spezifischer Auskunftsgesuchstext erzeugt. Das Projekt schließt die Prüfung der erhaltenen Antworten mit ein. Eine unbefriedigende Antwort jedenfalls sollte Grund genug sein, über eine günstige Klage vor einem Amtsgericht bei Ihnen vor Ort nachzudenken. Der Verlierer, anzunehmenderweise DER Spiegel, muss die Kosten des Verfahrens tragen. Zudem muss der Verantwortliche dann eine ordentliche Auskunft nachreichen.

Das Beitragsbild ganz oben wurde von einem Computer-Programm und ohne meine kreative Mitarbeit erzeugt. Verwendet wurde ein KI-Programm, was ähnlich zu Dall-E ist. Die Bilder dürfen auf Webseiten frei verwendet werden, sofern eine üblich sichtbare dofollow-Verlinkung auf diesen Blog gegeben ist.
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Dan Parkarov

    Ich hoffe doch sehr, dass zahlreiche Beschwerden zu diesem Thema bei der zuständigen Aufsichtsbehörde eingehen werden?
    Wenn ich mir vorstelle, mit welchem Kleinkram sich meine Mandanten teilweise rechtfertigen müssen, ist das anscheinend gezielte Umgehen der Datenschutzgesetze von diesem Verlag ein Skandal.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

IP-Adressen, Google und Datenschutz: Darum sind IP-Adressen für Google potentiell immer personenbezogen