Otto.de nutzt zahlreiche Tracker. Die Daten landen bei Google & Co. Ein Widerspruch ist vorsätzlich wirkungslos. Die Aufsichtsbehörde sieht seit einem Jahr weg. OTTO findet’s gut. Nein heißt bei OTTO bewusst nicht Nein, sondern weitermachen: #OTTOTOO

Für eine Berichterstattung im ZDF habe ich kürzlich verschiedene Webseiten besucht. Ziel der Besuche war festzustellen, ob die Anbieter die Vorgaben der Datenschutz-Aufsichtsbehörden beachten und ein einfacher Widerspruch gegen Website-Tracking möglich ist. Darunter auch www.otto.de, die Präsenz des bekannten Hamburger Versandhändlers OTTO.

Über 31 Tracking-Vorgänge ohne Einwilligung

Mit einem frisch installierten Firefox Browser mit Privacy Badger fiel dabei auf, dass auf der Startseite insgesamt 31 Aufrufe zu OTTO-fremden Diensten erfolgen. Darunter zahlreiche internationale Werbenetzwerke, invasives Mouse-Tracking sowie der Tracking-Dienst Google-Analytics. Und das, obwohl das Einwilligungsbanner zur Datenerfassung gar nicht bestätigt wurde. Eine tiefergehende Analyse des Netzwerkverkehrs bestätigte den umfangreichen Datenfluss.

Privacy Badger und Netzwerkanalyse auf otto.de

Widerspruch wirkungslos

Besonders erstaunt waren das Fernsehteam und ich, als wir die vermeintliche Einwilligung widerrufen wollten. Im Einwilligungs-Banner lud der Link „hier ablehnen“ zum rechtskonformen Widerspruch ein. Faktisch blieb der Link-Klick jedoch folgenlos, denn der Datenversand zu Google Analytics & Co ging unverändert weiter. Und das sogar auf Seiten mit beliebtem Kinderspielzeug, die gerade von Minderjährigen gerne besucht werden.

Ein unglaubliches Vorgehen, das die Wirkungslosigkeit der seit 2018 bekannten Orientierungshilfen und neusten Pressemitteilungen der Aufsichtsbehörden traurig bestätigt. Fordern diese doch unmissverständlich eine explizite Einwilligung vor der Datenweitergabe an Google sowie eine technisch wirksame Widerspruchsmöglichkeit.

Netzwerk-Analyse nach „ablehnen“-Klick: Der Datenfluss geht weiter

Aufsichtsbehörde seit einem Jahr tatenlos

Jeder hat Verständnis, dass die zuständige Hamburger Aufsichtsbehörde aufgrund des stets beklagten Ressourcenmangels nicht jedes Unternehmen sofort prüfen kann. Im Fall von OTTO sind ihr die Verstöße jedoch seit über einem Jahr bekannt. Die Beschwerde eines Betroffenen, die uns zugespielt wurde, bestätigt dies. Unglaublich, dass der zuständige Behörden-Mitarbeiter trotz Androhung einer Dienstaufsichtsbeschwerde keine Veranlassung sieht, zeitnah zu agieren. Wie lange will die Behörde noch wegsehen und tatenlos bleiben? Offenbar „Jahre“…

  • Nachfrage des Betroffenen 17.12.2019 (Schwärzungen: Autor)
  • Aufsichtsbehörde 19.12.2019 (Markierung/Schwärzung: Autor)

Bis das erste, in abschreckender Höhe liegende Bußgeld für Webtracking rechtskräftig besteht, werden noch viele Monate, wenn nicht Jahre, vergehen.

19.12.2019, Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (Fettungen: Autor)

Fernsehsender alarmiert, Behörde und OTTO informiert

Weil Fernsehsender kritische Berichterstattungen erst nach umfangreicher juristischer Prüfung senden und die Aufsichtsbehörde sich in gewohnter Untätigkeit übt, veröffentliche ich diesen Artikel. Ich denke es ist nunmehr an der Zeit, dass sich die Öffentlichkeit selbst ein Bild vom Datenschutz Wilden Westen bei otto.de macht.

Selbstverständliche habe ich die mir persönlich bekannte OTTO Datenschutzbeauftragte eine Woche vorher über die Veröffentlichung informiert und um Stellungnahme gebeten – ebenso wie die Hamburger Aufsichtsbehörde.

Lieber streiten oder DSGVO befolgen?

Ich bin sehr gespannt, wie die Reaktion ausfällt. Ob der sonst so soziale Versender lieber die Auseinandersetzung sucht oder sich endlich an die Vorgaben hält? In jedem Fall freue ich mich auf weitere Berichterstattungen in den Breitenmedien.

Sorry OTTO, aber es reicht – oder glaubt Ihr wirklich Datenschutz ist zwecklos?

Christian Bennefeld

Ich gebe jedenfalls die Hoffnung nicht auf, dass OTTO nunmehr mit gutem Beispiel vorangeht und es bald einen positiven Bericht gibt. Fehler machen ist schließlich nicht schlimm, solange man sie schnell korrigiert und sich aufrichtig entschuldigt.

[Update 20.02.2020]
Pünktlich zur gesetzten Antwortfrist erhielt ich sowohl die Stellungnahme der Hamburger Aufsichtsbehörde als auch die von OTTO, die Sie nachstehend finden.

Lieber weiter so: Im Dissens zu Behörden und Kunden

  • Stellungnahme OTTO Seite 1 (Schwärzungen / Markierung: Autor)
  • Stellungnahme OTTO Seite 2 (Schwärzungen: Autor)
  • Stellungnahme HamBfDI (Schwärzungen: Autor)

Also OTTO findet den Datenabfluss zu Google trotzt „ablehnen“ richtig und stellt sich damit gegen die Aufsichtsbehörden und die EuGH Entscheidung. Eine erstaunliche Entwicklung.

OTTO, das find‘ ich nicht gut„, kann ich als Betroffener nur sagen. Sieht man vom Gesetz einmal ab, ist es ist einfach nur unglaublich respektlos wie OTTO mit dem Vertrauen seiner Kunden umgeht. Das erwartet man eigentlich nur von amerikanischen Unternehmen, die sich beim Datenschutz häufig aus der Verantwortung stehlen.

Hingegen ist die Behörde noch im „Verwaltungsverfahren“ und wartet wohl seit einem Jahr auf die Stellungnahme, die ich in nur einer Woche erhalten habe. Die Behörde kennt die Stellungnahme jetzt und ich habe sie um ihre Position dazu gebeten.

OTTO find‘ ich gut“ wird kein Kunde sagen, der erfährt, dass „ablehnen“ den Datentransfer zu Google gar nicht stoppt.

Nein heißt NEIN – nur OTTO findet‘s gut, trotzdem weiter zu machen.

Datenschutz ist wohl doch zwecklos – und kein Grund bei OTTO zu kaufen!

#OTTOTOO

Christian Bennefeld zur Stellungnahme von OTTO

In jedem Fall greife ich OTTOs interessante Rechtsauffassung in einem neuen Artikel zum Thema „Irreführung bei Einwilligung & Widerspruch“ auf.

[Update 02.03.2020]
OTTO, Bonpix, Baur und sowie weitere OTTO Töchter sind nach einer (zur Missbrauchsvermeidung notwendigen) Logfile-Analyse besonders interessierte Leser dieses Beitrags. Geändert hat das an ihrer Tracking-Praxis bisher nichts, denn auch die Töchter bedienen sich der gleichen Verbrauchertäuschung.

Nur die OTTO Datenschutzbeauftragte hat den Kontakt zu mir auf Xing gelöst. Schade, ich hätte mir einen deutlich professionelleren Umgang mit den Verstößen gewünscht und gerne weiter den Dialog gesucht.

Aber vielleicht versteht wenigstens der OTTO Vorstand, dass Kundenvertrauen das höchste Gut ist, das OTTO im Datenschutz massiv verspielt? Zumindest ist das Thema dort wohl jetzt endlich angekommen.

In Kürze mehr…

Wir aktualisieren diesen Artikel bei Neuigkeiten und informieren Sie wie gewohnt über unseren Web Push Kanal. Einfach am Fuß der Seite abonnieren und in Echtzeit informiert werden.

Weitere Artikel, die Sie interessieren könnten:

Andere lesen auch

  1. Massenhafte Beschwerden über Google Analytics erschüttern Aufsichtsbehörden
  2. Interessante Behördenlogik: Beschwerdeführer sind nicht betroffen
  3. Aufsichtsbehörden im Dienste der Wirtschaft
  4. Weiter Datenschutz-Anarchie im Internet – der Hamburger Aufsichtsbehörde sei Dank