Die sonst für Verbraucher-Transparenz bekannte Stiftung Warentest, verstößt auf ihrer Website nicht nur gegen den Datenschutz, sie versucht ihr illegales Treiben auch noch zu verschleiern. Durch die Zusammenarbeit mit US-Unternehmen gelangen personenbezogene Daten sogar in die USA. Ein “unsicherer Drittstaat”, in dem Behörden auf unsere Daten zugreifen. Ein unglaublicher Vertrauensverlust für die bisher so vertrauenswürdige Verbraucherschutzorganisation.

Zum aktuellen Update, 09.11.2020: Lügen statt Transparenz


Praktisch jeder Konsument kennt die vom Steuerzahler finanzierte Stiftung Warentest. Bietet sie doch eine fachmännische Prüfung vieler Produkte und Dienstleistungen und hilft so, “Scharlatane” und Schwachstellen aufzudecken. Eine vertrauensvolle Organisation, die sich für Verbraucher-Transparenz einsetzt und uns Konsumenten schützt – so dachte ich bisher.

Vor diesem Hintergrund war ich tief erschüttert als ich feststellen musste, dass die Stiftung sich im Punkt Datenschutz selbst als “Scharlatan” ausweist. Aber der Reihe nach.

Tracking-Cookie wird illegal gesetzt

Bereits Anfang September habe ich die Seite test.de der Stiftung Warentest besucht. Dabei fiel mir gleich auf, dass das angezeigte “Einwilligungs-Banner” nur ein schlechter Scherz sein konnte. Denn bekanntermaßen sind Banner, die man nur mit “OK” für das Setzen von Tracking-Cookies bestätigen kann, ohne dass ein Ablehnen möglich ist, rechtlich nicht nur bedenklich, sondern schon seit längerem illegal. Für Stiftung Warentest offenbar kein Problem, denn sie geht noch deutlich weiter.

Cookies ohne Einwilligung auf test.de
Tracking-Cookie ohne Einwilligung

Eine kurze forensische Netzwerk-Analyse des Datenverkehrs bei meinem Website-Besuch am 08.09.2020 zeigt die bis heute, 28.10.2020, unverändert andauernden Verstöße:

Unmittelbar beim ersten Besuch der Website www.test.de wird ein Tracking-Cookie mit der Bezeichnung „wt_rla“ ohne meine Einwilligung gesetzt. Denn das „Cookie-Banner“ auf test.de habe ich – auch bei späteren Besuchen – niemals bestätigt.

Verknüpfung von Profildaten über lange Zeit

Das im Browser gesetzte Cookie ist ganze zwei Monate gültig, und es wird bei einem erneuten Seitenbesuch zu einem späteren Zeitpunkt auch nachweislich wieder ausgelesen. So kann ein umfassendes Profil über verschiedene, zeitlich nicht zusammenhängende Besuche der Website-Nutzer erstellt werden. Und weil die Stiftung Warentest das Cookie bei einem erneuten Besuch wieder auf zwei Monate verlängert, kann sie insbesondere ihre Stamm-Leser über lange Zeiträume im Detail überwachen und genauestens profilieren.

Ein unglaublicher Vorgang, bietet die Stiftung Warentest doch nicht nur Test-Berichte, sondern auch Beratung zu sensiblen Themen wie Steuern, Versicherungen und Altersvorsorge auf ihrer Seite an, die einen Rückschluss auf die persönlichen Verhältnisse der Rat-Suchenden zulassen.

Tracking-Cookie wird am Folgetag ausgelesen und seine Gültigkeit verlängert

Man sollte meinen, dass gut ausgebildete Fachleute wie bei der Stiftung Warentest wissen, dass dieses Vorgehen schlicht illegal ist. Denn nach dem abschließenden „Cookie-Urteil“ des Bundesgerichtshofs (BGH) vom 28. Mai 2020 ist das Setzen und Auslesen von Tracking-Cookies nur nach aktiver, informierter Einwilligung des Betroffenen möglich. Das ist kein gut gemeinter Rat, sondern ein Urteil mit Gesetzeskraft, das zwingend zu befolgen ist.

Ich bin schwer enttäuscht, dass eine vermeintlich für Verbraucher agierende Organisation unsere Rechte als Verbraucher so nachhaltig verletzt und die Nutzer über lange Zeiträume durchleuchtet, statt sich an die rechtlichen Vorgaben zu halten. Doch es kommt noch schlimmer.

Fragwürdige Tracking-Verschleierungstechnik

Eine tiefer gehende Netzwerk-Analyse offenbart, dass besagtes Tracking-Cookie von der Domain „images1.test.de“ gesetzt wird. Diese Sub-Domain der Verbraucherorganisation verweist wiederum auf die IP-Adresse „185.54.150.34“. Offenbar eine IP-Adresse, die sich eindeutig der Tracking-Firma „Webtrekk“ zuordnen lässt und die auch unter der Domainadresse „warentest-de01.webtrekk.net“ abrufbar ist. Diese Verschleierungstechnik ist in Fachkreisen auch als CNAME- oder Domain-Cloaking bekannt und hat zum Ziel, eventuelle Tracker-Blocker zu umgehen und dem Nutzer technisch vorzuspiegeln, dass kein Tracking verwendet wird.

Statt Transparenz zu üben, verschleiert die Transparenz-Organisation ihr illegales Treiben auch noch gegenüber dem Verbraucher. Mein bisheriges, großes Vertrauen in die Stiftung Warentest ist damit nachhaltig ruiniert.

TCP/IP Routenverfolgung zum Tracking Anbieter Webtrekk

Klare Rechtsverstöße durch die Stiftung

Die Tracking-Firma Webtrekk GmbH gehört nach eigenen Angaben zum US-amerikanischen Mapp Digital US, LCC Konzern, der in der Datenschutzerklärung auch als Data-Controller, also Verantwortlicher für die Datenverarbeitung ausgewiesen ist.

Screenshot der zeigt, dass Webtrekk ist ein US-amerikanisch kontrolliertes Unternehmen ist.
Der “Data-Controller” sitzt in den USA

Nach Angaben der, im Übrigen bis heute ausschließlich in Englisch verfügbaren, Datenschutzerklärung auf webtrekk.com findet potentiell eine Ausleitung der Daten unter dem EU-US Privacy Shield sowie unter Standardvertragsklauseln in die USA statt.

Rechtsgrundlage der Datenübertragung in die USA: Privacy Shield

Datenausleitung in die USA ohne Rechtsgrundlage

Das EU-US Privacy Shield ist nach dem „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH) seit der Urteilsverkündung am 16. Juli 2020 als Rechtsgrundlage für den US-Datentransfer ungültig. Der EuGH führt in seinem Urteil weiter aus, dass ebenso auch die “Standardvertragsklauseln” kein geeignetes Instrument für die Datenausleitung in die USA sind.

Sein Urteil begründet der Gerichtshof mit dem Fakt, dass in den USA kein äquivalentes Datenschutzniveau vorherrscht, wie es in der DSGVO bei der Datenübertragung in ein Drittland gefordert wird. Denn Dank der US-amerikanischen Gesetze wie FISA (Foreign Intelligence Surveillance Act) und CLOUD Act (Clarifying Lawful Overseas Use of Data Act), können US-Behörden auf Daten von Ausländern zugreifen, ohne dass Betroffene überhaupt davon erfahren oder Rechtsmittel einlegen können.

Überwachungsstaat USA

Juristen sind sich nach dem Urteil einig, dass eine Ausleitung von personenbezogenen Daten in die USA nur in Ausnahmefällen möglich ist: über eine gesonderte Einwilligung. An diese Einwilligung sind jedoch hohe Erfordernisse geknüpft. So muss der Betroffene, dessen Daten übertragen werden, detailliert über die besonderen Risiken und Folgen der Zugriffsnahme durch US-amerikanische Behörden hingewiesen werden und dieser Übertragung durch aktive Handlung zustimmen.

Einen entsprechenden Hinweis konnte ich jedoch weder auf webtrekk.com noch in der 19 DIN-A4-Seiten umfassenden Datenschutzerklärung auf test.de finden. Geschweige denn, dass ein lapidarer OK-Button den hohen Anforderungen an eine derartige Einwilligung genügt. Das Cookie-Banner von der Verbraucherorganisation verstößt somit gleich mehrfach gegen geltende Rechtsnormen.

Das Handeln der Stiftung Warentest verletzt damit eklatant unsere Rechte als Verbraucher. Von Transparenz und rechtskonformen Datenumgang keine Spur.

Doch nicht alleine die US-amerikanische Webtrekk erhält Verbraucherdaten von test.de.

Personenbezogene Daten gehen auch zu Google USA

Denn die Stiftung Warentest verwendet auf test.de auch nachweislich den „Google Tag Manager“, ein Produkt der Google LLC, USA zur Integration von Tracking-Codes. Eine Netzwerk-Analyse meines Besuchs zeigt unstrittig, dass personenbezogene Daten in Form meiner IP-Adresse in die USA übertragen werden, ohne dass ich meine Einwilligung dazu gegeben habe. Ebenso werde ich auch hier nicht auf die besonderen Risiken der US-Datenausleitung hingewiesen. Selbst wenn ein Datenschutz-sensibler Verbraucher der Datenübertragung widersprechen möchte, so ist dies nicht möglich, denn es gibt in der Datenschutzerklärung auf test.de keine Möglichkeit dazu.

Völlig unstrittig ist nach den einschlägigen EuGH- und BGH-Urteilen aus 2016/17, dass auch dynamische IP-Adressen zu den personenbezogenen Daten zählen.

Selbst wenn Google behauptet, die mit dem Tag-Manager gewonnenen Daten nicht zur Profilbildung zu verwenden, handelt es sich dennoch um die Weiterleitung von personenbezogenen Daten in einen unsicheren Drittstaat. Sieht so ein verantwortungsvoller Umgang mit unseren Steuergeldern und den gewonnenen Verbraucherdaten aus?

Offener Brief an Stiftungsverantwortliche

Liebe Verantwortliche der Stiftung Warentest,

ich verstehe nicht, warum Sie die inzwischen gar nicht mehr so neuen Urteile des BGH (“Cookies”) und EuGH (“Schrems II”) auf Ihrer Website vollständig ignorieren. An mangelnder Sachkunde kann es bei einer fachkundigen Organisation wie Ihrer doch nicht liegen, oder?

Selbst wenn die unterstellte Fachkompetenz im Datenschutz bei Ihnen doch nicht vorhanden ist und Sie über die Umsetzung der Urteile “noch nachdenken”, ist Ihr Handeln für mich nicht erklärbar. Gerade die Verwendung von US-amerikanischen Tools im hochsensiblen Bereich der Nutzerprofilbildung ist zutiefst unsensibel. Ihre Verschleierungstechniken sind eine Ohrfeige für jeden Bürger, dessen Steuermittel Sie verwenden. Die sofortige Abschaltung der Tools wäre ein geeigneter Schritt, jetzt verlorenes Vertrauen wieder aufzubauen.

Die Suche nach europäischen, DSGVO-konformen Anbietern sowohl im Tag-Management als auch im Tracking sollte Ihnen zudem leicht fallen, denn es gibt zahlreiche gleichwertige Alternativen, die unsere Gesetze nicht verletzen. Gleichzeitig stärken Sie damit nicht nur das Verbrauchervertrauen, sondern auch den Wirtschaftsstandort Europa.

Um die Sache zu beschleunigen und meine Ernsthaftigkeit zu unterstreichen, die Verstöße auf Ihrer Website zeitnah abzustellen, habe ich parallel die Aufsichtsbehörden informiert.

Über eine Stellungnahme zu Ihrem Handeln würden sich sicher alle Datenschutz-affinen Leser und ich mich sehr freuen.

Noch mehr freuen würde ich mich, wenn Sie endlich im Sinne des Gesetzes und der Verbraucher agieren und sich zukünftig Ihrem eigenen Grundsatz verschreiben: “Transparenz für Verbraucher”.

Ich bin jedenfalls sehr enttäuscht und mein Vertrauen in Ihre Organisation und sorgsame Verwendung meines Steuer-Beitrags ist nachhaltig erschüttert.

Mit freundlichen Grüßen

Christian Bennefeld

Insgesamt bin ich unglaublich irritiert, dass eine Institution, die uns Verbraucher mit Steuergeldern neutral informieren und schützen soll, nicht nur derart nachlässig im Datenschutz handelt. Sie bedient sich vielmehr sogar bewusst Verschleierungstechniken und US-Unternehmen, die aus Verbrauchersicht wohl kaum als legitim angesehen werden können – und die rechtlich sogar illegal sind.

Ist Datenschutz selbst bei Verbraucherschützern zwecklos?

[Update 09.11.2020, Lügen statt Transparenz]

Nachdem mich der Datenschutzbeauftragte der Stiftung Warentest am 29.10. mit den Worten “Eine substanzielle Antwort ist in Arbeit und wird Ihnen zeitnah zugestellt.” kontaktierte, war ich sehr gespannt auf die Stellungnahme.

Umso größer war die Enttäuschung als ich am 02.11. folgende wenig substantielle E-Mail von der Leiterin Kommunikation der Stiftung Warentest erhielt:

“Substantielle” Antwort der Stiftung Warentest

Die Antwort ist eine groteske Frechheit der Pressestelle, auf die ich mit folgender E-Mail geantwortet habe.

Offene E-Mail an die Presseabteilung

Sehr geehrte Frau [geschwärzt],
sehr geehrter Herr [Datenschutzbeauftragter],
vielen Dank für Ihre E-Mail.

Ihre Falschdarstellungen, peinlichen Schutzbehauptungen und linken Täuschungsmanöver empfinde ich nach den vorherigen Ohrfeigen nun als Schlag in die Magengrube eines jeden Verbrauchers. Ein mit unseren Steuermitteln finanzierter Schlag, wohlgemerkt. Ihr gesamtes Verhalten ist einer Verbraucherschutzorganisation schlicht absolut unwürdig.

Zu den Fakten:
Sie behaupten, Webanalyse „rein zu statistischen Analysezwecken“ zu nutzen. Dennoch bedienen Sie sich eines Dienstleisters, der damit wirbt, stets die „ganzheitliche Customer Journey“ eines Nutzers zu verfolgen und diese sogar über das Fernsehverhalten verknüpft: “Kein anderer Anbieter ist in der Lage, vollständige Analytics-Daten mit so präzisen TV-Daten zu verknüpfen – und das auch noch vollständig automatisiert.”

Die Customer Journey umfasst bekanntlich sämtliche Berührungspunkte eines Surfers mit Werbung und dessen exaktes Verhalten auf der Website. Das Nutzer-Verhalten wird dabei über einen langen Zeitraum verfolgt, denn im Kern der Aufzeichnung steht der Nutzer und dessen Klick-genaues Customer Journey Profil. Die technische Grundlage hierzu sind langlebige Cookies, die bei jedem Besuch verlängert werden, genau wie ich es auf test.de nachgewiesen habe.

Ich denke Ihnen ist klar, dass für eine “reine Statistik” weder Cookies noch eine lange Beobachtung des Nutzers notwendig sind? Warum also die grotesken Ausflüchte und falschen Schutzbehauptungen?

Unstrittig ist sicher, dass Webtrekk von Ihnen als Dienstleister beauftragt wurde. Juristisch handelt es sich mithin um einen Dritten. Genauso zählt Webtrekk auch auf der technischen Ebene unstrittig als Dritter. Denn wie die Routenverfolgung oben zeigt, werden die Besucherdaten an einen Server außerhalb der Sphäre der Stiftung Warentest gesendet. Dass Sie dem Nutzer dabei vorgaukeln, die Daten gingen nur zu Ihrer Domain, macht daraus kein First Party Tracking. Genauso grotesk wäre die Behauptung, ich sei ein Polizist, nur weil ich mich als ein solcher verkleide. Webtrekk ist eine dritte Partei, sowohl aus Ihrer wie auch aus Nutzersicht. Alles andere ist unrichtig und dient nur der Täuschung.

Ihre Aussage, es würde durch Adblocker zu „technischen Problemen führen“, ist ebenso schlicht eine dreiste Lüge. Fakt ist, dass das Blockieren der Domain images1.test.de keinerlei negative Auswirkungen für den Nutzer hat. Denn Ihr Domain-Cloaking hat einzig zum Ziel, die von Ihnen sogar selbst auf Wirksamkeit getesteten Tracker-Blocker zu umgehen.

Ihr Handeln ist ein klarer Täuschungs-Trick, den Verbraucher in grober Ignoranz seines Wunsches nicht getrackt zu werden, trotzdem zu tracken. Ist das wirklich Ihr Ansatz, den Verbraucherwunsch zu respektieren?

Ihr seit heute, 09.11.2020, auf test.de verwendetes Consent-Banner ist ein weiterer unglaublicher Versuch, uns Verbraucher in die Irre zu führen. Webtrekk wird hier jetzt als “wesentlich” deklariert und ist damit für den Nutzer gar nicht erst abwählbar. Fakt ist: Keine Statistik ist wesentlich für den Website-Betrieb und Ihre Aussage ist abermals eine klare Verbrauchertäuschung!

Abschließend darf ich als letzten Fakt festhalten, dass Sie durch die Verwendung des Google Tag Managers (GTM) meine personenbezogenen Daten in die USA ausleiten. Dabei kommt es nicht darauf an, ob die Daten durch den Empfänger gespeichert werden. Denn unstrittig ist, dass durch Ihren vorsätzlichen und jetzt als “wesentlich” deklarierten Einsatz des GTMs, meine IP-Adresse über in den USA beheimatete Router zu Google geführt wird. Hierdurch kann auf meine personenbezogenen Daten von US-Behörden im gleichen Maße zugegriffen werden wie durch Google selbst. Eine Profilbildung durch die US-Behörden ist damit ebenso möglich, zudem sich auch dynamische IP-Adressen bei Verbrauchern über viele Monate in der Regel nicht ändern. Durch Ihr Handeln habe ich einen völligen Kontrollverlust über meine personenbezogenen Daten beim Besuch Ihrer Website.

Auf Ihre Antwort nach der angesprochenen Prüfung des GTM-Sachverhalts bin ich sehr gespannt. Gerne warte ich bis zum 30.11.2020, damit Sie “substantiell” antworten und die Verstöße abschließend abstellen können. Bei einer Fortsetzung zwingen Sie mich, juristische Schritte einzuleiten. Hierzu verweise ich insbesondere auf mögliche Schadenersatzansprüche, wie sie im Übrigen die Berliner Datenschutzbeauftragte Frau Smoltczyk in ihrer Pressemitteilung bereits für diesen Fall skizziert hat.

Ich habe immer noch die Hoffnung, Ihr Schreiben ist ein Irrtum oder ein Missverständnis. Ein positiver Schritt für uns Verbraucher wäre eine umgehende Entschuldigung durch einen sachkundigen Verantwortlichen und die sofortige Einstellung Ihrer vorsätzlichen Verbrauchertäuschungen.

Zeigen Sie endlich Respekt vor den Verbrauchern, denen Sie doch dienen möchten!

Mit freundlichen Grüßen

Christian Bennefeld
test.de am 09.11.2020: “Wesentliche” Tracker ohne Abwahlmöglichkeit

Wir informieren Sie bei einer Aktualisierung per Web Push-Nachricht, die Sie am Fuß der Seite kostenfrei und Datenschutz-konform abonnieren können.