Kuketz-Analyse: Ebay Kleinanzeigen hat ein großes Datenschutzproblem
"Datenschutz ist dort nur Ramschware", schreibt Sicherheitsforscher Mike Kuketz auf Mastodon und verweist auf die Art und Weise, wie Ebay Kleinanzeigen, das zu Marktplaats B.V. gehörende Unternehmen, mit dem Datenschutz umgeht. Es ist bereits der dritte Teil einer Serie rund um Datenschutzverstöße beliebter Werkzeuge. Teil 1 behandelte den DB Navigator, was bereits in einer zusammen mit Digital Courage eingereichten Klage mündete (öffentliche 35 Seiten umfassende Klageschrift). Teil 2 nahm sich die App der Post und DHL vor und im dritten Teil geht es um das beliebte Kleinanzeigen-Portal, das mal zu Ebay gehörte.
Kuketz zeigt in seiner dritten Analyse im Detail, dass die App von Ebay Kleinanzeigen ebenfalls zu kritisierendes Verhalten aufzeigt. Noch ohne jede Nutzerinteraktion baut die App eine Verbindung zu Google Firebase auf, also direkt nach dem Start. Laut Kuketz sind bereits die ersten Kommunikationen zwischen App und der Gegenstelle ein Hinweis auf Nutzer-Tracking oder A/B-Testing.
Eindeutiger wird es erst später, wohlgemerkt noch immer ohne Interaktion mit der App. Über eine Verbindung zum Online-Marketing-Dienstleister Criteo ließt die App eine Google Advertising ID aus. Zusätzlich werden Gerätedaten erhoben und übermittelt, ohne das es ein Einverständnis der Kundschaft von Ebay Kleinanzeigen gibt.
342 Partner wollen eine Einwilligung
Erst später geht es dann zu den ersten Einwilligungen. Die Kleinanzeigen-App ist zwar keine Webseite, präsentiert dem Anwender aber trotzdem ein Cookie-Banner. Hier lässt sich das weitere Erheben von Daten einschränken. Die App macht es dem Nutzer aber schwer. Hinter den erweiterten Einstellungen zählt Kuketz eine Liste von 342 Dienstleistern und Partnern, durch die der informierte Nutzer sich scrollen sollte.
Immerhin, so würdigt es Kuketz, sind die 342 Schieberegler alle auf "Nein" gestellt. Das gilt allerdings nicht für alle Partner. Für manche ist dennoch ein explizites Opt-out notwendig, nachdem man sich durch die Einstellungen gearbeitet hat. Außerdem bleibt auch die Kommunikation mit Criteo weiterhin aktiv – trotz fehlender Zustimmung.
Doch es geht noch weiter. Bei einer Neuanmeldung bei Ebay Kleinanzeigen muss das Prozedere noch einmal wiederholt werden, so Kuketz. Während des Tests wurden die Einstellungen nicht gespeichert. Des Weiteren muss der Datenübermittlung zur Google Firebase Crashlystics über ein weiteres Extramenü in der App widersprochen werden. Übermittlungen der Suchhistorie an weitere Dienstleister runden das Ganze ab.
Dies passiert wohlgemerkt, wenn sich der Nutzer bewusst gegen alles entscheidet. Was passiert, wenn Ebay Kleinanzeigen die volle Zustimmung bekommt, hat Kuketz nicht untersucht.
Rechtliche Bewertung fällt kritisch aus
In einer rechtlichen Bewertung durch den Rechtsanwalt für IT, Datenschutz, Marken- und Wettbewerbsrecht Peter Hense (Spirit Legal), heißt es unter anderem: "Ob Criteo oder Google, die App von eBay Kleinanzeigen öffnet Tür und Tor für jeden, der seine Nase in die Nutzer:innendaten stecken will, nur eben ohne Einwilligung." Kritisiert wird zudem unter anderem die Art des Cookie-Banners, das als "gezielte Irreführung" eingestuft wird:
"Nicht weniger als 342 "Partner" […] werden aufgelistet, doch angesichts der defizitären Gestaltung der Einwilligungserklärung ("Cookie-Banner"), der es an jeglicher Informiertheit mangelt, kann, ob mit oder ohne unzulässige Voreinstellung oder andere Designtricks, in keinem Fall wirksam eine Einwilligung erteilt werden.", heißt es in der Analyse.
Eine Teilschuld gibt die Analyse auch den Behörden. Die Situation haben "beißgehemmte Datenschutzbehörden viel zu lange […] blühen lassen" und in der Analyse fragt man sich, wofür es eigentlich Aufsichts- und Strafverfolgungsbehörden gibt.
Das Fazit fällt dementsprechend schon im ersten Satz kritisch aus: "Die Datenverarbeitungen, die von eBay Kleinanzeigen als Betreiberin der App verantwortet werden, stehen im krassen Widerspruch zu allen rechtlichen Regelungen, die das deutsche und europäische Datenschutzrecht seit Jahrzehnten ausmachen." Rechtswidrige Datenschutzverarbeitungen sind Teil des Geschäftsmodells von Ebay Kleinanzeigen, so der Vorwurf durch die Analyse.
Wer dennoch Ebay Kleinanzeigen nutzen will, für den hat Mike Kuketz noch eine Liste von Tipps zusammengestellt, um für etwas Datensparsamkeit zu sorgen. Die Datenschutzproblematik ist übrigens nicht die einzige Schwierigkeit. In der Vergangenheit hatte Ebay Kleinanzeigen auch mit betrügerischen Werbemitteln zu kämpfen, wie Channelpartner zuvor entdeckte.