„Kaufhaus Österreich“ – Viele Tracker & Cookies auch ohne Zustimmung

„kaufhaus-oesterreich.at“ eineDatenfalle?

Etwas ernüchternd war unser erster Besuch auf der österreichischen Meta-Plattform (Keine Suche sondern eher ausgewählte verlinkte Onlineshops), denn diese Seite lädt Tracker und Cookies bereits VOR einer Zustimmung dazu.

Kaufhaus Österreich Tracker überwachen wofür Du dich interessierst.
Kaufhaus Österreich Tracker überwachen wofür Du dich interessierst.

Update vom 03.12.2020 / Tracker nach unserer Beschwerde entfernt!

Wir haben noch keine Antwort von den Datenschutzbeauftragen der Webseite erhalten. Mit dem Stand heute hat sich aber etwas getan und die verwendeten Tracker sind nun auf der Seite nicht mehr verfügbar.

Unsere Datenschutzbeschwerde (Im folgenden auch im ganzen Wortlaut zu finden) hat offenbar aber eine Wirkung gezeigt und die Verantwortlichen haben sich offensichtlich entscheiden die Tracker, welche Daten an US Unternehmen geben von der Seite zu entfernen.

Kaufhaus Österreich Update am 03.12.2020
Kaufhaus Österreich Update am 03.12.2020

Also wird die Webseite öffnet, dem werden bereits Cookies von Google und anderen Werbeplattformen im Browser geladen. Das hier eine Zustimmung abgefragt wird hat eher nur einen formellen Charakter, denn auch wenn man hier nicht zustimmt, werden die eigenen Aktivitäten als auch die verwendete IP-Adresse bereits aufgenommen.

In dem Fenster zur Zustimmung heisst es:

Kaufhaus Österreich Cookie Zustimmung
Kaufhaus Österreich Cookie Zustimmung

Cookies erleichtern die Bereitstellung unseres Angebotes. Hierzu werden auf dieser Website Cookies verwendet, um Ihnen die bestmögliche Nutzererfahrung unserer Website zu gewährleisten. Wenn Sie den Einsatz von Cookies akzeptieren, dann gilt diese Wahl bis zu Ihrem Widerruf (bspw. durch Löschen von Cookies in den Browsereinstellungen) für diese Website. Mehr erfahren Sie in unserer Datenschutzinformation

OHNE Zustimmung werden die Tracker dennoch geladen!

Zustimmung nicht erforderlich, Tracker werden dennoch geladen, das ist eigentlich inakzeptabel.

Ob man hier aber seine Zustimmung gibt oder nicht macht praktisch keinen Unterschied aus. Wir konnten bereits mehr als 21 verschiedene Tracker die geladen wurden ausmachen. Darunter vorwiegend auch die Tracker von Google, welche bekannt dafür sind, dass diese die umfangreichsten Profile über Nutzer erstellen können.

Daten gehen nach Übersee

Die Daten der Nutzer gehen dabei in die USA und werden dort verarbeitet. Wie aber auch bereits bekannt ist, benötigt es dafür eine entsprechende Zustimmung der Nutzer. Die Datenschutzrechte haben an der Außengrenze der EU leider keine Wirkung mehr, wie ja auch die Initiative von NOYB erst kürzlich aufgezeigt hat. Das das SafeHarbour Abkommen zwischen der EU und den USA daher gekippt wurde, sollten auch die Entwickler der Webseite bereits mitbekommen haben.

Warum setzt man hier eigentlich nicht auf österreichische Partner für Statistiken, sondern vertraut hier den US Firmen?


Unvollständige Datenschutzerklärung

In keinem Wort wird in der Datenschutzerklärung erwähnt, dass ebenso Daten von Drittfirmen erhoben werden.  Wir haben dazu beim Datenschutzbeauftragten bereits angeschrieben und um Aufklärung gebeten.

II. Allgemeines zur Datenverarbeitung

Für uns hat ein verantwortungsbewusster Umgang mit personenbezogenen Daten hohe Priorität. Wir haben dabei technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass die Vorschriften über den Datenschutz sowohl von uns als auch von allfälligen externen Dienstleistern beachtet werden. Allgemein werden allfällige personenbezogenen Daten unserseits gelöscht oder gesperrt, sobald der Zweck der Speicherung und Verarbeitung entfällt, vorausgesetzt, dass für die längere Aufbe-wahrung nicht eine gesetzliche Verpflichtung angeführt werden kann, oder noch Rechtsansprüche bestehen, die gegen uns gel-tend gemacht werden können und eine Aufbewahrung erfordern.

Antwort: Dies trifft leider aber nicht auf die Partner zu, denen die Webseite Zugriff auf die Daten gewährt. Google, Doubleclick und andere Werbepartner erhalten Zugriff und speichern diese Daten dauerhaft.

Wir speichern Ihre Daten wie folgt:

Personenbezogene Daten: Log Einträge werden nach 6 Monaten gelöscht.

Weitere Daten werden bis zum Widerruf der Einwilligung zum Versand von Veranstaltungsinformationen aufbewahrt. Ihre E-Mail-Adresse wird gelöscht, sobald Sie die Erlaubnis zur Verwendung Ihrer Daten zur Zusendung von E-Mailings widerrufen haben.

Unsere Anmerkung: Diese Datenspeicherung bezieht sich eventuell auf die Webseite selbst, nicht aber auf die Datenspeicherung von Google, YouTube und anderen Firmen deren Tracker auf der Webseite eingebaut sind.

6. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Unsere Anmerkung: Da die Einwilligung der Webseite ohnehin keine Voraussetzung ist, ist die Frage ob man gegen eine nicht getroffene Einwilligung auch Beschwerde einreichen kann?

V. Cookies

Cookies sind kleine Textdateien, die lokal im Zwischenspeicher des Internet-Browsers auf Ihrem Computer gespeichert werden, wenn Sie unsere Webseite besuchen. Die Cookies ermöglichen die Wiedererkennung des Internet-Browsers.
Sie können den Einsatz und den Umfang von Cookies durch Ihre Computereinstellung selbst bestimmen. Sie können Ihren Computer so einstellen, dass Sie jedes Mal gewarnt werden, wenn ein Cookie übertragen wird, oder alle Cookies deaktivieren. Das Löschen oder das Blockieren der Cookies kann allerdings dazu führen, dass Ihnen einzelne Funktionen dieser Website nicht mehr zur Verfügung stehen. Im Hilfe-Menü Ihres Browsers erfahren Sie, wie Sie Ihre Cookies richtig verändern oder aktualisieren.

Unsere Anmerkung: Cookies werden aber auch von Drittfirmen platziert wie Google. YouTube. Doubleclick und anderen. Diese sind davon jedoch ausgenommen, denn dort hat man diese Rechte nicht.

 

Unsere Anfrage an den Datenschutzbeauftragen der Webseite:

Wir haben am 01.12.2020 um 10h die folgende Nachricht an die im Impressum angegebene Adresse: datenschutz@bmdw.gv.at gesendet. Bis dato haben wir auf unsere Fragen aber noch keinerlei Antworten erhalten.  Wir veröffentlichen hier aber unsere Fragestellungen und sind gespannt, ob wir dazu eine Erklärung erhalten werden.

Kosten von fast 700.00 Euro aber kein technischer Datenschutz?

Mittlerweile stellte sich laut Medienberichten auch heraus, dass die Webseite mehr als 670.000 Euro gekostet hat. Das ist eine Menge geld für eine Webseite die die Mindeststandards des Datenschutzes nicht berücksichtigt.


Guten Tag.

Ich bin für eine unabhängige internationale Datenschutzorganisation tätig, die sich auch darum bemüht das Thema „Datenschutz im Internet“ anderen Personen näher zu bringen und aufzuklären.

Ich bin aber auch Österreicher und damit als Nutzer Ihrer Webseite kaufhaus-oesterreich.at selbst Betroffener. In diesem Sinne wende ich mich an sie mit der Bitte zur Beantwortung einiger datenschutzrechtlicher Fragen zu Ihrem Webauftritt „kaufhaus-oesterreich.at“.

Ich haben mir heute die Webseite kaufhaus-oesterreich.at angesehen.

Dabei ist uns aufgefallen, dass auch ohne Zustimmung zur Datenerhebung, eine nicht unerhebliche Anzahl an Trackern auf der Webseite geladen werden.
Unter anderem sind Tracker zur Datenerfassung von Google, YouTube, ggpht.com, doubleclick.net und einigen anderen Firmen auf ihrer Webseite eingebunden. Für den normalen Besucher der Webseite st dies nicht sichtbar, weshalb die DSGVO es auch regelt, dass die Nutzer entsprechende Widerspruchsrechte und Informationsrechte darüber erhalten haben.

Diese Tracker werden im Browser der Nutzer geladen jedoch NOCH BEVOR diese der weiteren Datenübermittlung zugestimmt haben. Darüber werden weitere Datensätze erhoben und es ist nicht klar, wie Nutzer nun dies erkennen sollten. Ebenso ist nicht klar, wie betroffene Nutzer nun Ihre rechte wahren können und Einsicht in die erhobenen Daten erhalten oder auch deren Löschung beantragen können. Ein durch den Besucher bewusste „NICHT-Zustimmung“ hat allerdings auch keinerlei Auswirkungen auf die verwendeten Tracker und deren Datensammlung.

Ein Blick in die Datenschutz Angaben auf Ihrer Webseite (https://www.kaufhaus-oesterreich.at/datenschutz.html) zeigt, dass es ausserdem keinen Hinweis darauf gibt. Das bedeutet, dass sie zwar auf Ihrer Webseite und für Besucher unsichtbar Daten an dritte Parteien weitergeben lassen, dies jedoch nicht in den Datenschutzhinweisen erwähnen. Diese Vorgangsweise erscheint mir ehrlich gesagt unseriös und verstößt auch wegen der fehlenden Angaben gegen geltende DSGVO Bestimmungen, welche eine Information und Zustimmung der Nutzer erforderlich machen.

Es werden zudem durch diese eingebundenen Tracker und Unternehmen, Daten erhoben, die nicht zur Erfüllung oder „zur Verfügung-Stellung“ der Webseite notwendig sind. Diesbezüglich findest sich keinerlei Hinweis auf Ihrer Webseite und auch der Zweck der Datensammlung ist für Webseitenbesucher daher völlig unklar.

In meinem professionellen Verständnis sind hier daher einige Dinge, die klar geltende Rechte der Besucher ignorieren:
Sie wären aber verpflichtet diese wesentlichen Informationen den Nutzern noch VOR einer Übermittlung der Daten an Dritte anzuzeigen und deren Zustimmung auch entsprechend vorauszusetzen. Zumindest müsste in den Datenschutzklärungen dieser Umstand beschrieben werden. Keiner dieser Umstände wurde berücksichtigt.

Ich möchte aber gerne ein Beispiel geben, damit dieser Umstand leichter nachvollziehbar ist:

Als neuer Besucher Ihrer Webseite erhalte ich die eingeblendete Meldung über Cookies. Da ich ungern Daten an Google oder andere Firmen die meine Aktivitäten erforschen weitergeben will, lese ich mir aber die Datenschutzerklärung noch vor einer Zustimmung zur Datenweitergabe. In diesem Fall werden aber bereits diese Vorgänge mit zumindest drei anderer Firmen geteilt werden. Eine nicht gegebene Zustimmung dazu bewirkt keinerlei Einschränkungen der Datensammlung oder Datenweitergabe an Dritte. Da in den Datenschutzhinweisen auf Ihrer Seite aber darüber auch kein Wort nachzulesen ist, werde ich auch nicht erfahren, an wem Daten gegeben wurden und weshalb. Das behindert mich bei der Beantragung der Löschung der Daten und ist ebenfalls in die Irre führend, denn die Daten werden bereits erhoben obwohl ich ausdrücklich keine Zustimmung dazu gegeben habe.

Mich würde daher, auch als Betroffener, interessieren, wie Ihre Argumentation zum Datenschutz auf der Webseite „www.kaufhaus-oesterreich.at“ ist.

Dazu darf ich sie um die Beantwortung der folgenden Fragen bitten:

  • Weshalb werden Daten der Besucher mit dritten unbeteiligten Unternehmen geteilt? (Über Einbindung von Trackern auf der Webseite)
  • Weshalb werden Daten mit Dritten geteilt OHNE dass eine Zustimmung der Besucher dazu erteilt wird?
  • Weshalb hat eine ausdrückliche „NICHT Zustimmung“ durch die Besucher keinerlei Auswirkungen auf das Laden von Trackern auf Ihrer Webseite?
  • Weshalb wird diese(r) Umstand/Umstände zur Datensammlung durch Dritte nicht in den Datenschutzhinweisen (https://www.kaufhaus-oesterreich.at/datenschutz.html) erklärt?
  • Wie können Nutzer nun einer Datensammlung durch dritte Parteien, bei der Verwendung Ihrer Webseite widersprechen? (Eine NICHT getroffene Zustimmung bewirkt offensichtlich keinerlei einschränkende Änderungen)
  • Warum werden Daten durch Dritte erhoben, gesammelt und verarbeitet, welche nicht „zur Verfügung Stellung der Webseite“ notwendig sind?
  • Zu welchem Zweck werden diese Daten erhoben, gesammelt und verarbeitet?
    Welche Daten werden durch die von Ihnen eingebundenen Firmen genau erhoben?
  • Sind dabei Profilerstellungen durch diese Firmen der Besucher Ihrer Webseite möglich? Und haben diese gesammelten Daten oder erstellten Profile einen datenschutzrechtlichen Einfluss auf betroffene Personen heute oder in Zukunft?
  • Werden die Besucher Ihrer Ansicht nach darüber ausreichend informiert, dass Daten die erhoben und mit Dritten geteilt werden?
  • Wie können Betroffene einen Einblick über die durch Dritte erhobenen Daten erhalten oder deren Löschung erwirken?
  • Mit wem teilen diese eingebundenen Unternehmen die durch den besuch ihrer Webseite erhobenen personenbezogenen Daten?
  • Werden diese Daten ausschließlich innerhalb der EU gespeichert und verarbeitet oder auch in Dritt-Staaten, die sich ausserhalb des Einflussbereiches der Europäischen Datenschutzgesetze befinden?
  • Weshalb findet sich kein Hinweis über die Datenerhebungen von Besuchern, welche für die Betroffenen unmerkbar erfolgt?
  • Weshalb befindet sich keine Widerspruchsmöglichkeit zur Datenweitergabe auf ihrer Webseite?
    Verfügen sie über einen Datenschutzbeauftragen, der die Rechte der Besucher und die Datensammlung abgewogen hat und sich um die Umsetzung entsprechender DSGVO konformer Zustimmungen und Hinweise bemüht?
  • Wer ist/sind diese Person(en)?
  • Gibt es von dieser Person/Personen eine für Betroffene nachvollziehbare Begründung, festgehalten in einem Protokoll, weshalb die eingebauten Tracker und die fehlenden Widerspruchsmöglichketen usw im Sinne der DSGVO und andere europäischer Datenschutzverordnungen für die Besucher als Zumutbar gelten?
    Falls es darüber Aufzeichnungen gibt, die eine Abwägung der datenschutzrechtlichen Bedenken aufzeigen, könnten sie mir die im Vorfeld erstellten Protokolle über die Überlegungen zum Datenschutz zur Verfügung stellen?Ich danke für Ihre Aufmerksamkeit und würde mich freuen, wenn ich dazu eine baldige Antwort dazu erhalten könnte.
    Ich möchte sie ausserdem darüber informieren, dass ich erhaltene Informationen eventuell auch nach geltenden journalistischen Standards aufbereiten und veröffentlichen werde.Mit freundlichen Grüßen

 


Erstellt am: 2. Dezember 2020

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.