Datentracking bei Wish

Daniel Baur (Juni 2018)

Dieser Blogpost wurde im Rahmen des Seminars Critical Data Studies an der TUM im Sommersemester 2018 verfaßt. Der Post gibt einen Ausblick auf die Seminararbeit.

Wish – Was ist das denn?

Wer kennt das nicht: Man ist auf der Suche nach einem neuen Stück Kleidung und findet etwas, das genau den eigenen Vorstellungen entspricht: Gut aussehend, elegant und...oh, es kostet ein halbes Vermögen. Zurück ins Regal damit.

Wie für die meisten Alltagsprobleme, die den modernen Menschen plagen, gibt es allerdings auch hierfür inzwischen im Internet eine Lösung: Wish. Wish ist eine Onlineplattform, die dem Kunden verspricht auf ihn persönlich zugeschnittene Angebote zu absoluten Spottpreisen zu finden. Von Wollsocken bis zur Luxusuhr ist hier alles vertreten.

Möglich wird dies laut der Privacy Policy von Wish durch das Sammeln von persönlichen Daten der Nutzer: Diese umfassen Daten, die bei der Anmeldung eigenständig bereitgestellt werden, automatisch gesammelte Daten wie IP Adresse und Geräteidentifikatoren sowie statistische Daten, die man von Drittanbietern erhalten könne. Diese Daten können natürlich auch aufgrund diverser Umstände an verschiedenste Dritte weitergegeben werden.¹

Mein Ziel ist es nun den tatsächlichen Datenfluss sowie die diversen Tracker auf der Website von Wish zu untersuchen und dann mit ihrer Privacy Policy zu vergleichen. Zu diesem Zweck verwende ich die Tools Ghostery² und Lightbeam³, welche es mir möglich machen, Tracker aufzulisten und ihre Verbindungen zu visualisieren, wobei Ghostery außerdem noch weiterführende Links zu detaillierteren Profilen der einzelnen Tracker bietet.

Anmeldeverfahren und Trackerverhalten vor der Erstanmeldung

Den Beginn meiner Untersuchung markiert natürlich zuerst einmal die Erstellung eines Accounts. Ghostery meldet hier schon vor der Accounterstellung 8 Tracker, aufgeteilt in 1 Social Media Tracker, 2 Website-Analytics Tracker und 5 Werbetracker. All diese Tracker gehören entweder zum Google Display Network oder zu Facebook und greifen hauptsächlich anonyme oder pseudonyme Informationen ab, also zum Beispiel Browsertyp, Zeit und Datum, IP-Adressen und Suchverlauf⁴. Lightbeam wiederum gibt an, dass Wish den User bei der Erstverbindung mit 11 Third-Party-Sites in Verbindung bringt, wobei 3 davon allerdings Google APIs sind, welche anscheinend für die Visualisierung und Performance der Website verwendet werden und daher für unser Thema keine Rolle spielen. Zu sehen ist die Lightbeam-Darstellung in Abbildung 1.

Abbildung 1: Screenshot Lightbeam-Visualisierung von Wish.com

Die Accounterstellung selbst ist sehr geradlinig; man kann entweder einen bereits vorhandenen Google Plus- oder Facebook-Account verwenden oder sich per Mail neu registrieren.

Mangels Gplus-Account habe ich zum Vergleich je einen Account via Facebook und via Mail erstellt. Viele Einstellungsmöglichkeiten gibt es in beiden Fällen nicht, man kann lediglich bei Facebook entscheiden, ob man Wish zusätzlich zum öffentlichen Profil auch Zugang zur privaten Mail bekommt, bzw. ob andere User sehen sollen, dass man den Service verwende.

Des weiteren lassen sich unter den Kontoeinstellungen noch einstellen, ob und welche Informationen man per Mail zugeschickt bekommen möchte.

Trackerverhalten bei der Warensuche

Nach der erstmaligen Anmeldung ändert sich die Anzahl der Tracker zuerst einmal weder bei Ghostery, noch bei Lightbeam. Sobald man eines der zahlreichen auf der Hauptseite zum Angebot stehenden Produkte auswählt, erhöht sich die Anzahl der erkannten Tracker bei Ghostery und bei Lightbeam auf 38, wobei der größte Teil davon in die Kategorie Werbung fällt (zu sehen in Abbildung 2).

Abbildung 2 – Screenshot Ghostery Analyse von Wish.com

Hat man zuvor die Benachrichtigungen deaktiviert, steigt die Anzahl der Tracker zwar auch rapide, allerdings nur auf die etwas kleinere Zahl von 29.

Die Daten die hier gesammelt werden, umfassen neben den bereits vorher erwähnten anonymen und pseudonymen Informationen nun auch persönliche Daten, wie Name, Adresse, Logindaten und finanzielle Informationen. In den meisten Fällen werden diese Daten laut Ghostery von den Drittanbietern auch noch einmal an weitere Dritte weitergereicht⁵. Angaben, wie lange die einzelnen Drittanbieter sensitive Informationen aufbewahren, findet sich hierbei leider kaum. Nur bei einigen wenigen der 38 Tracker ist eine konkrete Zeitspanne von 12-18 Monaten bzw. 4-5 Jahren angegeben, bei den meisten findet sich allerdings gar keine Information, oder nur die, dass man die Daten so lange behalte, wie es notwendig sei um Geschäfte abzuschließen oder wie es das Gesetz vorschreibt.⁶ Welche Geschäft genau hierbei gemeint sind, bleibt offen.

Full Disclosure: Für den Blogpost habe ich noch nicht alle 38 Tracker einzeln überprüft.

Vergleich Privacy Policy

Mit der Privacy Policy von Wish steht dies nicht in Konflikt: ContextLogic führt wie bereits erwähnt auf, dass all diese Daten im Rahmen von Analyse- und Werbezwecken an Dritte weitergegeben werden können. Was diese Drittanbieter dann mit diesen Daten machen, sei laut ContextLogic in deren eigenen Privacy Policies niedergeschrieben, welche sich unter Umständen von denen von Wish unterscheiden können⁷. Dies wiederum bedeutet natürlich auch, dass ContextLogic letzten Endes jegliche Verantwortung, was die vom Nutzer angegebenen Daten angeht, von sich weist.

Alles in allem muss ich bei meiner bisherigen Recherche anmerken, dass mir bisher keine Diskrepanzen zwischen der Privacy Policy und der tatsächlichen Implementierung auf der Website aufgefallen sind. ContextLogic weißt sehr offen und ausführlich darauf hin, welche Daten sie abgreifen und für welche Zwecke diese Daten weiterverwertet werden.

Ausblick

Für meine Seminararbeit werde ich noch überprüfen, welche Auswirkungen trackerblockende Software bei der Nutzung von Wish hat und welche Einflüsse dies auf die Funktionsweise (z.B. Ladegeschwindigkeit) der Seite hat. Des weiteren werde ich die Privacy Policy vor und nach Inkrafttreten der DSGVO untersuchen und möglicherweise (im kleineren Rahmen) auf die moralischen und ökonomischen Auswirkungen des Datentrackings eingehen.

Über den Autor

Daniel Baur studiert momentan an der TU München im 4. Semester Bachelor Informatik.

1. vgl. ContextLogic: ContextLogic Privacy Policy (25.05.2018), URL: https://www.wish.com/privacy_policy (Stand 03.06.2018)
2. vgl. Chrome Web Store: Ghostery (01.06.2018), URL: https://chrome.google.com/webstore/detail/ghostery-%E2%80%93-privacy-ad-blo/mlomiejdfkolichcflejclcbmpeaniij?hl=de (Stand 03.06.2018)
3. vgl. Firefox-Addons: Lightbeam (17.02.2018), URL: https://addons.mozilla.org/de/firefox/addon/lightbeam/ (Stand 03.06.2018)
4. vgl. Ghostery: DoubleClick, URL: https://apps.ghostery.com/de/apps/doubleclick (Stand 03.06.2018)

vgl. Ghostery: Google AdWords Conversion, URL: https://apps.ghostery.com/de/apps/google_adwords_conversion (Stand 03.06.2018)

vgl. Ghostery: Facebook Social Graph, URL: https://apps.ghostery.com/de/apps/facebook_social_graph (Stand 03.06.2018)

5. vgl. ContextLogic: ContextLogic Privacy Policy (25.05.2018), URL: https://www.wish.com/privacy_policy (Stand 03.06.2018)

6. vgl. Ghostery: Criteo, URL: https://apps.ghostery.com/de/apps/criteo (Stand 03.06.2018)

vgl. Ghostery: Yahoo Ad Exchange, URL: https://apps.ghostery.com/de/apps/yahoo_ad_exchange (Stand 03.06.2018) vgl. Ghostery: Rubicon, URL: https://apps.ghostery.com/de/apps/rubicon (Stand 03.06.2018)

vgl. Ghostery: DoubleClick, URL: https://apps.ghostery.com/de/apps/doubleclick (Stand 03.06.2018)

vgl. Ghostery: OpenX, URL: https://apps.ghostery.com/de/apps/openx (Stand 03.06.2018)

vgl. Ghostery: AppNexus, URL: https://apps.ghostery.com/de/apps/appnexus (Stand 03.06.2018)

7. vgl. ContextLogic: ContextLogic Privacy Policy (25.05.2018), URL: https://www.wish.com/privacy_policy (Stand 03.06.2018)