Es hat lange gedauert, bis sich die Bildungsdirektion OÖ bezüglich des Trackings aller LuL. beim Versand ihrer Infomail wieder gemeldet hat.
Die Bidi behauptet, sie hätten das Tracking jetzt abgestellt. Die entsprechende E-Mail liegt vor.
Diese Info bestätigt also einmal mehr, dass die Bildungsdirektion alle LuL., die die Informail erhalten, definitiv getrackt und somit überwacht hat. Darüber haben wir auch schon berichtet:
https://linux-bildung.at/2024/05/bidi-ooe-trackt-lul-teil-2/
https://linux-bildung.at/2024/04/bidi-ooe-trackt-lul-bei-infomail-versand/
Ich möchte hier noch einmal erläutern, wie das Tracking technisch genau funktioniert und warum es nach wie vor nicht abgestellt wurde, wie behauptet. Wenn ich die Infomail z.B. in Thunderbird öffne, meldet dieser, dass noch ein paar Daten von externen Webseiten geladen werden müssen. Standardmäßig ist in meinem Mailprogramm, das Herunterladen von Daten aus externen Quellen ausgeschaltet. Daher auch der entsprechende Hinweis mit gelben Hintergrund.
Thunderbird möchte die Daten von https://88pq0.r.sp1-brevo.net und https://88pq0.img.sp1-brevo.net herunterladen.
Das ist per se noch nicht unbedingt das große Problem. Wir müssen daher die E-Mail noch etwas genauer analysieren. Um herauszufinden was dieses E-Mail von fremden Servern herunterladen möchte, müssen wir uns dessen Quelltext ansehen. So wie jede Webseite, besteht auch diese E-Mail aus HTML-Code. Diesen schauen wir uns genauer an und versuchen dort die Verweise auf brevo.net zu finden.
Der Quelltext ist relativ lange und enthält für den Laien viele unverständliche Teile. Der erste Teil enthält diverse Informationen bezüglich Sender/Empfänger/Spam/Dkim, etc. Dieser Abschnitt ist für uns nicht relevant.
Teil zwei beginnt mit dem Abschnitt „Content-Transfer-Encoding: quoted-printable Content-Type: text/plain; charset=UTF-8„. Das ist jener Abschnitt, der dann angezeigt wird, wenn das verwendete Mailprogramm z.B.: keine HTML unterstützt. Trifft aber auf die meisten Mailprogramme nicht mehr zu, aber man kann z.B. im Thunderbird die Ansicht von HTML auf Text umschalten, dann wird eben dieser Teil angezeigt. Bringt aber in Wahrheit nur einen optischen Unterschied, trackt also auch.
Teil drei beginnt ebenfalls mit so einem Abschnitt „Content-Transfer-Encoding: quoted-printable„
Content-Type: text/html; charset=UTF-8„
Hier ein Ausschnitt davon:
Aus diesem Abschnitt suchen wir jetzt nach https://88pq0.r.sp1-brevo.net sowie https://88pq0.img.sp1-brevo.net
Für dir Adresse https://88pq0.img.sp1-brevo.net finden sich mehrere Einträge in diesem Abschnitt. Hier ein paar Auszüge:
<img src="https://88pq0.img.sp1-brevo.net/im/sh/UGsnZt7XON-d.jpg?u=WtVElij8PJZGcrwIOaXpc9O13ZU5SIrc"
img src="https://88pq0.img.sp1-brevo.net/im/sh/qsETAE0oMAXq.jpg?uWt
VElij8PJZGdmbinRKXnziXBEFjPmHk"
<img src="https://88pq0.img.sp1-brevo.net/im/sh/hrnL8wzix_rs.png?u=WtVElij8PJZGeEwQzrittusnF3dYOVzo"
<img src="https://88pq0.img.sp1-brevo.net/im/sh/dUeWJ9hpIkwU.jpg?u=WtVElij8PJZGf9brOiVc5lDJMiPCLzPw"
<img src="https://88pq0.img.sp1-brevo.net/im/sh/Dp5X1M121Gzu.png?u=WtVElij8PJZGfbwZb8tyBgNZQXn1Kj80"
Es handelt sich um diverse Bilder, die in der E-Mail angezeigt werden. Bilder in HTML-Dateien haben meist die Endung .png oder .jpg. Das ist auch hier der Fall, nur folgt jedem Bild ein ? und u=.
Das Fragezeichen dient hier als Trennzeichen zwischen dem Pfad und den Parametern. Das heißt, man kann die Bilder auch ohne diesen Parameter u herunterladen. Somit würde die Anfrage an den Server auch so reichen: <img src=“https://88pq0.img.sp1-brevo.net/im/sh/Dp5X1M121Gzu.png“. Wenn sie auf diesen Link hier klicken, sehen sie auch, dass das funktioniert:
https://88pq0.img.sp1-brevo.net/im/sh/Dp5X1M121Gzu.png
Und hier kommen wir zum ersten Problem. Der Parameter u= identifizert einen Leser/Leserin der E-Mail eindeutig. Brevo speichert diese Information und stellt diese dann der Bildungsdirektion zur Verfügung. Um jetzt sicher zu sein, dass die Links für alle LuL. unterschiedlich sind, habe ich die gleiche E-Mail anderer Kolleg:innen analysiert. Die Links sind unterschiedlich und lassen somit Rückschlüsse auf einzelne Leser:innen zu.
Link zum Bild aus der Mail, die ich erhalten habe:
…/im/sh/UGsnZt7XON-d.jpg?u=WtVElij8PJZGcrwIOaXpc9O13ZU5SIrc
Link zum Bild aus der gleichen Mail, die ein Kollege:in erhalten hat:
…/im/sh/UGsnZt7XON-d.jpg?u=WtVElij8PJZGcrwGlYHJy1SV0DpDjVEC
Passend dazu ein Zitat von der Brevo-Homepage
Sobald dieses Bild beim Öffner angezeigt und damit von einem der Server abgerufen wird, kann nachvollzogen werden, wer das Bild wann und von wo abgerufen hat. Diese Informationen werden gespeichert und zu einer eindeutige Öffnungsrate (unique open rate) aggregiert.
https://www.brevo.com/de/blog/email-tracking
Somit wäre der Beweis erbracht, dass die Bidi OÖ das Lesen der LuL. tracken kann, sobald die Bilder geladen werden. Noch sind wir aber mit der Analyse nicht fertig. Es gibt noch eine weitere Adresse, die näher untersucht werden muss.
Bei folgendem Link handelt es sich ebenfalls um ein Bild, genau genommen um ein sogenanntes gif mit der Größe 1×1 Pixel, auch Trackingpixel genannt: https://88pq0.r.sp1-brevo.net/mk/op/sh/1t6AVse4sR7ZnRr8z9oJU9rGQIMK4y/I25XHOwTtaLk
Auch dazu gibt es einen weitere Informationen auf der Brevo Homepage
Das bedeutet, dass bei der Öffnung der E-Mail eine Art „Rückkanal“ zwischen Empfänger:in und E-Mail Marketing Software aufgebaut werden muss, damit diese Öffnung registriert und gespeichert werden kann.
E-Mail Tools wie Brevo integrieren dafür in jede E-Mail ein Bild – das sogenannte Tracking Pixel. Dieses Bild ist sehr klein (ca. 1 x 1 Pixel) und zudem auch noch transparent, sodass Empfänger:innen es nicht sehen können.
https://www.brevo.com/de/blog/email-tracking
Als nächstes schauen wir uns einen der ersten Links in der Infomail vom 16/2024 an. Im News Bereich handelt der erste Teil von „Nebenjob,…“ und am Ende findet sich unter „Nähere Informationen“ folgender Link:
Bei mir sieht der Link so aus:
https://88pq0.r.sp1-brevo.net/mk/cl/f/sh/1t6Af4OiGsDg0mBDiuPXwE6TTw47GO/JjgIgOLEYBT8
In der gleichen E-Mail eines Kollegen:
https://88pq0.r.sp1-brevo.net/mk/cl/f/sh/1t6Af4OiGsDg0noFzQ3frk9p8nmuto/JjgIgOLEYBT8
Die fast identen Links machen das Tracken erneut möglich, sobald dieser geöffnet wird.
Der Link öffnet eine Seite des Landes Oberösterreichs, jedoch mit dem Umweg über brevo.net. Nur so bekommt brevo.net mit, welche/r Lehrer:in wann den Link klickt. Bei brevo.net heißt es wörtlich:
Wenn Empfänger:innen des Newsletters nun auf diesen Link klicken, gelangen sie für den Bruchteil einer Sekunde auf eine Seite des von dir verwendeten E-Mail Tools, zum Beispiel Brevo, und werden dann sofort umgeleitet auf www.example.org. In der kurzen Zeit, in der die Empfänger:innen auf der Brevo-Seite sind, kann gespeichert werden, auf welchen Link geklickt wurde (www.example.org), wann geklickt wurde und wer geklickt hat.
https://www.brevo.com/de/blog/email-tracking/
Somit wissen wir, dass nicht nur das Lesen der E-Mail getrackt wird, sondern es wird auch nachverfolgt, wer wann auf welchen Link klickt.
Brevo erfasst aber noch weitere Dinge
Beim Abruf dieses Pixels vom Server übermittelt der abrufende E-Mail Client (z.B. Outlook oder Thunderbird) die aktuelle IP-Adresse der Empfänger:innen. Die IP-Adresse wird dabei mit einer weltweit umfassenden IP-Geo-Datenbank abgeglichen. Dadurch kann genau ermittelt werden, wo sich Personen mit dieser spezifischen IP aufhalten.
Zu guter Letzt kannst du mittels E-Mail Tracking ermitteln, mit welchem E-Mail Client Kontakte deine Mailings öffnen.
https://www.brevo.com/de/blog/email-tracking/
Das ist aber noch nicht das Ende der Probleme. So kann es unter gewissen Umständen dazukommen, dass Schriften von Google-Servern heruntergeladen werden. Darüber hinaus müssen wir uns noch ansehen, welche IP-Adressen sich hinter den zwei URLS https://88pq0.r.sp1-brevo.net und https://88pq0.img.sp1-brevo.net verbergen.
Name | IP-Adresse |
88pq0.r.sp1-brevo.net | 1.179.112.197 |
88pq0.img.sp1-brevo.net | 104.17.158.243 |
Jetzt schauen wir nach, wer sich hinter 104.17.158.243 verbirgt. Die whois-Anfrage ergibt
NetRange: 104.16.0.0 - 104.31.255.255
CIDR: 104.16.0.0/12
NetName: CLOUDFLARENET
NetHandle: NET-104-16-0-0-1
Parent: NET104 (NET-104-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS13335
Organization: Cloudflare, Inc. (CLOUD14)
Cloudflair ist ein Unternehmen mit Hauptsitz in den USA
101 Townsend St,
San Francisco, CA 94107
Das heißt, beim Lesen der E-Mail fließen auch Daten an ein US-Unternehmen. Ich gehe davon aus, dass das in dieser Form nicht DSGVO-konform ist.
Nachdem ich mir im Zuge dieser Recherche auch die Webseite von brevo.net angesehen habe, fällt auf, dass sie keinen Cookie-Banner haben, obwohl Cookies gesetzt werden und Verbindungen zu Google, LinkedIn,… gemacht werden.
Der Schutz Ihrer Privatsphäre und Ihrer personenbezogenen Daten hat für Brevo und alle Unternehmen innerhalb der Gruppe („Brevo“ oder „wir“ oder „unser(e)“ oder „uns“) Priorität.
https://www.brevo.com/de/legal/privacypolicy/
Wie so oft, wird zwar formuliert, dass brevo.net den Datenschutz ernst nehmen, aber die Wahrheit sieht anders aus. Ich würde erwarten, dass einem Datenschutzbeauftragten aus der Bildungsdirektion solche Dinge auch auffallen und alleine aus diesem Grund vor der Verwendung dieses Tools abrät. Nur weil auf der Homepage DSGVO-konform steht, heißt es noch lange nicht, dass das auch der Fall ist.
Wie kann man sich vor diesem Tracking schützen?
Das Laden von Bildern im verwendeten E-Mail Client abdrehen.
Nicht auf die Links klicken.
Wie kommt man dann zu den gewünschten Infos ohne Tracking? Die Bidi führt ein Archiv der Infomails.
https://www.bildung-ooe.gv.at/service/Infomail/Archiv-2024.html
Dort können die Infos per PDF heruntergeladen werden. Die Links im PDF führen direkt zum Ziel, also ohne Umweg zu brevo.net und tracken daher nicht.
Warum ist die Einstellung „anonymes Tracking“ zu wenig?
Weil das Tracking nach wie vor stattfindet. Die Verweigerung von Transparenz in diesem Fall ist schlichtweg inakzeptabel. Darüberhinaus erfahren bzw. merken die LuL. nicht, ob es nicht doch wieder eingeschaltet wurde. Weil es zu Problemen mit der DSGVO kommt. Selbst bei vermeintlich anonymem Tracking besteht die Gefahr, dass Nutzer durch Kombination verschiedener Datenpunkte re-identifiziert werden können.
Was soll/kann die Bildungsdirektion tun?
Die einfachste und datensparsamste Umsetzung (Stichwort DSGVO §5 – Datensparsamkeit) wäre, auf brevo.net zu verzichten und den LuL. in der Infomail einen Link auf das entsprechende PDF schicken. Damit ist sofort ersichtlich, dass das Tracking tatsächlich nicht stattfindet. (z.B.: mit der Office365 Rest API)
Wenn man schon ein Marketing-Tool für die LuL. Kommunikation missbraucht, dann sollte man sicher gehen, dass es DSGVO-konform ist. Das sollte der Mindeststandard einer Behörde sein. Leider wird in diesem Fall ein umstrittenes Instrument eingesetzt, ungeachtet möglicher juristischer Komplikationen. Dies erinnert an die Vorgehensweise großer Unternehmen. Die Verantwortlichen spekulieren darauf, dass niemand den Aufwand und die Kosten einer rechtlichen Auseinandersetzung auf sich nehmen wird. Gleichzeitig beteuern sie wiederholt die Rechtmäßigkeit ihres Handelns, um potenzielle Kritik im Keim zu ersticken.
Das BMBWF verschickt auch regelmäßig einen Newsletter. Dieser könnte als Vorbild dienen, da dort (bisher) kein Tracking stattfindet.
Jetzt wäre es auch an der Zeit, alle LuL. darüber zu informieren, welche Daten zu welchem Zweck von den einzelnen LuL.s gesammelt wurden.
Update 17.10.2024
Heute hat es ein weiteres Telefonat mit der Bildungsdirektion gegeben. Diese hat einmal mehr versichert, dass sie das Tracking abgeschaltet haben. Direktlinks – ohne Umweg über brevo.net – dürften mit brevo-net aus Sicherheitsgründen nicht umsetzbar sein. Es werden ein paar andere Optionen geprüft und wir bleiben im Gespräch.
0 Kommentare