Datenschutz
Die DSGVO Akte – Was Mark Zuckerberg über dich weiß
Die Datenschutzgrundverordnung ermöglicht es dir, alle deine persönlichen Daten online abzufragen, aber hast du es wirklich schonmal versucht? Eine Geschichte über politischen Einfluss und meine heimliche Leidenschaft für Käfer und Würmer.
March 15, 2024
Die Datenschutz-Grundverordnung ("DSGVO") ist der umfassendste Gesetzesakt zum Schutz persönlicher Daten weltweit. Wenn du hier bist, weißt du wahrscheinlich schon, dass du sogar eine Kopie aller Daten anfordern kannst, die Unternehmen über dich besitzen. Aber hast du das schon einmal selbst ausprobiert? In diesem Blogpost findest du einige der überraschenden Informationen, die du in diesen Datensätzen finden kannst.
Dieser Blogpost ist in drei Abschnitte unterteilt, die sich jeweils mit einer der drei Ebenen der Datenerhebung befassen. Je tiefer wir in diesem "Dateneisberg" nach unten vorstoßen, desto undurchsichtiger werden die Mittel der Datenerhebung und die Zwecke, für die die spezifischen Informationen verwendet werden.
Die Datenschutz-Grundverordnung ("DSGVO") ist der umfassendste Gesetzesakt zum Schutz persönlicher Daten weltweit. Wenn du hier bist, weißt du wahrscheinlich schon, dass du sogar eine Kopie aller Daten anfordern kannst, die Unternehmen über dich besitzen. Aber hast du das schon einmal selbst ausprobiert? In diesem Blogpost findest du einige der überraschenden Informationen, die du in diesen Datensätzen finden kannst.
Dieser Blogpost ist in drei Abschnitte unterteilt, die sich jeweils mit einer der drei Ebenen der Datenerhebung befassen. Je tiefer wir in diesem "Dateneisberg" nach unten vorstoßen, desto undurchsichtiger werden die Mittel der Datenerhebung und die Zwecke, für die die spezifischen Informationen verwendet werden.
Level 1: Freiwillig zur Verfügung gestellte Daten
Die Spitze des Eisbergs: Facebook und Google wissen alles, was du ihnen ausdrücklich über dich selbst mitteilst. Dazu gehören normalerweise mindestens dein Name, deine E-Mail-Adresse und dein Geburtsdatum. Viele Nutzer geben jedoch freiwillig eine ganze Reihe weiterer Informationen an, die weit über das hinausgehen, was die Online-Plattformen für die Bereitstellung ihrer Dienste benötigen: Adressen, berufliche Details oder sogar der Beziehungsstatus sind auf Plattformen wie LinkedIn oder Facebook durchaus üblich.
Diese Art von Informationen sind in der Regel in deinem Profil zu finden oder können in den Einstellungen der Website eingesehen und bearbeitet werden. Während sensiblere Angaben wie dein Geburtsdatum oder deine Adresse oft standardmäßig privat bleiben, können viele der bereitgestellten Informationen für jedermann sichtbar sein, je nach deinen persönlichen Datenschutzeinstellungen.
Ebene 2: Gesammelte Daten
Es sollte dich nicht überraschen, dass Internetplattformen die Daten, die du ihnen freiwillig zur Verfügung stellst, speichern und verwenden. Die Dinge werden jedoch weit weniger transparent, wenn es um die Daten geht, die sie über dich aus deinen Aktivitäten und der Nutzung von Apps sammeln. Alles, was du nachschlägst, anklickst oder ansiehst, wird gespeichert. Die meisten Navigationsdienste speichern auch deinen gesamten Standortverlauf. Mein Co-Founder Jakob hat sich kürzlich seine Google Maps-Daten angesehen und festgestellt, dass der Dienst etwa 38,8 Millionen Zeilen GPS-Daten aufgezeichnet hat. Wenn man das ausdrucken würde, ergäbe das mehr als 1.000 Bücher so dick wie die Bibel.
Aber das ist noch nicht alles: Wusstest du, dass viele Dienste alles verfolgen, was du auf ihrer Website tust, auch wenn du nichts anklickst? Die daraus resultierenden Daten werden häufig dazu verwendet, die Benutzerfreundlichkeit einer Website zu optimieren oder herauszufinden, welche Art von Inhalten du dir am längsten ansiehst. So sieht es aus, wenn wir Sitzungswiederholungen in unserem Website-Analysetool (PostHog) aktivieren. Hier kann man Jakob dabei beobachten, wie er versucht, unseren Newsletter zum zweiten Mal zu abonnieren, weil die Inhalte einfach so verdammt gut sind!
Einige Analysetools speichern die Informationen, die du in ein Textfeld eingibst, auch dann, wenn du nicht auf einen Button drückst, um sie zu übermitteln. Sei also vorsichtig bei der Eingabe von Kennwörtern oder sensiblen Informationen in Felder, die nicht ausdrücklich als Kennwortfelder gekennzeichnet sind, oder auf Websites, denen du nicht vertraust.
Hinweis: Datapods ist nicht an deinen persönlichen Daten interessiert. Wir versuchen, so wenig Daten wie möglich über dich bei uns zu speichern. Die Datapods-App verwendet High-End-Verschlüsselung und dezentralisierte Schlüsselverwaltung, um unbefugten Zugriff auf deine Daten zu verhindern, auch durch uns selbst. Auf diese Weise behältst du die volle Kontrolle darüber, wer deine Daten einsehen kann.
Unternehmen nutzen diese Art von Informationen, um ihre Dienste zu verbessern, herauszufinden, was dir gefällt, und dir personalisierte Werbung zu präsentieren. Für die Nutzer sind diese Informationen jedoch meist nicht so leicht zugänglich. Während du oft eine Zusammenfassung bestimmter gesammelter Informationen wie Reaktionen, Kommentare oder deinen Suchverlauf einsehen kannst, bleiben andere Informationen verborgen. Hier kommen die EU und die DSGVO ins Spiel. Die DSGVO ermöglicht es dir, eine Kopie deiner Daten zu verlangen. Das heißt, jede Information, die sich zu dir persönlich zurückverfolgen lässt. Dazu gehören die meisten Arten von gesammelten Daten.
Das Verfahren zur Beantragung dieser Informationen kann aufwändig sein und mehrere Tage dauern (nach der DSGVO müssen die Unternehmen innerhalb von 30 Tagen der Auskunftsaufforderung nachkommen). Die beantragten Daten müssen in einem maschinenlesbaren Format, wie z.B. einer JSON-Datei, bereitgestellt werden. Das wäre dann zwar allein durch die Menge der Daten ein absoluter Pageturner, wer nicht gerade C-3PO heißt, wird Schwierigkeiten haben daraus ohne weiteres schlau zu werden. Das bedeutet nicht, dass man nur Einsen und Nullen ausgehändigt bekommt, aber wenn man 38,8 Millionen Zeilen roher GPS-Koordinaten durchsieben müsste, ist man lange beschäftigt.
Nehmen wir jedoch an, du hast bereits eine Kopie deiner Daten bei Facebook oder Google angefordert. Dann gibt es einige Daten, die durchaus interessant sein können: Facebook speichert z. B. deinen letzten Standort (last_known_location.json), die über die App getätigten Käufe (payment_history.html) und die Werbeanzeigen, die du dir angesehen hast.
Hast du dich schon einmal gefragt, warum du manchmal auf Facebook Anzeigen für Artikel siehst, die du dir auf einer ganz anderen Website angesehen hast? Unter advertisers_using_your_information.html listet Facebook alle Unternehmen auf, die deine persönlichen Daten nutzen, um dir gezielt Werbung zu präsentieren. Diese Unternehmen verfügen bereits über Informationen über dich in so genannten „audience lists“, die sie selbst gesammelt oder gekauft haben, z.B. ob du dir einen Artikel auf ihrer Website angesehen hast. Facebook kombiniert diese Informationen dann mit seinen eigenen Daten, um die Anzeigen noch genauer auf dich zuzuschneiden. Für mich ist diese Liste etwa 120 Unternehmen lang und umfasst verschiedene Databroker.
Aber das ist noch nicht alles: Vor kurzem habe ich eine Kopie meiner Daten bei Payback, dem Master Card-eigenen Bonusprogramm für den Einzelhandel, angefordert. Beinhaltet war die gesamte Aufzeichnung meiner realen Einkäufe in Geschäften, die ich unter Vorzeigen meiner Payback-Karte getätigt habe, sowie einen detaillierten Verlauf, wann immer ich in der Nähe eines ihrer Partnergeschäfte war. Übrigens, wenn du mal versuchst dich zu erinnern, welchen Song du am 9. Mai 2022 um 6:28 Uhr gehört hast? Keine Sorge, Spotify hat eine komplette Streaming-Historie für dich.
Die oben genannten Beispiele kratzen immer noch nur an der Oberfläche der gesammelten Daten, die über dich vorhanden sein könnten. Die Menge der Nutzungsdaten, die Unternehmen sammeln, ist enorm. Allein der Ordner mit meinen Informationen aus ausgewählten Google-Diensten enthält Rohdaten im Gesamtvolumen von 3,7 GB, die in mehr als 5.000 einzelnen Dateien gespeichert sind.
Aber nur zu wissen, dass man sich mittwochs nachts um 1:35 Uhr 20 Chicken McNuggets reingepfiffen hat, bringt Mark Zuckerberg keine jährlichen Durchschnittseinnahmen von 270 Dollar pro Nutzer ein. Stattdessen nutzen Unternehmen diese Informationen, um Rückschlüsse auf dich zu ziehen, die für sie viel nützlicher sind. Dies bringt uns zum tiefsten Punkt des Dateneisbergs, wo das Wasser trüb ist und das Sonnenlicht nur selten ankommt...
Level 3: Abgeleitete Daten
Hier wird es wirklich interessant. Die Datenspeicherung ist nicht umsonst und Technologieunternehmen würden nicht Gigabytes an Informationen über uns sammeln, wenn sie nicht überzeugt wären, dass diese irgendwann einmal nützlich sein könnten. Die Wahrheit ist, dass sie diese riesigen Datenmengen für ihre eigene Nutzeranalyse benötigen. Die Ergebnisse dazu verwendet, die eigenen Produkte zu verbessern oder uns alle in Gruppen einzuteilen, um gezielte Werbung oder Inhaltsvorschläge ausspielen zu können.
So verwendet Google neben deinem detaillierten Standortverlauf auch die Geschwindigkeit, mit der du dich fortbewegst, sowie eine Reihe anderer Faktoren, um herauszufinden, welches Verkehrsmittel du benutzt. Außerdem werden auch Vermutungen über deine gewählte Route und den Zeitpunkt deines täglichen Pendelns angestellt.
Die von Meta im Rahmen der DSGVO bereitgestellten Daten enthalten auch eine Liste deiner abgeleiteten Interessen für Inhalte (z.B. your_topics.json für Instagram) und Werbung (z.B. ads_interests.html für Facebook). Instagram beispielsweise glaubt, dass ich mich für "Essen", "Reiseziele" und "Inneneinrichtung" interessiere, was ziemlich genau stimmt. Allerdings wurde ich auch für die Kategorie "Käfer und Würmer" markiert, ein Hobby-Bereich, mit dem ich ehrlich gesagt noch nicht so wirklich in Berührung gekommen bin...
Wer sich für US-Politik interessiert, bei dem kann Facebook sogar Vermutungen über seine politischen Ansichten anstellen, die in den Daten ebenfalls angezeigt werden. Werbetreibende können diese Informationen nutzen, um auch gezielt politische Inhalte zu zeigen.
Für diejenigen politischen Akteure, die gezielt Wahlwerbung machen wollen, um Menschen davon zu überzeugen, ein Kreuz an einer bestimmten Stelle zu sitzen, sind die von Facebook bereitgestellten Kategorien aber unter Umständen nicht genau genug. Aber auch dafür gibt es Lösungen. Erinnerst du dich noch an die „audience lists“ von gerade eben, die es Unternehmen ermöglichen, ihre eigenen Daten mit denen von Facebook zu kombinieren? Im Jahr 2018 geriet Facebook in Bedrängnis, weil es einer politischen Beratungsfirma namens "Cambridge Analytica" erlaubte, genau das zu tun.
Cambridge Analytica nutzte psychologische Profile von Nutzern, die durch eine Umfrage gewonnen wurden und kombinierte sie mit Daten über deren Facebook-Freunde, um gezielt Wechselwähler anzusprechen und ihnen Inhalte zu zeigen, die den politischen Gegner ihres Mandanten diskreditieren sollten. Auch wenn die Gesamtwirksamkeit der Kampagne bis heute ungewiss ist, zeigt sie doch eine der vielen Möglichkeiten auf, wie Unternehmen und politische Akteure die oben genannten Instrumente mit leistungsstarken Datenanalysen kombinieren, zu ihrem Vorteil nutzen und damit tiefgreifend in persönliche und gesellschaftliche Prozesse eingreifen können.
Aber auch das ist noch nicht alles: Wenn Unternehmen nicht gerade ihre 1.000 Bibeln voll persönlicher Daten nutzen, um unser Wahlverhalten zu beeinflussen oder zu entscheiden, ob du eher ein Käfer- oder ein Wurm-Typ bist, werden sie damit ziemlich kreativ.
So verwenden beispielsweise Auskunfteien (wie z.B. die SCHUFA in Deutschland) die persönlichen Daten, die sie von Finanzinstituten erhalten, um deine Kreditwürdigkeit zu berechnen, die die Banken dann heranziehen, um festzustellen, wie wahrscheinlich es ist, dass du einen Kredit nicht zurückzahlst. Da dein Kreditscore offensichtlich mit deiner Person verknüpft ist, hast du nach der DSGVO auch das Recht, deinen SCHUFA-Score kostenlos anzufordern (auch wenn die Agenturen dir oftmals etwas anderes weismachen will).
Verschiedenen Quellen zufolge berechnete die Dating-Plattform Tinder früher etwas Ähnliches wie einen Kredit-Score, nur dass sie dabei die Attraktivität ihrer Nutzer bewertete, um sie mit ähnlich attraktiven Menschen zusammenzubringen. Das Unternehmen behauptet jedoch, dass es diese Methode vor ein paar Jahren zugunsten eines "dynamischeren Systems" aufgegeben hat, so dass du diesen „Score“ nicht mehr einsehen kannst, wenn du eine DSGVO-Anfrage stellst.
Übernimm die Kontrolle über deine persönlichen Daten
Die DSGVO ist ein unglaublich mächtiges Instrument, wenn es darum geht, dir die Kontrolle über die riesigen Datenmengen zu geben, die tagtäglich von Big Tech gesammelt werden. Die Möglichkeit, auf diese Daten zuzugreifen, sie zu verstehen und zu entscheiden, was mit ihnen passieren soll, ist ein großer Fortschritt beim Schutz der Privatsphäre und stellt sicher, dass du als Individuum fundierte Entscheidungen über deinen digitalen Fußabdruck treffen kannst.
Der Prozess des Zugriffs auf deine Daten oder das Löschung kann aber so entmutigend sein, dass sich die meisten Menschen dafür entscheiden, ihn gar nicht erst zu anzustoßen. Und wenn man doch eine Kopie seiner Daten erhält, liegen die von den Unternehmen bereitgestellten Informationen in der Regel in maschinenlesbaren Formaten wie JSON vor, die, sind wir mal ehrlich, für die meisten von uns nicht wirklich nutzbar sind. Hier kommt Datapods ins Spiel.
Wir haben Datapods entwickelt, um dein digitaler Verbündeter zu sein und dir die Möglichkeit zu geben, deine Daten auf sichere und unkomplizierte Weise anzuzeigen, zu verwalten und sogar weiterzugeben. Stell dir vor, dass du dein digitales Leben entwirren und wieder selbst das Ruder in die Hand nehmen kannst. Bei Datapods geht es darum, die komplexe Welt der Daten einfacher zu machen und die Kontrolle wieder dorthin zu geben, wo sie hingehört – zu dir.
.png)