Die DSGVO-Dateien - Was Mark Zuckerberg über dich weiß
Die DSGVO erlaubt dir, alle deine persönlichen Daten online anzufordern, aber hast du das jemals wirklich getan? Eine Geschichte über politischen Einfluss und meine geheime Leidenschaft für Käfer und Würmer.
Die DSGVO-Dateien - Was Mark Zuckerberg über dich weiß
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist die umfassendste Datenschutzregelung der Welt. Wenn du hier bist, weißt du wahrscheinlich bereits, dass sie dir sogar erlaubt, eine Kopie aller Daten anzufordern, die ein Unternehmen über dich gespeichert hat. Aber hast du es jemals selbst versucht? Wenn du möchtest, hier sind einige der überraschenden Dinge, die du möglicherweise findest.
Dieser Artikel ist in drei Abschnitte unterteilt, die jeweils einen der drei Ebenen der Datenerfassung behandeln. Je tiefer wir in diesem "Daten-Eisberg" vordringen, desto weniger transparent werden die Mittel der Datenerfassung und die Zwecke, für die die spezifischen Informationen verwendet werden.
Ebene 1: Freiwillig bereitgestellte Daten
Die Spitze des Eisbergs: Facebook und Google wissen alles, was du ihnen explizit über dich erzählst. Dies umfasst in der Regel mindestens deinen Namen, deine E-Mail-Adresse und dein Geburtsdatum. Einige Nutzer entscheiden sich jedoch möglicherweise dafür, eine ganze Reihe zusätzlicher Informationen bereitzustellen, die weit über das hinausgehen, was von den Online-Plattformen für ihre Dienste erforderlich ist: Adressen, berufliche Details oder sogar Beziehungsstatus sind auf Plattformen wie LinkedIn oder Facebook recht häufig anzutreffen.
Diese Art von Informationen ist normalerweise in deinem Profil zu finden oder du kannst sie in den Seiteneinstellungen anzeigen und bearbeiten. Während sensiblere Details wie dein Geburtsdatum oder deine Adresse oft standardmäßig privat bleiben, könnten viele der bereitgestellten Informationen je nach deinen Datenschutzeinstellungen für alle sichtbar sein.
Ebene 2: Gesammelte Daten
Es sollte nicht überraschen, dass Internetplattformen die Daten speichern und nutzen, die du ihnen freiwillig zur Verfügung stellst. Allerdings wird es viel weniger transparent, wenn es um die Daten geht, die sie über dich aus deinen Aktivitäten und der App-Nutzung sammeln. Alles, was du nachschlägst, anklickst oder ansiehst, wird gespeichert. Die meisten Navigationsdienste speichern auch deinen gesamten Standortverlauf. Mein Mitgründer Jakob hat kürzlich seine Google Maps-Daten angesehen und festgestellt, dass der Dienst etwa 38,8 Millionen Zeilen GPS-Daten aufgezeichnet hatte. Wenn du das ausdrucken würdest, wären es mehr als 1.000 Bücher so dick wie die Bibel.
Aber das ist noch nicht alles: Wusstest du, dass viele Dienste alles aufzeichnen, was du auf ihrer Website tust, auch wenn du nichts anklickst? Die resultierenden Daten werden oft verwendet, um die Benutzerfreundlichkeit einer Website zu optimieren oder herauszufinden, welche Art von Inhalten du am längsten ansiehst. So sieht es aus, wenn wir Sitzungsaufzeichnungen in unserem Website-Analyse-Tool (PostHog) aktivieren. Du siehst Jakob dabei zu, wie er versucht, sich zum zweiten Mal für unseren Newsletter anzumelden, weil er einfach so verdammt gut ist. Schau ihm zu!
Einige Analyse-Tools speichern auch die Informationen, die du in ein Textfeld eingibst, selbst wenn du keinen Button zum Absenden drückst. Sei also vorsichtig beim Eingeben von Passwörtern oder sensiblen Informationen in Feldern, die nicht explizit als Passwortfelder gekennzeichnet sind, oder auf einer Website, der du nicht vertraust.
Unternehmen nutzen diese Art von Informationen, um ihre Dienste zu verbessern, herauszufinden, was dir gefällt, und dir personalisierte Werbung zu zeigen. Für Nutzer ist es jedoch in der Regel nicht so einfach, darauf zuzugreifen. Während du oft eine Zusammenfassung bestimmter gesammelter Informationen wie Reaktionen, Kommentare oder deinen Suchverlauf anzeigen kannst, bleiben andere Informationen verborgen. Hier kommen die EU und die Datenschutz-Grundverordnung (DSGVO) ins Spiel. Die DSGVO erlaubt dir, eine Kopie deiner Daten anzufordern. Das heißt, jedes Stück Information, das zu dir zurückverfolgt werden kann. Dies umfasst die meisten Arten von gesammelten Daten.
Der Prozess der Anforderung dieser Informationen kann etwas aufwändiger sein und mehrere Tage dauern (gemäß der DSGVO müssen Unternehmen innerhalb von 30 Tagen nachkommen). Die resultierenden Daten müssen in einem maschinenlesbaren Format bereitgestellt werden, wie einer JSON-Datei. Während dies für C-3PO wahrscheinlich ein echter Pageturner wäre, haben Menschen in der Regel Schwierigkeiten, es zu genießen. Das bedeutet nicht, dass du Einsen und Nullen anschauen wirst, aber wenn du durch 38,8 Millionen Zeilen roher GPS-Koordinaten siehst, könnte es genauso gut sein.
Nehmen wir jedoch an, du hast bereits eine Kopie deiner Daten von einem Dienst wie Facebook oder Google angefordert. Hier sind einige der Dinge, die es sich lohnen könnte, zu überprüfen: Facebook verfolgt zum Beispiel deinen letzten bekannten Standort (last_known_location.json), Käufe, die über ihre App getätigt wurden (payment_history.html), und die Werbung, die du dir angesehen hast.
Hast du dich jemals gefragt, warum du manchmal Werbung auf Facebook für Artikel siehst, die du auf einer völlig anderen Website angesehen hast? Unter advertisers_using_your_information.html listet Facebook alle Unternehmen auf, die deine persönlichen Informationen nutzen, um dir Werbung zu zeigen. Diese Unternehmen haben bereits Informationen über dich in sogenannten Zielgruppenlisten, die sie selbst gesammelt oder gekauft haben, zum Beispiel, ob du einen Artikel auf ihrer Website angesehen hast. Facebook kombiniert diese Informationen dann mit seinen eigenen Daten, um Werbung noch hyper-personalisierter zu machen. Bei mir ist diese Liste etwa 120 Unternehmen lang und umfasst verschiedene Datenbroker.
Aber es gibt noch mehr: Ich habe kürzlich eine Kopie meiner Daten von Payback, dem von Master Card betriebenen Einzelhandels-Bonusprogramm, angefordert. Ich bekam den gesamten Datensatz meiner realen Einkäufe in Geschäften, die ich mit meiner Kundenkarte getätigt hatte, plus eine detaillierte Historie, wann immer ich in der Nähe eines ihrer Partnerläden war. Oder versuchst du dich zu erinnern, welches Lied du am 9. Mai 2022 um 6:28 Uhr gehört hast? Keine Sorge, Spotify hat dich mit einer vollständigen Streaming-Historie abgedeckt.
Die wenigen oben genannten Beispiele kratzen wirklich nur an der Oberfläche der gesammelten Daten, die über dich existieren könnten. Die Menge an Nutzungsdaten, die Unternehmen sammeln, ist enorm. Allein der Ordner mit meinen Informationen aus ausgewählten Google-Diensten enthält 3,7 GB Rohdaten, die in mehr als 5.000 einzelnen Dateien gespeichert sind.
Allerdings wird die Tatsache, dass du an einem Mittwochabend um 1:35 Uhr eine ganze Packung mit 20 Chicken McNuggets gegessen hast, Mark Zuckerberg nicht 270 Dollar durchschnittlichen Jahresumsatz pro Nutzer einbringen. Stattdessen nutzen Unternehmen diese Informationen, um Rückschlüsse auf dich zu ziehen, die für sie viel nützlicher sind. Dies bringt uns zum tiefsten Teil des Daten-Eisbergs, wo das Wasser trüb ist und selten Sonnenlicht hinkommt...
Ebene 3: Abgeleitete Daten
Hier wird es wirklich interessant. Datenspeicherung ist nicht kostenlos, und Tech-Unternehmen würden nicht Gigabytes an Informationen über dich sammeln, wenn sie nicht denken würden, dass sie irgendwann nützlich sein könnten. Die Wahrheit ist, dass sie diese riesigen Datenmengen für Analysen benötigen. Die Ergebnisse können verwendet werden, um bestimmte Dienste zu verbessern oder dich in Gruppen für gezielte Werbung oder Inhaltsvorschläge einzuteilen.
Zum Beispiel nutzt Google neben deinem detaillierten Standortverlauf auch die Geschwindigkeit, mit der du dich bewegst, und eine Vielzahl anderer Faktoren, um herauszufinden, welches Transportmittel du nutzt. Es macht auch Vermutungen über die Route und den Zeitpunkt deines täglichen Arbeitswegs.
Die von Meta unter der DSGVO bereitgestellten Daten enthalten auch eine Liste deiner abgeleiteten Interessen für Inhalte (z.B. your_topics.json für Instagram) und Werbung (z.B. ads_interests.html für Facebook). Instagram denkt, ich interessiere mich für Essen, Reiseziele und Inneneinrichtung, was ziemlich zutreffend ist. Allerdings wurde ich auch in die Kategorie Käfer & Würmer eingeordnet, ein Hobby, das ich noch entdecken muss.
Wenn ein Nutzer sich für US-Politik interessiert, könnte Facebook sogar Annahmen über seine politische Zugehörigkeit treffen, die hier ebenfalls erscheinen. Werbetreibende können diese Informationen nutzen, um politisch gezielte Inhalte anzuzeigen.
Wenn du jedoch eine politische Kampagne startest, um Menschen davon zu überzeugen, für dich zu stimmen, könnten die von Facebook bereitgestellten Kategorien etwas zu grob sein. Aber es gibt eine Lösung. Erinnerst du dich an die Zielgruppenlisten von vorher, die es Unternehmen ermöglichten, ihre eigenen Daten mit denen von Facebook zu kombinieren? 2018 geriet Facebook in Schwierigkeiten, weil es einem politischen Beratungsunternehmen namens Cambridge Analytica genau das erlaubte.
CA nutzte psychologische Profile von Nutzern, die durch eine Umfrage gewonnen wurden, und kombinierte sie mit Daten über ihre Facebook-Freunde, um Wechselwähler anzusprechen und ihnen Inhalte zu zeigen, die den Gegner ihres Kunden diskreditieren sollten. Während die Gesamteffektivität der Kampagne ungewiss bleibt, veranschaulicht sie eine der vielen Möglichkeiten, wie Unternehmen und politische Akteure die genannten Tools mit leistungsstarker Datenanalyse kombinieren und zu ihrem Vorteil nutzen können.
Aber das ist noch nicht alles: Wenn Unternehmen ihre 1.000 Bibeln wert an persönlichen Informationen über dich nicht nutzen, um dein Wahlverhalten zu beeinflussen oder zu entscheiden, ob du mehr ein Käfer- oder ein Wurm-Mensch bist, können sie damit ziemlich kreativ werden.
Zum Beispiel werden Kreditauskunfteien (wie die SCHUFA in Deutschland) die persönlichen Daten, die sie von Finanzinstituten erhalten, nutzen, um deine Bonität zu berechnen, die Banken dann kaufen, um zu bestimmen, wie wahrscheinlich es ist, dass du einen Kredit nicht zurückzahlst. Da deine Bonität offensichtlich an dich als Person gebunden ist, hast du auch das Recht, sie kostenlos gemäß der DSGVO anzufordern (auch wenn die Auskunfteien dich gerne etwas anderes glauben lassen würden).
Laut mehreren Quellen berechnete die Dating-Plattform Tinder früher etwas Ähnliches wie eine Bonität, nur dass sie die Attraktivität ihrer Nutzer bewerteten, um sie mit ähnlich attraktiven Menschen zusammenzubringen. Das Unternehmen behauptet jedoch, dass sie diese Metrik vor einigen Jahren zugunsten eines dynamischeren Systems aufgegeben haben, sodass du sie nicht durch eine DSGVO-Anfrage sehen kannst.
Übernimm die Kontrolle über deine Daten
Die DSGVO ist ein unglaublich mächtiges Werkzeug, wenn es darum geht, dir Kontrolle über die riesigen Datenmengen zu geben, die von Big Tech gesammelt werden. Die Möglichkeit, auf diese Daten zuzugreifen, sie zu verstehen und zu entscheiden, was damit geschieht, ist ein großer Schritt nach vorn beim Schutz der Privatsphäre und der Sicherstellung, dass Einzelpersonen fundierte Entscheidungen über ihren digitalen Fußabdruck treffen können.
Allerdings kann der Prozess des Zugriffs auf oder Löschens deiner Daten so entmutigend sein, dass die meisten Menschen sich überhaupt nicht darauf einlassen werden. Und wenn du eine Kopie deiner Daten erhältst, sind die von Unternehmen bereitgestellten Informationen normalerweise in maschinenlesbaren Formaten wie JSON, was, seien wir ehrlich, für die meisten von uns nicht gerade benutzerfreundlich ist. Hier kommt Datapods ins Spiel.
Wir haben Datapods als deinen digitalen Verbündeten gebaut, der dir die Macht gibt, deine Daten auf eine sichere und unkomplizierte Weise anzusehen, zu verwalten und sogar zu teilen. Sieh es als Aufräumen deines digitalen Lebens und dich wieder in den Fahrersitz setzen. Bei Datapods geht es darum, die komplexe Welt der Daten einfacher nutzbar zu machen und die Kontrolle dorthin zurückzubringen, wo sie hingehört - zu dir.