Gemeinsam mit der wunderbaren Letty habe ich auf dem 35C3, der jährlichen großen Konferenz des Chaos Computer Club, einen Vortrag über die Abfrage und Auswertung von Amazon-Nutzerdaten gehalten. Für alle, die ebenfalls Ihre Daten bei Amazon abfragen wollen habe ich hier die wichtigsten Links und Tipps zusammengestellt.
Rechtsgrundlage
Ich habe meine Daten im Jahr 2017 noch nach dem alten Bundesdatenschutzgesetz abgefragt. Mittlerweile ist die EU-Datenschutzgrundverordnung in Kraft getreten. Das bedeutet: Ihr könnt so eine Anfrage auch online per E-Mail stellen und müsst keine Brieffreundschaft mehr beginnen. Ihr beruft Euch bei Eurer Anfrage auf Art. 15 der DSGVO – das solltet Ihr in der Anfrage erwähnen.
Vor der Anfrage
Bevor Ihr eine Anfrage stellt solltet Ihr Euch bei dem entsprechenden Dienst erst einmal schlau machen: Was für Daten könnten hier schlummern? Hierzu kann man – wenn man es ganz genau nehmen will – die AGB und Datenschutzerklärung lesen. Zusätzlich sollte man das Prinzip des „GMV“ anwenden. GMV steht für „Gesunder Menschenverstand“. Beim Beispiel Amazon bedeutet das: Amazon schickt mir auch noch Wochen nachdem ich mir einen Artikel angeschaut habe Werbemails mit Kaufempfehlungen für das entsprechende Produkt zu. Also müssen sie erfassen, was ich mir angeschaut habe und diese Information auch über einen längeren Zeitraum hinweg speichern. Aus den so ermittelten Datenkategorien macht Ihr für Euch eine Checkliste.
Die Anfrage
In der schriftlichen Anfrage könnt Ihr diese Checkliste direkt einfließen lassen. Alternativ könnt Ihr aber natürlich auch ein Standardformular nutzen. Die Verbraucherzentrale NRW hat ganz wunderbare Vorlagen erstellt, die man sich herunterladen kann. Auf jeden Fall solltet Ihr eine Frist für die Beantwortung setzen und auch erwähnen, dass Ihr Euch an die Behörden wenden werdet, wenn die Antwort ausbleibt. Zwar sind Anbieter nach der DSGVO verpflichtet Euch innerhalb eines Monats zu antworten (bei komplexen Anfragen kann diese Frist verlängert werden). Doch es schadet nicht, proaktiv eine Frist von einem Monat zu setzen.
Rückfragen
In vielen Fällen werdet Ihr nach der ersten Anfrage keine zufriedenstellende Antwort bekommen. Eine beliebte Masche ist, Euch zu erzählen, Ihr könntet alle Daten in Eurem Nutzerprofil einsehen. Das ist nur bei den wenigsten Anbietern der Fall. Eine weitere Masche ist, Euch einfach eine Kopie Eurer Profildaten in Papierform oder als PDF zuzuschicken. Damit solltet Ihr Euch auf keinen Fall zufrieden geben, wenn die Datenkategorien nicht mit denen auf Eurer Checkliste übereinstimmen und Ihr Grund zur Annahme habt, dass dies nicht alles ist. Ein Hinweis kann sein, dass der Anbieter in der Antwort nicht ausdrücklich verneint, dass er eine von Euch angeforderte Datenkategorie speichert.
Analyse
Keine Sorge, Ihr benötigt kein technisches Fachwissen, um zu verstehen, was man alles aus Eurem Datensatz herauslesen kann. Der gesunde Menschenverstand reicht aus, um sich einen groben Überblick zu verschaffen. Mit etwas Technik kann man aber die Daten einfacher systematisieren. Letty hat auf Ihrem Github-Account ein paar Skripte veröffentlicht, die eine genauere Analyse des persönlichen Amazon-Clickstreams ermöglichen. Wenn Ihr manuell einzelne Produkte nachrecherchieren wollt, könnt Ihr auch die Produkt-ID in die Amazon-Suche eingeben. Eine Amazon-Produk-ID sieht beispielseise so aus: „B016UKRFOW“.
Fazit
Jeder muss selbst entscheiden, was für ein Fazit er oder sie aus einer erfolgreichen Datenabfrage für sich zieht. Ich für meinen Teil kann sagen: Es ist das eine abstrakt zu wissen, dass jeder Klick überwacht wird und etwas vollkommen anderes, die Klicks der letzten Monate vor sich in einer großén Tabelle aufgelistet zu sehen. Aus den Daten konnte man meinen Schlafrhytmus ablesen. Meine Interessen. Meine Urlaubsziele und wann ich wo in Deutschland unterwegs war.
Es gibt Alternativen zu Amazon. Wenn man dort vor allem von Drittanbietern kauft, bietet es sich an, die Produkte direkt beim Anbieter zu bestellen. Wer nach einer Datenabfrage feststellt, dass er lieber nicht mehr Amazon nutzen will, sollte auf jeden Fall in Erwägung ziehen, seine Daten vorher zu löschen. Die Verbraucherzentrale NRW hat hierfür ein spezielles Formular erstellt. Wenn man umzieht lässt man schließlich auch nicht seine Umzugskartons in der alten Wohnung stehen…
- Aufzeichnung vom 35C3-Vortrag zur Amazon-Datenabfrage
- Anleitung für eine Datenabfrage per Online-Formular bei Amazon (heise.de)
Dir hat dieser Beitrag gefallen? Das freut mich sehr! Dieser Blog finanziert sich ausschließlich über Leser-Spenden. Meine Kaffeekasse ist entweder über paypal.me/kattascha oder das Konto mit der IBAN-Nummer DE84100500001066335547 (Inhaber Katharina Nocun) erreichbar. Oder bei Steady. Natürlich freue ich mich auch, wenn Ihr das kommente Buch „Gefährlicher Glaube – Die radikale Gedankenwelt der Esoterik“ (erscheint am 20.09.2022) vorbestellt :-)
Markus B
Auf die bitte hin, das amazon bitte meine 10 Jahre alten / veralteten Kontoverbindungen nicht nur auf ihrer Website ausblendet (!!) sondern sogar in der Datenbank löschen möge schrieb man mir nur ganz frech „sie können ihr Konto komplett löschen und dann neu mit der bestehenden E-Mail-Adresse anmelden- einzelne Daten können nicht gelöscht werden“
Sollte das als DSGVO „Recht auf vergessen“ zu reichen ?
gutmet
Schöner Vortrag auf dem Congress. Mit meinem eigenen Versuch bin ich leider nicht so weit gekommen. Trotz Hartnäckigkeit meinerseits hat Amazon irgendwann nur noch geantwortet, dass sie meine Anfrage zur Gänze beantwortet hätten und keine weiteren Angaben machen können – auch nach mehrmaligem Hinterhersetzen. Den Content Stream habe ich leider nicht bekommen.
Die Landesdatenschutzbeauftrage NRW hat mich an die Bayern verwiesen, dort wurde ich ignoriert. Auf Nachfrage beim Bundesbeauftragen hat man mich wieder an die Bayern verwiesen. Bei einer nochmaligen Nachfrage wurde ich dort wieder ignoriert. Insgesamt ein wenig ernüchternd.
Aber immerhin hatte ich jetzt die Motivation, mir eine Alternative zu Amazon und dem eigensinnigen lokalen Buchladen, der nur aus dem KNV-Barsortiment bestellt, zu suchen und bin fündig geworden.
Danke für die Anregung dazu :-)
MaM
Ich bin bei eBay weitergekommen und habe mal alles zu einer Datenauskunft zusammengeschrieben:
https://workpress.plattform32.de/2019/02/datenauskunft-bei-ebay-de/
MaM
Ich probiere mich mal an eBay:
– https://www.ebayinc.com/our-company/privacy-center/privacy-notice/data-protection-officer-contacts/
– https://themen.ebay-kleinanzeigen.de/datenschutzerklaerung/
P.S. Schöne Grüße an Letty aus Rostock
Ulrich
Auch von mir vielen Dank für die Recherche und den Vortrag! Auch wenn man sich vieles von dem, was dadurch ans Licht gekommen ist, auch vorher schon denken konnte, ist es natürlich besser, mal ein paar Details zu erfahren.
Falls jemandem Datenschutz-Bedenken allein nicht ausreichen, um sich künftig von Amazon fernzuhalten, kann er/sie sich auch einmal vor Augen halten, dass das Unternehmen auf dem besten Wege ist, zum Monopolisten im (Online-) Einzelhandel zu werden. Da die Verluste der Handelssparte in Europa mühelos vom boomenden Server-Geschäft (AWS) ausgeglichen werden, ist es eigentlich nur noch eine Frage weniger Jahre, bis die gesamte Konkurrenz, die darauf angewiesen ist, Gewinne zu erwirtschaften, zu Grunde gerichtet worden ist.
Es gibt mehr als einen guten Grunde, Amazon zu meiden. Aber es ist natürlich wesentlich bequemer, die Augen vor diesen Entwicklungen zu verschließen, um sein Verhalten nicht ändern zu müssen.
riag
Hey,
danke für den Beitrag. Habe auch versucht bei Amazon und Paypal an meine Daten ranzukommen, aber in beiden Fällen wurde mir nach viel hin und her schlicht und einfach eine sinnvolle Auskunft verweigert.
Amazon hat mir nach 3 Monaten ein 80 seitiges Word Dokument mit meinen Bestellungen geschickt. docx eignet sich natürlich wunderbar um Daten auszuwerten. Nach mehreren Emails, Verweise auf DSGVO (Datenübertragbarkeit, strukturierte Formate, usw…) bekam ich nur irgendwelche Ausreden und dann „wir äußern uns nicht weiter dazu“. Auch eine beliebte Abwimmelungstaktik von Amazon ist mit temporären Email Addressen zu schreiben, die dann auf einmal nicht mehr gültig sind. Alle öffentliche Amazon Email Addressen mit bitte um Weiterleitung anzuschreiben hat bei mir funktioniert.
Paypal hat zwar innerhalb der 30 Tage Frist geantwortet, aber nur mit PDFs und Screenshots ihrer internen Systeme(!). Beides ist auch wunderbar auswertbar und auf meine Bitte, mir doch die Daten im csv Format zu schicken wurde mein Konto gesperrt und mein Geld eingefroren. Die fadenscheinige Begründung war, dass ich noch nicht Volljährig war, als ich das Paypal Konto eröffnet hatte. Auch die Löschung meines Kontos und aller meiner Daten wurde mit Verweis auf gesetzliche Bestimmungen für Finanzdienstleister verweigert.
Im Fall von Amazon hatte ich die für mich zuständige Datenschutzbehörde mit eingebunden. Das LDA Bayern bzw. der zuständige Mitarbeiter hat einen desinteressiert Eindruck gemacht und für mich war nicht erkenntlich, ob da mehr gemacht wurde als eine Email zu schreiben und den Fall zu den Akten zu legen.
Einzig und alleine bwin.com hat auf meine Anfrage fristgerecht, sinnvoll und im vollem Umfang geantwortet. Gibt also doch Firmen die das tatsächlich ernst nehmen.
Kattascha
Danke!
infomail
Vielen Dank an Euch Beiden für den Vortrag auf dem #35C3!!
Trutz
Schöne Initiative und guter Vortrag auf dem #35C3.
Ich glaube jedoch, dass Amazon Euch nur mit einem Bruchteil der Daten versorgt hat, die es über Euch gespeichert hat. Es scheint der komplette „Advertising“ Bereich zu fehlen.
Die Skripte von Letty sind leider unvollständig. Wäre toll, wenn die kompletten Skripte veröffentlich werden würden.