Best of Datenschmutz

Datenabfragen und andere Abgründe aus der Datenschutzecke

Disclaimer

Dies ist keine rechtsverbindliche Auskunft.

Disclaimer

Dies ist reines Reverse Engineering. Die Datengrundlage ist aber echt.

Was soll diese Forensik?

  • Awareness für Datenschutz schaffen
  • Abschätzungen liefern, wie fair ein Unternehmen mit meinen Daten umgeht
  • Werkzeuge an die Hand geben, um das selbst überprüfen zu können

Datenabfragen nach Artikel 15 DSGVO

  • eine betroffene Person hat ein Auskunftsrecht über die Verarbeitung personenbezogener Daten
  • werden Daten verarbeitet, stellt das Unternehmen eine Kopie der Daten zur Verfügung

Abgefragte Unternehmen

  • Apple

  • Amazon

  • Ebay

  • Facebook

  • Google

  • Netflix

  • Telefonica

  • Twitter

  • Xing

Wie funktioniert das in der Theorie?

  • Anfrage
  • Identifikaton / Authorisierung
  • Verarbeitung
  • Daten

Identifikation - Amazon

  • nach gestellter Anfrage Verifikation per E-Mail
  • «Falls Sie jedoch Ihre persönlichen Informationen erhalten möchten, bitten wir um eine kurze Bestätigung, indem Sie auf diese E-Mail antworten.»

Identifikation - Telefonica

  • Abschicken eines Formulars
  • URL mit Token per Post (!)
  • Über URL nochmalige Anforderung der Daten mit Hinterlegung eines zweiten Faktors
  • danach dann Download nach Authorisierung über zweiten Faktor

Identifikation / Authorisierung - Ebay

  • Abschicken eines Formulars
  • Anforderung Personalausweis
  • Daten werden vorbereitet
  • Telefonanruf von Ebay, in dem dann das Passwort mitgeteilt wird, mit dem die zugesandten Daten entschlüsselt werden können

Identifikation - sonstige Verfahren

  • Webinterface ohne weiteres Passwort: Google
  • Webinterface mit weiterer Passwortabfrage: Facebook, Twitter, Xing
  • Webinterface mit 2-Faktor-Authentifizierung: Apple
  • Personalausweis: Netflix, PayPal
  • Personalausweis und Telefon: Ebay
  • Webinterface und Mail: Amazon
  • Webinterface, Token per Post, 2-Faktor-Authentifizierung: Telefonica

Dauer

  • Google: Stunden später
  • Facebook: Stunden später
  • Xing: Stunden später
  • Twitter: Stunden später
  • Apple: 8 Tage
  • Ebay: 9 Tage
  • Telefonica: 9 Tage
  • Netflix: 30 Tage
  • Amazon: 14 Tage, aber wir diskutieren noch

30 Tage ist so die Dauer, die als üblicherweise «zumutbar» angesehen wird.

Was kommt dann an Daten?

  • Datenformate: csv, xls, pdf, json. html
  • Teils Screenshots (!)
  • Teils pure Rohdaten (Apple, Amazon)
  • Teils Rohdaten mit Erklärungen (Netflix, Twitter, Ebay)
  • Teils aufbereitete Daten (Google, Facebook, Telefonica)

Sind diese Daten vollständig? (Mutmaßung!)

  • vollständig: Apple, Google, Twitter, Xing, Ebay, Netflix
  • eher unvollständig, bestimmte Teile werden wohl verdeckt: Facebook, Telefonica
  • bestimmt nicht vollständig: Amazon

Rückschlüße auf Datenvollständigkeit

  • Was steht in den AGB / Datenschutzbestimmungen?
  • Welche Funktion ändern sich auf einer Webseite, wenn ich mit einem persönlichen Zugang angemeldet bin?

Amazon Ping Pong

Hier sind ihre Daten, ihre Datenabfrage ist abgeschlossen.

In ihrem Bestimmungen steht was von Clickstream, was ist damit?

Ihre Daten enthalten Clickstream-Daten zu Suchanfragen.

Es gibt also noch weitere, personenbezogene Clickstream-Daten?

Ihre Daten enthalten Clickstream-Daten zu Suchanfragen.

Es gibt weitere Clickstream-Daten. Bitte um Zusendung der vollständige Clickstream-Daten.

Wir haben das Format verständlicher gestaltet, weil das viele Kunden nicht verstanden haben.

Amazon Ping Pong Part 2

Ähm, in den Daten fehlen Informationen zu Prime Video. Wenn ich mich bei euch einlogge, wird gespeichert, was ich schon gesehen habe, wie weit ich bei einem Film bin und es werden Empfehlungen generiert.

Das ist auch noch da, wenn ich meine Clientdaten lösche, also sind diese Daten wohl personenbezogen auf meinen Account hinterlegt, oder?

Wir sprechen noch mal mit der Abteilung.

Was tun, wenn ein Unternehmen sich querstellt bei einer Datenanfrage?

  • auf Rechtslage hinweisen
  • Beschwerde bei Datenschutzbehörde
  • juristische Wege

Mythen: bargeldloses Zahlen - Apple Pay

Bargeldloses Zahlen ist mir viel zu gefährlich, weil da weiß ja Apple oder das Geschäft, was ich alles kaufe oder wer ich bin.

Erkenntnisse zu: Apple Pay

  • Bei einer Zahlung mit Apple Pay werden eine Geräte-Karten-ID und ein Einmaltoken an das Kartenterminal gesandt
  • Das ist damit sogar sicherer als reine Kartenzahlung, weil es hier noch eine weitere Ebene gibt (virtuelle Karte)
  • in den personenbezogenen Daten sind nur Informationen zur Geräte-Karten-ID zu finden, aus den sich eine gekürzte Kreditkarten-Nummer und der Anbieter ableiten lässt, aber keine vollständigen Informationen

Erkenntnisse zu: Sprachassistenten

  • «OK Google» löst u.U. eine Speicherung der Anfrage auf dem Google Server mit Timestamp und Account-Bezug aus.
  • Alexa funktioniert ähnlich
  • Anders: Siri - hier werden Daten vor der Sprachverarbeitung anonymisiert

Erkenntnisse zu Apple: Call History

  • momentan wird die Call History über iCloud synchronisiert, d.h. sie liegt unverschlüsselt als personenbezogener Datenteil an einer Apple ID
  • wenn ihr immer schon mal wissen wolltet, wie lange eine Person zum Abheben braucht: in der Call History steht das

Erkenntnisse zu Google: Standortverlauf

  • ist der Standortverlauf im Google Konto aktiv, speichert Google personenbezogen eine Unmenge an Ortsdaten
  • betreffende Datei hatte in meinem Fall eine Größe von 112 MB, etwa > 40.000 Einträge mit teilweiser Vermutung in welcher Art von Bewegung diese Position aufgenommen wurde
  • Datenbasis in meinen Testdaten: 2013 bis 2018 (!)

Erkenntnisse zu Google: App-Nutzung

  • über Android in der Google Variante wird u.U. die App-Nutzung exakt protokolliert
  • Daten von 2015 bis 2018, exakter Zeitpunkt der Nutzung einer App

Erkenntnisse zu Twitter: IPs

  • Twitter speichert gern mal lieber zu viel als zu wenig IP-Adressen bei Logins personenbezogen (IP-Audit)
  • Im Prinzip wird bei jeder Änderung einer Twitter-Session eine IP mit Timestamp gespeichert
  • Datenbasis in meinen Testdaten: Daten eines Jahres

Die Spitze des Eisbergs

  • Ich habe mal versucht, die Datenauskunft von Apple genauer anzusehen: Twitter-Thread
  • generell sind allein die personenbezogenen Daten je nach Unternehmen sehr umfangreich
  • darin nicht eingeschlossen sind aber Daten, die anonymisiert verarbeitet werden
  • dennoch stellen auch schon einfache Datenabfragen eine Möglichkeit dar, Erkenntnisse über die Datenverabeitung, aber auch für besseren Datenschutz gewinnen