Best of Datenschmutz

Datenschutz, Privacy, DSGVO

Bianca Kastl

Disclaimer

Dies ist keine rechtsverbindliche Auskunft, basiert aber auf echten Daten.

Zum Thema

Das ist eine Kurzzusammenfassung meiner Session: «Best of Datenschmutz - Datenabfragen und andere Abgründe aus der Datenschutzecke». Zuerst gehalten auf dem Barcamp Ruhr 2019 (23.03.).

Die Slides finden sich hier:

Slides: Best of Datenschmutz

«Datenabfrage nach DSGVO Artikel 15». So die kurze Anfrage, die bei vielen Digitalunternehmen die Möglichkeit bietet, all die persönlichen Daten einzusehen, die ein Unternehmen über mich gespeichert hat.

Warum also nicht mal herausfinden, was Unternehmen so speichern und daraus ableiten, was wohl so alles mit meinen Daten gemacht wird.

Ich habe dabei die unterschiedlichsten Absurditäten erlebt. An vielen Ecken.

Identifikation

Ein Unternehmen hat die Pflicht, sicherzustellen, ob diejenige Person, die eine Datenanfrage nach Artikel 15 DSGVO stellt auch berechtigt ist, diese einzusehen. Es geht ja schließlich um persönliche Daten.
Also sollte auch sichergestellt werden, dass diese persönlichen Daten auch vor fremden Zugriff geschützt sind. So weit, so sinnvoll. Auf einen sinnvollen Standard haben sich die Unternehmen da aber nicht immer festlegen können.

Eine unvollständige Liste über die verwendeten Verfahren zur Identifikation:

  • Webinterface ohne weiteres Passwort: Google
  • Webinterface mit weiterer Passwortabfrage: Facebook, Twitter, Xing
  • Webinterface mit 2-Faktor-Authentifizierung: Apple
  • Personalausweis: Netflix, PayPal
  • Personalausweis und Telefon: Ebay
  • Webinterface und Mail: Amazon
  • Webinterface, Token per Post, 2-Faktor-Authentifizierung: Telefonica

Auch die Art von Personalausweiskopie war nicht immer gleich: Netflix genügte sich mit einer sehr geschwärzten Kopie, PayPal wollte quasi alle Informationen sehen.

Dauer

Wie lange dauert sowas? Naja, so genau kann ich das nicht sagen, aber ein paar Richtwerte aus meiner Erfahrung:

  • Google: Stunden später
  • Facebook: Stunden später
  • Xing: Stunden später
  • Twitter: Stunden später
  • Apple: 8 Tage
  • Ebay: 9 Tage
  • Telefonica: 9 Tage
  • Netflix: 30 Tage
  • Amazon: 14 Tage, aber wir diskutieren noch
  • PayPal: > 30 Tage

Eine übliche Dauer einer Datenabfrage sind bis zu 30 Tage, danach dauert es eigentlich zu lange.

Was kommt dann an Daten?

Es gibt keinen Standard, aber die DSGVO selbst spricht von üblichen, maschinenlesbaren Formaten. Screenshots gehören da definitiv nicht dazu. Bekommen habe ich:

  • Datenformate: csv, xls, pdf, json. html
  • Teils Screenshots (!)
  • Teils pure Rohdaten (Apple, Amazon)
  • Teils Rohdaten mit Erklärungen (Netflix, Twitter, Ebay)
  • Teils aufbereitete Daten (Google, Facebook, Telefonica)

Die Datenmenge ist teilweise sehr sehr groß.

Sind diese Daten vollständig?

  • vollständig: Apple, Google, Twitter, Xing, Ebay, Netflix
  • eher unvollständig, bestimmte Teile werden wohl verdeckt: Facebook, Telefonica
  • bestimmt nicht vollständig: Amazon

Das ist eine reine Mutmaßung, aber wenn ich mir hier die Frage stelle, ob ich mit dem Datensatz, den ich bekommen habe, meine Kontoinformationen ganz wo anders übertragen könnte (so auch ein Grundprinzip der DSGVO), dann ergibt sich die Mutmaßung, dass zum Beispiel meine Amazon-Daten nicht vollständig waren / sind.
Amazon bietet Prime Video, habe ich auch genutzt. Dazu enthielt meine erste Datenabfrage keinerlei Daten, obwohl ich diesen Dienst genutzt habe. Also habe ich diese Daten nachgefordert. Amazon hat diese dann sehr schnell nachgeliefert. Leider habe ich da immer noch personenbezogene Informationen entdeckt, die nicht enthalten waren.

Erkenntnisse aus den Daten

Erkenntnisse zu: Apple Pay

  • Bei einer Zahlung mit Apple Pay werden eine Geräte-Karten-ID und ein Einmaltoken an das Kartenterminal gesandt
  • Das ist damit sogar sicherer als reine Kartenzahlung, weil es hier noch eine weitere Ebene gibt (virtuelle Karte)
  • in den personenbezogenen Daten sind nur Informationen zur Geräte-Karten-ID zu finden, aus den sich eine gekürzte Kreditkarten-Nummer und der Anbieter ableiten lässt, aber keine vollständigen Informationen

Erkenntnisse zu: Sprachassistenten

  • «OK Google» löst u.U. eine Speicherung der Anfrage auf dem Google Server mit Timestamp und Account-Bezug aus.
  • Alexa funktioniert ähnlich
  • Anders: Siri - hier werden Daten vor der Sprachverarbeitung anonymisiert

Erkenntnisse zu Apple: Call History

  • momentan wird die Call History über iCloud synchronisiert, d.h. sie liegt unverschlüsselt als personenbezogener Datenteil an einer Apple ID
  • wenn ihr immer schon mal wissen wolltet, wie lange eine Person zum Abheben braucht: in der Call History steht das

Erkenntnisse zu Google: Standortverlauf

  • ist der Standortverlauf im Google Konto aktiv, speichert Google personenbezogen eine Unmenge an Ortsdaten
  • betreffende Datei hatte in meinem Fall eine Größe von 112 MB, etwa > 40.000 Einträge mit teilweiser Vermutung in welcher Art von Bewegung diese Position aufgenommen wurde
  • Datenbasis in meinen Testdaten: 2013 bis 2018 (!)

Erkenntnisse zu Google: App-Nutzung

  • über Android in der Google Variante wird u.U. die App-Nutzung exakt protokolliert
  • Daten von 2015 bis 2018, exakter Zeitpunkt der Nutzung einer App

Erkenntnisse zu Twitter: IPs

  • Twitter speichert gern mal lieber zu viel als zu wenig IP-Adressen bei Logins personenbezogen (IP-Audit)
  • Im Prinzip wird bei jeder Änderung einer Twitter-Session eine IP mit Timestamp gespeichert
  • Datenbasis in meinen Testdaten: Daten eines Jahres

Die Spitze des Eisbergs

Es ist davon auszugehen, dass die Daten, die aus solchen Datenabfragen kommen, nur einen Bruchteil der Daten darstellen, die Digitalunternehmen erfassen. Viele davon sind nicht personenbezogen und dadurch eventuell nicht ganz so kritisch.

Generell haben mir die Datenabfragen aber als Kundin ein besseres Verständnis gegeben, inwieweit ich einem Unternehmen weiter Geld oder Vertrauen gebe. Manchmal gibt es datensensiblere Alternativen oder eigene Lösungen, die weitaus besser mit den Daten umgehen. Aber fragt doch einfach mal nach, was da so gespeichert wird. Manches erstaunt dann doch.