Bei aller Bürokratie-Kritik und schleppender Umsetzung, eines hat die DSGVO effektiv bewirkt: Datenauskünfte werden schnell und unbürokratisch ausgeliefert. So habe ich mehrere Auskunftsbegehren eingereicht bei international operierenden Unternehmen. Und innert wenigen Tagen entsprechende ZIP-Files erhalten. (Für die Schweiz gibts übrigens ein neues grossartiges Tool dafür, kreiert von der Digitalen Gesellschaft).
Die gute Nachricht heisst also: die Datenauskunft wird schnell und fix geliefert.
Die schlechte lautet: viel Substanzielles und wirklich Wissenswertes war nicht wirklich dabei. Ausserdem: ich hätte theoretisch Daten von Familienmitgliedern sehen können, die ich nicht unbedingt hätte sehen sollen.
Beginnen wir zuerst mit Netflix, dem Filmstreamingportal.
Ich erhielt ein ZIP-File mit 11 Ordnern und Excelfiles, sie enthielten folgende Titel: Account, Content Interaction, Clickstream, Customer Services, Devices, IP Adresses, Messages, Payment and Billing, Profiles, Social Media Connection and Surveys.
Das ist natürlich ein Datenwust, mit dem ich zuerst nicht viel anfangen konnte. Natürlich sind dabei meine Klick-Historien aufgelistet, wie etwa:
- Wann ich welche Filme gesucht habe, zu welcher Zeit, welche Titel mir vorgeschlagen worden sind, was ich wann, wo (IP-Adresse und Land) mir angekuckt habe. Die Daten reichen zurück bis 2014. Wofür genau Netflix meine IP-Adresse von den Sommerferien 2015 heute noch benötigt wird, ist mir schleierhaft.
- Wann ich nach welcher Länge stoppte, wann ich auf welche Benachrichtigungen von Netflix reagierte (Neue Titel im Angebot), ob ich auf die Newsletterlinks klinkte etc… Dazu: Meine Gerätenummern, Marken des Geräts, Browser-Versionen etc.
Auf den ersten Blick viele Details, doch: Diese Sammlung von 11 Ordnern ist vor allem interessant für Netflix. Für mich war dieser Wust höchstens ein Beleg dafür, dass ich meinen Konsum etwas drosseln und früher schlafen gehen sollte.
Doch bei genauerem Hinschauen, stiess ich auf einen etwas problematischen Punkt: Ich teile den Account mit einem Familienmitglied (dieses nutzte das Konto jedoch kaum). Und ich hätte theoretisch die ganze Film-Historie dieses Mitglieds mitlesen können. Denn sie wurde ebenfalls in diesem Zip-File ausgestellt. Die Daten-Abfrage gilt also für alle Mitgliedprofile, frei nach dem Motto: “Ihr teilt ja schon das Passwort miteinander, dann könnt ihr auch miteinander teilen, welche peinlichen Filme ihr euch im Privaten anschaut.”
Klar: ich könnte beim Einloggen die Ansicht wechseln und mich in das Profil des Familienmitglieds einklinken. Ich hätte da die Empfehlungen zu sehen bekommen, möglicherweise auch die diversen “naheliegenden” Genres. Und: natürlich auch die “Continue Watching”-Liste mit all angefangenen Serien und Filmen. Doch: Diese lässt sich manuell einigermassen steuern, wenn man sich Mühe machen würde. Man kann also Filme entfernen und dazufügen, falls man diese vor anderen Familienmitgliedern, Partnerinnen oder Bekannten verbergen möchte.
Bei einer Datenauskunft lassen sich aber solche Historien nicht gut verstecken. Das Thema “Computer Sharing” und fehlende Privatsphäre aufgrund fehlender Abmeldeprozesse haben wir bereits in unserer Steuererklärungsgeschichte erläutert. Hier geht es also um Account-Sharing (etwas was Netflix ohnehin nicht sehr mag und um jeden Preis verunmöglichen möchte).
Diese Transparenz ist also etwas unschön beziehungsweise wird zu wenig kommuniziert. Da Netflix das Teilen eines Accounts in einem einzigen Haushalt grundsätzlich erlaubt (eben mit der Möglichkeit mehrere Profile zu bilden), ist die Auslieferung der User-Historien aller Profile die logische Folge davon und daher ein kleiner “Kollateralschaden”.
Wie man diesen vermeiden könnte?
Es wäre zum Beispiel hilfreich, würden die verschiedenen Profilinhaberinnen pro Account über eine im Dashboard eingeblendete Nachricht informiert werden würden, dass Netflix nun volle Transparenz über ihren Account gewährt und nun eine Datenauskunft ausgeliefert wird. Ebenso sollte die Hauptinhaberin- also ich, da der Account über meine Emailadresse betrieben wird- darauf hingewiesen werden, dass ich die etwaigen weiteren Profile benachrichtigen und erst ihre Zustimmung einholen sollte.
Was mir aber bei der Netflix-Sammlung fehlt, ist das eigentliche “Gold-Nugget”: die KI hinter dem Portal. Ich würde gerne wissen: Welcher Film- und Serientyp bin ich? Worauf gründen die personalisierten Empfehlungen für Serie und Filme? Welche algorithmusbasierten Entscheidungen werden gefällt und auf Basis welcher Daten genau? Kurz: Es fehlen alle Informationen zu den klugen Algorithmen und deren Outputs.
Netflix’s Senior Data Scientist, Mohammad Sabah sagte 2014:
“75 percent of users select movies based on the company’s recommendations, and Netflix wants to make that number even higher.”
In einem lesenwerten Blogbeitrag (auch dieser hier sei empfohlen) lernt man einiges über diese Personalisierungsmechanismen. Offenbar gibt es über 2000 “taste communities”, in denen wir Netflix-Zuschauerinnen einsortiert werden. Warum Netflix all diese technischen Details (die ich meiner Auskunft erhalten habe) benötigt, erfährt man hier:
“We have data that suggests that there the viewing behavior differs depending on the day of the week, the time of day, the device, and sometimes even the location.”
Doch weshalb mich die Personalisierung wirklich interessiert, sind nämlich die (trügerischen) Vorschaubilder der Serien.
Auch hier findet sich etwas im Blogpost:
“For the creation of the artwork, machine learning also plays a critical role; thanks to a computer vision algorithm that scans the shows and picks the best images that will be tested among the taste communities.”
Es handelt sich um die Lockmittel und Köder, die Netflix auf Basis meiner Interessen “auswirft”, um mich für eine lang ignorierte neue Serie doch noch irgendwie zu begeistern. Und weil ich schon einige Male in diese Falle reintappte, kann ich heute behaupten: sehr oft sind diese Vorschaubilder total irreführend. So könnte vielleicht ein Teaserbild mit zwei schwarzen Frauen die sich in Netzwerke eines Computers “hacken” mich dazu bewegen, vielleicht mir mal doch die erste Episode einer beworbenen Serie anschauen. Obwohl die Hauptrollen vielleicht doch nur mit weissen Männern besetzt wären und der Plot sich um Cops und Gangstern dreht (und das weibliche Hacker-Duo nur einen Nebenstrang in der zweiten Staffel darstellt)
Nun gut, wir kommen hier nicht weiter. Zwar finde ich im Zip-File ein Dokument “Taste Preferences” vor, doch dieses File ist komplett leer. Ich erfahre also nicht in welcher “Taste Community” ich untergebracht worden bin.
Ein klein wenig anders ist das bei Spotify, dem Musikstreaming-Portal.
Auch das schwedische Grossunternehmen lieferte die Datenauskunft nach wenigen Tagen detailliert (nicht als Excelfile, sondern im JSON-Format). Es handelte sich um 8 Dateien mit den Titeln: Follow, Inferences, Payments, Payments 1, Search Queries, Streaming History, UserData, YourLibrary. Das neben den üblichen dokumentierten Klickorgien interessanteste File heisst: “Inferences”. Zu Deutsch: “Rückschlüsse”. Im beiliegenden Merkblatt wird es genauer erklärt:
“Wir ziehen bestimmte Rückschlüsse im Hinblick auf deine Interessen und Präferenzen basierend auf deiner Nutzung des Dienstes von Spotify. Außerdem verwenden wir dazu von unseren Werbetreibenden und anderen Werbepartnern erfasste Daten. Dazu gehört eine Liste von Marktsegmenten, denen du derzeit zugeordnet bist. Abhängig von deinen Einstellungen können diese Daten verwendet werden, um dir innerhalb des Dienstes von Spotify interessenbezogene Werbung bereitzustellen.
In diesem Abschnitt sind also vor allem die ersten zwei Sätze interessant.
Zum ersten Satz: Dieses Versprechen hält Spotify durchaus ein. Das Streamingunternehmen vermutet dass ich mich für Business, News etc. interessiere. Die aufgelisteten Kategorien sind plausibel.
“Books”
“Business”,
“Culture & Society”,
“Education”,
“Health & Lifestyle”,
“History”,
“NerdwalletBestOf_Nerdwallet_Q4Q12021_Exposed”,
“News”,
“Parenting” (hier vermute ich all die Kinderhörspiele die wir uns beim Hüten der Kinder angehört haben)
“Podcasts”,
“Science & Medicine”
Interessanterweise fehlt dabei die Kategorie “Tech”, dabei höre ich mir die meisten Podcasts in diesem Themenbereich an. Und dazu verschlagwortet mich Spotify in seltsamen weiteren kryptischen Tags wie etwa “1P_Social Streamers_Broad”. Ich habe nun nachgefragt beim Unternehmen, was diese Begriffe zu bedeuten haben und werde das Update hier posten.
Schauen wir uns den zweiten Satz an in obigen Abschnitt: “Außerdem verwenden wir dazu von unseren Werbetreibenden und anderen Werbepartnern erfasste Daten.“
Davon steht jedoch nichts in meinem Datenfile drin. Also weder um welche Werbepartner es sich handelt, noch welche Daten genau diese über mich besitzen und mit Spotify matchen. Auch diese Information habe ich bei der Privacy-Abteilung nochmals nachgefragt und werde deren Antwort hier oder bei einer weiteren Aktualisierung veröffentlichen.
Zum Glück gibts die Organisation NOYB von Max Schrems, die sich mit diesen Datenfragmenten ebenfalls nicht wirklich zufrieden gibt. Und auf Basis der DSGVO (Recht auf Zugang der Daten) nun einklagt: So hat Noyb im Herbst 2018 Beschwerde unter anderem gegen Spotify und Netflix bei der österreichischen Datenschutzbehörde eingereicht. Der Inhalt davon: die Datenauskünfte seien gemäss DSGVO unzureichend und ungenügend.
Konkret bemängelt Schrems in den beiden Beschwerden vier Punkte:
- Personenbezogene Daten wie Cookies, Pixel-Tags etc werden den Spotify- und Netflix-Nutzerinnen nicht geliefert.
- Ausserdem fehlen alle Information über weitere Empfänger (Drittparteien, Dienstleister) der personenbezogenen Informationen (mit denen etwa Spotify meine Daten offenbar verknüpft).
- Zudem fehlen Angaben zu den Verarbeitungszwecken wie etwas die Personalisierung meiner Empfehlungen. Und auf welcher Basis diese basieren. Also konkret: wofür genau Netflix meine Abbruchzeiten, Wiederaufnahmezeiten bei den Serien sowie alle eingegebenen Suchbegriffe jahrelang speichert und was genau damit verarbeitet wird.
- Hinzu kommt dass sowohl Netflix wie auch Spotify gemäss ihrer Datenschutzerklärung personenbezogene Daten an Dritte weitergeben, deren Sitz nicht in der EU oder USA liegen. Doch beide Streamingunternehmen liefern keine Angaben dazu, um welche Länder es sich handelt.
Das alles könnte ein schönes teures Nachspiel haben. NOYB schreibt dass die maximale Höchstbussen für beide Unternehmen zusammen 500 Millionen Euro betragen würden. Wie es seit der Beschwerde weiterging, wird aus den diversen Medienberichten nicht ersichtlich. Der letzte Artikel ist von April 2020: die österreichische Arbeiterkammer Wien plant eine Klage. Die Causa Netflix und Spotify ist noch nicht abgeschlossen.
.
7 Antworten
Vielen Dank für die Recherche. Ich möchte anmerken, dass es aus meiner Sicht vollkommen offensichtlich ist, dass man die Daten des gesamten Accounts und damit aller Profile erhält. Möchte man das nicht ist die einzige Lösung einen eigenen Account zu nutzen. Das gilt überall: Beim Handy, Computer, Tablet, E-Mail und so auch bei Netflix. Sobald man irgendein Passwort teilt, sind die Daten geteilt.
Merci! Natürlich, und da trifft mich ja eine Mitschuld, weil ich eine Datenauskunft über den gesamten Account verlange (bzw eine andere Option gibt es dafür gar nicht). Es ist halt mehr: weil “by design” mehrere Profile möglich sind pro Account, die auch für unterschiedliche NutzerInnen gedacht sind, wäre es wünschenswert wenn Netflix die Privacy-Implikationen einer Kontodatenauskunft mitdenken würde. Ich möchte das Streaming-Portal nicht “blamen”, es ist wohl auch ein Kollateralschaden, den man in Kauf nehmen muss. Eine kurze Info vor dem Auskunftsklick wäre wünschenswert gewesen. Oder auch ich hätte dran denken können.
Moin moin,
ich vermute, dass genau die Auslieferung von Daten von Familienmitgliedern ein Verstoß gegen die DSGVO ist, zumindest wenn Netflix weiß, dass die Daten von verschiedenen Personen stammen. Meines Wissens nach muss man bei dieser Datenanfrage nämlich genau prüfen, ob die Person berechtigt ist, die Daten zu erhalten. Da es sich hier um Daten von dritten handelt und es wahrscheinlich keinen Auftragsdatenverarbeitungsvertrag zwischen Netflix und dir gibt, gibt es da aus meiner Sicht keine Grundlage für.
Danke für den Kommentar! Interessant…Sind Sie sicher dass keine Auftragsdatenbearbeitung zwischen Netflix und Netflix-User aka Benutzeraccount besteht?
Spannend, vielen Dank.
Es ist wichtig, dass diese Arbeit gemacht wird und die Unternehmen auch verantwortlich gehalten werden.
Einziger Punkt, wo ich anderer Meinung bin: Wenn ich als User zustimme einer Firma meine Daten zu geben und diese Firma dann mit diesen Daten (algorithmisch) Rückschlüsse zieht, sind doch diese Rückschlüsse nicht mehr Teil meiner Daten sondern eben genau die Arbeit des Unternehmens.
Danke für Ihren Kommentar. Dann finden Sie die Rückschlüsse gehören nicht in eine persönliche Datenauskunft hinein oder sind – zu Recht- Geschäftsgeheimnis einer Firma? Ihre Meinung würde mich interessieren.
Ich stimme dem absolut zu, jedoch denke ich steht das auch im Widerspruch mit DSGVO Art. 15 Abs. 1, h) (Kurz: Auskunft zu erhalten bezüglich Profiling, involvierte Logik, Tragweite und angestrebte Auswirkung).
Spannendes Thema!