Amazon

DSGVO-Auskunftsersuchen mit Hindernissen

Die Datenschutzaktivistin Katharina Nocun hat in Zusammenarbeit mit der Webentwicklerin „Letty“ in einem Selbstversuch eine DSGVO-Auskunftsanfrage an Amazon gestellt und ihre Ergebnisse auf dem 35. Chaos Communication Congress in Leipzig in ihrem Vortrag „Archäologische Studien im Datenmüll“ vorgestellt.

Damit die Aktivistin sicherstellen konnte, dass für den Selbstversuch auch ein ausreichender Datensatz vorhanden war, shoppte sie für 14 Monate ausgiebig bei Amazon. Neben fast 60 Büchern landeten dabei auch Artikel wie Sprühkreide, ein Lavendel-Einschlaf-Kissenspray, Hausschuhe, eine PC-Maus oder ein Home-Trainer sowie diverse weitere Artikel im Warenkorb.

Was dann folgte, bezeichnete die Vortragende selbst als „Brieffreundschaft“, die auch zum Vortragszeitpunkt anhielt. Ihre erste Anfrage nach Auskunft im Sinne des Art. 15 der DSGVO wurde von Amazon kurz und knapp mit einem Verweis auf die eigene Bestellhistorie im Kundenkonto beantwortet. Da aber jeder registrierte Benutzer beim Aufrufen der Hauptseite unter anderem eine personalisierte Einkaufsempfehlung anhand der zuletzt aufgerufenen Artikel angezeigt bekommt, muss der Datensatz weitaus größer sein als vom Versandhändler suggeriert.

Somit wurde die „Brieffreundschaft“ von Seiten der ehemaligen politischen Geschäftsführerin der Piratenpartei fortgesetzt. Mit dem Ergebnis, dass die Aktivistin mehrere CD-Roms von Amazon erhielt. Auf diesen befanden sich unter anderem PDFs mit Suchanfragen und diversen Reaktionen wie zum Beispiel auf Werbe-E-Mails. Auf einer der von Amazon versandten CD-Roms befand sich ebenfalls eine Excel-Tabelle mit dem Titel „Clickstream“. Diese umfasste mehr als 15.000 Zeilen, die zudem bis zu 50 Spalten beinhalteten. 

Es wird vielmehr gespeichert

Aus der besagten Excel-Tabelle ließen sich nun mit Hilfe des „Pandas Package“ und der Programmiersprache „Python“ weitere Rückschlüsse über die Sammelleidenschaft von Amazon ziehen. Somit konnten die Vortragenden aufzeigen, dass der Onlineversandhändler nicht nur die Käufe seiner Nutzer auswertet, sondern jede Interaktionen mit der Seite selbst dokumentiert. Sogar das Anklicken von Produktbildern, um diese in einer vergrößerten Ansicht zu betrachten, wird vom Marktführer gespeichert. Diese werden dann mit dem privaten Konto durch eine ID inklusive Cookie verknüpft und ermöglichen es so, den User über alle von Amazon angebotenen Dienste wie Alexa oder Prime eindeutig zu identifizieren. Die erfassten Daten werden ebenfalls mit Zeitstempel und Geodaten versehen. Allerdings wurde der letzte Block der IP-Adresse im vorhandenen Datensatz vom Onlinehändler entfernt.

Insgesamt konnte die Webentwicklerin 3.747 Einträge über „reale Interaktionen“ feststellen. Daraus ließ sich schließen, das Frau Nocun an 24 Tagen Artikel bei Amazon gekauft hat. Besonders viel sei im Dezember erworben worden. Bei den besuchten Orten war Berlin der Spitzenreiter, aber auch Orte wie die Bahamas oder Polen konnten dem Datensatz entnommen werden. 

In der Spalte Provider tauchte oft das Deutsche Forschungsnetz auf, wodurch sich Rückschlüsse über einen vermehrten Aufenthalt in Bibliotheken ziehen ließen. Anhand der Verweildauer auf der Website ließ sich erkennen, dass die Datenschutzaktivistin zum Teil über anderthalb Stunden auf der Seite unterwegs war. Ebenfalls war es möglich, aufgrund der Linkverweise zu sehen, für welche Inhalte oder Medien sich die Ex-Piratin interessierte. Dies ermöglichte Hinweise über den Gesundheitszustand, die politische Einstellung oder aber die Lebensplanung der Aktivistin herauszu filtern.

Laut Aussage der Datenschützerin lassen sich durch den Clickstream von den Behörden trügerische Rückschlüsse ziehen. Somit könnte sie schnell als Gefährderin eingestuft werden, da im Clickstream auch Artikel wie ein T-Shirt mit dem Aufdruck „Chemist“, ein verdächtiger Kochtopf, eine Sturmmaske und ein „Killer-Spiel“ auftauchten.