Dieser Artikel stammt von Netzpolitik.org.Der Autor ist…
Datenhändler wissen viel über uns, doch sie selbst arbeiten lieber im Schatten. Wer trotzdem herausfinden will, was sie gespeichert haben, kann sich auf die Datenschutzgrundverordnung berufen. Wir erklären, wie es geht.
Wer das Gefühl hat, dass etwas faul ist, kann sich beschweren. – CC0 netzpolitik.org mit MidjourneyDatenhändler sammeln haufenweise Informationen über uns, stecken uns in Kategorien und vermarkten mit diesem Wissen unsere Aufmerksamkeit gezielt an Werbetreibende. Wieviel Geld wir verdienen, was wir einkaufen, wo wir uns aufhalten, was für eine Persönlichkeit wir haben, all das werten sie aus. Zigtausende Label hat die Werbeindustrie für uns. Teilweise auch zu unserer Gesundheit, zur sexuellen Orientierung, zu Religion, Herkunft und politischen Überzeugungen.
Das alles zeigen wir in einer aktuellen Recherche. Wir decken auch auf, wie tief deutsche Firmen in das Netzwerk des Datenhandels eingebunden sind. Die Datenschutzgrundverordnung verhindert das bisher kaum, denn die Aufsichtsbehörden werden meist nur dann tätig, wenn es Beschwerden von Bürger:innen gibt. Doch wie soll man sich über Unternehmen beschweren, die man gar nicht kennt?
Das Geschäft der Datenhändler findet im Hintergrund statt. Sie kaufen und verwerten Daten, die andere einsammeln: Apps, Websites, Kreditkartenfirmen, Marktforschungsunternehmen und andere. Beispielsweise in Cookie-Banner willigen wir in diese Verarbeitung ein. Aber dass diese Einwilligungen gültig sind, daran gibt es große Zweifel.
Die Datenschutzgrundverordnung (DSGVO) bietet mit dem Recht auf Datenauskunft ein Werkzeug herauszufinden, was die Unternehmen über uns zu wissen glauben. Das kann zum einen interessant sein. Aber auch die Grundlage für eine Beschwerde bei Datenschutzbehörden, damit sie prüfen können, ob die Datenverarbeitung rechtmäßig ist.
1. So formulierst du eine Anfrage zur Datenauskunft nach Artikel 15 DSGVO
2. So erreichst du die Datenhändler
3. So findet du deine Cookie-IDs und Mobile Advertising IDs
4. So reichst du Beschwerde bei Datenschutzbehörden ein
5. So kannst du dich künftig besser schützen
1. So formulierst du eine Anfrage zur Datenauskunft nach Artikel 15 DSGVO
Das Auskunftsrecht betroffener Personen bei Datenverarbeitern ist in Artikel 15 der Datenschutzgrundverordnung geregelt. Unternehmen müssen auf Anfrage nicht nur mitteilen, ob sie Daten über uns gespeichert haben, sondern diese Daten auch herausrücken. Dazu haben sie in der Regel vier Wochen Zeit. Nur in Ausnahmefällen mit besonderem Aufwand kann diese Frist verlängert werden.
Hilfreich für die Auskunftsanfragen ist der deutsche Dienst datenfragen.de. Das Projekt unterstützt Menschen mit einem Generator für Auskunftsanfragen.
Weitere gute Beispiele dafür, wie Auskunftsanfragen aussehen können gibt es hier:
auf Deutsch bei den Verbraucherzentralen
auf Englisch bei datarequests.org
Ihr könnt den Großteil der Schreiben einfach kopieren und müsst nur an den entsprechenden Stellen eure Daten einsetzen. Ihr könnt auch bestimmte Aspekte ergänzen oder weglassen.
Wichtig: Die Unternehmen machen es uns teilweise schwer, an die eigenen Daten heranzukommen. Manchmal muss man dranbleiben, nachhaken, auf dem Auskunftsrecht bestehen oder damit drohen, die Datenschutzaufsichtsbehörden einzuschalten.
Erzählt uns gerne hier in den Kommentaren oder per Mail an ingo.dachwitz@netzpolitik.org von euren Erfahrungen mit Datenauskunftsanfragen bei Datenhandelsfirmen.
2. So erreichst du die Datenhändler
Das Netzwerk der Datenhandelsfirmen ist groß und unübersichtlich. Allein in unserer Recherche sind wir auf 93 Firmen gestoßen, die in der Liste der Firma Xandr aufgetaucht sind, darunter auch sieben deutsche Firmen. Hier findest du einige der Datenschutzadressen:
Adsqare (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: privacy@adsquare.com
Um Adsquare zu verbieten, in Zukunft Daten zu sammeln, das Formular unten auf der Seite ausfüllen.
DataXtrade (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: privacy@dataxtrade.com
Um DataXtrade zu verbieten, in Zukunft Daten zu sammeln, auf der Website „opt-out“ anklicken.
Emetriq (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: datenschutz@telekom.de
Um Emetriq zu verbieten, in Zukunft Daten zu sammeln, auf der Website „opt-out“ anklicken.
Eyeota (USA):
Um bei Eyeota Auskunft über deine gesammelten Daten zu bekommen, gesammelte Daten zu löschen und Eyeota zu verbieten, in Zukunft Daten zu sammeln, auf der Website das Formular ausfüllen. Eine Mailadresse ist nicht auffindbar.
Oracle (USA):
Um bei Oracle Auskunft über deine gesammelten Daten zu bekommen, gesammelte Daten zu löschen und Oracle zu verbieten, in Zukunft Daten zu sammeln, auf der Website das Formular ausfüllen. Eine Mailadresse ist nicht auffindbar.
Liveramp (USA):
Um bei Liveramp Auskunft über deine gesammelten Daten zu bekommen, gesammelte Daten zu löschen und Liveramp zu verbieten, in Zukunft Daten zu sammeln, auf der Website das Formular ausfüllen. Im Formular für Aukunft „Access My Information“ auswählen, für Opt-out „Objection Request” auswählen, für das Löschen von Daten „Other Privacy Inquiry” auswählen und im Kommentarkasten “Erasure Request” schreiben. Eine Mailadresse ist nicht auffindbar.
Nielsen Marketing Cloud (USA):
Auskunft über deine gesammelten Daten per Mail anfordern: privacy.department@nielsen.com
Auskunft über deine gesammelten Daten über ein Formular auf der Website anfordern.
Für ein Opt-out Mailadresse auf der Website eintragen.
roq.ad (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: privacy@roq.ad
Für Opt-out auf der Website (unten) „Desktop“, „iOS Device“, „Windows Device“ oder „Android Device“ auswählen.
Semasio (Deutschland):
Auskunft über deine gesammelten Daten durch Angabe der Mailadresse auf der Website anfordern.
Für Opt-out auf der Website „opt-out“ anklicken. Eine Mailadresse ist nicht auffindbar.
The ADEX (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: legal@theadex.com
Für Opt-out auf der Website oder Plattform jeweils runterscrollen bis zum blauen „opt-out“-Button.
Xandr (USA):
Auskunft über deine gesammelten Daten durch das Formular auf der Website.
Für Opt-out auf der Website die jeweiligen Optionen anklicken. Eine Mailadresse ist nicht auffindbar.
Zeotap (Deutschland):
Um bei Zeotap Auskunft über deine gesammelten Daten zu bekommen und Zeotap zu verbieten, in Zukunft Daten zu sammeln, auf der Website das Formular ausfüllen. Eine Mailadresse ist nicht auffindbar.
3. So findet du Cookies in deinem Browser und deine Mobile Advertising IDs
Damit die Unternehmen dich in ihren Datenbanken finden können, musst du ihnen IDs mitschicken, unter denen sie sich gespeichert haben könnten. Die wohl wichtigste ist die Mobile Advertising ID. Eine Werbe-ID ist eine pseudonyme Benutzer*innen-ID, die einem mobilen Gerät vom Hersteller des Betriebssystems zugewiesen wird. Durch sie können Werbedienste Angebote personalisieren. Wie du sie findest, erklären wir hier.
Manche Anbieter wollen zudem die IDs von Cookies, die sie auf deinem Gerät speichern. Diese auszulesen ist allerdings für Laien allerdings sehr schwierig, wie die Datenschutzorganisation noyb bemängelt. Wo du die Cookies im Chrome- und im Firefox-Browser findest, erklären wir hier ebenfalls.
Sinnvoll ist es auch, deine Mailadresse und Telefonummer mitzuschicken. Manchmal fragen Unternehmen auch nach einer Kopie des Personalausweises oder sonstigen Möglichkeiten, um dich zu authentifizieren. Du darfst dabei deinen Personalausweis überwiegend schwärzen. Außerdem dürfen die Unternehmen diese Infos nicht weiterverwenden, darauf solltest du sie in deiner Anfrage hinweisen.
So findest du Mobile Advertising IDs bei Android
Adroid-Geräte haben eine Google-Werbe-ID. Diese findest du so:
Auf dem Gerät in die Google Einstellungen (Zahnrad-Symbol mit dem Google-G in der Mitte) gehen. (Nicht zu verwechseln mit den normalen Android-Einstellungen.)
Dort „Dienste“, dann „Anzeigen“/“Werbung“ anklicken.
Die Google Ad-ID ist dort unter „Meine Werbe-ID“ zu finden und kann auch dort gelöscht, zurückgesetzt oder deaktiviert werden.
So findest du Mobile Advertising IDs bei Apple/iOS
Apple/iOS-Geräte haben eine Apple Werbe-ID namens Identifier for Advertisers (IDFA). Diese ist standartmäßig versteckt, kann aber über eine Drittanbieterapp herausgefunden werden:
Beispielsweise über „My Device ID by AppsFlyer“ oder „adjust Insights“
Dort dann unter IDFA – Advertising ID
Damit die ID angezeigt werden kann, musst du App-Tracking für die App zwischenzeitlich erlauben
Achtung: Lösche die App wieder, nachdem du deine ID herausgefunden hast.
Die Apple-ID lässt sich nicht löschen oder zurücksetzen, allerdings kann man das Tracking verbieten. Das geht so:
Auf dem Gerät in die Einstellungen gehen.
Auf „Datenschutz“ und dann „Tracking“ klicken.
Dort gibt es einen Schieberegler, bei dem man Apps erlauben oder verbieten kann, Tracking anzufordern.
So findest du Cookies
Cookies findest du über deinen Webbrowser. Beim Besuch einer Website wird der Cookie des jeweiligen Dienstleisters dort gesetzt. Deswegen sind eventuell sehr viele verschiedene Cookie-IDs in deinem Webbrowser gespeichert.
So findest deine Cookies im Firefox-Browser
Starte Firefox und klicke oben rechts auf die Menüschaltfläche mit den drei Strichen.
Wähle „Hilfe“ und anschließend „Informationen zur Fehlerbehebung“.
Unter „Allgemeine Informationen“ klicke nun auf die Schaltfläche „Ordner öffnen“.
In diesem Ordner finden sich neben Lesezeichen und anderen Daten auch alle Cookies in einer einzelnen sqlite-Datei. Du brauchst dann ein Tool, um dir die Cookie-Datenbank anschauen zu können.
Einfacher ist es, Cookies von einzelnen Websites anzusehen:
Starte Firefox und klicke oben rechts auf die Menüschaltfläche mit den drei Strichen.
Wähle „Weitere Werkzeuge“ und anschließend „Werkzeuge für Webentwickler“.
Klicke auf „Webspeicher“, in der Seitenleiste findest du nun die Liste der Cookies
So findest deine Cookies im Chrome-Browser
Starte Chrome und klicke oben rechts neben der Adresszeile auf die Konfigurationsschaltfläche mit den drei Punkten.
Wähle im eingeblendeten Menü „Einstellungen“.
Klicke nun auf „Datenschutz und Sicherheit“.
Klicke anschließend auf „Cookies und andere Websitedaten“. Hier kannst du auch deine Einstellungen ändern, um Cookies zu blockieren.
Dann auf „Alle Websitedaten und Berechtigungen ansehen“ klicken.
Einfacher ist es auch hier, Cookies von einzelnen Websites anzusehen:
Starte Chrome und klicke oben rechts neben der Adresszeile auf die Konfigurationsschaltfläche mit den drei Punkten.
Wähle „Weitere Tools“ und anschließend „Entwicklertools“.
Klicke auf „>>“ und wähle „Application“, in der Seitenleiste findest du nun den Menüpunkt „Cookies“.
4. So reichst du Beschwerde bei Datenschutzbehörden ein
Falls du das Gefühl hast, dass etwas faul ist, solltest du die Datenschutzbehörden einschalten. Sie können prüfen, ob die Datenverarbeitung rechtmäßig ist und ob genug Schutzvorkehrungen getroffen wurden. Sie helfen dir auch, wenn ein Unternehmen nicht oder unvollständig auf deine Auskunftsanfrage reagiert.
In Deutschland hat jedes Bundesland seine eigene Datenschutzbehörde. Bei deutschen Unternehmen ist die Behörde zuständig, in deren Bundesland das betroffene Unternehmen sitzt. Es ist deshalb sinnvoll, sich direkt an die passende Behörde zu wenden. Bei internationalen Unternehmen wendest du dich am besten an die Behörde des Bundeslandes, in dem du wohnst.
Schildere in der E-Mail an die Behörde, über welches Unternehmen du dich beschweren möchtest und warum du denkst, dass es deine Datenschutzrechte verletzt hat. Das kann zum Beispiel so aussehen: „Laut Datenauskunftsanfrage nach Art. 15 DSGVO hat [Unternehmen XY] personenbezogene Daten von mir verarbeitet. Ich bezweifele, dass die Verarbeitung auf einer gültigen Rechtsgrundlage stattfindet. Eine Einwilligung, meine Daten an [Unternehmen XY] weiterzugeben, habe ich meines Wissens nach nicht gegeben.“
Leite den Behörden erstmal noch keine personenbezogenen Daten oder Schriftverkehr weiter, sondern beschreibe ihnen erstmal, welche Daten du ihnen als Belege zur Verfügung stellen kannst.
Eine Übersicht der Kontaktmöglichkeiten findest du auf der Website des Bundesdatenschutzbeauftragten.
5. So kannst du dich künftig besser schützen
Ein vollumfassender Schutz gegen Tracking ist schwer, die Datenindustrie arbeitet an immer neuen Mitteln und Wegen, Selbstschutz zu umgehen. Allerdings gibt es ein paar einfache Tricks, mit denen man einen relevanten Anteil des heutigen Tracking unterbinden kann.
Dazu zählt: Im Browser nach jeder Session automatisiert die Cookies löschen lassen. Auch die Datenschutzeinstellungen von Apps und Geräten können helfen. Bei Apple/iOS geht das inzwischen relativ einfach, indem man „App-Tracking“ unterbindet. Bei Android gibt es die Möglichkeit, die Mobile Advertising ID zurückzusetzen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Ingo Dachwitz
