Was Amazon alles über uns weiß

Jeder EU-Bürger hat das Recht auf Auskunft und kann nach Artikel 15 der Datenschutzgrundverordnung ein Auskunftsbegehren an Unternehmen schicken. Die Datenschutzaktivistin Katharina Nocun hat dies getan und bei Amazon ihre Daten angefordert und bekam diese – nach mehreren Anläufen – auch tatsächlich zugeschickt. Doch zuvor entwickelte sich eine „lange, intensive Brieffreundschaft“, denn zuerst bekam sie lediglich einen kleinen Auszug des Datensatzes auf einer CD zugeschickt.

Doch nach mehrfachem Hin und Her rückte das Unternehmen die Daten letztendlich raus. Was sie dann bekam, beinhaltete ihren vollständigen Clickstream aus den vergangenen 14 Monaten, der aus einer Excel-Tabelle mit 15.365 Zeilen und 50 Spalten bestand. Nocun nutzte diese Daten, um sie zu analysieren und rauszufinden, was Amazon wirklich über sie weiß. Gemeinsam mit der Datenanalystin Lettie präsentierte die Datenschutzaktivistin in einem Vortrag am 35. Chaos Communication Congress die Ergebnisse.

In dem Clickstream wurde jeder einzelne Klick verzeichnet, den sie auf Amazon gemacht hat. Das Unternehmen kennt damit auch den kompletten Suchverlauf. "Das heißt, wann ich mir welche Rezensionen länger angeschaut habe, wann ich das Bild eines Produktes größer gemacht habe, alle Suchanfragen - also wirklich jeder Klick", so Nocun in ihrem Vortrag. 

Zu jedem einzelnen Klick gibt es zudem 50 zusätzliche Informationen, die in der Excel-Tabelle vermerkt sind. So weiß Amazon auch, mit welchem Gerät die jeweilige Seite besucht wurde, aus welchem Land die Seitenanfrage kommt, mit welchem Browser gesurft wurde, und um welche Uhrzeit der Seitenbesuch stattgefunden hat.

Das Datenanalyseprogramm von Letty hat all die Datensätze dann ausführlich durchforstet. Anhand der Daten lässt sich etwa auch feststellen, wann die Datenschutzaktivistin wo gewesen ist, wo sie im Urlaub war (etwa auf den Bahamas), wann sie wohin gependelt ist, wann sie ihre Eltern besucht hat. Es haben sich aber auch die Tage zuordnen lassen, an denen Nocun in der Bibliothek saß und zwischendurch nach einem Buch gesucht hat. Zudem wurden die Websites erfasst, auf denen Nocun vor und nach dem Besuch auf Amazon zugange war.

Dadurch, dass die genaue Uhrzeit vermerkt wird, weiß Amazon auch, wann Nocun nachtaktiv war. "Nur weil ich nachts nicht einschlafen kann und bei Amazon was nachgeguckt habe, heißt das nicht, dass ich möchte, dass ein Unternehmen eineinhalb Jahre auf Vorrat speichert, wann ich nicht einschlafen konnte“, sagte Nocun dazu.

Falsche Schlüsse

Was Amazon mit den Daten macht, weiß Nocun nicht. Doch die Datenschutzaktivistin, die mit „Die Daten, die ich rief" auch ein Buch zu dem Thema veröffentlicht hat, ist vor allem besorgt darüber, dass das Unternehmen falsche Schlüsse über ihre Persönlichkeit ziehen könnte.

Sie erzählte etwa, dass sie ein Buch übers Kinderkriegen, eines über moderne Beziehungsformen und eines über das Aussteigen auf Amazon gesucht hatte. Doch ihre Suche hatte andere Gründe, als man annehmen könnte: In zwei Fällen kannte sie die jeweiligen Autoren der Bücher und in einem Fall veröffentlichte sie ihr Buch im selben Verlag und wollte schlichtweg nachsehen, was dieser noch in seinem Sortiment hatte.

Zudem habe sie gleich mehrere Bücher über Krebs gesucht. Doch diese würden nichts über ihren eigenen Gesundheitszustand sagen, denn sie hatte lediglich recherchieren wollen, wie hoch der Anteil „esoterischer Quatschbücher“ sei, so die Aktivistin. Ebenso würde sie auf Amazon nach Publikationen zur AfD suchen, die „auf eine rechte politische Gesinnung“ schließen lassen könnten. Gemeinsam mit einem Kochtopf und einer Sturmmaske könnte sie ihr Clickstream als „potentielle Gefährderin“ einordnen.

Welche Daten Amazon davon ganz genau mit Drittanbietern teilt, ist nicht bekannt. Einige davon dürften aber durchaus auch bei sogenannten „Datenaggregatoren“ landen. Zudem hat sich Nocun ausschließlich auf der Amazon-Website herumgetrieben und keine anderen Amazon-Services genutzt. Nutzt man etwa Amazon Prime, kommen zu den oben beschriebenen Daten auch noch alle Filme und Serien dazu, die man angesehen, geliked oder zumindest kurz reingeklickt hat.

Hat man zu Hause eine „Alexa“ herumstehen, erhöht sich der Datensatz automatisch um alle Audio- und Sprachdateien, die man im Laufe der Zeit an die digitale Sprachassistentin diktiert. Erst kürzlich ist es etwa gelungen, anhand eines fälschlich an eine andere Person gesendeten Sprachdatensatzes den Besitzer einer „Alexa“ ausfindig zu machen. Der User hatte 1700 Sprachdateien einer fremden Person erhalten, nachdem er seine eigenen Daten angefordert hatte. Amazon sprach in dem Zusammenhang von einem „Einzelfall“.

Nocun fordert Nutzer dazu auf, selbst Datenauskunftbegehren an große Unternehmen zu verschicken, um die eigenen Datenspuren zu sehen und dabei hartnäckig zu bleiben. Denn nur dann würden Unternehmen dazu gezwungen, eigene Portale dafür einzurichten und den Prozess transparent zu machen, was das Unternehmen über jeden einzelnen wisse. Ein "How To" gibt es für Österreich etwa auf der Website der österreichischen Datenschutzbehörde. „Überwachung ist längst zur Standardeinstellung geworden. Dabei sollte eigentlich Privatsphäre der Standard sein“, so die Aktivistin.