Sicherheit

Durchgelesen: Die Shazam-Nutzungsbedingungen im Datenschutz-Check

shazam
geschrieben von Ekki Kern

Mal ehrlich: Wer liest schon AGB? Oder Datenschutzhinweise? Oder sonstiges Kleingedrucktes? Und auf der anderen Seite: Wer hat deswegen kein schlechtes Gewissen? In „Durchgelesen“ nehmen wir uns die Allgemeinen Geschäftbedingungen, Nutzungsvereinbarungen und Datenschutzhinweise von bekannten Online-Diensten vor, überprüfen sie auf kritische Passagen und fassen sie verständlich zusammen. Diesmal: Shazam. // von Ekki Kern

Herausfinden, wie das Lied denn heißt, das man gerade hört – das ist noch immer der Hauptgrund für viele Nutzer, die Shazam-App auf dem Smartphone zu nutzen. Über die Jahre hinweg bekam das englische Unternehmen, das hinter Shazam steht und Shazam Entertainment Limited heißt, immer einmal wieder schlechte Presse. Von Verstößen gegen gängige Datenschutzregeln war da oft die Rede.

Doch was steht eigentlich in der sogenannten Privacy Policy, die den Nutzer über die Verwendung seiner Daten informieren soll? Ich habe kein gutes Gefühl, werde aber wie immer ergebnisoffen recherchieren.

Kryptische Bezeichnung

Gleich im ersten Satz der Datenschutzbestimmungen bezeichnet sich das Unternehmen als „media engagement service“. Man will also offensichtlich mehr sein als ein reines Musik-Erkennungsprogramm. Um dem Nutzer zu nützen, müsse man allerdings ein wenig Daten sammeln, heißt es gleich danach:

we (and some of our advertising partners) ask for data about you and also create data about your use of Shazam.

Man wird als Nutzer also sowohl von Shazam selbst als auch von „einigen unserer Werbepartner“ um Daten gebeten, außerdem wird offensichtlich protokolliert, wie ich die App nutze. Das hört sich erst einmal seltsam an, auch wenn es vielleicht wenig überrascht.

Persönliche Daten sind gefragt

Was nun möchte das Unternehmen genau von mir wissen?

We will sometimes ask you for personal data (such as your name, telephone number and date of birth) when you create a Shazam registration or when you click to participate in certain activities (e.g. to take advantage of offers).

„Manchmal“, wie es heißt, werde der Nutzer während des Registrierungsvorgangs nach persönlichen Daten, wie etwa dem Klarnamen, der Telefonnummer und dem Geburtsdatum, gefragt. Das ist auch der Fall, wenn man bei „gewissen Aktivitäten“ teilnimmt, also etwa bei Gewinnspielen und Aktionen.

Auch das Smartphone werde man ein bisschen untersuchen, sagt Shazam. Etwa, um den Handytyp, die verwendete Software und die Standardsprache herauszufinden. Außerdem werde eine Geräte- bzw. Nutzer-ID erstellt, um wiederkehrende Nutzer erkennen zu können:

We also automatically receive and track certain data about your mobile device (such as your device-type, software and language preference) or desktop interface, your taps and interests; and we may create a unique device or user ID for you so we can recognize you.

„In bestimmten Fällen“, so heißt es weiter, „können wir automatisch auf die Lokalisationsfunktion des Smartphones zugreifen“, in anderen Fällen müsse der Nutzer aktiv werden, um Shazam die Rechte einzuräumen, auf diese sensiblen Daten zuzugreifen:

In some cases we can automatically detect your location data, but often your operating system will require you to grant us permission to access your GPS; please refer to your device’s system settings regarding location services.

Mit der Datenkrake verbinden

Nun ist es auch möglich, den eigenen Facebook-Account mit der Shazam-App zu koppeln. Ob man das tut, ist jedem selbst überlassen. Fakt ist: Wer sich dafür entscheidet, räumt Shazam Zugriff auf die eigene Facebook-ID, den eigenen Namen, sein Profilfoto, Geschlecht, Alter und die Mail-Adresse ein (sollten diese Daten bei Facebook vorhanden sein):

If you connect with Facebook or another social network via the Shazam app, we may also receive some data from that network (e.g. your Facebook ID, name, profile picture, gender, age, locale and email address).

Im nun folgenden Punkt 2 erklärt Shazam, wofür es die gesammelten persönlichen Daten nutzt: zunächst einmal, um den Nutzer mit „auf ihn zugeschnittenen Inhalten“ zu versorgen, wie es heißt. Darunter ist freilich auch gezielte Werbung:

to provide you with services and the display of customized content, integration to our partner apps and targeted advertising both on our apps/websites and on other apps/websites that we advertise through

Außerdem wird offensichtlich genau verfolgt, wann der Nutzer aus der Shazam-App heraus auf andere, sogenannte „Partner-Apps“, zugreift. Daten werden außerdem auch genutzt, um etwa die technische Funktionalität von Shazam zu gewährleisten, um das Copyright des Unternehmens zu schützen, um die Beachtung der Allgemeinen Geschäftsbedingungen zu prüfen, um Verstöße ahnden zu können und um dem geltenden Recht zu genügen.

Marktforschung ausdrücklich erlaubt

Ganz am Ende der Aufzählung ist noch ein interessanter Satz. Hier heißt es:

to enable us to use a third party to perform surveys measuring your experiences and use of our services.

Die persönlichen Daten werden also auch genutzt, um von Dritten Dienstleistungen in Anspruch nehmen zu können. Bei diesen Unternehmen dürfte es sich insbesondere um solche aus dem Bereich der Marktforschung handeln, die sich mit dem „Nutzungserlebnis“ des Shazam-Nutzers beschäftigen. Mit dieser Klausel könnte so ziemlich jedem Schabernack, den man mit Daten so anstellen kann, Tür und Tor geöffnet werden.

Etwas mehr ins Detail geht der nächste Satz. Hier heißt es:

We may also encrypt and/or aggregate your data with other users‘ data in order to create statistics about the general use of the Shazam apps and websites, which helps us to develop new products and services. We may also share this aggregated data with our business partners and third party advertisers.

Es kann also durchaus vorkommen, dass die persönlichen Daten verschlüsselt und/oder aggregiert und gemeinsam mit vielen Daten anderer Nutzer für Marktforschungszwecke genutzt werden. Das alles angeblich, um „neue Produkte und Dienste zu entwickeln“. Der Datenberg kann ohne Probleme auch mit Geschäftspartnern und Unternehmen aus der Werbebranche geteilt werden, heißt es ganz unverblümt.

Widerspruch nicht so einfach

Immerhin geht es im nun folgenden Punkt 3 um die Möglichkeit des Nutzers, sich gegen die Verwendung der eigenen Daten auszusprechen. Das ist allerdings gar nicht so einfach, denn Shazam sagt nur, dass jedes Unternehmen, an das man möglicherweise Daten weitergibt, seine ganz eigenen Datenschutzbestimmungen habe.

Any third parties’ use of your personal data is governed by their own privacy policy.

Vielleicht sollte man es grundsätzlich vermeiden, Shazam mit dem eigenen Facebook- oder Google-Account zu verbinden, denn dann „könnte der Name und das Profilbild mit anderen Nutzern von Shazam geteilt werden“:

If you connect your Shazam account to Facebook or Google+ your name and your profile picture may be shared with other Shazam users.

Außerdem ist es dann für Nutzer der Shazam-App offensichtlich möglich, mein Shazam-Profil anzusehen und „Daten, die darin gespeichert sind“, wie es heißt. Solche Daten sind etwa meine getaggten Lieder:

Further, your Facebook friends may be able to use the Shazam apps to search for or view your Shazam profile and the data contained therein, such as your tags and other activity including date/time.

Minimale Möglichkeiten des Nutzers

Immerhin: In den Einstellungen lässt sich ein wenig einstellen, welche Daten man nicht geteilt haben möchte:

Go to the „preferences“ screen to see your options to adjust the access levels to the data in your Shazam profile

Möchte man nicht, dass ein soziales Netzwerk auf die eigenen Shazam-Daten zugreift, solle man den eigenen Account auch nicht mit einem solchen verbinden, heißt es weiter in den Datenschutzbestimmungen:

but, again, if you don’t want a social network to get any access to your data, do not connect to that network via Shazam.

Dann folgt der auch bei anderen sozialen Medien so oft gelesene Hinweis, dass im Falle einer Übernahme des Unternehmens durch eine andere Firma die persönlichen Daten an dieses „übertragen werden könnten“:

In the event that ownership of Shazam changes as a result of a merger, acquisition, or transfer to another company, your personal data may be transferred. If such a transfer results in a material change in the use of your personal data, then Shazam will provide you with appropriate notice.

Punkt 5 befasst sich mit der Nutzung von Cookies. Hier heißt es, dass man „wie die meisten Websites und Apps“ ebendiese Cookies nutze, um nachzuverfolgen, wie die Page genutzt wird – und natürlich um Werbung anzuzeigen.

Alle unter 13 müssen raus!

Punkt 6 schließt Kinder unter 13 Jahren von der Nutzung des Dienstes aus. Man sammele auch keine Daten, wenn man davon ausgehen könne, dass ein Nutzer jünger als 13 ist, heißt es:

if you are under the age of 13 we have to ask you not to use our apps or websites in any way. We don’t knowingly collect data from anyone under the age of 13 and we do not direct any of our products or services at this age group.

Könne man als Betreiber davon ausgehen, dass ein Nutzer dieses Mindestalter noch nicht erreicht habe, unternehme man die nötigen Schritte, um den jeweiligen Account zu schließen:

If we become aware that we have inadvertently captured any personal data about a person who is under 13 years of age, then we will take the appropriate steps to shut down the account of that person.

Nun macht Shazam auf die Möglichkeit aufmerksam, herauszufinden, welche Daten über einen selbst gespeichert sind:

you can ask us about what data we are holding by sending us an email. We will do our best to respond to your request (upon verification of your identity) within a reasonable period of time.

Kalifornier haben’s gut

Ist man Bürger von Kalifornien, hat man einmal pro Jahr das Recht, sich kostenlos darüber zu informieren, welche Daten im vergangenen Jahr an Drittunternehmen weitergegeben wurden:

California Civil Code Section 1798.83 also permits users who are California residents to request and obtain from us once a year, free of charge, a list of the third parties to whom we disclosed their personal data (if any) for direct marketing purposes in the preceding calendar year and the categories of data disclosed to those third parties.

Nun listet Shazam einige „third party partners“ auf, „mit denen wir arbeiten“, wie es heißt. Darunter sind Microsoft, Jumptap und AppNexus.

Fazit: Da geht noch was

Welchen Eindruck habe ich nun, nachdem ich die Datenschutzbestimmungen von Shazam durchgelesen habe? Keinen besonders guten. Auch Shazam nutzt wie viele andere Apps eine ganze Menge an Daten und gibt sie munter weiter an Werbepartner. Wer nicht möchte, dass der eigene Name samt Profilbild und weiteren sensiblen personenbezogenen Daten an Unternehmen weitergegeben wird, sollte zweierlei tun: sich unter Nutzung einer E-Mail-Adresse registrieren, die idealerweise nicht den eigenen Klarnamen erhält. Außerdem ist es ratsam, das Shazam-Profil nicht mit Facebook oder GooglePlus zu verbinden.


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Ekki Kern

Ekki ist Medienjournalist und probiert Technologien gerne aus, entdeckt dabei aber nicht selten die Vorzüge des Analogen. Diskutieren über das alles kann man mit ihm ganz hervorragend, für die Zeitung schreibt er über Medien und Verbraucherthemen, privat für seinen Watchblog Radiowatcher.

Kommentieren