Spotify Premium abonniert, aber weiterhin getrackt

Zu bezahlen hindert Spotify nicht daran, Ihre personenbezogenen Daten an Google und das Who-is-Who des Überwachungsmarketings weiterzugeben

Veröffentlicht von Pixel de Tracking am 25. April 2020

Werbung, ein Randanteil der Einnahmen von Spotify

Spotify funktioniert nach einem „Freemium“-Modell: Sie können den Musikstreamingdienst („Spotify Free“) kostenlos nutzen, haben dann aber Einschränkungen und Werbung. Die kostenlose Version ist ein Einstiegsprodukt für die kostenpflichtige Version.

Wenn man sich die Finanzergebnisse des letzten Quartals 2019 ansieht, machen „Spotify Free“-Nutzer 56 % aller Nutzer aus, aber nur 11 % der Einnahmen von Spotify.

Spotify Q4 2019

Trotzdem verkauft Spotify seine „Free“-Nutzer aggressiv

Auch wenn Werbung nur einen Randanteil der Einnahmen von Spotify ausmacht, hindert das den Dienst nicht daran, Programmatic einzusetzen, also die datenschutzfeindlichste Art, Werbeinventar zu verkaufen (lesen Sie dazu die Erklärseite von Brave). Spotify beschleunigt seine Werbeentwicklung sogar, erklärt Julie Clark, die bei Spotify für Programmatic Advertising verantwortlich ist:

[...] Dennoch verzeichneten wir in jedem unserer Kanäle – Direct, Programmatic und Ad Studio – nach wie vor zweistellige Wachstumsraten. Im vierten Quartal führten wir in den USA und im Vereinigten Königreich Dynamic Ad Breaks („DAB“) ein, was erheblich zum verkaufbaren Werbeinventar beitrug. Wir planen, diese Funktion im ersten Quartal auf 10 weitere Märkte auszuweiten, und werden diese Kapazitäten weiter ausbauen, sobald über unsere gesamte geografische Reichweite hinweg zunehmend Inhalte verfügbar werden.

Wie auch Pat Walshe in diesem hervorragenden Twitter-Thread anmerkte, rühmt sich Spotify auf seiner Website für Werbetreibende damit, Ihren Geschmack, Ihre Stimmungen, Ihr Online-Verhalten zu kennen und sogar Ihr Offline-Verhalten preiszugeben:

Spotify – je mehr sie streamen

Was sind diese „wichtigen“ musikalischen Gewohnheiten, mit denen Spotify Sie besser profilieren und damit besser an Marken verkaufen kann?

Gewohnheiten Spotify

Um Ihr Profil zu erstellen, verwendet Spotify auch Daten von Drittanbietern:

Spotify Zielgruppenforschung

Spotify ist bereits besonders gut darin, Ihr Verhalten zu analysieren und Empfehlungen zu liefern (wie Ihre Discover-Weekly-Playlist zeigt). Man kann Spotify also zutrauen, diese Wissenschaft auf verhaltensbasierte Werbung anzuwenden und dabei die personenbezogenen Daten seiner „Free“-Nutzer an Werbedritte weiterzugeben.

Da ich aber Spotify Premium abonniert habe und daher keine Werbung bekomme, hatte ich nicht erwartet, von Dritten getrackt zu werden.

Spotify für iOS gibt meine personenbezogenen Daten preis

So bin ich vorgegangen, um zu beobachten, ob die iOS-App von Spotify meine personenbezogenen Daten weitergibt:

  • Die verschiedenen Anwendungen im Hintergrund schließen.
  • Die Charles-Proxy-App starten und die Aufzeichnung aktivieren.
  • Die Spotify-App starten (angemeldet, Premium-Abonnement) und einige Titel hören.
  • Die Logs meiner Charles-Proxy-Sitzung auf meinen Computer exportieren.

Spotify iOS

Überraschung: Spotify Premium ruft sehr wohl Dritte auf:

  • Google: allgegenwärtig. Spotify ruft hier Crashlytics auf (Crash-Berichte), ein 2017 von Twitter übernommenes Tool, das in Firebase, Googles Entwickler-Werkzeugkasten, integriert wurde. Über den Aufruf eines Google-Dienstes kann man diskutieren; ein Crash-Reporting-Tool ergibt aber auch für eine kostenpflichtige App Sinn.
  • Facebook: ebenfalls allgegenwärtig. Facebook stellt auch seinen Werkzeugkasten für Entwickler bereit. Diese Integration scheint keine spezifischen personenbezogenen Informationen preiszugeben (ich sehe nur einen einfachen Aufruf an Facebook, ohne zusätzliche Kennung). Aber wozu? Ich melde mich bei Spotify mit meiner E-Mail-Adresse an und nicht über Facebook, Spotify sollte also keinen Grund haben, Facebook aufzurufen.
  • Adjust: Mobile-Marketing-Unternehmen, das mehrere Dienste anbietet, darunter Analytics, Attribution (welche Werbekampagne die Spotify-Installation ausgelöst hat) und Werbe-Retargeting. Ganz klar: Ich bezahle Spotify nicht dafür, dass mich solche Unternehmen tracken.
  • Comscore: über scorecardresearch.com, ein auf Marktforschung spezialisiertes Unternehmen. Auch hier erfolgt die Profilierung ohne meine Einwilligung.

Hinweis zu Facebook: Ich habe kein Konto und hatte „Facebook-Daten“ in den Spotify-Datenschutzeinstellungen bereits deaktiviert:

Spotify Facebook

Und doch ruft Spotify weiterhin Facebook auf.

Wie kann man dieses Tracking vermeiden? Spotify bietet für seine iOS-App kein Opt-out an (mehr dazu weiter unten im Artikel). Sie müssen auf technischere Lösungen wie die Apps DNSCloak, AdGuard oder NextDNS zurückgreifen.

Spotify für Mac, abhängig von Googles Werbelösungen

Schauen wir nun, ob der Mac-Client von Spotify ebenfalls personenbezogene Daten an Werbeunternehmen weitergibt. Dafür habe ich dieselben Schritte ausgeführt, diesmal mit der Charles-Proxy-App für Mac:

Spotify Mac

Spotify sendet also auch in der Mac-App personenbezogene Daten an diese Dritten:

  • Google: Über mehrere Domains nutzt Spotify Google Ad Manager, um sein Werbeinventar zu monetarisieren. Problem: Ich nutze Spotify Premium und bekomme keine Werbung. Warum gibt Spotify meine personenbezogenen Daten an die Werbelösung von Google weiter?
  • Comscore: über scorecardresearch.com. Dieser Tracker ist bereits in der iOS-App vorhanden; wir finden ihn auch in der Mac-App wieder.
  • Qualaroo: Tool zum Sammeln von Nutzerfeedback, mit dem Spotify seine Nutzer segmentieren kann, um Umfragen nur an bestimmte Nutzer zu senden. Dieses Unternehmen erhält also Ihr Profil und Ihre Spotify-Nutzung. Zu beachten: Qualaroo ist für den Aufruf an Amazon verantwortlich (über die Domain s3.amazonaws.com, da es seine JavaScript-Bibliothek auf AWS hostet).

Wenn man die an Google Ad Manager gesendeten Informationen beim Werbeaufruf heranzoomt (die Anfrage https://securepubads.g.doubleclick.net/gampad/ads?), sieht man, dass Spotify ziemlich viele Informationen an Google weitergibt, darunter:

  • Ihre Doubleclick-Werbekennung, über das „IDE“-Cookie. Es verfolgt Sie überall im Internet und dank Spotify sogar in Desktop-Apps.
  • Ihr Alter.
  • Ihr Geschlecht.
  • Die Spotify-Werbekennung: aduserid.
  • Ihre Hörplaylist: Discover Weekly usw.
  • Den gehörten Künstler (codiert): artist.
  • Ihr Spotify-Abo: hier Spotify Premium.

Wie kann man dieses Tracking vermeiden? Spotify bietet in seiner Mac-App kein echtes Opt-out an (mehr dazu weiter unten im Artikel). Sie müssen auf technischere Lösungen wie Pi-hole oder AdGuard zurückgreifen.

Auf dem Webplayer, der Wilde Westen

Auch wenn ich den Webplayer nicht täglich nutze, weil ich die Mac-App bevorzuge, wollte ich mir das Tracking im Web ansehen. Schon bevor ich mich einlogge, ist der Einsatz von Trackern durch Spotify massiv:

Spotify Webplayer 1Spotify Webplayer 2

Die Unternehmen, die dank Spotify Ihre personenbezogenen Daten sammeln, sind zahlreich; es ist ein echtes Who-is-Who des Überwachungsmarketings:

  • Google: Spotify ist voll von Google-Lösungen und nutzt hier Google Tag Manager, Google Analytics und Google reCaptcha.
  • TowerData: über rlcdn.com alias Rapleaf, ein Unternehmen, das 2010 bekannt wurde, weil es Facebook-Nutzerinformationen hemmungslos einsammelte und angereicherte Identitäten weiterverkaufte (lange vor dem Cambridge-Analytica-Skandal). Rapleaf wurde 2013 von TowerData übernommen, einem riesigen Data Provider, der Sie wahrscheinlich sehr gut kennt.
  • Nielsen: über myvisualiq.net alias VisualIQ, einen Attributionsdienst (mit dem Spotify bestimmen kann, welche Werbekampagnen am wirksamsten sind), 2017 vom Marktforschungsriesen Nielsen übernommen. Nielsen trackt Sie auch über exelator.com alias eXelate, einen Data Provider, der 2015 übernommen wurde.
  • Adobe: über demdex.net alias Demdex, die Data Management Platform, die Adobe 2011 gekauft hat. Durch aufeinanderfolgende Übernahmen ist Adobe nicht nur ein Riese für Kreativtools (Photoshop, InDesign, Lightroom ...), sondern auch im Marketing.
  • Comscore: über scorecardresearch.com. Dieser Tracker ist also überall: Nach iOS- und Mac-App finden wir ihn auch im Webplayer.
  • Tapad: Auch dieser Data Provider kennt Sie sehr gut; er kann die Verbindung zwischen den verschiedenen Geräten herstellen, die Sie nutzen (Smartphone, Computer ...).
  • Oracle: über bluekai.com alias BlueKai, eine Data Management Platform, die 2014 von Oracle übernommen wurde. Sie kannten SQL? Oracle hat sich verändert. Genau wie Adobe hat sich Oracle durch Übernahmen diversifiziert und bietet Unternehmen inzwischen eine „Marketing Cloud“ an.
  • Facebook: unmöglich, dem zu entkommen. Facebook wird hier nicht direkt von Spotify aufgerufen, sondern von Visual IQ (alias Nielsen). Facebook und Nielsen haben eine Vereinbarung zum Teilen Ihrer personenbezogenen Daten.
  • Qualaroo: Tool zum Sammeln von Nutzerfeedback, bereits in der Mac-App gesehen.

Nur können Sie keine Musik hören, ohne angemeldet zu sein. Wird Spotify die Tracker begrenzen, wenn ich mich mit meinem Premium-Abo einlogge? Schauen wir uns die Tracker an, die nach der Anmeldung gesendet werden:

Spotify Webplayer angemeldet 1Spotify Webplayer angemeldet 2

Pech gehabt: Spotify begrenzt das Tracking nicht, selbst wenn Sie Premium-Abonnent sind! Und diesmal sind die Kennungen mit Ihrem Spotify-Konto verknüpft, also sehr interessant für diese Marketingunternehmen, die Sie damit wiedererkennen, Ihnen auf Ihrem Computer folgen und die Verbindung zu Ihren anderen Geräten herstellen können. Besondere Erwähnung verdient Nielsen, das über Visual IQ Ihre Kennung mit mehreren anderen Data Providern synchronisiert (rot markiert): TowerData, Oracle, Adobe, Facebook und Tapad!

Wie kann man dieses Tracking vermeiden? Spotify bietet kein Opt-out für das Web (weitere Einzelheiten später in diesem Artikel). Eine vernünftige Lösung ist die Verwendung eines Werbeblockers wie uBlock Origin (Firefox-Erweiterung oder Chrome).

Eine gesprächige, aber zu vage Datenschutzerklärung

Wenn wir nun die Datenschutzerklärung von Spotify lesen, erklärt Spotify in Abschnitt 6, aus welchem Grund Spotify Ihre personenbezogenen Daten verarbeitet:

Rechtsgrundlage Spotify personalisierte Werbung

Spotify beruft sich daher im Widerspruch zur DSGVO auf das berechtigte Interesse, Ihnen personalisierte Werbung anzuzeigen. Schauen wir uns nun Abschnitt 7 an, um herauszufinden, mit welchen Unternehmen Spotify Ihre personenbezogenen Daten teilt:

Empfänger personenbezogener Daten

Die Information, versteckt in einer langen Datenschutzerklärung, ist unglaublich vage: Wer sind diese Empfänger? Was genau machen sie mit Ihren personenbezogenen Daten? Zum Beispiel hätte Spotify detailliert erklären müssen, warum es Facebook aufruft und Ihre personenbezogenen Daten an Google weitergibt.

Spotify hat außerdem ein hübsches „Datenschutzcenter“, aber auch diese Seite bringt uns bei Werbung nicht weiter; der einzige Hinweis lautet:

Wir erheben und verwenden Ihre personenbezogenen Daten aus folgenden Gründen: [...] Um Ihnen Funktionen, Informationen, Werbung oder andere Inhalte basierend auf Ihrem spezifischen Standort bereitzustellen.

Eine Maskerade der Kontrolle über personenbezogene Daten

Um zu verstehen, ob es möglich ist, das Tracking zu deaktivieren, habe ich zunächst das „Datenschutzcenter“ konsultiert, das mich einfach zur Seite „Datenschutzeinstellungen“ meines Kontos weitergeleitet hat.

Nur erlaubt mir diese Seite lediglich, die Verarbeitung meiner Facebook-Daten abzulehnen (standardmäßig ist die Option aktiviert; sagten Sie Einwilligung?) und personalisierte Werbung abzulehnen (ebenfalls standardmäßig aktiviert, aber für mich nutzlos, da ich in der Premium-Version keine Werbung habe):

Spotify personalisierte Werbung

Spotify hat außerdem eine Seite zur „Cookie-Richtlinie“. Auf Mobilgeräten erwähnt Spotify die Möglichkeit, das Werbe-Tracking über iOS einzuschränken:

Sie können beispielsweise die Einstellung „Ad-Tracking beschränken“ (auf iOS-Geräten) verwenden.

Pech gehabt, ich habe diese Einstellung bereits aktiviert (sie hat also nicht den angekündigten Effekt):

Beschränken Sie das Werbe-Tracking

Spotify weist außerdem auf die Möglichkeit hin, Cookies in der Desktop-Anwendung (also der Mac-App) zu blockieren:

Sie können Ihre Einwilligung zur Verwendung von Cookies in der Spotify-Desktopanwendung jederzeit widerrufen. Wenn Sie keine Cookies mehr erhalten möchten, gehen Sie zur Seite „Kontoeinstellungen“ und aktivieren Sie die Funktion zum Deaktivieren von Desktop-Cookies. Wenn diese Funktion aktiviert ist, blockiert sie Cookies aus der Installation der Spotify-Desktopanwendung auf diesem Computer. [...] Die Entscheidung, Cookies in der Spotify-Desktopanwendung zu blockieren, kann Ihr Spotify-Erlebnis beeinträchtigen.

Diese Einwilligung, die ich nie gegeben habe, könnte ich also widerrufen (aber sie könnte meine Spotify-Erfahrung beeinträchtigen, ohne dass ich weiß, warum). Nach weiterer Suche muss man nicht auf die Seite „Kontoeinstellungen“ gehen, sondern in „Einstellungen“:

Präferenzen Spotify Mac

Und dort müssen Sie scrollen und „Erweiterte Einstellungen anzeigen“ finden:

Scrollen Sie durch die Spotify Mac-Einstellungen

Dann müssen Sie noch einmal ganz nach unten scrollen, um gut versteckt „Datenschutz“ und dieses wunderschöne „Dark Pattern“ zu entdecken:

Vertraulichkeit Spotify Mac

Die Einstellung ist nicht angehakt, man könnte also glauben, dass Tracking deaktiviert ist (wie bei Facebook und personalisierter Werbung). Fehler! Sie müssen die Einstellung anhaken, um Cookies zu blockieren. Und Spotify will Ihnen Angst machen, indem es darauf hinweist, dass die Aktivierung negative Auswirkungen auf die Spotify-Erfahrung haben kann ... Welche „negativen Auswirkungen“? Keine Details.

Ich habe die Einstellung also angehakt und Spotify neu gestartet, um die „Auswirkung“ zu untersuchen. Leider sind die Tracker immer noch da:

Spotify Tracker ohne Cookies

Insbesondere: Wenn das IDE-Cookie nicht mehr über doubleclick.net gesetzt wird, erhält Google weiterhin all Ihre anderen personenbezogenen Informationen, darunter die Spotify-Werbekennung aduserid, die gleich geblieben ist. Spotify macht sich über Sie lustig: Es hindert Google daran, sein IDE-Cookie zu setzen, erlaubt Google aber gleichzeitig, Sie über die Spotify-Kennung zu identifizieren (noch invasiver, weil diese Kennung Google ermöglicht, Sie unabhängig vom Gerät wiederzuerkennen).

Die Spotify-Werbekennung sollte nach Spotifys Definition von Cookies allerdings blockiert werden:

Cookies Spotify

Spotify hat übrigens eine ganz besondere Beziehung zu Google, und nicht nur wegen Werbung: Spotify hat beschlossen, seine Infrastruktur in die Google Cloud zu migrieren, was für Google Cloud Platform ein schöner Anwendungsfall im Kampf gegen Amazon AWS und Microsoft Azure ist.

Welche Maßnahmen gegen Spotify?

Eine Beschwerde läuft bereits bei der schwedischen Datenschutzbehörde, zum Recht auf Auskunft über personenbezogene Daten (Artikel 15 der DSGVO). Zur Weitergabe personenbezogener Daten wurde aber noch nichts unternommen, obwohl es genug Anlass für eine Untersuchung gäbe:

  • Spotify gibt Ihre personenbezogenen Daten ohne Ihre vorherige Zustimmung an Dritte weiter.
  • Insbesondere gibt Spotify Ihre personenbezogenen Daten an Google und Facebook weiter.
  • Der Spotify-Webplayer gibt Ihre personenbezogenen Daten an das Who-is-Who des Überwachungsmarketings weiter.
  • Spotify bietet in seiner iOS-App kein Opt-out an.
  • Das von Spotify in seiner Mac-App bereitgestellte Opt-out ist eindeutig ein „Dark Pattern“ und funktioniert nicht.
  • Die Datenschutzerklärung stützt sich bei personalisierter Werbung auf berechtigtes Interesse und respektiert daher die DSGVO nicht.
  • Die Cookie-Informationsseite enthält falsche Informationen, da Spotify nicht die nötigen Kontrollmöglichkeiten bereitstellt, um Cookies abzulehnen.

Und das alles sogar, wenn Sie für ein Abonnement von Spotify bezahlen!