Soziale Medien und die DSGVO

Stand:
Die Datenschutzgrundverordnung (DSGVO) der EU gilt seit Ende Mai und soll Verbrauchern mehr Kontrolle über ihre Daten ermöglichen. Wie Anbieter Sozialer Medien das umgesetzt haben, zeigt eine Untersuchung des Marktwächter-Teams der Verbraucherzentrale NRW.
Off

Neue Rechte! Mehr Kontrolle? Die Datenschutzgrundverordnung (DSGVO) der EU gilt seit Ende Mai und soll Verbrauchern  mehr Kontrolle über ihre Daten ermöglichen. Doch wie setzen Dienste wie Facebook, LinkedIn oder Snapchat ihre erweiterten Informationspflichten um? Wie praktizieren sie die Verpflichtung zur datenschutzfreundlichen Voreinstellung (Privacy by default)? Eine erste Bestandsaufnahme der Marktwächter-Experten dazu offenbart wesentliche Probleme.

Griff nach den Daten: Zu welchem Zweck, mit welchem Recht?

Wer personenbezogene Daten verarbeitet, muss ausführlich den Zweck nennen können und – seit der DSGVO – ebenso die Rechtsgrundlage, die genau dazu berechtigt. Die Analyse der Datenschutzerklärungen hat gezeigt, dass zwar Informationen zu Zwecken und Rechtsgrundlagen gegeben werden. Allerdings werden diese Infos bei sieben von acht Anbietern nicht einander zugeordnet. „Wir sehen das kritisch, da Nutzer so nicht erkennen können, welche Daten, auf welcher Rechtsgrundlage, zu welchem Zweck erhoben werden“, so Ricarda Moll vom Marktwächter-Team der Verbraucherzentrale Nordrhein-Westfalen.

Dauer der Datenspeicherung? Meist ungewiss

Ebenso sieht die DSGVO vor, dass Nutzer erkennen sollen, wie lang ihre persönlichen Daten gespeichert werden. Doch – mit nur einer Ausnahme – erfahren die Nutzer in den geprüften Datenschutzerklärungen nichts Genaues. Häufig wird unklar formuliert: Ein Anbieter spricht etwa von Informationen, die „unterschiedlich lange...“ gespeichert werden.

Datenfluss: Wer bekommt welche Daten?

Die DSGVO sieht auch vor, dass klar sein muss, wer die Empfänger oder Kategorien von Empfängern sind, an die personenbezogene Daten gehen. Aus Verbraucherschutzperspektive sollten jedoch immer konkrete Empfänger genannt werden. „Unserer Meinung nach sollten Anbieter auch dazu in der Lage sein, die genauen Empfänger zu nennen, an die personenbezogene Daten ihrer Nutzer gehen. Nur dann können Nutzer realistisch  einschätzen, ob sie damit auch einverstanden sind“, so Moll. Da alle geprüften Anbieter über Empfänger-Kategorien (z.B. „Personen, Unternehmen“) informieren, ist auch hier ein genauer Überblick unmöglich.

Deine Daten, deine Rechte

Nutzer müssen auch darüber aufgeklärt werden, welche Rechte sie gegenüber dem Anbieter haben. Sie können bei Facebook und Co. etwa erfragen, welche personenbezogenen Daten von ihnen gespeichert sind. Über dieses Auskunftsrecht werden die Nutzer aber von einigen der geprüften Anbieter nicht hinreichend klar und deutlich informiert.

Voreinstellungen: (Datenschutz)freundlich ist anders

Nach der DSGVO müssen Anbieter Sozialer Medien ihre Dienste so voreinstellen, dass nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck nötig sind. „Das ist gerade bei Sozialen Medien wichtig, denn nur die Wenigsten nehmen Änderungen an den Standard- und Datenschutzeinstellungen vor“, so Ricarda Moll. Doch die Untersuchung zeigt, dass viele der geprüften Anbieter die DSGVO in diesem Punkt nicht im Sinne eines nutzerfreundlichen Datenschutzes umgesetzt haben:

Bereits bei der Authentifizierung fragt die Hälfte der Anbieter nach der E-Mail-Adresse oder der Mobilfunknummer des Nutzers. Dabei ist die Mobilfunknummer immer voreingestellt. „Das entspricht nicht einer datenschutzfreundlichen Voreinstellung, da die Mobilnummer ein deutlich höheres Potential zur eindeutigen Zuordnung des Nutzers hat und die Verknüpfung von Daten und das Tracken von Nutzern über verschiedene Dienste hinweg vereinfacht“, kritisiert Moll.

Spuren im Netz: Das Geschäft mit den Daten

Das Geschäftsmodell Sozialer Medien beinhaltet oft das Tracken des Nutzers zum Zweck der personalisierten Werbung: Dabei werden die Aktivitäten des Nutzers verfolgt und gespeichert, um mehr über Vorlieben, Interessen und das Konsumverhalten zu erfahren. Mit einer Ausnahme nutzen alle geprüften Anbieter personenbezogene Daten für personalisierte Werbung. In diesen Fällen werden per Voreinstellung auch Daten verwendet, die auf der Verfolgung des Nutzer-Surfverhaltens basieren (Tracking-Daten). Dies kann der Verbraucher teilweise nachträglich einschränken. Besonders kritisch sieht es das Marktwächter-Team, dass das Nutzer-Tracking selbst jedoch meist nicht eingeschränkt werden kann. „Verbraucher können also nicht begrenzen, wie viel Anbieter über sie wissen, sondern nur, inwieweit sie dieses Wissen aktuell nutzen dürfen. Es handelt sich aus Verbraucherschutzsicht also  lediglich um eine Illusion von Kontrolle“, kritisiert Moll.

Sichtbar im Netz: Wer sieht, was ich mache?

Und nicht nur Anbieter sehen, was die Nutzer machen. Nur wenige der untersuchten Sozialen Medien schränken die Sichtbarkeit von Nutzer-Beiträgen ein. Bei den meisten Diensten sind die  Nutzerbeiträge öffentlich  und nicht nur für die vom Nutzer ausgewählten Kontakte sichtbar. Hier verstößt, nach Ansicht des Marktwächter-Teams, die Mehrheit der geprüften Anbieter gegen die DSGVO.

Von wegen Datensparsam: Dienste wollen auch die Kontakte

Überhaupt zeigt die Analyse, dass die geprüften Anbieter wenig datensparsam arbeiten: So fordern mit nur zwei Ausnahmen alle Dienste ihre Nutzer dazu auf, ihre Kontakte zu übertragen. Teils klingt es sogar so, als wäre der Zugriff auf die Kontakte für den Dienst allgemein nötig. Dies ist aber meist nicht der Fall. Auch ist bei einigen Diensten nur schwer zu erkennen, wo man diese Funktion ablehnt. So ist es möglich, dass Daten von Nutzern an Anbieter weitergegeben werden, die sich bewusst gegen diesen Dienst entschieden haben.

Grafische Darstellung einer Frau, die ungeduldig auf ihre Armbanduhr schaut. Rechts daneben befindet sich das Logo von Cleverbuy, darunter eine Grafik von einem Smartphone, von der ein roter Pfeil auf einen Stapel Euroscheine führt. Rechts daneben befindet sich ein großes, rotes Ausrufezeichen, in dem "Warnung" steht.

Warnung vor Cleverbuy: Auszahlung lässt auf sich warten

"Clever Technik kaufen und verkaufen" heißt es auf der Website der Ankaufplattform Cleverbuy. Gar nicht clever ist die oft lange Zeit, die verstreicht, bis Nutzer:innen ihr Geld für Smartphone und Co. ausgezahlt bekommen. Der Verbraucherzentrale Bundesverband (vzbv) warnt daher vor dem Anbieter.
Besorgt dreinblickender Mann, der auf seine Kreditkarte schaut, während er mit seinem Mobiltelefon spricht.

Der vzbv stellt fest: Banken tun nicht genug gegen Kontobetrug

Opfer von Kontobetrug bleiben in vielen Fällen auf dem Schaden sitzen, denn: Banken werfen ihnen grobe Fahrlässigkeit vor. Aus Sicht des Verbraucherzentrale Bundesverbands (vzbv) müssten Banken jedoch mehr tun, um Verbraucher:innen zu schützen.

Ärger mit Strom-, Gas- und Fernwärmeverträgen

Viele Verbraucher:innen haben Preiserhöhungen für ihre Strom-, Gas- und Fernwärmeverträge oder die Kündigung erhalten. Der Verbraucherzentrale Bundesverband (vzbv) und die Verbraucherzentralen klagen gegen mehrere Unternehmen wegen rechtswidrigen Verhaltens.