Neue Rechte! Mehr Kontrolle? Die Datenschutzgrundverordnung (DSGVO) der EU gilt seit Ende Mai und soll Verbrauchern mehr Kontrolle über ihre Daten ermöglichen. Doch wie setzen Dienste wie Facebook, LinkedIn oder Snapchat ihre erweiterten Informationspflichten um? Wie praktizieren sie die Verpflichtung zur datenschutzfreundlichen Voreinstellung (Privacy by default)? Eine erste Bestandsaufnahme der Marktwächter-Experten dazu offenbart wesentliche Probleme.
Griff nach den Daten: Zu welchem Zweck, mit welchem Recht?
Wer personenbezogene Daten verarbeitet, muss ausführlich den Zweck nennen können und – seit der DSGVO – ebenso die Rechtsgrundlage, die genau dazu berechtigt. Die Analyse der Datenschutzerklärungen hat gezeigt, dass zwar Informationen zu Zwecken und Rechtsgrundlagen gegeben werden. Allerdings werden diese Infos bei sieben von acht Anbietern nicht einander zugeordnet. „Wir sehen das kritisch, da Nutzer so nicht erkennen können, welche Daten, auf welcher Rechtsgrundlage, zu welchem Zweck erhoben werden“, so Ricarda Moll vom Marktwächter-Team der Verbraucherzentrale Nordrhein-Westfalen.
Dauer der Datenspeicherung? Meist ungewiss
Ebenso sieht die DSGVO vor, dass Nutzer erkennen sollen, wie lang ihre persönlichen Daten gespeichert werden. Doch – mit nur einer Ausnahme – erfahren die Nutzer in den geprüften Datenschutzerklärungen nichts Genaues. Häufig wird unklar formuliert: Ein Anbieter spricht etwa von Informationen, die „unterschiedlich lange...“ gespeichert werden.
Datenfluss: Wer bekommt welche Daten?
Die DSGVO sieht auch vor, dass klar sein muss, wer die Empfänger oder Kategorien von Empfängern sind, an die personenbezogene Daten gehen. Aus Verbraucherschutzperspektive sollten jedoch immer konkrete Empfänger genannt werden. „Unserer Meinung nach sollten Anbieter auch dazu in der Lage sein, die genauen Empfänger zu nennen, an die personenbezogene Daten ihrer Nutzer gehen. Nur dann können Nutzer realistisch einschätzen, ob sie damit auch einverstanden sind“, so Moll. Da alle geprüften Anbieter über Empfänger-Kategorien (z.B. „Personen, Unternehmen“) informieren, ist auch hier ein genauer Überblick unmöglich.
Deine Daten, deine Rechte
Nutzer müssen auch darüber aufgeklärt werden, welche Rechte sie gegenüber dem Anbieter haben. Sie können bei Facebook und Co. etwa erfragen, welche personenbezogenen Daten von ihnen gespeichert sind. Über dieses Auskunftsrecht werden die Nutzer aber von einigen der geprüften Anbieter nicht hinreichend klar und deutlich informiert.
Voreinstellungen: (Datenschutz)freundlich ist anders
Nach der DSGVO müssen Anbieter Sozialer Medien ihre Dienste so voreinstellen, dass nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck nötig sind. „Das ist gerade bei Sozialen Medien wichtig, denn nur die Wenigsten nehmen Änderungen an den Standard- und Datenschutzeinstellungen vor“, so Ricarda Moll. Doch die Untersuchung zeigt, dass viele der geprüften Anbieter die DSGVO in diesem Punkt nicht im Sinne eines nutzerfreundlichen Datenschutzes umgesetzt haben:
Bereits bei der Authentifizierung fragt die Hälfte der Anbieter nach der E-Mail-Adresse oder der Mobilfunknummer des Nutzers. Dabei ist die Mobilfunknummer immer voreingestellt. „Das entspricht nicht einer datenschutzfreundlichen Voreinstellung, da die Mobilnummer ein deutlich höheres Potential zur eindeutigen Zuordnung des Nutzers hat und die Verknüpfung von Daten und das Tracken von Nutzern über verschiedene Dienste hinweg vereinfacht“, kritisiert Moll.
Spuren im Netz: Das Geschäft mit den Daten
Das Geschäftsmodell Sozialer Medien beinhaltet oft das Tracken des Nutzers zum Zweck der personalisierten Werbung: Dabei werden die Aktivitäten des Nutzers verfolgt und gespeichert, um mehr über Vorlieben, Interessen und das Konsumverhalten zu erfahren. Mit einer Ausnahme nutzen alle geprüften Anbieter personenbezogene Daten für personalisierte Werbung. In diesen Fällen werden per Voreinstellung auch Daten verwendet, die auf der Verfolgung des Nutzer-Surfverhaltens basieren (Tracking-Daten). Dies kann der Verbraucher teilweise nachträglich einschränken. Besonders kritisch sieht es das Marktwächter-Team, dass das Nutzer-Tracking selbst jedoch meist nicht eingeschränkt werden kann. „Verbraucher können also nicht begrenzen, wie viel Anbieter über sie wissen, sondern nur, inwieweit sie dieses Wissen aktuell nutzen dürfen. Es handelt sich aus Verbraucherschutzsicht also lediglich um eine Illusion von Kontrolle“, kritisiert Moll.
Sichtbar im Netz: Wer sieht, was ich mache?
Und nicht nur Anbieter sehen, was die Nutzer machen. Nur wenige der untersuchten Sozialen Medien schränken die Sichtbarkeit von Nutzer-Beiträgen ein. Bei den meisten Diensten sind die Nutzerbeiträge öffentlich und nicht nur für die vom Nutzer ausgewählten Kontakte sichtbar. Hier verstößt, nach Ansicht des Marktwächter-Teams, die Mehrheit der geprüften Anbieter gegen die DSGVO.
Von wegen Datensparsam: Dienste wollen auch die Kontakte
Überhaupt zeigt die Analyse, dass die geprüften Anbieter wenig datensparsam arbeiten: So fordern mit nur zwei Ausnahmen alle Dienste ihre Nutzer dazu auf, ihre Kontakte zu übertragen. Teils klingt es sogar so, als wäre der Zugriff auf die Kontakte für den Dienst allgemein nötig. Dies ist aber meist nicht der Fall. Auch ist bei einigen Diensten nur schwer zu erkennen, wo man diese Funktion ablehnt. So ist es möglich, dass Daten von Nutzern an Anbieter weitergegeben werden, die sich bewusst gegen diesen Dienst entschieden haben.