Berlin Firmen müssen ihren Kunden gratis offenlegen, welche personenbezogenen Daten sie speichern. Die Stiftung Warentest hat geprüft, ob die Datenauskünfte von Google, Facebook, Whats­app, Amazon, Tinder und 16 weiteren Diensten vollständig sind und wie nutzerfreundlich die Darstellung ist. Dabei stießen die Tester auf viele Mängel.

Seit einem Jahr müssen Unternehmen, die ihre Dienste in der EU anbieten, die Datenschutz-Grundverordnung (DSGVO) anwenden – egal ob der Anbieter in Deutschland, Irland oder den USA sitzt. Dieses EU-Regelwerk hat die Rechte von Verbrauchern gegenüber Firmen erweitert, die Nutzerdaten personenbezogen verarbeiten.

Ein zentraler Bestandteil der Verordnung ist das Recht auf Auskunft. Warentest hat deshalb jeweils drei verdeckte Tester auf insgesamt 21 Anbieter angesetzt, um zu prüfen, wie gut die Unternehmen ihrer Auskunftspflicht nachkommen. Dabei haben sie sich auf Branchen konzentriert, die sensible Daten speichern: Social Media, Shopping, Dating und Fitnesstracker.

Viele Mängel aufgedeckt

Im Test gab es keinen Mangel an Mängeln: Ein – ohnehin nicht für guten Datenschutz bekannter – Anbieter ignorierte das Auskunftsrecht komplett und reagierte gar nicht. Andere Firmen antworteten erst nach mehr als einem Monat und überschritten damit die gesetzlich vorgegebene Frist. Einige übersandten Dateien in sehr technischen Formaten, die für viele Nutzer unverständlich sein dürften. Doch der wohl gravierendste Mangel war die Unvollständigkeit der Auskünfte: Nur eine der 21 geprüften Firmen stellte eine lückenlose Auskunft bereit – alle anderen ließen Informationen weg, die von der DSGVO gefordert werden.

Anbieter müssen ihren Kunden kostenlos eine Kopie der gespeicherten Nutzerdaten zur Verfügung stellen. Zusätzlich haben sie die Pflicht, darüber zu informieren, wie sie mit den Daten umgehen – etwa, zu welchem Zweck sie erhoben werden und wie lange das Unternehmen sie speichert. Zu den Nutzerdaten, die die Anbieter im Test lieferten, gehörten unter anderem online gepostete Fotos, mit Freunden aus-getauschte Nachrichten, Telefonnummern von Kontakten, den beim Joggen gemessenen Puls, Listen von bestellten Produkten, verwendete Zahlungsmittel und Verläufe aller auf Youtube angesehenen Videos. Solche Daten sagen viel über die Interessen und Bedürfnisse von Nutzern aus.

Mehrere Schlupflöcher

Nur ein Anbieter im Test lieferte vollständige Auskünfte. Schickt eine Firma nicht alle Daten, steht der Nutzer vor mehreren Problemen: Er muss zunächst mal bemerken, dass nicht alles dabei ist, was da sein sollte. Dann muss er erneut beim Anbieter anfragen – doch wenn der die Daten nur scheibchenweise freigibt, kann der Nutzer nicht wissen, wie oft er nachfragen muss und wann er tatsächlich alle ihm zustehenden Daten erhalten hat. Ein weiteres Schlupfloch ist die Tatsache, dass sich das Auskunftsrecht der DSGVO nur auf Daten bezieht, die eine eindeutige Identifikation des Nutzers ermöglichen (Personenbeziehbarkeit).

Werden die Daten aber mit einer ID statt dem Klarnamen gespeichert (etwa XYZ123 statt Maxima Musterfrau), entfällt aus Sicht mancher Anbieter die Auskunftspflicht – obwohl es in vielen Fällen möglich ist, die ID zurückzuverfolgen und so die Identität des Nutzers zu ermitteln. Solche Hintertürchen müssen noch von der EU oder einzelnen Mitgliedsstaaten geschlossen werden – erst dann kann das Auskunftsrecht richtig greifen.

Meine Themen: Verpassen Sie keine für Sie wichtige Meldung mehr!

So erstellen Sie sich Ihre persönliche Nachrichtenseite:

  1. Registrieren Sie sich auf NWZonline bzw. melden Sie sich an, wenn Sie schon einen Zugang haben.
  2. Unter jedem Artikel finden Sie ausgewählte Themen, denen Sie folgen können.
  3. Per Klick aktivieren Sie ein Thema, die Auswahl färbt sich blau. Sie können es jederzeit auch wieder per Klick deaktivieren.
  4. Nun finden Sie auf Ihrer persönlichen Übersichtsseite alle passenden Artikel zu Ihrer Auswahl.

Ihre Meinung über 

Hinweis: Unsere Kommentarfunktion nutzt das Plug-In „DISQUS“ vom Betreiber DISQUS Inc., 717 Market St., San Francisco, CA 94103, USA, die für die Verarbeitung der Kommentare verantwortlich sind. Wir greifen nur bei Nutzerbeschwerden über Verstöße der Netiquette in den Dialog ein, können aber keine personenbezogenen Informationen des Nutzers einsehen oder verarbeiten.