
Einblick. Datenauskünfte zeigen, was Firmen alles über ihre Kunden erfassen. © iStockphoto (M)
Firmen müssen ihren Kunden gratis offenlegen, welche personenbezogenen Daten sie speichern. Die Stiftung Warentest hat geprüft, ob die Datenauskünfte von Google, Facebook, Whatsapp, Amazon, Tinder und 16 weiteren Diensten vollständig sind und wie nutzerfreundlich die Darstellung ist. Dabei stießen wir auf viele Mängel.
Alle Testergebnisse für Datenauskunft 06/2019
Liste der 21 getesteten Produkte
Europäische Union stärkt Verbraucherrechte
Seit einem Jahr müssen Unternehmen, die ihre Dienste in Ländern der Europäischen Union (EU) anbieten, die Datenschutz-Grundverordnung (DSGVO) anwenden – egal ob der Anbieter in Deutschland, Irland oder den USA sitzt. Dieses EU-Regelwerk hat die Rechte von Verbrauchern gegenüber Firmen erweitert, die Nutzerdaten personenbezogen verarbeiten. Ein zentraler Bestandteil der Verordnung ist das Recht auf Auskunft. Wir haben deshalb jeweils drei verdeckte Tester auf insgesamt 21 Anbieter losgelassen, um zu prüfen, wie gut die Unternehmen ihrer Auskunftspflicht nachkommen. Dabei haben wir uns auf Branchen konzentriert, die sensible Daten speichern: Social Media, Shopping, Dating und Fitnesstracker.
Tester decken viele Mängel auf
In unserem Test stellten wir eine Vielzahl teilweise schwerwiegender Mängel fest: Ein – ohnehin nicht für guten Datenschutz bekannter – Anbieter ignorierte das Auskunftsrecht komplett und reagierte gar nicht. Andere Firmen antworteten erst nach mehr als einem Monat und überschritten damit die gesetzlich vorgegebene Frist. Einige übersandten Dateien in sehr technischen Formaten, die für viele Nutzer unverständlich sein dürften. Doch der wohl gravierendste Mangel war die Unvollständigkeit der Auskünfte: Nur eine der 21 geprüften Firmen stellte eine lückenlose Auskunft bereit – alle anderen ließen Informationen weg, die von der DSGVO gefordert werden.
Das bietet der Datenauskunft-Test der Stiftung Warentest
- Testergebnisse.
- Wir haben die Datenauskünfte von 21 bekannten Internetdiensten aus den Bereichen Social Media, Shopping, Dating und Fitness untersucht. Die Liste der getesteten Anbieter reicht von Amazon und Apple über Facebook und Garmin bis Tinder und WhatsApp. Unsere Tabelle zeigt, welche Daten die Firmen lieferten – und welche nicht. Wir sagen, wie schnell die Antworten kamen und wie einfach sie zu lesen waren, und liefern Einzelkommentare zu allen geprüften Diensten.
- Tipps.
- Wir erklären, wie Sie Ihre Datenauskunft beantragen und worauf Sie dabei achten müssen. Sie erfahren außerdem, wie Sie die teilweise ungewohnten Dateiformate öffnen können, die die Firmen schicken.
- Interview.
- Im Gespräch mit test.de sagt Verbraucherschützerin Carola Elbrecht, welche Schlupflöcher die Anbieter ausnutzen.
- Heftartikel.
- Wenn Sie das Thema freischalten, erhalten Sie Zugriff auf das PDF zum Testbericht aus test 06/2019.
Auskunftsrecht: Auf welche Daten Nutzer Anspruch haben
Anbieter müssen ihren Kunden kostenlos eine Kopie der gespeicherten Nutzerdaten zur Verfügung stellen. Zusätzlich haben sie die Pflicht, darüber zu informieren, wie sie mit den Daten umgehen – etwa, zu welchem Zweck sie erhoben werden und wie lange das Unternehmen sie speichert. Zu den Nutzerdaten, die die Anbieter im Test lieferten, gehörten unter anderem online gepostete Fotos, mit Freunden ausgetauschte Nachrichten, Telefonnummern von Kontakten, der beim Joggen gemessene Puls, Listen von bestellten Produkten, verwendete Zahlungsmittel und Verläufe aller auf Youtube angesehenen Videos. Solche Daten sagen viel über die Interessen und Bedürfnisse von Nutzern aus.
Wie sich Anbieter rauswinden
Nur ein Anbieter im Test lieferte vollständige Auskünfte. Schickt eine Firma nicht alle Daten, steht der Nutzer vor mehreren Problemen: Er muss zunächst mal bemerken, dass nicht alles dabei ist, was da sein sollte. Dann muss er erneut beim Anbieter anfragen – doch wenn der die Daten nur scheibchenweise freigibt, kann der Nutzer nicht wissen, wie oft er nachfragen muss und wann er tatsächlich alle ihm zustehenden Daten erhalten hat.
Schlupfloch: Identifikationsnummer statt Klarnamen
Ein weiteres Schlupfloch ist die Tatsache, dass sich das Auskunftsrecht der DSGVO nur auf Daten bezieht, die eine eindeutige Identifikation des Nutzers ermöglichen (Personenbeziehbarkeit). Werden die Daten aber mit einer Identifikationsnummer (ID) statt des Klarnamens gespeichert (etwa XYZ123 statt Maxima Musterfrau), entfällt aus Sicht mancher Anbieter die Auskunftspflicht – obwohl es in vielen Fällen möglich ist, die ID zurückzuverfolgen und so die Identität des Nutzers zu ermitteln. Solche Hintertürchen müssen noch geschlossen werden – erst dann kann das Auskunftsrecht richtig greifen.
-
- Der Umgang mit Daten ist in der Europäische Datenschutz-Grundverordnung (DSGVO) geregelt. Wir erklären, welche Rechte sich daraus für Verbraucher ergeben.
-
- Einen Tag lang haben wir alles erfasst, was unser Redakteur Martin Gobbin online am Handy macht. Wir waren nicht allein: 128 Tracker haben ihn ebenfalls ausspioniert.
-
- Laut einer Entscheidung des Bundesgerichtshofs könnten Versicherte zukünftig interne Vermerke oder Korrespondenzen erhalten, wenn sie von ihrer Versicherung Auskunft...
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
@schnellie: Wir haben Daten nach Artikel 15 der DSGVO abgefragt. Lesen Sie hier, wie wir vorgegangen sind: www.test.de/Datenauskunft-Was-Amazon-Facebook-und-Co-ueber-ihre-Kunden-wissen-5474639-5474643/
Bei den Anbietern müssen wir uns leider auf eine Auswahl beschränken und können nicht allen individuellen Leserwünschen gerecht werden. (DB)
Schade, dass keine Daten schriftlich (Mail, Post, Fax) bei z.B. Facebook.com, Instagram.com und WhatsApp.com angefordert wurden! Es werden ja auch Daten von Personen gesammelt, die keinen Account dort haben oder auch nicht mehr haben etc...
Aber wen wundert es, wenn selbst Stiftung Warentest, bei z.B. u.a. super seriös Facebook, einen Account haben...
Und warum dann auch noch Größen wie Twitter dort erst gar nicht vorkommen, aber z.B. Grindr...
Neuerdings beobachte ich, dass sich der Datenschutz seit Einführung der DSGVO in Bezug auf Adresshändler nicht verbessert hat. Ging ich doch davon aus, dass diese wohl meine Einwilligung zum gewerblichen Handel mit meinen Daten benötigen. Weit gefehlt! Ich bekomme in letzter Zeit vermehrt Werbepost von Hilfswerken, Lotterien, etc., obwohl ich niemals meine Daten selbst dort hingab. Von Unternehmen mit seriös klingenden Namen wie Deutsche Post Direkt GmbH, die sich allesamt auf Art. 6 I f DSGVO berufen. Dort steht: "Die Verarbeitung ist nur rechtmäßig, wenn [sie] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen [...]". Höchst bedenklich, dass mein Grundrecht (!) auf informationelle Selbstbestimmung hinter den monetären Interessen von Adresshändlern zurückzutreten hat! Ist das Datenschutz?
Danke für diesen hilfreichen Test. Gerade im Rechtsgebiet des Datenschutzes fällt es schwer, den Überblick über seine Rechte zu behalten, um diese ggf. auch nachdrücklich durchsetzen zu können. Zumal wie dargelegt, viele Unternehmen eben nur unzureichend den Bestimmungen nachkommen, sei es aus Unkenntnis oder mit Absicht. Aber solange es keine klaren Vorgaben gibt, wie die Datenauskunft konkret mindestens auszusehen hat, werden sich die Unternehmen das nach ihrem Gusto machen.