
Einblick. Datenauskünfte zeigen, was Firmen alles erfassen. © iStockphoto (M)
Firmen müssen ihren Kunden offenlegen, welche personenbezogenen Daten sie speichern. Doch manche reagieren verspätet oder gar nicht, andere schicken kryptische Informationen.
Alle Testergebnisse für Datenauskunft 06/2019
9cb5e4c5y51e74516d395eb4ce40dbf8 58cf3t8b94654aad7568bdec1. Mit solchen Daten versorgte uns das Dating-Portal Lesarion. Was das Zeichengewirr bedeutet? Keine Ahnung. So sehen die Datenauskünfte aus, die unsere Tester von Lesarion erhielten. Klartext dagegen bei Tinder: Dieser Dating-Dienst lieferte einfach lesbare Inhalte, etwa die vom Nutzer einst versandte Nachricht „Scheinbar haben wir ein Match! Woher kommst du?“.
Solche kostenlosen Auskünfte forderten wir bei 21 im Internet aktiven Firmen an – beim Datenriesen Google und je fünf Anbietern aus den Bereichen Social Media, Shopping, Dating und Fitness. Einige dieser Firmen bieten verschiedene Dienste an, etwa Amazon oder Samsung. In diesem Test haben wir sie nur unter einem Gesichtspunkt wie Shopping oder Fitness geprüft . Wir testeten pünktlich zum Jahrestag der Datenschutz-Grundverordnung (DSGVO). Seit einem Jahr müssen Unternehmen das EU-Regelwerk anwenden. Es hat die Auskunftsrechte von Verbrauchern gegenüber Firmen gestärkt, die Nutzerdaten personenbezogen verarbeiten.
Wir haben geprüft, wie schnell die Auskünfte ankommen, und ob alles drin ist, was drin sein soll – eine Kopie der Nutzerdaten und Infos, wie die Firmen mit den Daten umgehen. Dabei stießen wir etwa auf online gepostete Fotos, mit Freunden ausgetauschte Nachrichten, Telefonnummern von Kontakten, den beim Joggen gemessenen Puls, Listen von Bestellungen, verwendete Zahlungsmittel und Verläufe aller auf Youtube angesehenen Videos.
Unser Rat
- Einfach mal machen.
- Der Einblick in die Datenschätze zeigt, was Firmen alles über Sie speichern. Das kann dazu motivieren, künftig sparsamer mit Daten umzugehen.
- Nachfragen lohnt sich.
- Firmen liefern nicht immer alle Daten auf einen Schlag. Durch Rückfragen erhalten Sie mitunter weitere Infos.
- Richtigen Adressaten wählen.
- Richten Sie Ihre Anfrage am besten an den Datenschutzbeauftragten der Firma. Manche Anbieter ermöglichen auch einen direkten Download der Auskunft via App oder Homepage.
- Richtigen Absender verwenden.
- Stellen Sie Ihre Anfrage über die E-Mail-Adresse, mit der Sie sich beim Anbieter registriert haben – sonst kann es sein, dass er die Auskunft verweigert.
- Richtig Bezug nehmen.
- Schreiben Sie bei der Anfrage ausdrücklich, dass Sie eine „Datenauskunft nach Artikel 15 DSGVO“ wünschen.
- JSon lesen.
- Diese technischen Dateiformate lassen sich mit Browsern wie Chrome oder Firefox öffnen.
Elfmal keine oder verspätete Antwort
Auf jede Firma ließen wir drei Tester los. Sie nutzten die Dienste verdeckt, kauften ein und schrieben den Kundendienst an, ehe sie per E-Mail, Kontaktformular oder App die Auskünfte anforderten. Als Identifikationsnachweis reichten meist die Zugangsdaten des Nutzerkontos. Lagen nach zwei Wochen noch keine Datenauskünfte vor, hakten die Tester nach.
Keine Auskunft war perfekt. Noch am besten waren jene von Parship, Stayfriends und Zalando: Sie enthielten umfassende Angaben zu den gespeicherten Nutzerdaten und lieferten Erklärungen zum Prozess der Datenverarbeitung – etwa, zu welchem Zweck die Informationen gesammelt werden. Zudem waren die Auskünfte dieser drei Anbieter einfach lesbar.
Bei den 63 Auskunftsanfragen machten wir auch negative Erfahrungen: In fünf Fällen erreichte uns keine Antwort, sechsmal kam sie verspätet. Die DSGVO erlaubt einen Monat. Home 24 und Samsung brauchten in je zwei von drei Fällen länger. Grindr antwortete überhaupt nicht. Das Dating-Portal ist ohnehin nicht für einen guten Umgang mit persönlichen Daten bekannt: Laut dem norwegischen Forschungsinstitut Sintef hat Grindr in der Vergangenheit Marketing-Firmen über den HIV-Status von Nutzern informiert. Auf unsere Nachfrage dazu reagierte Grindr nicht.
Scheibchentaktik und Schlupflöcher

Code-Kauderwelsch. Bei der Darstellung gibt es große Differenzen: WhatsApp (links)präsentiert die Auskunft übersichtlich, Fitbit (rechts) setzt auf Computercode. © Stiftung Warentest
Manche Anbieter geben einige Informationen erst nach Rückfragen heraus. Deshalb lohnt es sich nachzufragen – durchaus auch mehrfach. C-Date, ein für Bettsport-Dates bekannter Dienst, findet offenbar ebenfalls, dass sich Rückfragen lohnen sollten: und zwar für C-Date selbst. Der Anbieter schreibt, dass für wiederholte Anfragen 5 Euro anfallen.
Die Scheibchentaktik ist verbraucherunfreundlich und rechtlich fragwürdig. Und genau das ist das Problem: Die DSGVO lässt an einigen Stellen unterschiedliche Auslegungen zu – dadurch bieten sich Unternehmen derzeit einige Schlupflöcher. Wenn ein Anbieter die gespeicherten Daten in mehrere Portionen unterteilt, weiß der Nutzer nicht, wie oft er nachfragen muss und wann er wirklich alles bekommen hat, was ihm zusteht.
Einiges steht ihm leider nicht zu – zumindest aus Sicht mancher Anbieter: Nach ihrer Auffassung brauchen sie ihre Kunden längst nicht über alle Daten zu informieren – etwa, wenn sie nicht in Verbindung mit dem Klarnamen gespeichert sind. Auch das Auslagern von Informationen an externe Datenverarbeiter soll genügen, um sich der Auskunftspflicht zu entziehen.
Da fehlt oft was
Viele Anbieter ließen Infos zum Umgang mit den Daten weg und verwiesen stattdessen auf die Datenschutzerklärung. Zur Transparenz trägt das nicht bei. Noch mehr Mut zur Lücke bewiesen neben dem stillschweigenden Grindr auch Lesarion und Tinder. Beide klärten weder über den Zweck der Datenverarbeitung noch über die Speicherdauer auf und erwähnten auch nicht, dass solche Details eventuell in der Datenschutzerklärung stehen.
Maschinen- statt menschenlesbar
Ein weiteres Defizit: die schlechte Lesbarkeit einiger Dateien. Lesarion presste fast alle Daten ohne Leerzeichen hintereinander in eine Textdatei. Bei Apple, Fitbit, Garmin und Instagram waren die JSon-Dateien das Problem – sie sind sehr technisch und für viele Menschen schwer verständlich. Für Computer sind sie hingegen gut geeignet, um die von der DSGVO geforderte Portabilität – die Datenmitnahme – zu erleichtern. Die soll etwa dafür sorgen, dass Nutzer ihre Spotify-Playlist zu anderen Musik-Diensten wie Napster mitnehmen können oder absolvierte Laufstrecken von einer Fitness-App zu einer anderen.
Ein Erfolg? Ja, aber ...
Die Datenschutz-Grundverordnung hat innerhalb eines Jahres bereits erste Wirkung gezeigt. Im Test haben uns 20 der 21 geprüften Firmen Auskunft erteilt, welche personenbezogenen Daten sie speichern. Sie könnten die Informationen aber oft noch verbraucherfreundlicher darstellen. Und einige Schlupflöcher müssten geschlossen werden, indem Gerichte die Verordnung mit Urteilen präzisieren. Dennoch lohnt es sich schon jetzt, solche Auskünfte einzuholen. Sie öffnen die Augen dafür, wie viel die Internetdienste über uns wissen.
-
- Der Umgang mit Daten ist in der Europäische Datenschutz-Grundverordnung (DSGVO) geregelt. Wir erklären, welche Rechte sich daraus für Verbraucher ergeben.
-
- Einen Tag lang haben wir alles erfasst, was unser Redakteur Martin Gobbin online am Handy macht. Wir waren nicht allein: 128 Tracker haben ihn ebenfalls ausspioniert.
-
- Laut einer Entscheidung des Bundesgerichtshofs könnten Versicherte zukünftig interne Vermerke oder Korrespondenzen erhalten, wenn sie von ihrer Versicherung Auskunft...
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
@schnellie: Wir haben Daten nach Artikel 15 der DSGVO abgefragt. Lesen Sie hier, wie wir vorgegangen sind: www.test.de/Datenauskunft-Was-Amazon-Facebook-und-Co-ueber-ihre-Kunden-wissen-5474639-5474643/
Bei den Anbietern müssen wir uns leider auf eine Auswahl beschränken und können nicht allen individuellen Leserwünschen gerecht werden. (DB)
Schade, dass keine Daten schriftlich (Mail, Post, Fax) bei z.B. Facebook.com, Instagram.com und WhatsApp.com angefordert wurden! Es werden ja auch Daten von Personen gesammelt, die keinen Account dort haben oder auch nicht mehr haben etc...
Aber wen wundert es, wenn selbst Stiftung Warentest, bei z.B. u.a. super seriös Facebook, einen Account haben...
Und warum dann auch noch Größen wie Twitter dort erst gar nicht vorkommen, aber z.B. Grindr...
Neuerdings beobachte ich, dass sich der Datenschutz seit Einführung der DSGVO in Bezug auf Adresshändler nicht verbessert hat. Ging ich doch davon aus, dass diese wohl meine Einwilligung zum gewerblichen Handel mit meinen Daten benötigen. Weit gefehlt! Ich bekomme in letzter Zeit vermehrt Werbepost von Hilfswerken, Lotterien, etc., obwohl ich niemals meine Daten selbst dort hingab. Von Unternehmen mit seriös klingenden Namen wie Deutsche Post Direkt GmbH, die sich allesamt auf Art. 6 I f DSGVO berufen. Dort steht: "Die Verarbeitung ist nur rechtmäßig, wenn [sie] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen [...]". Höchst bedenklich, dass mein Grundrecht (!) auf informationelle Selbstbestimmung hinter den monetären Interessen von Adresshändlern zurückzutreten hat! Ist das Datenschutz?
Danke für diesen hilfreichen Test. Gerade im Rechtsgebiet des Datenschutzes fällt es schwer, den Überblick über seine Rechte zu behalten, um diese ggf. auch nachdrücklich durchsetzen zu können. Zumal wie dargelegt, viele Unternehmen eben nur unzureichend den Bestimmungen nachkommen, sei es aus Unkenntnis oder mit Absicht. Aber solange es keine klaren Vorgaben gibt, wie die Datenauskunft konkret mindestens auszusehen hat, werden sich die Unternehmen das nach ihrem Gusto machen.