Daten­schutz Special

Unternehmen müssen über gespeicherte Daten Auskunft geben und sie auf Antrag löschen. Das regelt die neue Daten­schutz­grund­ver­ordnung. Eine Finanztest-Redak­teurin hat es ausprobiert und bei Firmen wie Spotify, Paypal nach ihren gespeicherten Daten gefragt. Hier lesen Sie, wie aufgeschlossen die Unternehmen sind – und was Sie selbst tun können.

Spotify hört irgendwie mit

Etwas mulmig ist mir heute auf dem Heimweg, als ich Spotify einschalte. Jeden Titel, den ich höre, speichert der Musik­streaming­dienst mit Datum und Uhrzeit. Es fühlt sich komisch an, dass in gewisser Weise jemand mithört. Dass Spotify alles genau erfasst, ist mir erst seit heute klar. Ich habe Ende Mai 2018 Unternehmen wie die Schufa, GMX und Paypal gefragt, welche personenbezogenen Daten sie von mir speichern und was sie damit bezwe­cken. Das war gleich nachdem die europäische Daten­schutz­grund­ver­ordnung (DSGVO) in Kraft getreten ist. Sie gibt Privatleuten das Recht, eine solche Auskunft zu verlangen und eine Löschung der eigenen Daten zu beantragen.

Das Recht zur Auskunft gewährte das Bundes­daten­schutz­gesetz zwar schon bisher, aber die neue Verordnung sieht erst­mals hohe Bußgelder für die Unternehmen bei Verstößen vor. Mühsam ist das Unter­fangen für Kunden aber nach wie vor, stelle ich fest.

Auskunft und Löschung – die wichtigsten Infos

Auskunft. Sie haben das Recht, Auskunft über Ihre personenbezogenen Daten zu bekommen und eine Löschung zu beantragen. Beides können Sie formlos per Post oder E-Mail anstoßen. Wenn Sie unsicher sind, an wen Sie sich wenden sollen, rufen Sie vorab beim Unternehmen an und fragen nach. Sie können Ihre Anfrage in der Regel an den Daten­schutz­beauftragen des Unter­nehmens richten. Dessen Kontakt­daten müssen in den Daten­schutz­bestimmungen stehen. Viele weitere Details lesen Sie im großen Special zur Datenschutzgrundverordnung.

Identitäts­nach­weise. Verlangt ein Unternehmen von Ihnen als Identitäts­nach­weis eine Kopie Ihres Personal­ausweises, können Sie alle für Ihre Anfrage unerheblichen Angaben schwärzen.

Zweifel. Haben Sie Zweifel daran, dass ein Unternehmen Ihnen die personenbezogenen Daten voll­ständig mitgeteilt hat? Dann fragen Sie noch einmal! Bringt auch das nichts oder haben Sie Ärger mit einem Unternehmen, wenden Sie sich an eine Daten­schutz­behörde, am besten an die, in dessen Bundes­land das Unternehmen sitzt.

Muster­brief. Auf test.de haben wir für Sie 2 Musterbriefe für Auskunft und Löschung bereit­gestellt. Weitere Muster­briefe finden Sie bei den Verbraucherzentralen.

Daten­schutz Special

Bei Spotify geht es schon mal flott los

Daten­schutz Special

Spotify reagiert erst einmal flott. Auf meine formlose E-Mail informiert mich der Dienst inner­halb eines Tages, was er braucht: „Wir benötigen als Verifizierung eine Bestätigung von dir über dein Geburts­datum, das in deinem Konto angegeben ist.“ Außerdem soll ich meine Unter­schrift senden. „Es genügt, wenn du einen Ausdruck deiner ursprüng­lichen Mail unterzeichnest, scannst und uns dann den Scan per E-Mail zusendest.“

Die Daten kommen in einem Format, das nicht jeder kennt

Gesagt, getan. Noch am selben Tag erfahre ich, dass ich in den Privatsphäre-Einstel­lungen meines Kontos per Klick eine Kopie meiner Daten anfordern kann und folge den Anweisungen. Bereits 24 Stunden später steht für mich ein Zip-Ordner zum Download bereit. Er enthält sechs einzelne Dateien mit eng­lischen Namen in dem Daten­austauschformat json, das nicht jeder kennt. Ich packe die Dateien in einen Texteditor, um sie zu lesen, und finde meine Nutzer­daten, meine Biblio­thek und Playlist, Daten zur Bezahlung, die SearchQueries, also Such­abfragen, meine Streaming History und eine Aufstellung der Künstler, denen ich folge.

Das meiste ist selbst­erklärend: Jedes einzelne Stück und jede Suche von mir sind mit Uhrzeit aufgeführt. Vermerkt ist außerdem die Betriebs­systemfamilie, über die ich Spotify nutze, nicht aber die genaue Version und auch nicht das exakte Gerät.

Haben die wirk­lich alle Daten geschickt?

Ist das wirk­lich alles und wie kann ich das heraus­finden? Ich wende mich dafür an die Bundes­daten­schutz­beauftragte. Ihre Antwort ist ernüchternd: „Als Verbraucher ist es schwer zu über­prüfen, welche Daten bei einem Unternehmen tatsäch­lich vorliegen. Konkret kann dies in der Regel nur die Aufsichts­behörde im Rahmen einer Vor-Ort-Kontrolle.“

Als ich in den Daten­schutz­bestimmungen von Spotify nach­lese, welche Daten der Dienst erhebt, werde ich skeptisch. Aufgezählt sind unter anderem eindeutige Gerätekenn­nummern, die Art der Netz­werk­verbindung, der Anbieter und mobile Sensor­daten, zum Beispiel von einem Beschleunigungs­messer. In meinen Daten finde ich davon nichts. Ich hake bei Spotify nach, erläutere, dass ich davon ausgehe, nicht alles bekommen zu haben, und bitte, mir alle personenbezogenen Daten zuzu­senden. Zwei Wochen sind seitdem vergangen, die Antwort steht noch aus.

Die zweite Anfrage geht an GMX

Daten­schutz Special

Ähnlich verläuft mein Kontakt mit meinem E-Mail-Anbieter GMX. Er schickt mir umge­hend per E-Mail Daten, die er „zur Durch­führung meines Vertrages“ gespeichert hat: Kunden­nummer, Name, Geburts­datum und eine alte Adresse. Als Sicher­heits-E-Mail ist eine E-Mail-Adresse meines Ex-Freundes aufgelistet, die ich beim Anmelden offensicht­lich hinterlegt habe. Außerdem sind Daten etwa zum letzten http-Login und Mobile-Login gespeichert, also wann ich von welchem Endgerät zuletzt in mein Post­fach geschaut habe.

Auch hier fällt mir schwer zu glauben, dass das alles sein soll. Die Antwort auf meine Nach­frage bekomme ich eine Woche später: Es würden auch Daten gespeichert, die in E-Mails vorhanden sind, etwa Nach­richten und Anhänge, Gleiches gelte für alle Einträge im Adress­buch. Gelöscht werden sie erst, wenn der Nutzer sie löscht und aus seinem Papierkorb entfernt, so das Unternehmen.

Paypal strapaziert die Geduld

Daten­schutz Special

Der Bezahl­dienst­leister Paypal strapaziert meine Geduld dagegen von Anfang an. Auf meine E-Mail reagiert er nicht. Ich rufe an und ertrage auto­matische Ansagen, bis endlich eine Mitarbeiterin mit mir spricht. Dafür soll es jetzt einfach gehen. Sie nimmt meine E-Mail-Adresse auf und kündigt an: „Sie müssen nichts weiter tun, sondern können abwarten, bis Sie per E-Mail von uns informiert werden.“

Als zwei Wochen später noch nichts passiert ist, hake ich über die Nach­richten­funk­tion in meinem Konto nach. Wenige Tage später teilt mir Paypal mit, meine Anfrage nicht bearbeiten zu können, weil keine Kopie meines Personal­ausweises vorliege. Dass Paypal eine braucht, hat mir niemand gesagt. Außerdem belehrt mich Paypal: „Nur personenbezogene Daten, die Sie betreffen, werden zur Verfügung gestellt.“ Interes­sant. Alle personenbezogenen Daten betreffen mich!

Warum will Paypal die Körpergröße wissen?

Bevor ich die Ausweiskopie hoch­lade, schwärze ich alle unwichtigen Daten, darunter Foto, Körpergröße und Augen­farbe. Wenige Tage später beschwert sich Paypal: „Leider können wir Ihre Kopie des Personal­ausweises nicht als Identitäts­bestätigung anerkennen.(...) Ihr Name und das voll­ständige Dokument müssen gut erkenn­bar sein, nur die Zugangs­nummer darf geschwärzt werden.“ Auf meine Frage, warum Foto, Körpergröße und Augen­farbe nötig seien, kommt keine Antwort.

Die Schufa will gleich noch weitere Daten

Daten­schutz Special

Schwierig ist auch der Kontakt mit der Schutz­gemeinschaft für allgemeine Kreditsicherung (Schufa). Fünf Tage nach meiner E-Mail-Anfrage fordert mich das Daten­sammel­unternehmen aus Wiesbaden auf: „Bitte teilen Sie uns Ihre früheren Anschriften mit.“ Eine Identifikation sei sonst nicht möglich. Außerdem will die Schufa eine Kopie meines Personals­ausweises. Immerhin weist sie darauf hin, was ich schwärzen darf: „Angaben wie Nationalität, Augen­farbe und Größe sowie die 6-stel­lige Zugangs­nummer.“

Warum will die Schufa alle meine letzten Wohn­sitze? Ich rufe an. Der Mitarbeiter navigiert mich durch das Online­angebot. Unter „Meine Schufa“ und „Auskünfte“ findet sich ganz unten unter den anderen Auskunfts­möglich­keiten das, was ich suche.

Verwirrende Darstel­lungen auf der Schufa-Seite

Auf mich wirkt die Darstellung unter der Über­schrift „Welche Auskunft passt zu Ihnen?“ so, als sei die kosten­pflichtige Auskunft „meine Schufa­kompakt“ viel besser als die kostenlose „Daten­kopie nach Art. 15 DS-GVO“, zu der die Schufa verpflichtet ist. Diese muss ich zudem wie die anderen Auskünfte „bestellen“. Die Präsentation verleitet dazu, ein anderes Angebot zu wählen.

Im Onlineformular fragt die Schufa wieder nach vorherigen Wohn­sitzen, es ist aber kein Pflicht­feld. Ich fülle es nicht aus. Wenige Tage nach meiner „Bestellung“ will die Schufa in einer E-Mail wieder die Wohn­sitze wissen. Ich frage vergebens nach dem Grund. Schließ­lich hat die Schufa meinen Namen – der nicht häufig vorkommt – meine aktuelle Adresse und mit Sicherheit auch ein Daten­paket.

Entnervt klage ich dem zuständigen hessischen Daten­schutz­beauftragten mein Leid. Sebastian Hort will die Schufa um Stellung­nahme bitten. Er denkt, dass ich ihre Auskunft rund zwei Wochen später habe. Auf meine Anfrage reagiert die Schufa wochen­lang nicht.

Krankenkasse – Auskunft nur unter Bedingungen

Daten­schutz Special

Viele sehr sensible Daten hat eine Krankenkasse. Daher bin ich gespannt, was meine IKK über mich gespeichert hat. Einen Hinweis, wie ich die Auskunft bekomme, finde ich auf der Internetseite nicht. Das allgemeine Kontaktformular kann ich aber nur nutzen, wenn ich den Daten­schutz­bestimmungen zustimme, ansonsten wird mein Text nicht versandt. Ist das rechtens? Das will ich von der Berliner Daten­schutz­beauftragten wissen. Sie legt mir eine positive Sicht nahe, weil so klar werde, dass Daten verarbeitet werden. Außerdem könnten Kontaktformulare verschlüsselte Nach­richten garan­tieren, E-Mails könne jeder abfangen.

Aktivist Max Schrems kritisiert die Praxis

Der bekannte Daten­schutz­aktivist Max Schrems sieht das anders: „Das Problem ist, dass viele Unternehmen auf Nummer sicher gehen und sich Zustimmungen einholen, die gar nicht notwendig sind“, siehe Interview. Finanztest hat Schrems 2014 in der Rubrik „Mutmacher“ vorgestellt, weil er sich erfolg­reich mit dem Internetgiganten Facebook angelegt hat. Ich wähle die Hotline der Krankenkasse und erfahre, dass ich eine Daten­abfrage per Post stellen muss. Als ich hartnä­ckig bleibe, gibt mir die Mitarbeiterin die E-Mail-Adresse daten­schutz@ikkbb.de. Was ich zur Legitimation mitschi­cken müsse, wisse sie nicht.

Vier Wochen nach meiner E-Mail kommt ein Brief. Ich soll „die Art der Sozial­daten, über die Auskunft erteilt werden soll“, näher bezeichnen. Ich finde das schwierig und zögere. Zum Glück, denn bereits am nächsten Morgen ist erneut ein Brief der IKK im Kasten: Aufgrund der „Komplexität“ meines Antrags verlängere sich die Frist um zwei Monate. Beide Briefe hat dieselbe Frau unter­schrieben.

Nach fünf Wochen fehlen immer noch Auskünfte

Mehr als fünf Wochen sind seit meinen ersten Anfragen vergangen. Die Schufa, meine Krankenkasse und Paypal schulden mir noch Antworten. Der Ticket­verkäufer Eventim und der Onlinehändler Amazon haben mir pass­wort­geschützte Daten­auskünfte im Format Pdf und auf CD versprochen. Ange­kommen ist nur die Datei von Eventim. Auf das Pass­wort dazu warte ich seit einer Woche. Können Verbraucher immer noch ihre Rechte nur dann durch­setzen, wenn sie hartnä­ckig bleiben?

Sender Sat1 löscht veraltetes Video

Daten­schutz Special

Die Daten­schutz­grund­ver­ordnung gewährt Verbrauchern auch das Recht, das Löschen von Daten einzufordern. Ich probiere auch das aus. Seit einigen Jahren lässt sich auf der Ratgeber-Internetseite des Fernsehsenders Sat1 ein Video von mir abrufen, das veraltet ist. Per Einschreiben mit Rück­schein an den Daten­schutz­beauftragen von ProSiebenSat.1 beantrage ich, das Video inner­halb von zwei Wochen zu löschen. Das begründe ich und sende als Identifikations­nach­weis eine Kopie meines Personal­ausweise mit, in der ich alles, bis auf meinen Namen geschwärzt habe. Die erste Frist verstreicht kommentarlos; als ich eine zweite setze, löscht der Sender das Video aber.

In eigener Sache: Wenn Sie wissen wollen, welche Daten wir von Ihnen verarbeiten und speichern, wenden Sie sich an datenschutzauskunft@stiftung-warentest.de.

Dieser Artikel ist hilfreich. 38 Nutzer finden das hilfreich.