© Lisa Rock
Unternehmen müssen über gespeicherte Daten Auskunft geben und sie auf Antrag löschen. Das regelt die neue Datenschutzgrundverordnung. Eine Finanztest-Redakteurin hat es ausprobiert und bei Firmen wie Spotify, Paypal nach ihren gespeicherten Daten gefragt. Hier lesen Sie, wie aufgeschlossen die Unternehmen sind – und was Sie selbst tun können.
Spotify hört irgendwie mit
Etwas mulmig ist mir heute auf dem Heimweg, als ich Spotify einschalte. Jeden Titel, den ich höre, speichert der Musikstreamingdienst mit Datum und Uhrzeit. Es fühlt sich komisch an, dass in gewisser Weise jemand mithört. Dass Spotify alles genau erfasst, ist mir erst seit heute klar. Ich habe Ende Mai 2018 Unternehmen wie die Schufa, GMX und Paypal gefragt, welche personenbezogenen Daten sie von mir speichern und was sie damit bezwecken. Das war gleich nachdem die europäische Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist. Sie gibt Privatleuten das Recht, eine solche Auskunft zu verlangen und eine Löschung der eigenen Daten zu beantragen.
Das Recht zur Auskunft gewährte das Bundesdatenschutzgesetz zwar schon bisher, aber die neue Verordnung sieht erstmals hohe Bußgelder für die Unternehmen bei Verstößen vor. Mühsam ist das Unterfangen für Kunden aber nach wie vor, stelle ich fest.
Auskunft und Löschung – die wichtigsten Infos
- Auskunft.
- Sie haben das Recht, Auskunft über Ihre personenbezogenen Daten zu bekommen und eine Löschung zu beantragen. Beides können Sie formlos per Post oder E-Mail anstoßen. Wenn Sie unsicher sind, an wen Sie sich wenden sollen, rufen Sie vorab beim Unternehmen an und fragen nach. Sie können Ihre Anfrage in der Regel an den Datenschutzbeauftragen des Unternehmens richten. Dessen Kontaktdaten müssen in den Datenschutzbestimmungen stehen. Viele weitere Details lesen Sie im großen Special zur Datenschutzgrundverordnung.
- Identitätsnachweise.
- Verlangt ein Unternehmen von Ihnen als Identitätsnachweis eine Kopie Ihres Personalausweises, können Sie alle für Ihre Anfrage unerheblichen Angaben schwärzen.
- Zweifel.
- Haben Sie Zweifel daran, dass ein Unternehmen Ihnen die personenbezogenen Daten vollständig mitgeteilt hat? Dann fragen Sie noch einmal! Bringt auch das nichts oder haben Sie Ärger mit einem Unternehmen, wenden Sie sich an eine Datenschutzbehörde, am besten an die, in dessen Bundesland das Unternehmen sitzt.
- Musterbrief.
- Auf test.de haben wir für Sie 2 Musterbriefe für Auskunft und Löschung bereitgestellt. Weitere Musterbriefe finden Sie bei den Verbraucherzentralen.
© Lisa Rock
Bei Spotify geht es schon mal flott los
Spotify reagiert erst einmal flott. Auf meine formlose E-Mail informiert mich der Dienst innerhalb eines Tages, was er braucht: „Wir benötigen als Verifizierung eine Bestätigung von dir über dein Geburtsdatum, das in deinem Konto angegeben ist.“ Außerdem soll ich meine Unterschrift senden. „Es genügt, wenn du einen Ausdruck deiner ursprünglichen Mail unterzeichnest, scannst und uns dann den Scan per E-Mail zusendest.“
Die Daten kommen in einem Format, das nicht jeder kennt
Gesagt, getan. Noch am selben Tag erfahre ich, dass ich in den Privatsphäre-Einstellungen meines Kontos per Klick eine Kopie meiner Daten anfordern kann und folge den Anweisungen. Bereits 24 Stunden später steht für mich ein Zip-Ordner zum Download bereit. Er enthält sechs einzelne Dateien mit englischen Namen in dem Datenaustauschformat json, das nicht jeder kennt. Ich packe die Dateien in einen Texteditor, um sie zu lesen, und finde meine Nutzerdaten, meine Bibliothek und Playlist, Daten zur Bezahlung, die SearchQueries, also Suchabfragen, meine Streaming History und eine Aufstellung der Künstler, denen ich folge.
Das meiste ist selbsterklärend: Jedes einzelne Stück und jede Suche von mir sind mit Uhrzeit aufgeführt. Vermerkt ist außerdem die Betriebssystemfamilie, über die ich Spotify nutze, nicht aber die genaue Version und auch nicht das exakte Gerät.
Haben die wirklich alle Daten geschickt?
Ist das wirklich alles und wie kann ich das herausfinden? Ich wende mich dafür an die Bundesdatenschutzbeauftragte. Ihre Antwort ist ernüchternd: „Als Verbraucher ist es schwer zu überprüfen, welche Daten bei einem Unternehmen tatsächlich vorliegen. Konkret kann dies in der Regel nur die Aufsichtsbehörde im Rahmen einer Vor-Ort-Kontrolle.“
Als ich in den Datenschutzbestimmungen von Spotify nachlese, welche Daten der Dienst erhebt, werde ich skeptisch. Aufgezählt sind unter anderem eindeutige Gerätekennnummern, die Art der Netzwerkverbindung, der Anbieter und mobile Sensordaten, zum Beispiel von einem Beschleunigungsmesser. In meinen Daten finde ich davon nichts. Ich hake bei Spotify nach, erläutere, dass ich davon ausgehe, nicht alles bekommen zu haben, und bitte, mir alle personenbezogenen Daten zuzusenden. Zwei Wochen sind seitdem vergangen, die Antwort steht noch aus.
Die zweite Anfrage geht an GMX
Ähnlich verläuft mein Kontakt mit meinem E-Mail-Anbieter GMX. Er schickt mir umgehend per E-Mail Daten, die er „zur Durchführung meines Vertrages“ gespeichert hat: Kundennummer, Name, Geburtsdatum und eine alte Adresse. Als Sicherheits-E-Mail ist eine E-Mail-Adresse meines Ex-Freundes aufgelistet, die ich beim Anmelden offensichtlich hinterlegt habe. Außerdem sind Daten etwa zum letzten http-Login und Mobile-Login gespeichert, also wann ich von welchem Endgerät zuletzt in mein Postfach geschaut habe.
Auch hier fällt mir schwer zu glauben, dass das alles sein soll. Die Antwort auf meine Nachfrage bekomme ich eine Woche später: Es würden auch Daten gespeichert, die in E-Mails vorhanden sind, etwa Nachrichten und Anhänge, Gleiches gelte für alle Einträge im Adressbuch. Gelöscht werden sie erst, wenn der Nutzer sie löscht und aus seinem Papierkorb entfernt, so das Unternehmen.
Paypal strapaziert die Geduld
Der Bezahldienstleister Paypal strapaziert meine Geduld dagegen von Anfang an. Auf meine E-Mail reagiert er nicht. Ich rufe an und ertrage automatische Ansagen, bis endlich eine Mitarbeiterin mit mir spricht. Dafür soll es jetzt einfach gehen. Sie nimmt meine E-Mail-Adresse auf und kündigt an: „Sie müssen nichts weiter tun, sondern können abwarten, bis Sie per E-Mail von uns informiert werden.“
Als zwei Wochen später noch nichts passiert ist, hake ich über die Nachrichtenfunktion in meinem Konto nach. Wenige Tage später teilt mir Paypal mit, meine Anfrage nicht bearbeiten zu können, weil keine Kopie meines Personalausweises vorliege. Dass Paypal eine braucht, hat mir niemand gesagt. Außerdem belehrt mich Paypal: „Nur personenbezogene Daten, die Sie betreffen, werden zur Verfügung gestellt.“ Interessant. Alle personenbezogenen Daten betreffen mich!
Warum will Paypal die Körpergröße wissen?
Bevor ich die Ausweiskopie hochlade, schwärze ich alle unwichtigen Daten, darunter Foto, Körpergröße und Augenfarbe. Wenige Tage später beschwert sich Paypal: „Leider können wir Ihre Kopie des Personalausweises nicht als Identitätsbestätigung anerkennen.(...) Ihr Name und das vollständige Dokument müssen gut erkennbar sein, nur die Zugangsnummer darf geschwärzt werden.“ Auf meine Frage, warum Foto, Körpergröße und Augenfarbe nötig seien, kommt keine Antwort.
Die Schufa will gleich noch weitere Daten
Schwierig ist auch der Kontakt mit der Schutzgemeinschaft für allgemeine Kreditsicherung (Schufa). Fünf Tage nach meiner E-Mail-Anfrage fordert mich das Datensammelunternehmen aus Wiesbaden auf: „Bitte teilen Sie uns Ihre früheren Anschriften mit.“ Eine Identifikation sei sonst nicht möglich. Außerdem will die Schufa eine Kopie meines Personalsausweises. Immerhin weist sie darauf hin, was ich schwärzen darf: „Angaben wie Nationalität, Augenfarbe und Größe sowie die 6-stellige Zugangsnummer.“
Warum will die Schufa alle meine letzten Wohnsitze? Ich rufe an. Der Mitarbeiter navigiert mich durch das Onlineangebot. Unter „Meine Schufa“ und „Auskünfte“ findet sich ganz unten unter den anderen Auskunftsmöglichkeiten das, was ich suche.
Verwirrende Darstellungen auf der Schufa-Seite
Auf mich wirkt die Darstellung unter der Überschrift „Welche Auskunft passt zu Ihnen?“ so, als sei die kostenpflichtige Auskunft „meine Schufakompakt“ viel besser als die kostenlose „Datenkopie nach Art. 15 DS-GVO“, zu der die Schufa verpflichtet ist. Diese muss ich zudem wie die anderen Auskünfte „bestellen“. Die Präsentation verleitet dazu, ein anderes Angebot zu wählen.
Im Onlineformular fragt die Schufa wieder nach vorherigen Wohnsitzen, es ist aber kein Pflichtfeld. Ich fülle es nicht aus. Wenige Tage nach meiner „Bestellung“ will die Schufa in einer E-Mail wieder die Wohnsitze wissen. Ich frage vergebens nach dem Grund. Schließlich hat die Schufa meinen Namen – der nicht häufig vorkommt – meine aktuelle Adresse und mit Sicherheit auch ein Datenpaket.
Entnervt klage ich dem zuständigen hessischen Datenschutzbeauftragten mein Leid. Sebastian Hort will die Schufa um Stellungnahme bitten. Er denkt, dass ich ihre Auskunft rund zwei Wochen später habe. Auf meine Anfrage reagiert die Schufa wochenlang nicht.
Krankenkasse – Auskunft nur unter Bedingungen
Viele sehr sensible Daten hat eine Krankenkasse. Daher bin ich gespannt, was meine IKK über mich gespeichert hat. Einen Hinweis, wie ich die Auskunft bekomme, finde ich auf der Internetseite nicht. Das allgemeine Kontaktformular kann ich aber nur nutzen, wenn ich den Datenschutzbestimmungen zustimme, ansonsten wird mein Text nicht versandt. Ist das rechtens? Das will ich von der Berliner Datenschutzbeauftragten wissen. Sie legt mir eine positive Sicht nahe, weil so klar werde, dass Daten verarbeitet werden. Außerdem könnten Kontaktformulare verschlüsselte Nachrichten garantieren, E-Mails könne jeder abfangen.
Aktivist Max Schrems kritisiert die Praxis
Der bekannte Datenschutzaktivist Max Schrems sieht das anders: „Das Problem ist, dass viele Unternehmen auf Nummer sicher gehen und sich Zustimmungen einholen, die gar nicht notwendig sind“, siehe Interview. Finanztest hat Schrems 2014 in der Rubrik „Mutmacher“ vorgestellt, weil er sich erfolgreich mit dem Internetgiganten Facebook angelegt hat. Ich wähle die Hotline der Krankenkasse und erfahre, dass ich eine Datenabfrage per Post stellen muss. Als ich hartnäckig bleibe, gibt mir die Mitarbeiterin die E-Mail-Adresse datenschutz@ikkbb.de. Was ich zur Legitimation mitschicken müsse, wisse sie nicht.
Vier Wochen nach meiner E-Mail kommt ein Brief. Ich soll „die Art der Sozialdaten, über die Auskunft erteilt werden soll“, näher bezeichnen. Ich finde das schwierig und zögere. Zum Glück, denn bereits am nächsten Morgen ist erneut ein Brief der IKK im Kasten: Aufgrund der „Komplexität“ meines Antrags verlängere sich die Frist um zwei Monate. Beide Briefe hat dieselbe Frau unterschrieben.
Nach fünf Wochen fehlen immer noch Auskünfte
Mehr als fünf Wochen sind seit meinen ersten Anfragen vergangen. Die Schufa, meine Krankenkasse und Paypal schulden mir noch Antworten. Der Ticketverkäufer Eventim und der Onlinehändler Amazon haben mir passwortgeschützte Datenauskünfte im Format Pdf und auf CD versprochen. Angekommen ist nur die Datei von Eventim. Auf das Passwort dazu warte ich seit einer Woche. Können Verbraucher immer noch ihre Rechte nur dann durchsetzen, wenn sie hartnäckig bleiben?
Sender Sat1 löscht veraltetes Video
Die Datenschutzgrundverordnung gewährt Verbrauchern auch das Recht, das Löschen von Daten einzufordern. Ich probiere auch das aus. Seit einigen Jahren lässt sich auf der Ratgeber-Internetseite des Fernsehsenders Sat1 ein Video von mir abrufen, das veraltet ist. Per Einschreiben mit Rückschein an den Datenschutzbeauftragen von ProSiebenSat.1 beantrage ich, das Video innerhalb von zwei Wochen zu löschen. Das begründe ich und sende als Identifikationsnachweis eine Kopie meines Personalausweise mit, in der ich alles, bis auf meinen Namen geschwärzt habe. Die erste Frist verstreicht kommentarlos; als ich eine zweite setze, löscht der Sender das Video aber.
In eigener Sache: Wenn Sie wissen wollen, welche Daten wir von Ihnen verarbeiten und speichern, wenden Sie sich an datenschutzauskunft@stiftung-warentest.de.
-
Was ein einziger Tag am Handy über Surfer verrät
- Einen Tag lang haben wir alles erfasst, was unser Redakteur Martin Gobbin online am Handy macht. Wir waren nicht allein: 128 Tracker haben ihn ebenfalls ausspioniert.
-
Regeln für persönliche Daten
- Der Umgang mit Daten ist in der Europäische Datenschutz-Grundverordnung (DSGVO) geregelt. Wir erklären, welche Rechte sich daraus für Verbraucher ergeben.
-
Vorsicht, Kostenfalle!
- Vermieter verlangen oft eine Bonitätsprüfung, bevor sie einen Mietvertrag unterschreiben. Wer nicht aufpasst, landet dann schnell bei kostenpflichtigen Angeboten....
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
