Daten­schutz im Check Test

Unver­ständlich. Daten­schutz­erklärungen sind oft schwammig formuliert.

Wer sich bei Amazon, Facebook und anderen Online-Unternehmen anmeldet, muss den Erklärungen zustimmen. Wir haben 16 Daten­schutz­erklärungen bekannter Internet­dienste im Hinblick auf Verständlich­keit und Aussagekraft geprüft. Dabei fanden wir wenig Aufklärendes, aber viele recht­liche Hintertüren.

Spotify räumt sich weit­gehende Rechte ein

Der Musik­dienst Spotify liefert gleich am Anfang eine Vorahnung: „Wir hoffen, Sie sitzen bequem und sind bereit, gute Musik zu hören. Es geht los ...“ Wer die Daten­schutz­bestimmungen aufmerk­sam weiterliest, sollte in der Tat gut sitzen. Das Unternehmen räumt sich mit oft unklaren Formulierungen weit­gehende Rechte im Umgang mit Kunden­daten ein. Es kann Daten des Nutzers auch an Dienst­leister in Ländern wie USA, Brasilien oder Singapur über­tragen, in denen „Sie weniger Rechte in Bezug auf Ihre personenbezogenen Daten haben“. Darüber hinaus erlaubt sich Spotify zu registrieren, ob der Nutzer still sitzt oder rennt.

So klug als wie zuvor

Das schwe­dische Unternehmen ist mit diesem Vorgehen nicht allein. Das zeigt der Check von 16 Daten­schutz­erklärungen großer Internetfirmen: von Amazon und Apple über Facebook und Google bis Zalando. Wir wollten wissen, wie aussagekräftig die Bestimmungen aus Verbrauchersicht sind. Klären sie umfassend darüber auf, was mit den Nutzer­daten passiert? Ist der Text verständlich geschrieben? Sind die Formulierungen eindeutig oder lassen sie sich unterschiedlich auslegen? Das Ergebnis: Die Dokumente sind zwar bis zu 45 Seiten lang, aus Verbrauchersicht wirk­lich aussagekräftig ist jedoch keins. Einige liefern wenigs­tens ein paar wichtige Informationen: GMX, Maxdome, Napster, Otto, Watchever und Zalando. Die meisten machen den Leser aber nicht schlauer, darunter die Texte von Welt­konzernen wie Apple und Google.

Nutzer­daten sind bares Geld wert

Audio
Audio abspielenLautstärke einstellen

test.de-Podcast: Wie Sie sich vor Daten­klau und Viren schützen.

Daten und Nutzer­profile gelten als das Gold des Internets. Sie sind bares Geld wert. Verbraucher „bezahlen“ die oft kostenlosen Dienste mit ihren Daten. Mit Werbung lässt sich viel verdienen. Allein im letzten Quartal 2015 machte Google damit mehr als 19 Milliarden Dollar Umsatz. Der Google-Mutter­konzern Alphabet ist aktuell das wert­vollste Unternehmen der Welt.

Microsoft über­wacht Chat bei XBox

Was die Firmen mit den erhobenen, sehr persönlichen Daten wie Alter, Geschlecht, Name, Wohn­ort und Nutzungs­gewohn­heiten tun, versinkt für Kunden häufig im Nebel verschwurbelter juristischer Formulierungen. So formuliert zum Beispiel Microsoft häufig schwammig. Wer durch­hält und den Text bis zu Ende liest, findet dann doch Über­raschendes: Der Konzern erklärt, bei Online­spielen über die Spiele­konsole XBox den Chat und die Gespräche der Spieler stich­proben­artig zu über­wachen. „Die Daten­samm­lung bei XBox greift unan­gemessen in Persönlich­keits­rechte ein“, notiert einer unserer Gutachter.

Diese Fragen sollte die Daten­schutz­erklärung beant­worten

Wie Hinweise zur Daten­ver­arbeitung aus Verbrauchersicht aussehen sollten, wurde auf dem Nationalen IT-Gipfel 2015 auf einer Druck­seite vorgestellt, zu finden auf der Website des Bundesministerium der Justiz und für Verbraucherschutz. Um Kunden umfassend zu informieren, sollten die Hinweise mindestens diese Fragen beant­worten: Welche Daten erfasst der Anbieter? Wie werden sie erhoben? Wofür nutzt er sie? Welche Rechte hat der Kunde?

Welche Daten werden erfasst?

Welche und wie viele persönliche Daten der Anbieter erfasst, hängt von der Dienst­leistung ab. Er sollte so viel wie nötig, aber so wenig wie möglich speichern. Versender wie Amazon oder Otto können Pakete nur ausliefern, wenn sie die Liefer­adresse kennen. Geschlecht oder Alter des Kunden sind irrelevant. Die Alters­angabe brauchen jedoch vor allem Video-Streaming-Dienste wie Maxdome, Netflix und Watchever, denn nicht alle Filme sind jugend­frei.

Maxdome vorbild­lich präzise

Welche Daten er erhebt, sollte der Anbieter präzise auflisten. Das macht Maxdome recht gut. In anderen Dokumenten stießen wir auf Floskeln wie „Folgendes sind Beispiele für personenbezogene Informationen, die wir erheben: Name, E-Mail, Anschrift ...“ Das lässt offen, was darüber hinaus noch gespeichert wird. Voll­ständig­keit ist aber wichtig. Schließ­lich werden die Daten analysiert und Profile gebildet. So teilt Microsoft zum Beispiel mit, dass die bei der Nutzung seiner Dienste anfallenden Daten verknüpft werden. Da kommt einiges zusammen: E-Mails, Telefonate, Such­anfragen. Wer würde schon einem Mitmenschen den Inhalt seiner Kommunikation anver­trauen? Mitmensch Microsoft weiß das alles, zum Beispiel durch Outlook (E-Mail), Skype (Internet-Telefonate), OneDrive (Foto-Cloud) und die Such­maschine Bing.

Wie werden die Daten erhoben?

Ein Unternehmen sollte dem Nutzer auch mitteilen, wie es die Daten erhebt. Einige Informationen erfassen die Anbieter bei der Registrierung der Kunden. Andere erheben sie mit tech­nischen Hilfs­mitteln auto­matisch. Solche Hilfs­mittel sind zum Beispiel der Gefällt-mir-Button von Facebook (Fach­sprache: Social Plug-Ins) oder verfolgende Werbung (Retargeting). Auch Smartphone-Apps über­mitteln Kunden­daten. Sie melden Hard- und Software­informationen wie zum Beispiel Geräte­nummern. Auf dem Computer sammeln Mini­programme namens Cookies permant Nutzungs­gewohn­heiten oder Such­anfragen des Surfers. Der Kunde kann dieser Form der Daten­samm­lung kaum entgehen. Ganz ohne Cookies sind viele Dienste so gut wie nicht mehr nutz­bar.

Ein Satz von 130 Wörtern Länge

Wir stießen auch auf weitere Daten­quellen. Eine ist der Austausch von Informationen, etwa über Zahlungs­probleme zwischen Tochterfirmen eines Dienstes. Ist beispiels­weise ein Otto-Kunde im Zahlungs­verzug, können Otto.de- Unternehmen wie der Baur Versand oder Sport­Scheck davon erfahren. Das kann dazu führen, dass der Kunde dann etwa bei Baur und Sport­Scheck nicht mehr auf Rechnung kaufen kann. Das Internetkauf­haus Amazon informiert in einem Satz von mehr als 130 Wörtern Länge, dass es unter anderem auch Informationen von mit Amazon verbundenen Unternehmen wie zum Beispiel Alexa Internet verarbeitet.

Wofür werden die Daten genutzt?

Die Unternehmen sollten nur Daten erheben, die sie brauchen. Doch sie haben oft weitergehende Interessen: viele Details über Kunden zu sammeln, um Werbung gezielter einsetzen oder Daten an Dritte verkaufen zu können. Der Musik­dienst Deezer zum Beispiel schreibt in seiner Daten­schutz­erklärung: „Wenn Sie sich damit einverstanden erklärt haben, können Sie ... Angebote von Deezers Part­nern erhalten und Ihre Daten können an Geschäfts­partner verkauft werden.“ Die Online­video­thek Watchever ist ungenauer: „Wir verwenden die von ihnen mitgeteilten Daten ... und auch im Übrigen ausschließ­lich soweit gesetzlich zulässig.“ Kunden tappen bei solch schwammigen Formulierungen im Dunkeln.

Welche Rechte hat der Kunde?

Selbst­bestimmung schließt ein, dass Firmen ihre Kunden auf Anfrage über die gespeicherten Daten informieren, die Angaben auf Wunsch berichtigen, ganz oder teil­weise löschen. Kunden dürfen die Nutzung ihrer Daten für Werbe­zwecke widerrufen. Ansprech­partner ist der Daten­schutz­beauftragte des Unter­nehmens. Amazon und Apple bieten nur ein Kontaktformular. Kunden müssen mitunter in Frank­reich (Deezer), Irland (Facebook) oder Luxemburg (Ebay) nach­fragen. Amazon empfiehlt: „Write to us in English.“

Frei­brief statt Schutz

Oft kehren die Texte die Über­schrift „Daten­schutz­bestimmungen“ fast ins Gegen­teil. Kunden werden nicht über den Schutz ihrer Daten informiert, sondern erteilen eher einen Frei­brief zum Verwerten ihrer persönlichen Daten. Einschränken können sie die Daten­preisgabe kaum. Kluge Nutzer streuen ihre Daten: Sie wählen für E-Mail, Internetrecherche oder soziale Netz­werke verschiedene Anbieter. Das gibt einzelnen Firmen weniger Wissen. Auch im Falle eines Daten­lecks ist es besser, wenn die Informationen über mehrere Dienste gestreut sind, als bei einem konzentriert zu sein. Kleiner Nachteil: Der Kunde muss mehrere dieser Hinweise lesen. Vielleicht enden die aber auch so höflich wie die von Spotify: „Wir danken für das Lesen unserer Daten­schutz­bestimmungen.“

Tipp: Lesen Sie zum Thema Daten­schutz auch unsere Meldung Neues Abkommen ersetzt „Safe Harbor“ – was ist geplant?

Dieser Artikel ist hilfreich. 82 Nutzer finden das hilfreich.