Neue Rechte! Mehr Kontrolle? Die Datenschutzgrundverordnung (DSGVO) der EU gilt seit Ende Mai und soll Verbrauchern mehr Kontrolle über ihre Daten ermöglichen. Wie Anbieter Sozialer Medien das umgesetzt haben, zeigt eine aktuelle Untersuchung des Marktwächter-Teams der Verbraucherzentrale NRW. Die Datenschutzerklärungen acht geprüfter Dienste machen deutlich, dass die Verbraucher nach wie vor kaum nachvollziehen können, wie ihre Daten verarbeitet werden. Datenschutzrelevante Voreinstellungen – wie die DSGVO sie vorsieht – sind nicht immer datenschutzfreundlich gestaltet.
In Deutschland sind 80 Prozent der über 14-Jährigen in Sozialen Netzwerken wie Facebook oder Twitter angemeldet.* Dort tauschen sie u.a. Privatfotos, Gedanken oder Infos über den Beziehungs- oder Jobstatus aus. „Derart persönliche Daten liefern viel Futter für datengetriebene Geschäftsmodelle – etwa für personalisierte Werbung. Umso wichtiger ist es für die Nutzer genau zu wissen, wie mit ihren Daten umgegangen wird“, so Ricarda Moll vom Marktwächter-Team der Verbraucherzentrale NRW. Doch wie setzen Dienste wie Facebook, LinkedIn oder Snapchat ihre erweiterten Informationspflichten um? Wie praktizieren sie die Verpflichtung zur datenschutzfreundlichen Voreinstellung (Privacy by default)? Eine erste Bestandsaufnahme der Marktwächter-Experten dazu offenbart wesentliche Probleme.
Schon die Voreinstellungen: (Datenschutz)Unfreundlich
Nach der DSGVO müssen Anbieter Sozialer Medien ihre Dienste so voreinstellen, dass nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck nötig sind. „Das ist gerade bei Sozialen Medien wichtig, denn nur die Wenigsten nehmen Änderungen an den Standard- und Datenschutzeinstellungen vor“,so Ricarda Moll vom Marktwächter-Team der Verbraucherzentrale NRW. Die Untersuchung zeigt, dass viele der geprüften Anbieter die DSGVO in diesem Punkt nicht im Sinne eines nutzerfreundlichen Datenschutzes umgesetzt haben:
So schränken nur wenige der untersuchten Sozialen Medien die Sichtbarkeit von Nutzer-Beiträgen ein. Bei den meisten Diensten sind die Nutzerbeiträge öffentlich und nicht nur für die vom Nutzer ausgewählten Kontakte sichtbar. Hier verstößt, nach Ansicht des Marktwächter-Teams, die Mehrheit der geprüften Anbieter gegen die DSGVO.
Kontrolle über Daten? Nur eine Illusion
Mit einer Ausnahme nutzen alle geprüften Anbieter personenbezogene Daten für personalisierte Werbung. In diesen Fällen werden per Voreinstellung auch Daten verwendet, die auf der Verfolgung des Nutzer-Surfverhaltens basieren (Tracking-Daten). Dies kann der Verbraucher teilweise nachträglich einschränken. Besonders kritisch sieht es das Marktwächter-Team, dass das Nutzer-Tracking selbst jedoch meist nicht eingeschränkt werden kann. „Verbraucher können also nicht begrenzen, wie viel Anbieter über sie wissen, sondern nur, inwieweit sie dieses Wissen aktuell nutzen dürfen. Es handelt sich aus Verbraucherschutzsicht also lediglich um eine Illusion von Kontrolle“, kritisiert Moll.
Überhaupt zeigt die Analyse, dass die meisten der geprüften Anbieter noch immer Datenkraken sind: So fordern mit nur zwei Ausnahmen alle Dienste ihre Nutzer dazu auf, Daten ihrer Kontakte aus dem Adressbuch zu übertragen. Dabei wird zum Beispiel durch wiederholte Aufforderungen und die dort enthaltenen Formulierungen suggeriert, dass der Zugriff auf die Kontakte für den Dienst allgemein nötig sei. Durch die Übertragung des Adressbuchs können auch Daten von Nutzern an Anbieter weitergegeben werden, die hiermit nicht unbedingt einverstanden sind, weil sie sich zum Beispiel bewusst gegen einen Dienst entschieden haben.
Datenschutzerklärungen: Klare Infos sehen anders aus
Auch das Ergebnis der Prüfung der Datenschutzerklärungen lässt zu wünschen übrig. Beispielsweise finden Nutzer bei der Dauer der Datenspeicherung meist nur unklare Formulierungen: Ein Anbieter spricht etwa von Informationen, die „unterschiedlich lange...“ gespeichert werden. Und beim Thema Datenweitergabe werden überwiegend keine genauen Empfänger genannt, sondern allgemeine Kategorien wie beispielsweise „Personen“, „Unternehmen“ oder „Dritte“. „Wer Persönliches teilt, sollte aber genau wissen, wer noch an diese Daten kommt“, so Moll.
Nutzer müssen auch darüber aufgeklärt werden, welche Rechte sie gegenüber dem Anbieter haben. Sie können bei Facebook und Co. etwa erfragen, welche personenbezogenen Daten von ihnen gespeichert sind. Über dieses Auskunftsrecht werden die Nutzer aber von einigen der geprüften Anbieter nicht hinreichend klar und deutlich informiert.
Datenschutz muss konsequent umgesetzt werden
Die Ergebnisse der Marktwächter-Analyse zeigen eindrücklich, dass Verbraucher in Sachen Datenschutz mehr erwarten können. „Die Vorgaben der DSGVO müssen konsequent von den Diensten umgesetzt und von den Aufsichtsbehörden überprüft werden“, fordert Lina Ehrig, Leiterin Team Digitales und Medien beim Verbraucherzentrale Bundesverband (vzbv). „Hierfür müssen die Aufsichtsbehörden mit den erforderlichen Ressourcen ausgestattet werden, um die Durchsetzung des Rechts und die damit verbundene Möglichkeit, im Einzelfall hohe Strafen bei Verstößen zu verhängen, sicherstellen zu können.“
Anbieterauswahl und Methode:
Untersucht wurden acht Dienste Sozialer Medien (Facebook, Instagram, LinkedIn, Pinterest, Snapchat, Twitter, WhatsApp, YouTube/Google), deren Apps im Erhebungs-zeitraum vom 15.06. bis 04.07.2018 installiert wurden. Alle Ergebnisse beziehen sich auf die Beobachtungen aus diesem Zeitraum.
Hinweis: Die DSGVO lässt an einigen Stellen viel Auslegungsspielraum. Die vorgenommenen Bewertungen basieren auf einer verbraucherfreundlichen Auslegung der Neuerungen.
*Bitkom (2018). Social-Media-Trends 2018. Abgerufen von https://www.bitkom.org/Presse/Anhaenge-an-PIs/2018/180227-Bitkom-PK-Charts-Social-Media-Trends-2.pdf