Die Heinrich-Böll-Stiftung in Brüssel hat sich in einer Studie mit dem Datenschutz auf Amazon, Netflix und Spotify beschäftigt. Im Grundsatz zeigt die Studie, dass EU-Nutzer der drei Dienste trotz der Datenschutzgrundverordnung (DSGVO) nicht verhindern können, durch unternehmenseigene und externe Tracker überwacht zu werden. Dies gilt auch für die ebenfalls untersuchten Android-Apps der Dienste.
Für die Studie wurden jeweils die US-amerikanische und die EU-Version der Dienste untersucht. Zum einen wurden dafür die Texte der Datenschutzbestimmungen untersucht. Zum anderen haben fünf Personen jeweils einen neuen Account anlegen, um die Informationspolitik gegenüber neuen Nutzer zu analysieren und elf weitere Personen versuchen, ihre Daten abzufragen. Als rechtlicher Vergleichsrahmen dienen die Datenschutzgrundverordnung (DSGVO) in der EU und der jüngst verabschiedete California Consumer Privacy Act (CCPA) im US-Bundesstaat Kalifornien, der ab Januar 2020 gilt.
Dier Ergebnisse der Studie haben es in sich: Die Datenschutzrichtlinien sind bei keinem der Konzerne leicht verständlich formuliert. Dies zeigt sich insbes. an der potenziellen Lesezeit, die bei allen Diensten deutlich mehr als zehn Minuten beträgt, bei Spotify sogar mehr als 20 Minuten.
Außerdem wurde die Lesbarkeit mithilfe des Flesch-Lesbarkeits-Index untersucht. Hier landen alle Richtlinien in der zweithärtesten Kategorie „schwer“. Damit sei für viele Nutzer quasi ausgeschlossen, dass sie verstehen, was mit ihren Daten passiert.
Während Spotify sowie die europäische Amazon-Seite immerhin klare Zwischenüberschriften in ihren Richtlinien setzen und damit die Orientierung erleichtern, verzichten Netflix und das amerikanische Amazon sogar auf diese simple Maßnahme. Außerdem informiert kein einziges Unternehmen darüber, warum bestimmte Informationen verarbeitet werden.
Keines der Unternehmen macht es leicht zu verstehen, welche Daten genutzt werden und wofür.
Auch in Bezug auf das Einverständnis zur Datenverarbeitung gibt es problematische Aspekte. Die Tests mit den neu angelegten Accounts hat aufgezeigt, dass das Einverständnis in die Datenverarbeitung standardmäßig aktiviert ist. Dies gilt bei allen drei Unternehmen sowohl in den USA als auch in der EU.
Bei Cookie-Hinweisen zeigt die Studie eine klare Wirkung der DSGVO – allerdings keine über Europa hinausreichende. Solche Hinweise werden nur bei den EU-Versionen der Dienste angezeigt werden. Bei Tracking durch Dritte sieht es allerdings auch hierzulande schlechter aus – obwohl in der DSGVO auch für Tracker eine transparente Information vorgeschrieben ist.
Keines der Unternehmen informiert ausreichend über die Datensammlung durch Dritte.
In Bezug auf die Datenauskunft gibt es klare Unterschiede zwischen den Unternehmen. Amazon bietet diese Möglichkeit zwar nur in der EU, bearbeitet Anfragen jedoch sehr schnell. Spotify hingegen ließ eine Anfrage auf die Herausgabe der personenbezogenen Daten mehr als eineinhalb Monate unbeantwortet. Netflix wiederum gewährt die Auskunft nur nach Vorlage eines offiziellen Ausweisdokumentes, was einen möglichen Bruch der DSGVO darstelle.
Selbst wenn die Testpersonen am Ende jeweils einen Datensatz erhalten haben: Es handelt sich dabei nicht um alle verarbeiteten personenbezogenen Daten. Werbeprofile und damit verbundene Daten fehlen.
Die untersuchten Android-Apps von Amazon und Spotify tracken die Nutzer ebenfalls, ohne sie vorab zu informieren. Diese Datenverarbeitung lässt sich auch durch entsprechende Einstellungen nicht vollständig verhindern. Deshalb haben Nutzer keine Wahl, wenn sie die Apps nutzen möchten.
Insgesamt ist festzustellen, dass Nutzer in der EU deutlich besser dran sind, als in den USA. Es ist jedoch hier wie dort noch viel zu tun, um sie transparent und prägnant über die Nutzung ihrer persönlichen Daten aufzuklären.
Um diese Situation zu verbessern ist eine bessere Aufsicht über die Umsetzung von Datenschutzbestimmungen sowie eine striktere Rechtsdurchsetzung notwendig. Auch Daten- und Verbraucherschutzorganisationen sind aufgefordert, weiterhin entsprechende Fälle an die zuständigen Aufsichtsbehörden heranzutragen. Die EU-spezifischen Empfehlungen betreffen insbes. die Aufsichtsbehörden, die neben der umfassenderen Aufsicht auch verstärkt Anleitungen und Ratschläge bereitstellen sollen. Dieselben Empfehlungen gelten auch für die Implementierung des California Consumer Privacy Act in Kalifornien. In den USA sollte eigentlich ein bundesweites Datenschutzgesetz verbabschiedet werden, welches durch eine unabhängige, angemessen und machtvoll ausgestattete Datenschutzbehörde überwacht werden sollte.
Quelle: netzpolitik.org, Berlin
Link: https://netzpolitik.org/2019/amazon-netflix-und-spotify-fallen-durch/
20.12.2019
Photo by Glenn Carstens-Peters on Unsplash