Viele bekannte Online-Plattformen erfüllen die Datenschutz-Grundverordnung nur unzureichend. Die Anbieter müssen dringend nacharbeiten. Dabei gibt es mit der Datenschutz-Grundverordnung (DSGVO) eigentlich ein klares Regelwerk mit dem sich viele Unternehmen immer noch schwer tun.
Das Bundesjustizministerium wollte es genauer wissen und hat die Umsetzung der geltenden Regeln bei Dutzenden marktrelevanten Online-Diensten von zwei Wissenschaftlern der Universität Göttingen untersuchen lassen. Die Ergebnisse der Studie sind ernüchternd!
Nicht ansatzweise alle Dienste haben die DSGVO umgesetzt, und dies schon gar nicht vollständig. Vor allem bei sozialen Netzwerken und Messenger-Diensten gibt es weiter eklatante Mängel. Dagegen ist die Umsetzung der EU-Regeln bei Online-Shops, digitalen Angeboten klassischer Medien sowie den Websites großer Unternehmen am weitesten vorangeschritten. Insgesamt hat jedoch noch keiner der untersuchten Dienste die DSGVO voll gesetzeskonform umgesetzt.
Für die Studie wurden in der Zeit von Juli bis September 2019 insgesamt 35 Online-Dienste aus unterschiedlichen Bereichen unter die Lupe genommen – darunter soziale Medien wie Facebook, Twitter, WhatsApp, Suchmaschinen wie Google, Online-Shops wie Amazon oder Zalando, Buchungsportale wie Booking.com oder Online-Präsenzen von Unternehmen wie Deutsche Bank oder Paypal.
Untersucht wurde der Stand der Umsetzung der DSGVO im Hinblick auf mehrere datenschutzrelevante Aspekte. Geprüft wurde etwa, inwieweit über die Verwendung von Daten für die Erstellung von Persönlichkeitsprofilen oder über den Einsatz von Tracking-Technologien informiert wurde. Auch wie das Auskunftsrecht betroffener Personen gehandhabt wurde sowie der Umgang mit sensiblen Daten spielen eine Rolle.
Hier zeigten sich die gravierendsten Mängel. Nachlässig ist oft der Umgang mit den Daten, die eigentlich besonders zu schützen sind: sensible Informationen zur Herkunft, zur Gesundheit oder zu politischen Ansichten.
Die Missachtung der Vorschriften kann teuer werden
Das ist insofern erstaunlich, als es bei Missachtung der Vorschriften teuer werden kann. Verstöße bei der Verarbeitung, Speicherung und Weitergabe personenbezogener Daten können mit Strafzahlungen in Höhe von bis zu 20 Mio. Euro oder bis zu 4% des weltweiten Jahresumsatzes des jeweiligen Unternehmens sanktioniert werden.
Die drohenden Bußgelder sind aber kein Garant dafür, dass die DSGVO auch eingehalten wird. Laut der Studie ist der Prozess der Umsetzung zwar in vollem Gange. In den stark defizitären Bereichen zeigt sich jedoch deutlicher Handlungsbedarf.
Dabei sind die Vorgaben der DSGVO eindeutig: Die Verarbeitung sensibler Daten ist nur nach vorheriger ausdrücklicher Einwilligung der Nutzer erlaubt. Von einigen Diensteanbietern wird das aber oft nur unzureichend beachtet. Die Bewertungen in der Studie reichen von „unzureichend“ (Snapchat) über „stark defizitär“ bzw. „gravierend defizitär“ (Facebook und WhatsApp) und „völlig unbefriedigend“ (Instagram) bis zu „völlig unzureichend“ (Google). Bei Facebook bemängelt die Studie, dass die Information zur Verarbeitung sensibler Daten vage bleibe. Gleiches gelte für die Verbraucherinformation zur Erteilung der Einwilligung.
Bei Twitter kommen die Experten gar zu dem Ergebnis, dass der Dienst den Anforderungen für die Verarbeitung sensibler Personendaten „in keiner Weise“ nachkomme. Generell bescheinigt die Studie 19 der 35 untersuchten Dienste, im Umgang mit sensiblen Daten die datenschutzrechtlichen Vorgaben nicht oder nur unzureichend umzusetzen. Lediglich zwei Dienste informierten überhaupt über die Verarbeitung sensibler Daten.
Forderung nach mehr Gerechtigkeit und Transparenz
Die Stoßrichtung liegt auf der Hand: Bei der Datenverarbeitung soll es gerecht zugehen – für Verbraucher, aber auch im Wettbewerb der Unternehmen, die sich mithilfe von Daten Vorteile verschaffen können. Die Kontrolle über sowie die Fähigkeit zur Analyse umfangreicher Datenmengen, die sich nicht selten im exklusiven Besitz einzelner Unternehmen befinden, kann ein entscheidender Wettbewerbsvorteil für diese Unternehmen sein.
Die Potenziale der Datennutzung sind das eine, die Risiken das andere. Die Studie für das Justizministerium bemängelt, dass gerade sensible Daten oft ohne explizite Zustimmung der Nutzer erhoben werden. Mithilfe von Tracking-Technologien lässt sich etwa das Verhalten der Verbraucher im Internet verfolgen. Das ist insbes. dann problematisch, wenn Verbraucher über die Nutzung und Verwendung ihrer Daten nicht ausreichend informiert und mit der Verarbeitung ihrer Daten nicht einverstanden sind.
Digitalverbände fordern Nachbesserung der DSGVO
Starke Informationsdefizite sehen die Wissenschaftler auch beim sog. Profiling durch Tracking. Da einheitliche Vorschriften fehlen, greifen hier vor allem die datenschutzrechtlichen Vorgaben der DSGVO. In den wenigsten Fällen werden diese jedoch von den untersuchten Diensten beachtet. So werden Verbraucher kaum detailliert darüber informiert, dass eine Profilbildung stattfindet und was dies überhaupt bedeutet. Auch die Zwecke der Profilbildung – nämlich die personalisierte Werbung – wird nur pauschal benannt.
Trotz der Mängel sind die Ergebnisse der Studie aus Sicht des Justizministeriums auch ermutigend. Die DSGVO habe praktische Verbesserungen für Verbraucher gebracht. So ließen sich bessere Information, mehr Transparenz und Wahlfreiheit gut umsetzen.
Positiv schneidet etwa die Deutsche Bank ab. Die Datenschutzhinweise auf der Website des Geldinstituts sind transparent und präzise gestalte. Insbes. die Informationen zu einzelnen Trackern, dem Profiling und der Einbindung von Social-Media-Plug-Ins sind ausführlich und gut verständlich. Gute Bewertungen erhalten auch Online-Shops wie die Versandhändler Otto und Zalando.
Der IT-Verband Bitkom registriert indes nach wie vor große Unsicherheiten bei der Auslegung der neuen Regeln. In der Praxis habe sich gezeigt, dass die DSGVO nicht komplett umsetzbar sei. Das hätten auch 95% der deutschen Unternehmen in einer Umfrage des Verbands aus diesem Jahr bestätigt.
Der Bundesverbands Digitale Wirtschaft (BVDW) ergänzt: Wo selbst Datenschutzbehörden in Europa eine vollständige Umsetzung für kaum machbar halten, wird Rechtssicherheit für die Wirtschaft nicht zu erlangen sein. Bei der Evaluierung der DSGVO durch die EU-Kommission im kommenden Jahr müssten daher die Schwächen des Regelwerks mit entsprechender Priorität behandelt werden. So sollten etwa die Anforderungen für kleine und mittlere Unternehmen, Vereine und Privatpersonen stark vereinfacht werden. Die Informations- und Dokumentationspflichten müssten insgesamt praxisnäher ausgestaltet werden.
Quelle: Handelsblatt, Düsseldorf
28.11.2019
Photo by Matthew Henry on Unsplash