Die meisten Unternehmen verarbeiten heutzutage personenbezogen Daten. Damit der Nutzer die Herrschaft über seine Daten nicht komplett verliert, hat der Gesetzgeber auf Grundlage der in Europa geltenden EG-Datenschutzrichtlinie 95/46/EG im Bundesdatenschutzgesetz das Recht auf Auskunft (§ 34 BDSG) sowie auf Berichtigung, Löschung und Sperrung (§ 35 BDSG) gegenüber den Unternehmen verankert. Eine aktuelle Studie zeigt nun, wie App- und Websitebetreiber mit diesen Betroffenenrechten umgehen.
Der Inhalt im Überblick
Studie zum Auskunfts- und Löschungsrecht
Die Autoren Dominik Herrmann (Universität Siegen) und Jens Lindemann (Universität Hamburg) haben zu diesen Rechten auf der Konferenz Sicherheit 2016 eine Studie veröffentlicht. Dabei beschäftigten sie sich mit der Frage, wie Anbieter von Apps und Internetseiten mit diesen Rechten umgehen. Zu diesem Zweck untersuchte man zahlreiche Anbieter von Apps (u.a. ADAC Maps, Angry Birds, AutoScout24, Candy Crush Saga, Clash of Clans, eBay, Facebook, otto24.de, Lufthansa) sowie Internetseiten (u.a. amazon, apple, arbeitsagentur, autoscout24, bahn, bild, faz, focus, paypal, spiegel, sueddeutsche, xing, youtube, zalando, zeit).
Hierfür lud man die jeweiligen Apps aus den Stores, installierte und nutzte diese einige Minuten. Soweit das Anlegen eines Kontos möglich war, wurden diese vollständig mit plausiblen Daten ausgefüllt. Entsprechend ging man bei den Internetseiten vor. Im Folgenden wurden die Unternehmen und App-Anbieter aufgefordert, Auskunft über die zur Person gespeicherten Daten zu erteilen sowie zur Löschung der personenbezogenen Daten.
Unternehmen reagieren oft ungenügend
Zusammengefasst kommt die Studie zu folgenden Ergebnissen (auszugsweise):
- nur etwa 43% (sowohl App-Anbieter als auch Internetseiten) erfüllten die Auskunftsansprüche zufriedenstellend; über die Hälfte der App-Anbieter reagierte auf den Auskunftsanspruch gar nicht oder ungenügend, einige verwiesen pauschal auf deren Datenschutzerklärung;
- wenn binnen einer Woche keine, oder nur eine unbefriedigende Antwort erfolgt, wurde eine erneute Anfrage verschickt. Diesmal formaler und unter Hinweis auf die einschlägigen gesetzlichen Anspruchsgrundlagen und Verweis auf die Aufsichtsbehörden. Hier reagierte dann ein knappes Viertel;
- dem Anspruch auf Löschung kamen nur gut 50% (sowohl App-Anbieter als auch Internetseiten) nach;
- Ferner brachte die Studie einen teilweise äußerst sorglosen Umgang mit den personenbezogenen Daten zu Tage. Etwa 20% der Unternehmen gaben die privaten Daten an eine andere als die hinterlegt E-Mail-Adresse weiter und damit ohne zu kontrollieren, ob der Anfragende tatsächlich der Dateninhaber ist. Damit sind diese zugleich besonders anfällig für social engineering.
Umgang mit dem Datenschutz als Gradmesser für Seriosität?
Ein solcher Rückschluss ist sicher nur sehr eingeschränkt zulässig. Aber wenn Unternehmen – insbesondere solche, deren Geschäftsmodell auf Nutzung und Auswertung der Daten der Nutzer aufbaut und insoweit auch auf deren Vertrauen angewiesen ist – rechtliche begründete Ansprüche ihrer Nutzer derart ignorieren, dann wirft das zumindest Fragen auf.
Empfehlung
Betroffene, deren berechtigte Ansprüche nicht, oder nur ungenügend beantwortet werden, können sich jederzeit mit einer Beschwerde an die zuständige Aufsichtsbehörde wenden. Je nach Art der personenbezogenen Daten kann es im Einzelfall ferner geboten sein, einen Rechtsanwalt mit der Durchsetzung des Rechts zu beauftragten. Einen guten Überblick über den Umfang der Rechte, die Sie haben wenn von Ihnen personenbezogene Daten gespeichert wurden, gibt es hier.
Unternehmen hingegen sollten es nicht soweit kommen lassen und in Abstimmung mit dem Datenschutzbeauftragten über eine funktionstüchtige Datenschutzorganisation verfügen. Bestandteil dessen sollte dann eine Art Datenschutzcontrolling sein und mit ihr auch standardisierte Prozesse wie „Reaktion auf Geltendmachung von Auskunftsansprüchen/ Berichtigungs-, Löschungs- und Sperrungsansprüchen“. Ein Verstoß gegen den Auskunftsanspruch stellt beispielsweise eine Ordnungswidrigkeit nach § 43 Abs.1 Nr. 8a BDSG dar und kann mit einem Bußgeld bis zu 300.000 € geahndet werden.