Soziale Medien und die DSGVO

Stand:
Die Datenschutzgrundverordnung (DSGVO) der EU gilt seit Ende Mai und soll Verbrauchern mehr Kontrolle über ihre Daten ermöglichen. Wie Anbieter Sozialer Medien das umgesetzt haben, zeigt eine Untersuchung des Marktwächter-Teams der Verbraucherzentrale NRW.
Off

Neue Rechte! Mehr Kontrolle? Die Datenschutzgrundverordnung (DSGVO) der EU gilt seit Ende Mai und soll Verbrauchern  mehr Kontrolle über ihre Daten ermöglichen. Doch wie setzen Dienste wie Facebook, LinkedIn oder Snapchat ihre erweiterten Informationspflichten um? Wie praktizieren sie die Verpflichtung zur datenschutzfreundlichen Voreinstellung (Privacy by default)? Eine erste Bestandsaufnahme der Marktwächter-Experten dazu offenbart wesentliche Probleme.

Griff nach den Daten: Zu welchem Zweck, mit welchem Recht?

Wer personenbezogene Daten verarbeitet, muss ausführlich den Zweck nennen können und – seit der DSGVO – ebenso die Rechtsgrundlage, die genau dazu berechtigt. Die Analyse der Datenschutzerklärungen hat gezeigt, dass zwar Informationen zu Zwecken und Rechtsgrundlagen gegeben werden. Allerdings werden diese Infos bei sieben von acht Anbietern nicht einander zugeordnet. „Wir sehen das kritisch, da Nutzer so nicht erkennen können, welche Daten, auf welcher Rechtsgrundlage, zu welchem Zweck erhoben werden“, so Ricarda Moll vom Marktwächter-Team der Verbraucherzentrale Nordrhein-Westfalen.

Dauer der Datenspeicherung? Meist ungewiss

Ebenso sieht die DSGVO vor, dass Nutzer erkennen sollen, wie lang ihre persönlichen Daten gespeichert werden. Doch – mit nur einer Ausnahme – erfahren die Nutzer in den geprüften Datenschutzerklärungen nichts Genaues. Häufig wird unklar formuliert: Ein Anbieter spricht etwa von Informationen, die „unterschiedlich lange...“ gespeichert werden.

Datenfluss: Wer bekommt welche Daten?

Die DSGVO sieht auch vor, dass klar sein muss, wer die Empfänger oder Kategorien von Empfängern sind, an die personenbezogene Daten gehen. Aus Verbraucherschutzperspektive sollten jedoch immer konkrete Empfänger genannt werden. „Unserer Meinung nach sollten Anbieter auch dazu in der Lage sein, die genauen Empfänger zu nennen, an die personenbezogene Daten ihrer Nutzer gehen. Nur dann können Nutzer realistisch  einschätzen, ob sie damit auch einverstanden sind“, so Moll. Da alle geprüften Anbieter über Empfänger-Kategorien (z.B. „Personen, Unternehmen“) informieren, ist auch hier ein genauer Überblick unmöglich.

Deine Daten, deine Rechte

Nutzer müssen auch darüber aufgeklärt werden, welche Rechte sie gegenüber dem Anbieter haben. Sie können bei Facebook und Co. etwa erfragen, welche personenbezogenen Daten von ihnen gespeichert sind. Über dieses Auskunftsrecht werden die Nutzer aber von einigen der geprüften Anbieter nicht hinreichend klar und deutlich informiert.

Voreinstellungen: (Datenschutz)freundlich ist anders

Nach der DSGVO müssen Anbieter Sozialer Medien ihre Dienste so voreinstellen, dass nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck nötig sind. „Das ist gerade bei Sozialen Medien wichtig, denn nur die Wenigsten nehmen Änderungen an den Standard- und Datenschutzeinstellungen vor“, so Ricarda Moll. Doch die Untersuchung zeigt, dass viele der geprüften Anbieter die DSGVO in diesem Punkt nicht im Sinne eines nutzerfreundlichen Datenschutzes umgesetzt haben:

Bereits bei der Authentifizierung fragt die Hälfte der Anbieter nach der E-Mail-Adresse oder der Mobilfunknummer des Nutzers. Dabei ist die Mobilfunknummer immer voreingestellt. „Das entspricht nicht einer datenschutzfreundlichen Voreinstellung, da die Mobilnummer ein deutlich höheres Potential zur eindeutigen Zuordnung des Nutzers hat und die Verknüpfung von Daten und das Tracken von Nutzern über verschiedene Dienste hinweg vereinfacht“, kritisiert Moll.

Spuren im Netz: Das Geschäft mit den Daten

Das Geschäftsmodell Sozialer Medien beinhaltet oft das Tracken des Nutzers zum Zweck der personalisierten Werbung: Dabei werden die Aktivitäten des Nutzers verfolgt und gespeichert, um mehr über Vorlieben, Interessen und das Konsumverhalten zu erfahren. Mit einer Ausnahme nutzen alle geprüften Anbieter personenbezogene Daten für personalisierte Werbung. In diesen Fällen werden per Voreinstellung auch Daten verwendet, die auf der Verfolgung des Nutzer-Surfverhaltens basieren (Tracking-Daten). Dies kann der Verbraucher teilweise nachträglich einschränken. Besonders kritisch sieht es das Marktwächter-Team, dass das Nutzer-Tracking selbst jedoch meist nicht eingeschränkt werden kann. „Verbraucher können also nicht begrenzen, wie viel Anbieter über sie wissen, sondern nur, inwieweit sie dieses Wissen aktuell nutzen dürfen. Es handelt sich aus Verbraucherschutzsicht also  lediglich um eine Illusion von Kontrolle“, kritisiert Moll.

Sichtbar im Netz: Wer sieht, was ich mache?

Und nicht nur Anbieter sehen, was die Nutzer machen. Nur wenige der untersuchten Sozialen Medien schränken die Sichtbarkeit von Nutzer-Beiträgen ein. Bei den meisten Diensten sind die  Nutzerbeiträge öffentlich  und nicht nur für die vom Nutzer ausgewählten Kontakte sichtbar. Hier verstößt, nach Ansicht des Marktwächter-Teams, die Mehrheit der geprüften Anbieter gegen die DSGVO.

Von wegen Datensparsam: Dienste wollen auch die Kontakte

Überhaupt zeigt die Analyse, dass die geprüften Anbieter wenig datensparsam arbeiten: So fordern mit nur zwei Ausnahmen alle Dienste ihre Nutzer dazu auf, ihre Kontakte zu übertragen. Teils klingt es sogar so, als wäre der Zugriff auf die Kontakte für den Dienst allgemein nötig. Dies ist aber meist nicht der Fall. Auch ist bei einigen Diensten nur schwer zu erkennen, wo man diese Funktion ablehnt. So ist es möglich, dass Daten von Nutzern an Anbieter weitergegeben werden, die sich bewusst gegen diesen Dienst entschieden haben.

Fußball-Feier: Deutsche Fußball-Fans beim Public Viewing

Vorsicht vor Fakeshops mit Produkten um die Fußball-EM

Auffällig günstige und sofort verfügbare Trikots und Grills: Vor der Fußball-EM in Deutschland fallen im Fakeshop-Finder der Verbraucherzentralen Shops auf, die nun besonders häufig von Verbraucher:innen gemeldet werden.
Das Foto zeigt im Vordergrund das Logo der FTI Touristik auf einen Smartphone, im Hintergrund ist die Homepage der FTI Touristik zu sehen

FTI Touristik GmbH ist insolvent – was das für Sie bedeutet

Europas drittgrößter Reiseveranstalter, die FTI Touristik GmbH, ist insolvent. Betroffen sind alle Leistungen und Marken, die Sie direkt bei dem Unternehmen gebucht haben. Was Sie jetzt wissen müssen, falls Sie schon unterwegs sind oder Ihre Reise noch bevor steht.
Eine Frau blickt auf eine digitale Anzeige.

Ihre Daten bei Facebook und Instagram für KI: So widersprechen Sie

Facebook und Instagram informieren über Änderungen ihrer Richtlinien. Was Sie dort posten soll als Trainingsmaterial für Metas KI-Generatoren verwendet werden. Möchten Sie das nicht, können Sie widersprechen. Die Verbraucherzentrale NRW hat Meta deshalb abgemahnt.