Anzeige

DSGVO
Verbraucherschützer: Schlechte DSGVO-Noten für Google, WhatsApp und Co.

In Sachen DSGVO-Auskunftsrecht erfüllen WhatsApp, Google, Instagram & Co. die Anforderungen nach Ansicht von Verbraucherschützern nur mangelhaft. Doch die Schuld liegt nicht nur bei ihnen. Denn die Formalien sind durch die DSGVO reichlich ungenügend vorgeben, kritisiert Rechtsanwalt Carlo Piltz.

Text: W&V Redaktion

8. Mai 2019

Gastautor Carlo Piltz ist promovierter Rechtsanwalt sowie Salary Partner und Teamleader des Praxisbereiches Cybersecurity & Datenschutz in der Wirtschaftskanzlei Reuschlaw Legal Consultants. Der zertifizierte Datenschutzbeauftragte berät mittlere und große Unternehmen aus Industrie und Handel schwerpunktmäßig im nationalen und internationalen Datenschutzrecht und im IT-Recht.
Anzeige

Donald Trump betreibt damit Außenpolitik. Heidi Klum nutzt sie, um ihre menschliche, empathische Seite zu zeigen. Und Start-ups hatten es wohl noch nie so einfach, eine Vielzahl von potenziellen Kunden mithilfe von personalisierter Werbung für ihr Produkt zu erreichen. Facebook, WhatsApp, Twitter, Instagram, LinkedIn – soziale Medien nutzen wir alle, privat wie beruflich.

Diese und auch andere Dienste sind essenziell auf die Daten ihrer Nutzer und die fortlaufende Generierung solcher Daten angewiesen.

Die DSGVO und das Recht auf Auskunft

Mit Anwendbarkeit der EU-Datenschutz-Grundverordnung (DSGVO) hat jeder zum einen die Möglichkeit, von Webseiten- und Dienstebetreibern eine Aufschlüsselung der über ihn gesammelten Daten einzufordern; konkret regelt das Art. 15 DSGVO. Mithilfe des Ergebnisses einer solchen richtig beantworteten Auskunftsanfrage ist es Nutzern möglich, andere so genannte Betroffenenrechte wahrzunehmen wie das Recht auf Löschung oder Berichtigung der personenbezogenen Daten.

Dieses (auch schon vor der DSGVO existierende) Recht auf Auskunft aber bedeutet für die Anbieter wiederum einen mitunter immensen Aufwand. Generell verpflichtet die DSGVO alle Stellen, die personenbezogene Daten verarbeiten, die zum Teil neuen datenschutzrechtlichen Standards einzuhalten.

Analyse von Google, Facebook & Co.: DSGVO mangelhaft umgesetzt

Vor allem soziale Medien speichern oft eine große Menge an personenbezogenen Daten. Das ist Sinn und Zweck dieser beliebten Angebote. Die Verbraucherzentrale NRW e.V. hat das zum Anlass genommen, eine Marktanalyse durchzuführen. Untersucht wurde die Umsetzung der neuen datenschutzrechtlichen Regelungen durch die Big Player im Bereich sozialer Medien. Es ging unter anderem um Auskunftsersuchen, die Verbraucher per E-Mail an Facebook, Google, Instagram, LinkedIn, Pinterest, Snapchat, Twitter und WhatsApp gestellt hatten.

Das Ergebnis: Keines der untersuchten Unternehmen gibt nach Ansicht der VZ NRW eine zufriedenstellende Antwort auf das Auskunftsersuchen, das den hohen Anforderungen der DSGVO genügt.

Auskunftspflicht: Antworten auf Englisch und andere NoGos

Die Verbraucherzentrale bemängelt vieles. Die Antworten der Anbieter werden mal in englischer Sprache verfasst, mal wird lediglich auf die Datenschutzerklärung verwiesen oder der Nutzer wird auf ein Datendownload-Tool beziehungsweise auf den allgemeinen Hilfsbereich des Anbieters hingewiesen.

Und wenn die Daten dann doch irgendwie zur Verfügung gestellt werden, so erfolgt dies in vielen verschiedenen Dateiformaten (html, json, csv, opml, mbox, ics) – wobei nicht sicher ist, ob die Standard-Software der Computer der Nutzer für eine Erkennung dieser Datentypen ausgerüstet ist. In der Praxis können hierdurch Zugangsbarrieren für die betroffenen Personen geschaffen werden.

Kritik an der DSGVO: Formalien nicht konkret vorgegeben

Die Kritik der VZ NRW mag aus Sicht der Nutzer nachvollziehbar sein, doch stellen solche Anfragen Unternehmen vor große Herausforderungen: Die Vielzahl von Daten, die diese verarbeiten, kann zu einem immensen zeitlichen und arbeitsintensiven Aufwand führen, um dann lediglich ein einziges Auskunftsgesuch beantworten zu können.

Unternehmen übermitteln daher die Daten meist in ihren sonst üblich genutzten Dateiformaten. Auch Anbieter der sozialen Medien greifen auf eben solche Formate zurück. Doch dieses Vorgehen als rechtswidrig zu bezeichnen, stimmt so nicht. Konkrete Vorgaben für die Formalien einer Auskunft, insbesondere das Format der Daten, gibt es weder durch die DSGVO, noch ist darüber bisher gerichtlich final entschieden worden. Das Gesetz verlangt recht schwammig, dass Daten in einem „gängigen elektronischen Format“ bereitzustellen sind.

 

Dieser Inhalt kann leider nicht dargestellt werden. Sie finden ihn hier.

Sollte man einmal in den Genuss kommen, sich die DSGVO im Wortlaut zu Gemüte zu führen, wird man schnell die verbraucher- bzw. nutzerfreundliche Ausrichtung erkennen. So sollen grundsätzlich alle Mitteilungen des Verantwortlichen an die betroffene Person in „präziser, transparenter, verständlicher und leicht zugänglicher Form“ und in „einer klaren und einfachen Sprache“ erfolgen.

Wenn es dann um eine Auskunftserteilung geht, muss man sich an die Vorgaben des Art. 15 DSGVO halten. Die zu erteilenden Informationen sind dort genau aufgezählt: Verarbeitungszwecke, Kategorien personenbezogener Daten, Empfänger, gegenüber denen die personenbezogenen Daten offengelegt werden, wie lang die Daten gespeichert werden und viele weitere Informationen. Alles unter der Achtung der Datenschutzgrundsätze von Datensparsamkeit und Zweckgebundenheit der Datenverarbeitung.

Unternehmen sollten auf solche Auskunftsersuche vorbereitet sein – denn viel Zeit bleibt für die Antwort nicht. Man soll möglichst „unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags“ die Auskunft erteilen.

Plötzlicher Aktionismus im Datenschutz: Geldstrafe für Google

Woher kommt plötzlich dieser Aktionismus im Datenschutz? Datenschutzrecht gab es zwar auch vor dem 25. Mai 2018 schon, doch so richtig kam dies nicht im Bewusstsein der Verantwortlichen bzw. auch der betroffenen Person selbst an. Das hat sich allerdings schlagartig mit der DSGVO und den einhergehenden höheren Sanktionsbefugnissen der Datenschutzaufsichtsbehörden geändert.

Eine unvollständige oder verspätete Auskunft stellt einen Verstoß gegen die DSGVO dar und kann von der Datenschutzaufsichtsbehörde, im schlimmsten Fall, mit einem Bußgeld von bis zu 20 Mio. Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres sanktioniert werden (Art. 83 Abs. 5 Buchstabe b) DSGVO).

Auch die Big Player der sozialen Medien sind im Ernstfall den Sanktionen ausgesetzt und deswegen gehalten, den Anforderungen der DSGVO trotz der großen Anzahl von Anfragen irgendwie gerecht zu werden. Google LLC wurde bereits mit 50 Mio. Euro von der französischen Datenschutzaufsichtsbehörde CNIL unter anderem aufgrund fehlender Transparenz gegenüber den Nutzern sanktioniert.

Aus großem Einfluss auf personenbezogene Daten folgt auch große Verantwortung gegenüber den betroffenen Personen. Diese müssen die Unternehmen jetzt auch in Form der Datenschutz-Compliance umsetzen.

 

Sie brauchen Unterstützung bei der Umsetzung der Datenschutzgrundverordnung? Praxisnah, hands-on und vor allem juristisch hieb- und stichfest? Unser W&V Report führt Sie step by step durch alle ToDos, die für Unternehmen jetzt wichtig sind.

 

Anzeige