Snapchat, Instagram, Google: Wie Internetriesen den Datenschutz missachten

Viele bekannte Online-Plattformen erfüllen die Datenschutz-Grundverordnung nur unzureichend. Die Anbieter müssen dringend nacharbeiten, fordert Justizstaatssekretär Billen.

Justizstaatssekretär Billen sieht Nachholbedarf bei der Umsetzung der DSGVO-Richtlinien. Foto: dpa

Für Siemens-Chef Joe Kaeser ist die Sache klar. „Jeder, der eine Plattform nutzt, muss wissen, welche der von ihm übergebenen Daten wie genutzt werden“, erklärte Kaeser Anfang der Woche auf dem Internet Governance Forum, der wichtigsten Internet-Konferenz der Vereinten Nationen, die an diesem Freitag in Berlin endet. Was wie eine Selbstverständlichkeit klingt, wird in der Praxis oft nicht eingehalten.

Dabei gibt es mit der Datenschutz-Grundverordnung (DSGVO) eigentlich ein klares Regelwerk – die Betonung liegt auf eigentlich. Denn immer noch tun sich viele Unternehmen schwer mit den vor anderthalb Jahren in Kraft getreten Vorschriften.

Das Bundesjustizministerium wollte es genauer wissen und hat die Umsetzung der neuen Regeln bei Dutzenden marktrelevanten Online-Diensten von zwei Wissenschaftlern der Universität Göttingen untersuchen lassen. Die Ergebnisse der noch unveröffentlichten Studie, die dem Handelsblatt vorliegt, sind ernüchternd.

„Nicht ansatzweise alle Dienste haben die DSGVO umgesetzt, und dies schon gar nicht vollständig“, sagte Justizstaatssekretär Gerd Billen dem Handelsblatt. Vor allem bei sozialen Netzwerken und Messenger-Diensten gebe es „weiter eklatante Mängel“.

Dagegen sei die Umsetzung der EU-Regeln bei Online-Shops, digitalen Angeboten klassischer Medien sowie den Webseiten großer Unternehmen „am weitesten vorangeschritten“, heißt es in der 300 Seiten starken Untersuchung. Insgesamt habe jedoch noch keiner der untersuchten Dienste die DSGVO „voll gesetzeskonform“ umgesetzt.

Für die Studie wurden in der Zeit von Juli bis September 2019 insgesamt 35 Online-Dienste aus unterschiedlichen Bereichen unter die Lupe genommen. Darunter soziale Medien wie Facebook, Twitter, WhatsApp, Suchmaschinen wie Google, Online-Shops wie Amazon oder Zalando, Buchungsportale wie Booking.com oder Online-Präsenzen von Unternehmen wie Deutsche Bank oder Paypal. Untersucht wurde der Stand der Umsetzung der DSGVO im Hinblick auf mehrere datenschutzrelevante Aspekte.

Geprüft wurde etwa, inwieweit über die Verwendung von Daten für die Erstellung von Persönlichkeitsprofilen oder über den Einsatz von Trackingtechnologien informiert wurde. Auch wie das Auskunftsrecht betroffener Personen gehandhabt wurde, spielt eine Rolle, ebenso der Umgang mit sensiblen Daten.

Hier zeigten sich die „gravierendsten Mängel“, wie es in der Studie heißt. „Nachlässig ist oft der Umgang mit den Daten, die eigentlich besonders zu schützen sind: sensible Informationen zur Herkunft, zur Gesundheit oder zu politischen Ansichten“, sagte Staatssekretär Billen.

Das ist insofern erstaunlich, als es bei Missachtung der Vorschriften richtig teuer werden kann. Verstöße bei der Verarbeitung, Speicherung und Weitergabe personenbezogener Daten können mit Strafzahlungen in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des jeweiligen Unternehmens sanktioniert werden.

Die drohenden Bußgelder sind aber kein Garant dafür, dass die DSGVO auch eingehalten wird. Laut der Studie ist der Prozess der Umsetzung zwar „in vollem Gange“. „In den stark defizitären Bereichen zeigt sich jedoch deutlicher Handlungsbedarf.“

Dabei sind die Vorgaben der DSGVO eindeutig: Die Verarbeitung sensibler Daten ist nur nach vorheriger ausdrücklicher Einwilligung der Nutzer erlaubt. Von einigen Diensteanbietern wird das aber oft nur unzureichend beachtet. Die Bewertungen in der Studie reichen von „unzureichend“ (Snapchat) über „stark“ beziehungsweise „gravierend defizitär“ (Facebook und WhatsaApp) und „völlig unbefriedigend“ (Instagram) bis zu „völlig unzureichend“ (Google). Bei Facebook etwa bemängelt die Studie, dass die Information zur Verarbeitung sensibler Daten „vage“ bleibe. Gleiches gelte für die Verbraucherinformation zur Erteilung der Einwilligung.

Bei Twitter kommen die Experten gar zu dem Ergebnis, dass der Dienst den Anforderungen für die Verarbeitung sensibler Personendaten „in keiner Weise“ nachkomme. Generell bescheinigt die Studie 19 der 35 untersuchten Dienste, im Umgang mit sensiblen Daten die datenschutzrechtlichen Vorgaben nicht oder nur unzureichend umzusetzen. Lediglich zwei Dienste informierten überhaupt über die Verarbeitung sensibler Daten. „Hier muss dringend nachgearbeitet werden“, fordert deshalb Billen.

Die Stoßrichtung liegt auf der Hand: Bei der Datenverarbeitung soll es gerecht zugehen – für Verbraucher, aber auch im Wettbewerb der Unternehmen, die sich mithilfe von Daten Vorteile verschaffen können. „Die Kontrolle über sowie die Fähigkeit zur Analyse umfangreicher Datenmengen, die sich nicht selten im exklusiven Besitz einzelner Unternehmen befinden, kann ein entscheidender Wettbewerbsvorteil für die Unternehmen sein“, heißt es in der Studie.

Politik hat Wert von Daten erkannt

Soll heißen: Nutzerdaten können für die Neu- oder Weiterentwicklung von Diensten und Produkten verwendet werden. Mit Details zum Konsumverhalten und über persönliche Vorlieben lassen sich auf dem Online-Werbemarkt Werbeanzeigen zielgerichteter schalten. Umgekehrt können auch Verbraucher von der Verwendung ihrer Daten profitieren, etwa wenn sie Produkte angeboten bekommen, die speziell auf sie zugeschnitten sind.

Den Wert von Daten hat auch die Politik erkannt. Eben erst hat die CDU auf ihrem Parteitag in Leipzig ihre digitalpolitischen Leitlinien mit einem besonderen Fokus auf die Verwendung von Daten beschlossen. Im medizinischen Bereich könnten „gute und umfangreiche Datensätze“ entscheidend dazu beitragen, bestehende Behandlungsmethoden zu verbessern und neue zu entwickeln.

„Der Kampf gegen Krebs oder Demenz wird ohne Daten und die auf ihnen basierende KI nicht zu gewinnen sein“, heißt es in der Digitalcharta der Christdemokraten. Die SPD beschloss unlängst ein Konzept mit dem Ziel, großen Internetkonzernen die alleinige Kontrolle über Nutzerdaten zu entziehen.

Ambitioniert ist das Vorhaben der Bundesregierung: Auf ihrer Digitalklausur im Schloss Meseberg verständigte sich das Kabinett vergangene Woche auf Eckpunkte einer Datenstrategie. Gesellschaft, Wirtschaft und Wissenschaft sollen künftig gleichermaßen am Zugang zu Daten teilhaben, lautet das Ziel.

Dahinter steht die Überzeugung, dass Daten im digitalen Zeitalter eine „Schlüsselressource“ seien, Kanzlerin Angela Merkel (CDU) bezeichnet sie als „neues Öl“. Deutschland schöpfe derzeit aber das „enorme Innovationspotenzial“ von Daten „bei Weitem“ nicht aus, heißt es in dem Eckpunktepapier.

Die Potenziale der Datennutzung sind das eine, die Risiken das andere. Die Studie für das Justizministerium bemängelt, dass gerade sensible Daten oft ohne explizite Zustimmung der Nutzer erhoben würden. Mithilfe von Tracking-Technologien lässt sich etwa das Verhalten der Verbraucher im Internet verfolgen.

Das sei insbesondere dann „problematisch“, warnen die Studienautoren, wenn Verbraucher über die Nutzung und Verwendung ihrer Daten nicht ausreichend informiert und mit der Verarbeitung ihrer Daten nicht einverstanden sind.

Digitalverbände: DSGVO nachbessern

Starke Informationsdefizite sehen die Wissenschaftler denn auch bei der sogenannten Profilbildung durch Tracking. Da einheitliche Vorschriften fehlen, greifen hier vor allem die datenschutzrechtlichen Vorgaben der DSGVO. In den wenigsten Fällen werden diese jedoch von den untersuchten Diensten beachtet.

So würden Verbraucher kaum „detailliert darüber informiert, dass eine Profilbildung stattfindet und was dies überhaupt bedeutet“, heißt es in der Studie. Auch die Zwecke der Profilbildung, nämlich die personalisierte Werbung, würden „nur pauschal benannt“.

Trotz der Mängel sind die Ergebnisse der Studie aus Sicht des Justizministeriums auch „ermutigend“, wie Staatssekretär Billen betont. Die DSGVO habe praktische Verbesserungen für Verbraucher gebracht. So ließen sich bessere Information, mehr Transparenz und Wahlfreiheit gut umsetzen, fügte Billen mit Blick auf einige Beispiele in der Studie hinzu.

Positiv schneidet etwa die Deutsche Bank ab. Die Datenschutzhinweise auf der Webseite des Geldinstituts seien „transparent und präzise gestaltet“, heißt es in der Untersuchung. „Insbesondere die Informationen zu einzelnen Trackern, dem Profiling und der Einbindung von Social Media Plugins sind ausführlich und gut verständlich.“ Gute Bewertungen erhalten auch Online-Shops wie die Versandhändler Otto („insgesamt sehr positiv“) und Zalando („vorbildlich“).

Der IT-Verband Bitkom registriert indes nach wie vor „große Unsicherheiten bei der Auslegung der neuen Regeln“. Dass die die EU mit der DSGVO versucht habe, einen europaweit einheitlichen datenschutzrechtlichen Rahmen zu entwickeln, sei zwar ausdrücklich zu begrüßen. „In der Praxis zeigt sich jedoch, dass das neue Regelwerk den europäischen Flickenteppich unterschiedlicher nationaler Datenschutzregeln kaum zusammengewoben hat“, sagte Bitkom-Hauptgeschäftsführer Bernhard Rohleder dem Handelsblatt. „Zu verschieden sind die Maßnahmen zur Überführung in nationales Recht, und insbesondere bei der Kontrolle und Durchsetzung des geltenden Rechts tun sich zwischen den einzelnen Ländern regelrechte Gräben auf.“ Zudem habe sich gezeigt, dass die DSGVO „nicht komplett umsetzbar“ sei, sagte Rohleder. Das hätten auch 95 Prozent der deutschen Unternehmen in einer Umfrage seines Verbands aus diesem Jahr bestätigt.

Der Präsident des Bundesverbands Digitale Wirtschaft (BVDW), Matthias Wahl, ergänzt: „Wo selbst Datenschutzbehörden in Europa eine vollständige Umsetzung für kaum machbar halten, wird Rechtssicherheit für die Wirtschaft nicht zu erlangen sein.“ Bei der Evaluierung der DSGVO durch die EU-Kommission im kommenden Jahr müssten daher de Schwächen des Regelwerks „mit entsprechender Priorität behandelt werden“.

Aus Rohleders Sicht sollten etwa die Anforderungen für kleine und mittlere Unternehmen, Vereine und Privatpersonen „stark vereinfacht“ werden. Die Informations- und Dokumentationspflichten müssten insgesamt praxisnäher ausgestaltet werden.

Staatssekretär Billen hofft indes, dass die Potenziale der DSGVO künftig viel stärker genutzt werden. „Grundeinstellungen, die von vornherein die Privatsphäre schützen, gibt es immer noch viel zu selten“, sagte er. Dieses Schützen von Daten per Voreinstellung (Privacy by default) sollte Standard werden, sagt er.