Die Mühen von WhatsApp & Co. mit der DSGVO
Mit dem neuen EU-Datenschutzgesetz soll für die Konsumenten alles einfacher und sicherer werden – WhatsApp, Spotify und Co. haben allerdings noch Nachholbedarf.
Veröffentlicht am 15. Juni 2018 - 16:18 Uhr,
aktualisiert am 15. Juni 2018 - 16:09 Uhr
Das neue EU-Datenschutzgesetz sieht deutliche Verbesserungen für die Konsumenten vor.
Mehr Transparenz und Kontrolle für die Nutzer: Das verspricht das neue Datenschutzgesetz der EU (DSGVO) . Die verbesserte rechtliche Stellung der Konsumenten bei Datenverarbeitungen bereitet auch Schweizer Unternehmen und Anbietern einiges Kopfzerbrechen. Entsprechend intensiv wurde kommuniziert: Die Inboxen der User quollen über mit DSVGO-Infomails, einschlägige Medien waren voll mit dem Thema.
Jetzt, wo der Staub sich etwas gelegt hat, zeigt sich: aller Anfang ist schwer. In vielen Fällen ist (noch) unklar, wie der Verordnungstext interpretiert und umgesetzt werden soll. Besonders schwammig ist die Situation in der Schweiz: Ein Grossteil der Nutzer greift hierzulande auf Onlinedienste mit EU-Sitz zurück, gleichzeitig sind die Schweizer Datenschützer aber nicht zuständig und äussern sich entsprechend zurückhaltend zum Thema. Wir haben deshalb Sebastian Himstedt von der Stiftung Datenschutz aus Leipzig um eine Einschätzung gebeten. Er stellt fest: «Die DSGVO hat viel Potential, dem Konsumenten einen echten Mehrwert zu bieten. Sie muss aber praxisnah ausgestaltet und konkretisiert werden.»
So hat sich in Bezug auf die Speicherung der Daten von Dritten bisher keine klare Gesetzesauslegung durchgesetzt. Die neuen AGB von WhatsApp etwa verpflichten den Nutzer weiterhin dazu, dem Messenger-Dienst sein gesamtes Adressbuch zur Verfügung zu stellen. Dadurch kommt WhatsApp in den Besitz von Nummern, die den Dienst überhaupt nicht nutzen. Soll die DSGVO nicht genau das unterbinden? «Im Prinzip schon», sagt Himstedt. Allerdings könne sich WhatsApp auf einen Passus berufen, der die Verarbeitung von personenbezogenen Daten dann zulässt, wenn sie einem berechtigten Interesse unterliegt und als notwendig anzusehen ist. Die App braucht die Nummern, um abgleichen zu können, welche Kontakte des Nutzers ebenfalls auf WhatsApp sind und folglich in die Kontaktliste kommen. Kurz: Ohne Zugriff auf das Adressbuch kann WhatsApp seinen Dienst nicht leisten.
1. Mehr (Daten-)Transparenz: Sie haben ein Anrecht darauf zu wissen, wer welche Daten von Ihnen besitzt
Hauptziel der neuen EU-Datenschutzgrundverordnung (DSVGO) von 2018 ist, die Kontrolle der Konsumenten über ihre eigenen Daten zu stärken. Ab jetzt soll es heissen: Meine Daten gehören mir! Die Unternehmen sind dazu verpflichtet, Ihnen genaue Auskunft über Ihre Datenerhebung zu geben. Werden Ihre Daten an dritte Stellen weitergeleitet, muss das Unternehmen Sie darüber informieren.
2. Mehr (Daten-)Kontrolle: Recht auf Löschung und Datenportabilität
Der eigene digitale Fussabdruck gibt mehr preis als den meisten lieb sein dürfte. Das bereits 2014 vom Europäischen Gerichtshof festgesetzte «Recht auf Vergessenwerden» wird nun erweitert. Neu muss der Verantwortliche, der die Daten veröffentlich hat, auch andere Stellen, zu denen die Daten weitergeleitet wurden, über die Löschungsabsicht des Betroffenen informieren. Zudem soll künftig Kunden der Anbieterwechsel erleichtert werden. Anbieter müssen die Kundendaten auf Wunsch direkt dem neuen Anbieter übermitteln, wenn dies technisch möglich ist. Das dürfte z.B. jene Nutzer freuen, die ihren Musik-Streaming-Dienst wechseln wollen. Endlich gehen bei einem Anbieterwechsel die über lange Zeit mühsam zusammengestellten Playlisten nicht mehr verloren.
3. Mehr Schutz: Besonders für Kinder
Nach neuem Gesetz dürfen personenbezogene Daten von unter 16-Jährigen nur verarbeitet werden, wenn die Eltern dem zustimmen (den EU-Staaten ist es freigestellt, die Grenze auf 13 Jahre herunterzusetzen). WhatsApp z.B. hat die Altersgrenze bereits in ihren neuen AGBs aufgenommen.
Für Dirk Hensel, Pressesprecher der deutschen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), ist das der springende Punkt: «Das Abgleichen der Nummern ist für WhatsApp unerlässlich und per se nicht problematisch, wenn die Nummern von Dritten nach der Prüfung gelöscht werden.» Allerdings sei die grosse Frage, was bei WhatsApp mit den Daten passiere.
Insbesondere Letzteres stellt für Prof. Anne Riechert, wissenschaftliche Beraterin der Stiftung Datenschutz, die rechtliche Korrektheit des WhatsApp-Mechanismus in Frage. Zudem liege in der Regel keine Einwilligung der Personen im Adressbuch zur Weitergabe der Telefonnummer an WhatsApp vor. «Somit ist die Rechtmäßigkeit aus datenschutzrechtlicher Sicht sehr zweifelhaft», kommt Riechert zum Schluss.
Auch bei der Datenportabilität ist das Ziel zwar gesteckt, der Weg dorthin aber noch ungewiss. Beispielsweise funktioniert die Mitnahme der eigenen Kundendaten bei einem Anbieterwechsel (etwa von Spotify auf Apple Music oder umgekehrt) noch lange nicht so wie gewünscht. Mit unterschiedlichen Datenformaten versuchen die Wettbewerber weiterhin, dem Konsumenten bei einem Wechsel das Leben schwer zu machen. Dabei existiert laut Himstedt mit XML längst ein Format, welches ausreichend Informationen speichern kann und so einfach ist, dass sich «auf lange Sicht kein Wettbewerber dagegen sperren kann.» Hensel vom BfDI hofft diesbezüglich auf eine Selbstregulierung in den jeweiligen Branchen: «Langfristig wird sich eine Best Practice finden müssen für einen reibungslosen Datenaustausch zwischen den Anbietern.»
Ein weiterer strittiger Punkt ist das Recht jedes Konsumenten, keinem vollautomatisierten Entscheidungsprozess unterworfen zu sein, etwa durch Algorithmen . Wird dem Kunden der Abschluss eines Handyvertrags verweigert, weil der Algorithmus anhand seiner Daten (z.B. Wohnort oder Einkommen) kein grünes Licht gibt, hänge es davon ab, wie dies dem Kunden mitgeteilt wird, sagt Hensel. «Geschieht dies im Geschäft, und der Kundenbetreuer schaut selbst noch einmal auf die Daten, um bei Bedarf gegenzusteuern, ist es strenggenommen kein vollautomatisierter Prozess mehr und wiederum zulässig.»
Allerdings schafft das Gesetz in dieser Frage durch zahlreiche Ausnahmen eher Unklarheit als Klarheit. Beispielsweise erlaubt es eine automatische Datenverarbeitung, wenn diese für den Abschluss eines Vertrages nötig ist – jedoch nur, wenn die Rechte und Freiheiten des Betroffenen gewahrt bleiben. Was das genau heisst, ist «eine Frage, die durch nationale Gesetzgebungen entschieden werden muss», stellt Himstedt fest.
Es wird sich zeigen müssen, wie zukünftig die Weitergabe von Daten von Dritten gehandhabt und wann Datenportabilität schliesslich zufriedenstellend gewährleistet wird. Im Zweifel werden Gerichtsurteile anhand von Präzedenzfällen Klarheit schaffen müssen. Für Himstedt ist letzten Endes ein Umdenken in der Gesellschaft nötig. Beim Datenschutz sei es nicht mehr zeitgemäss, nur auf sich zu schauen. «Es sollte nicht mehr lediglich darum gehen, wie man seine eigenen Daten schützt. Vielmehr muss die Frage sein: Wie schütze ich die Daten von mir und allen anderen, mit denen ich digital verbunden bin?»
Vielleicht ist es nicht nur die DSGVO, die noch in ihren Kinderschuhen steckt, sondern auch unser Verständnis von Datenschutz im digitalen Zeitalter.
