Meine Daten, meine Rechte und wie man sie durchsetzt
1. Ich habe ein Recht zu wissen, was über mich gespeichert wird.
Jeder hat die Möglichkeit mindestens einmal im Jahr kostenlos Auskunft über Daten, die Privatunternehmen über ihn gespeichert haben, zu verlangen (Paragraf 34 Bundesdatenschutzgesetz). Dazu ist keinerlei Begründung für die Anfrage nötig, denn man nimmt sein Recht auf informationelle Selbstbestimmung wahr. Ein einfaches Musterschreiben (PDF) reicht.
Eine gezielte Selbstauskunft ist aber nur dann möglich, wenn man eine grobe Ahnung hat, wo Daten gespeichert worden sein könnten oder an wen sie weitergegeben wurden. Es gibt Unternehmen wie selbstauskunft.net, die eine automatische Abfrage zahlreicher Unternehmen und einschlägiger Adresshändler anbieten. Der Vorteil daran ist, dass man in nur wenigen Minuten Anfragen gezielt abschicken kann, ohne lange nach der Adresse suchen zu müssen. Der Nachteil ist, dass man einem weiteren Unternehmen seine Daten anvertraut. Die Dienstleister versichern, dass sie die Daten außer für das jeweilige Auskunftsersuchen nicht an Dritte weitergeben, aber prüfen kann der Einzelne das nicht.
Wer sich die Mühe macht, zu erfahren, welche personenbezogenen Daten über ihn gespeichert werden, erlebt besonders bei großen Internetunternehmen wie Facebook und Google so einige Überraschungen. Der Jurist Max Schrems aus Wien kann das bestätigen. Er hatte vor drei Jahren eine ganz harmlose Datenabfrage an Facebook gestartet und damit einen großen Stein ins Rollen gebracht. Nach einigem Hin und Her hatte Facebook gut 1200 Seiten ausgedruckt nach Wien geschickt. Darunter auch Nachrichten und Einträge, die Schrems schon längst gelöscht zu haben glaubte. Seitdem befindet er sich im Rechtstreit mit Facebook.
Manche Dienste bieten Tools an, aber nicht alle Daten
Der öffentliche Druck der von Schrems gegründeten Initiative „Europe versus Facebook“ hat Facebook dazu bewegt, in den „Kontoeinstellungen“ einen Link zum Herunterladen der von Facebook gesammelten Daten zur Verfügung zu stellen – ganz unten unter „Lade eine Kopie deiner Facebook-Daten herunter.“ So sieht man nicht nur die Informationen, die man aktiv bei Facebook eingestellt hat, sondern auch seine IP-Adresse, Klicks auf Werbeanzeigen, Chatprotokolle, den letzten Ort, von dem aus man Facebook angeklickt hat und vieles mehr. Hier zeigt sich noch einmal deutlich, wie viele Daten Facebook von den Nutzern sammelt. Zudem können bisher noch nicht alle Daten heruntergeladen werden. Facebook gibt aber an, dass die Datensätze nach und nach erweitert werden sollen.
Auch Google stellt in seinem sogenannten Dashboard eine Übersicht der gespeicherten Daten für den Einzelnen zur Verfügung. Vergleicht man die 1200 Seiten von Max Schrems und das jetzige Tool von Facebook, so ist klar, dass nur ein Ausschnitt der gespeicherten Daten für den Nutzer zur Verfügung steht. Bei Googles umfassender Datensammlung wird es ähnlich sein.
2. Ich kann der Datennutzung widersprechen.
Wenn man nach einem Auskunftsersuchen erfolgreich herausgefunden hat, wer was über einen speichert, kann man im Anschluss gleich der Datennutzung zu Werbezwecken oder zur Markt- und Meinungsforschung widersprechen. Das ist ganz einfach: Eine E-Mail an den Anbieter mit folgendem Satz senden: „Ich widerspreche gemäß § 28 Absatz 4 Bundesdatenschutzgesetz der Verarbeitung oder Nutzung meiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung.“
3. Ich habe ein Recht auf Löschung meiner Daten.
Grundsätzlich müssen Anbieter personenbezogene Daten löschen, wenn sie für die Abwicklung des Vertrages nicht mehr benötigt werden. Das Gleiche gilt bei der Teilnahme an Online-Spielen oder Sozialen Netzwerken. Wer nicht mehr mitmachen möchte, hat einen Anspruch auf sofortige Löschung der persönlichen Daten. Anders sieht es bei Anbietern von Onlineshops aus: Sie müssen bestimmte Daten nicht sofort löschen, wenn sie diese für Schadensersatzansprüche, zur Abrechnung oder für das Finanzamt noch brauchen. Die Daten müssen dann aber gesperrt werden. Das heißt, sie dürfen nur noch eingeschränkt genutzt werden.
Besonders bei Adresshändlern kann es immer wieder vorkommen, dass der eigene Datensatz nachgekauft wird und man nach erfolgreicher Löschung Monate später wieder in der Datenbank landet. In solchen Fällen ist es besser, seine Daten sperren zu lassen. Bei einer Sperrung dürfen die Daten langfristig nicht genutzt werden, selbst wenn der Datensatz von einem anderen Anbieter erneut eingekauft wird.
In der Praxis ist es oft schwierig, seinen Löschanspruch durchzusetzen. So einfach wie es ist, ein Profil oder einen Account zu erstellen, so schwer ist es auch wieder, aus einem sozialen Netzwerk oder einer Community auszutreten. Oft bieten die Betreiber keine Löschmöglichkeit, ignorieren den Löschwunsch oder Kundenkonten werden nur deaktiviert, sodass die Daten im System des Anbieters verbleiben. Besonders in sozialen Netzwerken werden zudem Informationen, die bei Freunden auf deren Profilen eingestellt sind, nicht automatisch gelöscht. Genauso verhält es sich mit Daten, die Drittanbieter von Apps über den Nutzer erhalten haben.
Auch dazu gibt es einen Musterbrief (PDF) zum Löschen dieser Daten.
Sonderfall: Suchmaschinen
Ein Urteil des Europäischen Gerichtshofes hat den Anspruch auf Löschung von Daten nun auch auf Suchmaschinen erweitert. Stellt man bei der Eingabe des eigenen Namens in einer Suchmaschine fest, dass ein Suchtreffer zu seiner Person erscheint, den man löschen lassen möchte, dann kann man diesen Löschwunsch nun direkt an den Suchmaschinenbetreiber adressieren. Klar ist, dass nicht alles, was einem nicht gefällt, gelöscht werden kann. Es muss immer eine Abwägung geben zwischen dem Recht des Betroffenen auf Privatsphäre, dem Schutz seiner personenbezogenen Daten und dem Recht der Öffentlichkeit an diesen Informationen. Gerade Personen, die in der Öffentlichkeit stehen, werden sich oft damit abfinden müssen, dass Daten über sie ein Leben lang zu finden sind.
Ganz vergessen ist man im Übrigen natürlich nicht, wenn man beispielsweise einen Eintrag bei Google löschen lässt. Die Informationen befinden sich weiter im Netz auf den jeweiligen Webseiten. Jedoch werden diese Daten nicht mehr so stark verbreitet und damit auch nicht mehr so leicht gefunden. Am besten ist es daher, wenn sowohl der Webseitenbetreiber den Inhalt löscht als auch der Inhalt nicht mehr über eine Suchmaschine auffindbar ist. Die Löschung personenbezogener Daten beim Webseitenbetreiber führt zu einem tatsächlichen Löschen, da die Inhalte dann nicht länger auffindbar sind, außer sie werden erneut wieder eingestellt. Dass der Löschanspruch auch für Suchmaschinen gilt, erhöht somit maßgeblich den Schutz der Nutzer im Internet.
Weigert sich ein Anbieter, Daten zu löschen oder nimmt das Anliegen des Nutzers gar nicht wahr, ist es ratsam, sich an die jeweils zuständige Datenschutz-Aufsichtsbehörde zu wenden oder den Anspruch selbst gerichtlich einzuklagen. Es ist immer die Landesdatenschutzaufsicht zuständig, in der das Unternehmen seinen Sitz oder seine Niederlassung hat. Beispielsweise haben Facebook und Google eine Zweigstelle in Hamburg, sodass der Hamburgische Landesdatenschutzbeauftragte zuständig ist. Aufgrund des hohen Prozesskostenrisikos ist es immer besser, eine Beschwerde an die Datenschutzaufsicht zu stellen, anstatt selbst zu klagen.
Wer haftet, wenn meine Daten entwendet wurden?
Wer Daten bei Cloudspeicherdiensten ablegt, sollte sich Gedanken um die Vertraulichkeit und Integrität der Daten machen. Das gilt nicht nur für persönliche Daten, sondern insbesondere auch für Betriebs- oder Geschäftsgeheimnisse oder die privaten Daten Dritter. Hierbei geht es ebenso um die Gewährleistung von Datensicherheit, also die Absicherung gegen Angriffe auf die technische Infrastruktur, außerdem um Wartung und Fehlerbehebung.
Bei der Übernahme von Verantwortung halten sich viele Anbieter sehr bedeckt. Eigentlich sollte der Anbieter eines Cloud-Dienstes für alle Schäden oder Ausfälle haften, die nicht durch den Nutzer selbst, sondern durch das Verschulden des Betreibers entstehen. Leider versuchen sich an dieser Stelle viele Anbieter aus der Affäre zu ziehen; ein Blick in die AGB vor Vertragsabschluss ist daher in jedem Fall lohnenswert. Wenn die Daten erst einmal weg sind und der Anbieter sich nicht zuständig fühlt, ist es meist zu spät.
An wen wende ich mich, um meine Rechte geltend zu machen?
Als erstes hilft immer ein Blick ins Impressum eines Anbieters; hier findet sich der Ansprechpartner. Bei Anbietern mit Sitz in Deutschland ist klar das deutsche Datenschutzrecht anwendbar, aber bei Clouddiensten finden sich oft europäische oder US-amerikanische Anbieter und dann wird es heikel. Niederlassungen in Irland sind beispielsweise sehr beliebt und können viele Gründe haben: Steuerersparnisse, bessere Infrastruktur und eben auch weniger strenge Überprüfung beim Datenschutz. Zwar regelt die Datenschutz-Richtlinie aus dem Jahr 1995 Mindeststandards, sie wurde aber in jedem europäischen Land unterschiedlich streng umgesetzt, sodass es aktuell kein einheitliches europäisches Datenschutzrecht gibt.
Für wen gilt deutsches Recht?
Für die Anwendung des deutschen Datenschutzrechts ist es entscheidend, wo und wie die personenbezogenen Daten der Nutzer verarbeitet werden. Hier gibt es derzeit unterschiedliche Anschauungen, wie das Beispiel Facebook zeigt:
- Facebook behauptet, die Datenverarbeitung würde im „europäischen Hauptquartier“ (Irland) erfolgen, sodass irisches Datenschutzrecht Anwendung fände.
- Der Verbraucherzentrale Bundesverband (VZBV) geht davon aus, dass Facebook USA für die Datenverarbeitung verantwortlich ist, sodass deutsches Datenschutzrecht anwendbar wäre. Denn das Bundesdatenschutzgesetz gibt vor, dass deutsches Recht maßgeblich ist, wenn ein Unternehmen außerhalb der Europäischen Union Daten in Deutschland erhebt, verarbeitet oder nutzt.
Gerichte haben es unterschiedlich bewertet:
- Das Kammergericht Berlin hat sich in einem Verfahren des VBZV gegen Facebook dieser Ansicht angeschlossen. Nach Ansicht des Gerichts werden die für den Internetauftritt in Deutschland verwendeten Server und Anlagen von Facebooks Muttergesellschaft in den USA vorgehalten. Ebenso werden die über den Internetauftritt von Facebook Irland erhobenen und weitergehend verwendeten Daten in tatsächlicher Hinsicht von der Muttergesellschaft in den USA verarbeitet. Facebooks Muttergesellschaft in den USA verwendet durch das Setzen von Cookies auf den Computern der Nutzer in Deutschland die im Gesetz aufgeführten „Mittel“ zur Datenverarbeitung und „erhebt“ und „verarbeitet“ daher auch Daten im Sinne des Bundesdatenschutzgesetzes.
- Das Oberverwaltungsgericht Schleswig vertritt in einem Verfahren der dortigen Landesdatenschutzaufsicht die Ansicht von Facebook: keine Anwendung des deutschen Datenschutzrechts. So bleibt die Frage erst einmal im Unklaren. Bis dahin empfiehlt sich dennoch der Versuch, auch bei internationalen Unternehmen seine Rechte durchzusetzen, wenn sie ihre Dienste für deutsche Nutzer anbieten.
Hoffnung auf Klarheit besteht jedoch durch die aktuell verhandelte europäische Datenschutzverordnung. Die Frage, welches Recht Anwendung findet, würde sich dann nicht mehr stellen. In jedem europäischen Land würde es ein einheitliches Datenschutzrecht geben und jedes Unternehmen – egal, ob aus Irland, Deutschland oder den USA – müsste sich an dieses Recht halten, wenn es seine Dienste auf dem europäischen Markt anbietet.
8 Kommentare
1 Claudia1Berlin am 9. Oktober, 2014 um 15:43
“Besonders in sozialen Netzwerken werden zudem Informationen, die bei Freunden auf deren Profilen eingestellt sind, nicht automatisch gelöscht.”
Vermutlich sind damit Kommentare gemeint. In diesem Fall finde ich es ok, das diese stehen bleiben, genau wie in Foren. Wenn sich nämlich Gespräche entwickeln und Kommentierende aufeinander Bezug nehmen, wäre Löschung quasi eine Vernichtung des ganzen Gesprächs. Man könnte einfach den Usernamen Anonymisieren, wie es in div. Foren geschieht, wo dann nurmehr “Gast” steht.
2 Michaela Zinke am 9. Oktober, 2014 um 15:55
Hallo Claudia1Berlin,
Danke für deinen Hinweis. Viele wissen gerade bei Facebook und Co. nicht, dass ihre Daten bei Freunden im Profil erhalten bleiben, auch wenn sie ihren Account gelöscht haben. Hier schließe ich mich deiner Meinung an: Eine Anonymisierung des Usernamens wäre hier völlig ausreichend. Werden Daten aber an Dritte (oft Werbeunternehmen) gegeben, sollte auch der Löschanspruch gelten. Schließlich hat der Anbieter die Daten des Nutzer weitergegeben, so dass er auch den Löschanspruch weitergeben kann.
3 Günther am 3. Dezember, 2017 um 16:12
die links auf die Musterbriefe bei
https://www.surfer-haben-rechte.de/ sind nicht mehr gültig. Besser wären vielleicht permalinks dorthin?!
– schade!
Gruß Gü
4 Grim am 25. Juli, 2018 um 23:07
Danke für den informativen Artikel.
Leider sehen Internet-User meist nur Soziale Netzwerke als Gefahr.
Leider musste ich kürzlich feststellen, dass das Internetforum der Zeitschrift Gamestar (Webedia Gaming GmbH) trotz der von mir veranlassten Löschung meines Kontos vor 4 Jahren meine Daten nach wie vor gespeichert haben und nun versehentlich mit einem neuen Konto verküpft haben.
Was macht man dagegen?
Wie kann man er erfahren was tatsächlich an Daten gespeichert ist?
5 Valie Djordjevic am 26. Juli, 2018 um 10:52
@Grim: Grundsätzlich haben Sie natürlich das Recht auf Löschung Ihrer Daten und auf Auskunft. Dafür müssen Sie sich an die jeweilige Firma wenden.
Falls das alles nicht klappt, können Sie sich an den jeweiligen Landesdatenschutzbeauftragten Ihres Bundeslandes wenden. Diese Stellen haben in der Regel einen Beschwerdeservice auch für Bürger. Hier zum Beispiel für Berlin: https://www.datenschutz-berlin.de/beschwerde.html
Weiterhin können Sie sich für weitere Informationenan die Verbraucherzentralen Ihres Bundeslandes wenden. Auch diese kümmern sich um Datenschutz für Verbraucher.
6 Jan Alexander Beckmann am 28. Dezember, 2019 um 18:16
Hallo,
mein XING Profil hat XING leider verloren.
Somit sind leider unter Anderem auch alle meine Kontakte weg.
XING schreibt mir, huch, das tue ihnen aber Leid, aber unter der Adresse sei einfach kein Profil mehr!
Eine Nachricht von XING NEW WORK SE, Hamburg, dass mein Profil weg ist, hat es leider nie gegebenen. Ich fragte mich immer, warum mein Passwort verändert war, scheinbar…
Wie kann ich denn bitte der Nutzung meiner immer noch vorhandenen Daten durch XING NEW WORK SE widersprechen?
XING soll wenigstens nicht noch von meinen Rettungsversuchen profitieren. Eine Entschuldigung oder Erklärung der Löschung blieb bislang auch aus. Da soll dann die Rechnung möglichst nicht aufgehen. Es könnte ja durchaus Absicht gewesen sein.
ich kann mir nicht vorstellen, das XING kein Backup seiner Kundendaten macht…
Haben Sie Dank bereits im Voraus für eine Antwort.
Mit Gruß
Alexander Beckmann, Dipl.-Ing.
Im Dezember 2019
7 Valie Djordjevic am 23. Januar, 2020 um 18:43
Da wenden Sie sich am besten an die zuständigen Datenschutzbeauftragten. In der Regel sind diese per Bundesland organisiert.
Was sagen Sie dazu?