Persönliche Angaben im Internet: Unternehmen ist Datenschutz egal
Viele Firmen im Web scheren sich nicht um die Datenschutzgesetze, zeigt eine neue Studie. Kein Wunder, denn die zuständigen Behörden sind mit der Kontrolle überfordert.
Die meisten Internetanbieter scheren sich nicht um die Datenschutzgesetze. Deren Einhaltung wird auch kaum überwacht. Das ist das Ergebnis einer Studie des Karlsruher Instituts für Technologie und der Universität Regensburg. "In dem von uns festgestellten Umfang sind die Mängel erschreckend", sagte Klemens Böhm, Leiter der Karlsruher Forschungsgruppe, taz.de am Donnerstag.
Das Forscherteam untersuchte insgesamt 100 Online-Shops, Auktionsplattformen, Informationsportale und Suchmaschinen - darunter Seiten wie das Nachrichtenportal Spiegel Online, die Reiseseite Expedia und die Onlinepräsenzen der Versandhäuser Otto und Quelle. Sie wollten vor allem eine Frage beantworten: Inwieweit ist es für Verbraucher transparent, was mit seinen persönlichen Daten geschieht. Die Antwort fällt ernüchternd aus: "Nur fünf von 100 Anbietern halten sich vollständig an die Gesetze", sagt Böhm.
Beispielsweise geben 31 Anbieter nur sehr grob an, welche Daten von ihnen erhoben werden. Sechs äußern sich dazu gar nicht. Etwa ein Drittel der Unternehmen gibt auf ihren Seiten keinerlei Hinweis darauf, wie lange Daten der Kunden gespeichert werden.
Das Forscherteam aus Karlsruhe und Regensburg hat seine Forschungsergebnisse auf einer eigenen Seite online gestellt. Scrollt man auf dieser bis zum Punkt "An Empiricial Study of the Law Enforcement Deficit", dann findet man unter Additional Information 1- 4 mehrere PDF-Dateien, in denen ausführlich aufgelistet wird, wie Unternehmen ihre Datenschutzerklärungen gestalten.
Eine Erklärung, wie die Tabellen zu lesen sind, findet sich im CTRL-Blog der taz.
Ähnlich finster sieht es aus, wenn die Datenerhebung per verborgener Technik also beispielweise per Cookie geschieht. Es ist gesetzlich vorgeschrieben, dass Nutzer über Art, Umfang und Zweck der erhobenen Daten informiert werden. Tatsächlich passiert etwas ganz anderes: Ein Viertel der untersuchten Unternehmen macht gar keine Angaben zu genutzten Cookies, der große Rest informierte laut Studie entweder unzureichend oder gar falsch.
Per Gesetz muss der Kunde zustimmen, wenn der Anbieter die Daten für andere Zwecke weiterverarbeiten will. Und selbst wenn der Kunde dazu einmal Ja gesagt hat, kann er seine Einwilligung später wieder zurückziehen. Doch das ficht viele Unternehmen offenbar nicht an. Zwölf Firmen holen sich die Zustimmung gar nicht erst, 18 weisen nicht auf die Möglichkeit des Widerrufs hin.
Außerdem können viele Nutzer nicht erkennen an wen Anbieter ihre Daten weitergeben. Zwanzig Prozent der untersuchten Firmen geben nicht an, wer Daten von ihnen bekommt. Über ein Viertel der Unternehmen führen für die Weitergabe keine Gründe an.
Selbst wenn Nutzer bei Unternehmen explizit nachfragen, bekommen sie oft nicht heraus, welche ihrer Angaben gespeichert wurden und wen der Anbieter noch alles damit beliefert hat. "Mehr als 35 Prozent der Anbieter nehmen die Auskunftspflicht nicht wahr", sagt Klemens Böhm, "außerdem löschen sie die personenbezogenen Daten nicht."
Gruselig wird es, wenn die Unternehmen begründen sollen, wieso sie gegen die Gesetze handeln. Einige behaupteten, das Löschen von Daten sei technisch unmöglich, andere behaupten, man sei bei ihnen überhaupt nicht registriert.
Klemens Böhm zieht daraus vor allem den Schluss, dass neue Datenschutzgesetze nichts bringen: "Ich kann den Sinn neuer Gesetze nicht erkennen, wenn schon die bisherigen kaum beachtet werden", sagt der Forscher. Die Nutzer selbst könnnten das Problem am besten lösen.
In Karlsruhe forscht man derzeit an einem Portal, bei dem die Nutzer Unternehmen nach bestimmten Kriterien bewerten und Datenschutzverstöße anzeigen können. "So kann der mündige Konsument die Firmen zum Umdenken bewegen", glaubt Böhm.
Zuständig für die Kontrolle der Unternehmen sind in Deutschland die Datenschutzbeauftragten der Länder. "Die müssen endlich personell aufgestockt werden", sagt Markus Beckedahl von Netzpolitik, einem Blog für digitale Bürgerrechte, "nur so können sie ihre Kontrollfunktionen erfüllen."
Tatsächlich ist es derzeit eher unwahrscheinlich, dass die Datenschützer der Länder flächendeckend prüfen können, wo etwas falsch läuft. Im Landesamt für Datenschutz in Schleswig-Holstein beispielsweise sind sechs Mitarbeiter dafür zuständig, die etwa 100.000 Unternehmen im Land zu kontrollieren, fast alle davon haben zumindest eine Homepage.
Für den Bereich Internetunternehmen ist nur eine halbe Stelle vorgesehen. "Deshalb haben wir ein wahnsinnig großes Vollzugsdefizit", sagt Landesdatenschützer Thilo Weichert. "Es gibt einfach zu viele Verstöße als dass wir sie alle bearbeiten könnten."
Man wisse beispielsweise, dass etwa 80 Prozent der Web-Firmen für das Sammeln von Kundendaten das Programm Google Analytics benutzen. "Das kann gar nicht gesetzeskompatibel eingesetzt werden", sagt Weichert, "denn das Programm lässt weder eine Benachrichtigung des Nutzers noch ein Widerspruchsrecht zu." Aufgrund ihrer Ausstattung sei es den Datenschützern jedoch schlichtweg unmöglich gegen die große Menge an Firmen vorzugehen, die Google Analytics verwenden. Statt dessen verhandeln die Landesdatenschützer mit dem Google-Konzern über eine einvernehmliche Lösung. Laut Weichert stellt sich der Konzern bisher quer.
Der Datenschutzexperte und Unternehmensberater Hans Gliss gibt den Datenschutzprüfern dagegen eine Mitschuld an der derzeitigen Situation: "Die Behörden müssen ja nicht auf einmal alle Betriebe kontrollieren", sagt Hans Gliss, den Firmen und Wirtschaftsverbände oft in Datenschutzfragen konsultieren. "Wenn die Landesdatenschützer mit ein paar Unternehmen anfangen würden, könnten sie damit ein deutliches Zeichen setzen." Gliss glaubt, dass "die richtige Motivation fehlt".
Doch es gibt noch ein weiteres Problem: Viele der gesetzlichen Verstöße könnten nach dem bisherigen Recht gar nicht wirkungsvoll geahndet werden, sagt Weichert: "Wenn ein Anbieter beispielsweise nicht bekannt gibt, wann er Daten weitergibt oder wo er Cookies setzt, dann ist das nicht sanktionsbewehrt." Im Klartext: In solchen Fällen sehen die Gesetze keine Bußgelder vor und daher scheren sich die Unternehmen offensichtlich nicht darum.
Abhilfe ist hier wenigstens für den Fall in Sicht, dass ein Unternehmen auf Nachfrage die Auskunft verweigert. Ab dem 1. April 2010 kann in solchen Fällen ein Bußgeld von bis zu 50.000 Euro verhängt werden - dank der letzten Novellierung des Datenschutzgesetzes in diesem Sommer.
Deshalb halten Datenschützer Weichert und Blogger Beckedahl die Ansicht der Forscher, es brauche keine neuen Gesetze, für Unsinn. Sie glauben: Klarere Regeln und schärfere Bußgelder könnten viele Unternehmen dazu bringen, mit den Daten ihrer Kunden umsichtiger zu verfahren.
Nach Ansicht der Internet-Branche tut sie das übrigens bisher schon. "Nach unserer Erfahrung ist es aus vielerlei Gründen im eigenen Interesse der Unternehmen, sich an die Datenschutzbestimmungen zu halten", sagt Marita Strasser, Sprecherin des Verbandes der Internetwirtschaft eco, "das Thema ist den Unternehmen ein sehr wichtiges Anliegen."
Leser*innenkommentare
Simone
Gast
Wer einmal Daten hat gibt die nicht so schnell auf oder löscht sie, nur weil ein Gesetz das verbietet.
Auserdem wer will das schon überprüfen wer was auf seiner Datenbank hat?
Was @Rhapsodie da beschreibt habe ich selber vor 6 Jahren bei einer Behörde erlebt. 2 Praktikantinnen die dort mit im Raum waren durften zu gucken wie die Angestellte bei der Anmeldung! ältere Daten von mir auf dem PC raus gesucht hat. Das schlimmste war, daß die beiden das erstmal gar nix anging was da zu lesen war und diese Daten nur für die Zuständige Sachbearbeiterin bestimmt war. Dann hat sie denen auch noch erklärt wie sie da dran kam.Mich hat´s fast aus den Socken gehauen.
mirai
Gast
Bestimmte Webseiten wie youtube lassen sich überhaupt nicht mehr aufrufen, wenn man google-analytics.com abblockt.
Beim Aufruf von taz.de wird (aktuell) youtube.com aufgerufen, und darüber automatisch google-analytics.com.
Damit ist die ip-Nummer der taz-Leserin in den Vereinigten Staaten (zusammen mit ihren anderen, ihre Person möglicherweise identifizierenden Seitenaufrufe) protokolliert.
Cheers!
mirai
Gast
Bestimmte Webseiten wie youtube lassen sich überhaupt nicht mehr aufrufen, wenn man google-analytics.com abblockt.
Beim Aufruf von taz.de wird (aktuell) youtube aufgerufen, und darüber automatisch google-analytics.com.
Cheers!
Anon
Gast
> Datenschützern jedoch schlichtweg unmöglich
> gegen die große Menge an Firmen vorzugehen,
> die Google Analytics verwenden.
Häh? Gibt es dafür nicht die "Musterklage" gegen ein einzelnes Unternehmen mit "richtungsweisender Wirkung für eine Vielzahl von Fällen" ? So wie bei vielen anderen juristischen Grundsatzentscheidungen auch?
Das wird dann 1-2 Instanzen höher verwiesen wegen der richungsweisenden Bedeutung, blabla, und dann ist das geklärt, ob google analytics gesetzeskonform ist, oder nicht?
Andi
Gast
Haben Sie sich mal die Verträge durchgelesen, die sie so unterschreiben?
Egal wo:
-Bank
-Handyvertrag
-DSL Vertrag
-Versicherungsvertrag
-Beim signieren des EC-Kartenechnungs beim Supermarkt
....
Das Kleingedruckte lesen sie sich alle doch gar nicht durch.
Sie bilden sich ein das sie das tun.
Es gibt ja noch die AGBs und da ist es zum schluß genau geschildert wohin ihre Daten überall hinkommen. Sie alle geben ganz offen und freiwillig Ihre Daten wieter!
Die Ämter sind natürlich genauso schlimm.
Ihre Daten sind bei der Meldebehörde gespeichert und jede sogenannte Auskunftei kann sich Ihre Daten von der Behörde kaufen. Wenn sie bei der Behörde wissen wollen, wer alles Ihre Daten bekommen hat - und dies haben sehr viele bekommen - dann bekommen sie folgende Antwort:
Wir können soviele Anfragen nicht registrieren.
Dann gibt es noch die Schufa.
Jeder/s Firma /Unternehmen kann über sie Auskünfte von der Schufa holen: Ohne Ihre schriftliche Erlaubnis (Aussage Schufa).
Und damit geben sie sich alle zufrieden.
alcibiades
Gast
@rhapsodie: das stimmt, und schlimmer wird es noch, sollte man einmal hartz 4 oder dergleichen beantragt haben: die daten werden hier u.a. auch von externen firmen erhoben, die von den ämtern z.b. mit schulungsmassnahmen oder ähnlichem beauftragt wurden - da wird es dann völlig unübersichtlich; man ist dann leider auch nicht in der position mit der firma halt nicht zusammenzuarbeiten. In köln versicherte mir mal eine dame auf dem meldeamt hoch und heilig, sie würen die daten nicht herausgeben: wieso weiss dann eigentlich die gez immer sofort bescheid, wenn ich umgezogen bin? Von meinem vermieter? Ich glaube nicht.
Noch schlimmer sind natürlich die ganz grossen datensammler wie google und auch ebay, deren tochter paypal selbst kontodaten über die usa schaufelt, womit man jegliche kontolle über die eigenen daten aufgegeben hat.
Man kann sich zwar gegen vieles schützen und z.b. über filtersoftware automatische datensammler wie google analytics aussperren, aber ich denke nicht, dass die politik vom mit normalen internet- und computerkenntnissen verlangen kann, dass er seine maschine in eine nach allen seiten abgesicherte festung verwandelt. Aber eigenständig ergriffene schutzmassnahmen wie verschlüsselung von mails wecken ja eher das misstrauen der behörden. Sehe da bislang noch recht schwarz. 50000 euro sind im übrigen zwar kein pappenstiel, aber für manche unternehmen der branche trotzdem aus der portokasse zahlbar.
IT-Security
Gast
Wer sind die 5 aufrechten Unternehmen?
Arno Nym
Gast
Es wird Zeit, dass hier politisch mal härter
durchgegriffen wird. Aber die aktuell Regierenden
sind ja leider selbst daran interessiert, den
gemeinen Bürger durch umfangreichste Datenerhebung
gefügig zu machen: http://www.dubistterrorist.de
In 15 Jahren hat dann jeder seine eigene
entschlüsselte DNA-Sequenzen auf dem
implantierten RFID-Reisepass...
manni
Gast
Unternehmen öffentlich an den Pranger stellen dürfte wohl die einfachste und effektivste Methode sein.
Lea
Gast
Die preisgünstige Brille vom Internetoptiker habe ich nicht genommen, denn die Adressdaten in Verbindung mit den Rezeptdaten wurden von einem chinesischen Unternehmen gesammelt, obwohl der Optiker im Impressum als seinen Sitz eine Stadt in Deutschland angegeben hat. Aber wenigstens im Kleingedruckten gab es Hinweise auf die Datenweitergabe. Beinahe hätte ich es überlesen, noch ohne neue Brille.
Wäre ich auf das Angebot eingegangen, würde vielleicht mein Briefkasten noch mehr gespammt.
Rhapsodie
Gast
Datenschutz wird auch von Behörden nicht ernst genommen. Da bekommen ettliche Mitarbeiter Zugriff auf sensible Daten ohna das Das irgendwie kontrolliert wird. Erstmal sollte der Staat mit gutem Beispiel voran gehen!