Es war am 25. Mai 2018. Die Datenschutzgrundverordnung DSGVO ist offiziell voll anwendbar. Happy Anniversary.
Was war es für ein Chaos. Was für ein Aufschrei bei meist mittelständischen Unternehmen. Im Job war ich davon auch sehr direkt betroffen, denn irgendwer ™ musste sich ja auch etwas näher mit der Thematik beschäftigen.
Meine Fähigkeiten reichen immerhin soweit, immer zu allen Datenschutz relevanten Themen den Vorspann «Dies ist keine rechtsverbindliche Auskunft» beizufügen. Aber darum soll es hier nicht gehen.
Hier geht es um ein Jahr DSGVO aus meiner Nutzerinnensicht. Hat das für den Umgang mit Internetdiensten etwas verändert? Ist da irgendwas Besonderes oder Bemerkenswertes passiert?
Datenschmutz
Ich habe es im letzten Jahr bezüglich der DSGVO etwas provoziert, muss ich sagen. Ich habe schlicht einfach mal nachgefragt bei Diensten, die über mich personenbezogene Daten gespeichert haben. Was habt ihr denn so gespeichert? «Hiermit stelle ich eine Datenanfrage nach Artikel 15 DSGVO». Das Ganze neun Mal. Bei den großen. Apple, Amazon, Ebay, Facebook, Google, Netflix, PayPal, Telefonica, Twitter, Xing.
Habe Datenstrukturen ausgewertet und dabei teilweise eher unschöne Dinge gefunden. Etwas Datenschmutz aufgewirbelt.
Eigentlich dachte ich, dass es mit der Datenauskunft für so große Unternehmen ja ein an sich einfacher Vorgang sein müsste. Schließlich leben die ja irgendwie von meinen Daten, also wird es ja nicht so schwer sein, davon einfach mal einen Auszug zu bekommen.
Idealer Ablauf einer Datenabfrage
Ein Unternehmen erteilt innerhalb einer Frist von 30 Tagen nach der Datenabfrage eine vollständige Datenauskunft in einem gängigen maschinenlesbaren Format. Steht so teilweise in der DSVGO, das mit den 30 Tagen oder einem Monat ist in der Praxis inzwischen üblich und gehört teilweise sogar zu den Standardfragen, die bei Beschwerden an Datenschutzbehörden abgefragt werden. Hat das Unternehmen innerhalb von 30 Tagen was getan, haben sie eventuell noch einmal eine Erinnerung gesendet. Na klar doch.
So sollte das dann eigentlich funktionieren, aber Theorie und Praxis sind ja immer so ne Sache.
So einfach machten mir es manche Unternehmen nicht. Was viel über deren Datenkultur aussagt. Und über das, was die DSGVO dann eigentlich wirklich bewirkt hat.
Raise a concern
Stand heute bin ich mit einem Unternehmen - Facebook – auf dem Stand: ich habe da so leichte Bedenken, die ich mal an die irische Datenschutzbehörde weitergeleitet habe. Facebook hat seinen Europasitz in Irland, also ist auch die irischen Datenschutzbehörde dafür zuständig. Was war passiert?
Naja, eigentlich habe ich nur zwei Handlungen mit Hilfe der DSGVO durchführen wollen. Ich wollte von meinem Recht auf Vergessen Gebrauch machen (Artikel 17 DSGVO) und halt von meinem Recht auf Datenauskunft (Artikel 15 DSGVO). Das ist jetzt an sich auch nicht unbedingt ein Hexenwerk. Nur hat Facebook das eher sehr ungeschickt gelöst. Bedenklich.
Eine Datenauskunft bei Facebook anzufordern ist einfach, sofern ein «normaler» Facebook-Account exisiert. Daten anfordern, ein paar Stunden oder Tage warten, wieder einloggen, herunterladen. Schon mal gemacht, funktioniert.
Nun, Facebook hat aber auch noch einen Account-Status, der ziemlich ungünstig für die Thematik Datenauskunft ist: den «in Löschung» Status. Facebook-Accounts lassen sich nicht sofort löschen, sondern eine Löschung wird dann in 30 Tagen durchgeführt. Der Account exisiert so lange noch weiter. Da ich meinen Facebook-Account eh löschen wollte und ich wusste, dass das 30 Tage dauert, habe als erst eine Datenanfrage gestellt. So Datenanfragen dürfen ja überlicherweise 30 Tage dauern.
Es war gar nicht einfach, einen Kontakt bei Facebook zu finden, der sich für meine dahingehende Datenschutzanfrage zuständig fühlte. Ich landete schließlich bei Cesar in Dublin. Der jetzt maximal mit einem zahnlosen Tiger wie der irischen Datenschutzbehörde zu kämpfen hat. Wenn überhaupt.
Denn, was ich leider auch lernen musste: Ist ein Datenschutzanliegen erst mal in der Stufe «Datenschutzbehörde» passiert erst mal lange nichts. Und wenn, dann bekomme ich vielleicht meine Daten (von einem Account, des es eigentlich gar nicht mehr gibt jetzt) oder Facebook wird vielleicht dahingegend angemahnt.
Bei welchen Unternehmen es sonst noch hakt
Facebook war nicht das einzige Unternehmen, bei dem ich jetzt eigentlich so langsam im Status «Datenschutzbehörde» bin. PayPal hat zwar meine Datenanfrage aufgenommen, nur sind die inzwischen auch nach Erinnerung schon bei über 60 Tagen Bearbeitungszeit. Lange. Sehr Lange. Für ein Unternehmen, was auch noch mit Geld zu tun hat, erscheint mir das dann doch zu lange. Die Datenschutzbehörde, die dann im Zweifel für PayPal zuständig ist, liegt übrigens in Luxemburg.
Avenue du Rock'n'Roll.
Amazon Ping Pong
Da ich die luxemburgische Datenschutzbehörde aber schon mal erwähnt habe: diese ist auch für Amazon zuständig. Mit Amazon habe ich auch noch so ein kleines datenschutzrechtliches Ping Pong laufen. Auch hier das Problem mit der Datenauskunft. Ich habe von Amazon eine Datenauskunft erhalten, dann habe ich aber mal nachgefragt, ob diese denn auch vollständig sei. Denn in den Datenschutzbestimmungen steht, dass auch Ereignisse getrackt werden, von denen nichts in meiner Datenauskunft steht. Ich hätte schon mal gerne gewusst, ob diese Ereignisse auch Personenbezug haben.
Antwort dazu von Amazon, Umlautprobleme wie im Originaltext:
in Hinblick auf Daten über Website Nutzung (Clickstream Daten) haben wir Ihnen bereits mitgeteilt, dass wir Ihnen Daten zu Ihren Suchbegriffen in der Datenauskunft bereit gestellt haben.
Zitat E-Mail Amazon Kundenservice auf meine Anfrage
Meine Rückfrage dazu: Gibt es also noch andere Clickstream Daten, sie erwähnen hier nur Suchbegriffe?
Antwort Amazon:
wir haben Ihre Anfrage nach Daten zu Ihrer Nutzung unserer Website (Clickstream-Daten) erhalten. Viele Kunden haben uns mitgeteilt, dass die Daten, die wir bisher bereitgestellt haben, nicht informativ waren.
Zitat E-Mail Amazon Kundenservice auf meine Anfrage
Ich wurde daraus nicht so ganz schlau, bleibe aber auf dem Stand, dass da allein schon im Clickstream von Amazon noch Daten zu finden sind, die ich vielleicht eigentlich sehen müsste, weil personenbezogen, aber nicht bekommen habe. Was der Clickstream ist, erklärt Katharina Nocun etwas detaillierter in ihrem Vortrag auf dem 35C3.
Aber auch abseits vom Clickstream hat Amazon mir lückenhafte Daten zugesendet.
Meine Anfrage an Amazon dazu:
Die Information zu den gesehenen Inhalten über Prime Video ist definitiv meinem Account und damit meiner Person zuordenbar, denn im ausgeloggten Zustand fehlt diese Information und ein Löschen meiner Clientdaten lässt diese Daten unberührt. Nun ist meine Frage: Sind diese Daten Teil der Datenauskunft und fehlen? Wenn diese fehlen, auf welcher Rechtsgrundlage geschieht dies?
Zitat E-Mail von mir an Amazon zu Prime Video Daten
Die Antwort war dann immerhin ein Eingeständnis:
Bei der Bearbeitung Ihrer Anfrage fiel leider auf, dass Ihre Prime Video Daten versehentlich unvollständig hochgeladen wurden. Daher werden wir Ihnen in Bezug auf Ihre Prime Video Daten eine neue Datenauskunft erstellen.
Wir entschuldigen uns Aufrichtig für dieses Versehen.
Zitat E-Mail Rückantwort zu Prime Video Daten von Amazon
Nun, diese Daten in dem Teilbereich Video habe ich bekommen, die sind aber immer noch nicht vollständig, denn warum auch immer, enthält meine Prime Video Bibliothek zwei Filme, die sich in meinen Datenauskünften immer noch nicht finden lassen.
Dieses Ping Pong ging bis hier über den Zeitraum von etwa zwei Monaten.
Immer endend mit dem Zitat:
Unser Ziel: das kundenfreundlichste Unternehmen der Welt zu sein. Ihr Feedback hilft uns dabei.
Zitat E-Mail Signatur Amazon
Naja, die Datenschutzbehörde in der Avenue du Rock'n'Roll gibt vielleicht auch gern Feedback.
Und was hat das jetzt mit der DSVGO zu tun?
Der Witz an der DSGVO ist, dass vieles, was in der DSVGO steht, gar nicht mal so neu ist. Es gab auch schon vorher Datenschutzgesetze oder -auflagen, die mir als Nutzerin ähnliche Möglichkeiten boten. Die DSGVO hat diese Möglichkeiten aber etwas mehr in den öffentlichen Fokus gestellt oder Unternehmen haben diese Prozess einfach besser in ihr Datenhandling integriert.
Für mich war die DSGVO hier quasi ein Anreiz, das auch mal für meinen privaten Umgang mit personenbezogenen Daten auszuprobieren. Etwas mehr zu verstehen, was da mit meinen persönlichen Daten passiert. Wie fair und transparent ein Unternehmen mit Daten umgeht. Nicht aus einer Datenschutz-Paranoia heraus, sondern eher aus der Frage: «Ist es überhaupt sinnvoll, diesem Unternehmen so viele persönliche Daten zu geben? Kann ich diesem Unternehmen halbwegs vertrauen?»
Bei den Unternehmen ist mein Eindruck in etwa der folgende:
Bei Facebook habe ich nichts erwartet, ich wurde hier quasi bestätigt, dass Facebook sich da viel herausnimmt und quasi macht, was Facebook will.
Bei Amazon war ich über die hakelige und eigentlich immer noch laufende Datenauskunft mehr als überrascht, naja Amazon Prime habe ich aus diesen Gründen nicht mehr.
Positiv oder professionell aufgefallen sind mir Apple, Netflix und Xing. Reibungsloses Verfahren, vollständige Daten, saubere Kommunikation.
Daten über meinen Musik- oder Filmgeschmack, meine Kontakte oder geschäftlichen Beziehungen, die ja auch ein Teil von mir sind, die ich nur dann mit gutem Gewissen an Unternehmen gebe, wenn ich diese aber auch wieder problemlos weiterverwenden kann. Bei denen die Unternehmen dem Datenfluss nicht im Wege stehen.
Epilog
Es gibt den m.E. furchtbaren Satz, dass Daten das Öl des 21. Jahrhunderts seien. Ganz ehrlich, ich habe bei meinen Datenanfagen Unternehmen erlebt, die eben genauso mit Daten umgehen. Unternehmen, die immer tiefer nach diesen Daten bohren, Daten förmlich verbrennen und am Ende bleibt nichts anderes als Dreck oder ein Shitstorm. Ohne Moral oder Bewusstsein für die eigene Verantwortung und das, was aus den Daten erwächst.
Der Umgang mit Daten muss – für mich – eigentlich ein anderer sein.
Daten sind eigentlich das neue Grundwasser - schöner Satz von Stefan Kaufmann auf der diesjährigen re:publica.
Wasser fließt in einem Kreislauf, Daten sollten auch ein Kreislauf sein. Unternehmen, die auf Daten sitzen und diese nicht mal sauber wieder zusammenstellen können oder wollen und so für sich allein vereinnahmen wollen, halte ich für äußerst bedenklich.
Wenn die Einschätzung dieser Unterscheidung im Umgang mit Daten etwas ist, was ich aus den Mitteln der DSGVO, die mir als Nutzerin bereit stehen, erahnen kann, war das für mich persönlich gar mal so falsch, was die DSGVO für mich persönlich bewirkt hat.