Meine Daten, meine Rechte und wie man sie durchsetzt

1. Ich habe ein Recht zu wissen, was über mich gespeichert wird.

Jeder hat die Möglichkeit mindestens einmal im Jahr kostenlos Auskunft über Daten, die Privatunternehmen über ihn gespeichert haben, zu verlangen (Paragraf 34 Bundesdatenschutzgesetz). Dazu ist keinerlei Begründung für die Anfrage nötig, denn man nimmt sein Recht auf informationelle Selbstbestimmung wahr. Ein einfaches Musterschreiben (PDF) reicht.

Eine gezielte Selbstauskunft ist aber nur dann möglich, wenn man eine grobe Ahnung hat, wo Daten gespeichert worden sein könnten oder an wen sie weitergegeben wurden. Es gibt Unternehmen wie selbstauskunft.net, die eine automatische Abfrage zahlreicher Unternehmen und einschlägiger Adresshändler anbieten. Der Vorteil daran ist, dass man in nur wenigen Minuten Anfragen gezielt abschicken kann, ohne lange nach der Adresse suchen zu müssen. Der Nachteil ist, dass man einem weiteren Unternehmen seine Daten anvertraut. Die Dienstleister versichern, dass sie die Daten außer für das jeweilige Auskunftsersuchen nicht an Dritte weitergeben, aber prüfen kann der Einzelne das nicht.

Wer sich die Mühe macht, zu erfahren, welche personenbezogenen Daten über ihn gespeichert werden, erlebt besonders bei großen Internetunternehmen wie Facebook und Google so einige Überraschungen. Der Jurist Max Schrems aus Wien kann das bestätigen. Er hatte vor drei Jahren eine ganz harmlose Datenabfrage an Facebook gestartet und damit einen großen Stein ins Rollen gebracht. Nach einigem Hin und Her hatte Facebook gut 1200 Seiten ausgedruckt nach Wien geschickt. Darunter auch Nachrichten und Einträge, die Schrems schon längst gelöscht zu haben glaubte. Seitdem befindet er sich im Rechtstreit mit Facebook.

Manche Dienste bieten Tools an, aber nicht alle Daten

Der öffentliche Druck der von Schrems gegründeten Initiative „Europe versus Facebook“ hat Facebook dazu bewegt, in den „Kontoeinstellungen“ einen Link zum Herunterladen der von Facebook gesammelten Daten zur Verfügung zu stellen – ganz unten unter „Lade eine Kopie deiner Facebook-Daten herunter.“ So sieht man nicht nur die Informationen, die man aktiv bei Facebook eingestellt hat, sondern auch seine IP-Adresse, Klicks auf Werbeanzeigen, Chatprotokolle, den letzten Ort, von dem aus man Facebook angeklickt hat und vieles mehr. Hier zeigt sich noch einmal deutlich, wie viele Daten Facebook von den Nutzern sammelt. Zudem können bisher noch nicht alle Daten heruntergeladen werden. Facebook gibt aber an, dass die Datensätze nach und nach erweitert werden sollen.

Noch unvollständig: Datenkopie von Facebook

Auch Google stellt in seinem sogenannten Dashboard eine Übersicht der gespeicherten Daten für den Einzelnen zur Verfügung. Vergleicht man die 1200 Seiten von Max Schrems und das jetzige Tool von Facebook, so ist klar, dass nur ein Ausschnitt der gespeicherten Daten für den Nutzer zur Verfügung steht. Bei Googles umfassender Datensammlung wird es ähnlich sein.

2. Ich kann der Datennutzung widersprechen.

Wenn man nach einem Auskunftsersuchen erfolgreich herausgefunden hat, wer was über einen speichert, kann man im Anschluss gleich der Datennutzung zu Werbezwecken oder zur Markt- und Meinungsforschung widersprechen. Das ist ganz einfach: Eine E-Mail an den Anbieter mit folgendem Satz senden: „Ich widerspreche gemäß § 28 Absatz 4 Bundesdatenschutzgesetz der Verarbeitung oder Nutzung meiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung.“

3. Ich habe ein Recht auf Löschung meiner Daten.

Grundsätzlich müssen Anbieter personenbezogene Daten löschen, wenn sie für die Abwicklung des Vertrages nicht mehr benötigt werden. Das Gleiche gilt bei der Teilnahme an Online-Spielen oder Sozialen Netzwerken. Wer nicht mehr mitmachen möchte, hat einen Anspruch auf sofortige Löschung der persönlichen Daten. Anders sieht es bei Anbietern von Onlineshops aus: Sie müssen bestimmte Daten nicht sofort löschen, wenn sie diese für Schadensersatzansprüche, zur Abrechnung oder für das Finanzamt noch brauchen. Die Daten müssen dann aber gesperrt werden. Das heißt, sie dürfen nur noch eingeschränkt genutzt werden.

Besonders bei Adresshändlern kann es immer wieder vorkommen, dass der eigene Datensatz nachgekauft wird und man nach erfolgreicher Löschung Monate später wieder in der Datenbank landet. In solchen Fällen ist es besser, seine Daten sperren zu lassen. Bei einer Sperrung dürfen die Daten langfristig nicht genutzt werden, selbst wenn der Datensatz von einem anderen Anbieter erneut eingekauft wird.

In der Praxis ist es oft schwierig, seinen Löschanspruch durchzusetzen. So einfach wie es ist, ein Profil oder einen Account zu erstellen, so schwer ist es auch wieder, aus einem sozialen Netzwerk oder einer Community auszutreten. Oft bieten die Betreiber keine Löschmöglichkeit, ignorieren den Löschwunsch oder Kundenkonten werden nur deaktiviert, sodass die Daten im System des Anbieters verbleiben. Besonders in sozialen Netzwerken werden zudem Informationen, die bei Freunden auf deren Profilen eingestellt sind, nicht automatisch gelöscht. Genauso verhält es sich mit Daten, die Drittanbieter von Apps über den Nutzer erhalten haben.

Auch dazu gibt es einen Musterbrief (PDF) zum Löschen dieser Daten.

Sonderfall: Suchmaschinen

Ein Urteil des Europäischen Gerichtshofes hat den Anspruch auf Löschung von Daten nun auch auf Suchmaschinen erweitert. Stellt man bei der Eingabe des eigenen Namens in einer Suchmaschine fest, dass ein Suchtreffer zu seiner Person erscheint, den man löschen lassen möchte, dann kann man diesen Löschwunsch nun direkt an den Suchmaschinenbetreiber adressieren. Klar ist, dass nicht alles, was einem nicht gefällt, gelöscht werden kann. Es muss immer eine Abwägung geben zwischen dem Recht des Betroffenen auf Privatsphäre, dem Schutz seiner personenbezogenen Daten und dem Recht der Öffentlichkeit an diesen Informationen. Gerade Personen, die in der Öffentlichkeit stehen, werden sich oft damit abfinden müssen, dass Daten über sie ein Leben lang zu finden sind.

Ganz vergessen ist man im Übrigen natürlich nicht, wenn man beispielsweise einen Eintrag bei Google löschen lässt. Die Informationen befinden sich weiter im Netz auf den jeweiligen Webseiten. Jedoch werden diese Daten nicht mehr so stark verbreitet und damit auch nicht mehr so leicht gefunden. Am besten ist es daher, wenn sowohl der Webseitenbetreiber den Inhalt löscht als auch der Inhalt nicht mehr über eine Suchmaschine auffindbar ist. Die Löschung personenbezogener Daten beim Webseitenbetreiber führt zu einem tatsächlichen Löschen, da die Inhalte dann nicht länger auffindbar sind, außer sie werden erneut wieder eingestellt. Dass der Löschanspruch auch für Suchmaschinen gilt, erhöht somit maßgeblich den Schutz der Nutzer im Internet.

Weigert sich ein Anbieter, Daten zu löschen oder nimmt das Anliegen des Nutzers gar nicht wahr, ist es ratsam, sich an die jeweils zuständige Datenschutz-Aufsichtsbehörde zu wenden oder den Anspruch selbst gerichtlich einzuklagen. Es ist immer die Landesdatenschutzaufsicht zuständig, in der das Unternehmen seinen Sitz oder seine Niederlassung hat. Beispielsweise haben Facebook und Google eine Zweigstelle in Hamburg, sodass der Hamburgische Landesdatenschutzbeauftragte zuständig ist. Aufgrund des hohen Prozesskostenrisikos ist es immer besser, eine Beschwerde an die Datenschutzaufsicht zu stellen, anstatt selbst zu klagen.

Wer haftet, wenn meine Daten entwendet wurden?

Wer Daten bei Cloudspeicherdiensten ablegt, sollte sich Gedanken um die Vertraulichkeit und Integrität der Daten machen. Das gilt nicht nur für persönliche Daten, sondern insbesondere auch für Betriebs- oder Geschäftsgeheimnisse oder die privaten Daten Dritter. Hierbei geht es ebenso um die Gewährleistung von Datensicherheit, also die Absicherung gegen Angriffe auf die technische Infrastruktur, außerdem um Wartung und Fehlerbehebung.

Bei der Übernahme von Verantwortung halten sich viele Anbieter sehr bedeckt. Eigentlich sollte der Anbieter eines Cloud-Dienstes für alle Schäden oder Ausfälle haften, die nicht durch den Nutzer selbst, sondern durch das Verschulden des Betreibers entstehen. Leider versuchen sich an dieser Stelle viele Anbieter aus der Affäre zu ziehen; ein Blick in die AGB vor Vertragsabschluss ist daher in jedem Fall lohnenswert. Wenn die Daten erst einmal weg sind und der Anbieter sich nicht zuständig fühlt, ist es meist zu spät.

An wen wende ich mich, um meine Rechte geltend zu machen?

Als erstes hilft immer ein Blick ins Impressum eines Anbieters; hier findet sich der Ansprechpartner. Bei Anbietern mit Sitz in Deutschland ist klar das deutsche Datenschutzrecht anwendbar, aber bei Clouddiensten finden sich oft europäische oder US-amerikanische Anbieter und dann wird es heikel. Niederlassungen in Irland sind beispielsweise sehr beliebt und können viele Gründe haben: Steuerersparnisse, bessere Infrastruktur und eben auch weniger strenge Überprüfung beim Datenschutz. Zwar regelt die Datenschutz-Richtlinie aus dem Jahr 1995 Mindeststandards, sie wurde aber in jedem europäischen Land unterschiedlich streng umgesetzt, sodass es aktuell kein einheitliches europäisches Datenschutzrecht gibt.

Für wen gilt deutsches Recht?

Für die Anwendung des deutschen Datenschutzrechts ist es entscheidend, wo und wie die personenbezogenen Daten der Nutzer verarbeitet werden. Hier gibt es derzeit unterschiedliche Anschauungen, wie das Beispiel Facebook zeigt:

• Facebook behauptet, die Datenverarbeitung würde im „europäischen Hauptquartier“ (Irland) erfolgen, sodass irisches Datenschutzrecht Anwendung fände.
• Der Verbraucherzentrale Bundesverband (VZBV) geht davon aus, dass Facebook USA für die Datenverarbeitung verantwortlich ist, sodass deutsches Datenschutzrecht anwendbar wäre. Denn das Bundesdatenschutzgesetz gibt vor, dass deutsches Recht maßgeblich ist, wenn ein Unternehmen außerhalb der Europäischen Union Daten in Deutschland erhebt, verarbeitet oder nutzt.

Gerichte haben es unterschiedlich bewertet:

• Das Kammergericht Berlin hat sich in einem Verfahren des VBZV gegen Facebook dieser Ansicht angeschlossen. Nach Ansicht des Gerichts werden die für den Internetauftritt in Deutschland verwendeten Server und Anlagen von Facebooks Muttergesellschaft in den USA vorgehalten. Ebenso werden die über den Internetauftritt von Facebook Irland erhobenen und weitergehend verwendeten Daten in tatsächlicher Hinsicht von der Muttergesellschaft in den USA verarbeitet. Facebooks Muttergesellschaft in den USA verwendet durch das Setzen von Cookies auf den Computern der Nutzer in Deutschland die im Gesetz aufgeführten „Mittel“ zur Datenverarbeitung und „erhebt“ und „verarbeitet“ daher auch Daten im Sinne des Bundesdatenschutzgesetzes.

• Das Oberverwaltungsgericht Schleswig vertritt in einem Verfahren der dortigen Landesdatenschutzaufsicht die Ansicht von Facebook: keine Anwendung des deutschen Datenschutzrechts. So bleibt die Frage erst einmal im Unklaren. Bis dahin empfiehlt sich dennoch der Versuch, auch bei internationalen Unternehmen seine Rechte durchzusetzen, wenn sie ihre Dienste für deutsche Nutzer anbieten.

Hoffnung auf Klarheit besteht jedoch durch die aktuell verhandelte europäische Datenschutzverordnung. Die Frage, welches Recht Anwendung findet, würde sich dann nicht mehr stellen. In jedem europäischen Land würde es ein einheitliches Datenschutzrecht geben und jedes Unternehmen – egal, ob aus Irland, Deutschland oder den USA – müsste sich an dieses Recht halten, wenn es seine Dienste auf dem europäischen Markt anbietet.