9 Datenschutzbestimmungen von Unternehmen im Test

Offenes Geheimnis

ÖKO-TEST Mai 2010 | | Kategorie: Bauen und Wohnen | 30.04.2010

9 Datenschutzbestimmungen von Unternehmen im Test

Dass der Datenschutz im Internet große Lücken hat, ist seit Langem bekannt. Unser Test zeigt, wie sich User vor ungewolltem Ge- und Missbrauch ihrer Daten schützen können.

Kaum hatten die Kollegen der Stiftung Warentest die Probleme beim Datenschutz kritisiert, da machte Facebook deutlich, dass es sich von Kritik nicht beeindrucken lässt. Die Google-Tochter, mit weltweit 400 Mio. Mitgliedern das größte soziale Netzwerk im Netz, lockerte den ohnehin lockeren Datenschutz weiter. Dass daraufhin Verbraucherschutzministerin Ilse Aigner ankündigte, ihre Mitgliedschaft bei Facebook zu beenden, setzt zwar ein Zeichen, dürfte die Firma aber nicht in Angst und Schrecken versetzt haben angesichts von 399.999.999 verbleibenden Mitgliedern, 7,5 Mio. davon allein in Deutschland.

Das Datenschutzgesetz würde vor Missbrauch schützen. Aber oft wird es nicht beachtet

Dabei gibt es einen einfachen Weg zu mehr Datenschutz bei Facebook und Co: das Bundesdatenschutzgesetz (BDSG). Es beruht auf vier Prinzipien: Zweckbindung, Erforderlichkeit, Transparenz und Datensparsamkeit.

Unter Zweckbindung versteht das Gesetz, dass personenbezogene Daten nur erhoben, gespeichert und verarbeitet werden dürfen, wenn es dafür einen rechtmäßigen Zweck gibt. Dieser kann entweder durch ein Gesetz oder eine andere Rechtsgrundlage gegeben sein. Liegt ein rechtmäßiger Zweck für eine Datenverarbeitung vor, so ist als Nächstes zu prüfen, ob sie erforderlich ist. Ein rechtmäßiger Zweck ist dafür nicht ausreichend. So ist es beispielsweise nicht erforderlich, dass ein Arbeitgeber zum Abschluss eines Arbeitsvertrags (rechtmäßiger Zweck) die privaten Interessen eines Arbeitnehmers kennt. Neben Zweckbindung und Erforderlichkeit sieht das BDSG Transparenz vor. Die ist zwar nicht ausdrücklich erwähnt, ergibt sich aber aus der Tatsache, dass eine Person, deren personenbezogene Daten gespeichert worden sind, einen Auskunftsanspruch über die gespeicherten Daten sowie über deren Herkunft hat. Das Datenschutzgesetz verlangt daher eine lückenlose Rückverfolgung der Datenübermittlung. Seit dem 1.9.2009 sind die Erhebung, Verarbeitung und Nutzung von Daten sowie die Auswahl und Gestaltung von Datenverarbeitungssystemen außerdem an dem Ziel auszurichten, so wenig wie möglich personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen. Der Grundsatz der Datensparsamkeit gilt damit für alle Aspekte des Datenschutzrechts.

ÖKO-TEST hat daher die Datenschutzerklärungen von neun großen sozialen Netzwerken und Anbietern wie Google auf die Einhaltung der Bestimmungen des Datenschutzgesetzes geprüft. Außerdem wollten wir wissen, ob und wie die Datenübermittlung ins außereuropäische Ausland geregelt ist. Denn die ist nur erlaubt, wenn das Land ein "angemessenes Datenschutzniveau" aufweist. Im Falle der USA, in die viele Daten transferiert werden, soll das angemessene Niveau durch das "Safe-Harbor"-Abkommen zwischen der Europäischen Union und dem amerikanischen Handelsministerium sichergestellt werden. Tritt ein Unternehmen dieser Übereinkunft bei, verpflichtet es sich, das europäische und damit das deutsche Datenschutzrecht zu beachten. Zuletzt wollten wir noch wissen, ob die Datenschutzerklärungen der Unternehmen überhaupt verständlich und lesbar sind.

Das Testergebnis

"Einige Unternehmen müssen sich noch in umfangreicher Weise dem Thema Datenschutz widmen", so Prof. Dr. Rainer Erd, der für uns die Bestimmungen analysiert hat. Dazu gehören Google, YouTube, Facebook und Twitter. Nicht beachtet werden die tragenden Grundsätze des deutschen Datenschutzrechts: Zweckbindung, Erforderlichkeit, Transparenz und Datensparsamkeit. Bei Facebook erfüllt die Erklärung zudem nicht die Anforderungen an die Lesbarkeit. Für alle vier Unternehmen heißt das Gesamturteil daher "ungenügend".

Der Staat hat zwar ein Gesetz erlassen, um seine Einhaltung kümmert er sich aber nicht

Die deutsche Datenschutzerklärung von Facebook ist offenbar eine wörtliche Übersetzung der amerikanischen. Dabei ist das amerikanische Datenschutzrecht eines der schwächsten der Welt. Facebook hat sich also nicht einmal die Mühe gemacht, für Deutschland eigene Datenschutzregelungen zu entwickeln.

Besonders bedenklich ist, dass die Unternehmen mit Ausnahme von Twitter das Safe-Harbor-Abkommen unterzeichnet haben. Damit verpflichten sie sich eigentlich, das deutsche Datenschutzrecht zu beachten. Doch ganz offenbar sind solche Verträge das Papier nicht wert, auf dem sie unterschrieben sind bzw. die E-Mail nicht, mit der sie versandt wurden.

Leicht verbesserungsbedürftig ist Amazon. Der (Buch-)Händler beachtet die tragenden Bestimmungen des deutschen Datenschutzrechts weitgehend, aber nicht durchgängig und schneidet daher "gut" ab. Ebenso wie Ebay, weil sich das Auktionshaus nicht vollständig an die Grundsätze der Auslandsdatenverarbeitung hält.

Mit durchweg zufriedenstellenden Datenschutzerklärungen landen Xing, StudiVZ und SchülerVZ an der Spitze des Testfeldes und bekommen ein "sehr gut".

Kontakte & Adressen

Wer sich über den allzu freizügigen Ge- oder auch Missbrauch von persönlichen Daten beschweren will, kann sich an die Datenschutzbeauftragten für den nicht öffentlichen Bereich wenden. Zuständig ist immer der Beauftragte im Bundesland des Wohnsitzes des betroffenen Users. Er kann in seinem jährlichen Bericht Rügen veröffentlichen und Bußgelder bis zu 300.000 Euro verhängen (was allerdings bislang noch nicht vorgekommen ist).

Baden-Württemberg: Günter Schädler, Dorotheenstr. 6, 70173 Stuttgart

E-Mail: [email protected]

Bayern: Günther Dorn, Promenade 27 (Schloss), 91522 Ansbach

E-Mail: [email protected]

Berlin: Dr. Alexander Dix, An der Urania 4-10, 10787 Berlin

E-Mail: [email protected]

Brandenburg: Rolf Breidenbach, Postfach 60 11 65, 14411 Potsdam

E-Mail: [email protected]

Bremen: Frau Dr. Sommer, Arndtstr. 1, 27570 Bremerhaven

E-Mail: [email protected]

Hamburg: Prof. Dr. Johannes Caspar, Klosterwall 6, 20095 Hamburg

E-Mail: [email protected]

Hessen: Renate Hillenbrand-Beck, Luisenplatz 2, 64283 Darmstadt

E-Mail: [email protected]

Mecklenburg-Vorpommern: Karsten Neumann, Schloss Schwerin, Johannes Stelling-Straße 21, 19053 Schwerin

E-Mail: [email protected]

Niedersachsen: Joachim Wahlbrink, Brühlstraße 9, 30169 Hannover

E-Mail: [email protected] sachsen.de

Nordrhein-Westfalen: Ulrich Lepper, Kavalleriestraße 2-4, 40213 Düsseldorf

E-Mail: [email protected]

Rheinland-Pfalz: Edgar Wagner, Deutschhausplatz 12, 55116 Mainz

E-Mail: poststelle@daten schutz.rlp.de

Saarland: Karin Schmitz-Meßner, Mainzer Straße 136, 66121 Saarbrücken

E-Mail: [email protected]

Sachsen: Andreas Schurig, Bernhard-von-Lindenau-Platz 1, 01067 Dresden

E-Mail: [email protected]

Sachsen-Anhalt: Nicole Damm, Ernst-Kamieth-Str. 2, 06112 Halle (Saale)

E-Mail: [email protected]

Schleswig-Holstein: Dr. Thilo Weichert, Postfach 71 16, 24171 Kiel

E-Mail: mail@datenschutz zentrum.de

Thüringen: Anke Neumann, Weimarplatz 4, 99423 Weimar

E-Mail: [email protected]

Wir haben diese Produkte für Sie getestet