Datenschutz

Hol dir deine Daten zurück: So kannst du herausfinden, was Unternehmen über dich wissen

Tinder, WhatsApp, Onlinebanking, Lieferservice – die eigenen Datenspuren im Blick zu behalten, ist heute kaum noch möglich. Helfen kann eine Datenauskunft bei Unternehmen, die Informationen über uns gespeichert haben. Denn wir alle haben das Recht, eine solche Auskunft anzufordern. Hier steht, wie es geht.

Die Daten, die Unternehmen über uns gespeichert haben, können sich leicht mal auf ein paar Hundert Seiten summieren. CC-BY 2.0 Christian Schnettelker

In den sozialen Netzwerken macht gerade die Geschichte einer Guardian-Reporterin die Runde, die herausfinden wollte, welche Informationen der Dating-Dienst Tinder über sie gespeichert hat. Tagtäglich nutzen wir digitale Kommunikationsdienste oder geben Unternehmen in anderen Kontexten Informationen über uns preis. Was wir Nutzerinnen und Nutzer schnell vergessen, bleibt bei den Firmen oft lange gespeichert.

Uns fehlen noch 62.000 Euro!
netzpolitik.org - unabhängig & kritisch dank Euch.

Das war auch bei Journalistin Judith Duportail der Fall. In den vier Jahren ihrer Tinder-Nutzung sammelte das Unternehmen ganze 800 Seiten Daten über sie: Facebook-Likes, Fotos aus ihrem zwischenzeitlich gelöschten Instagram-Account, das Altersprofil der Männer, für die sie sich interessierte, Chat-Protokolle und vieles, vieles mehr.

Mehr, als man ahnt

Das Unternehmen weigerte sich unter Verweis auf Geschäftsgeheimnisse und geistiges Eigentum zwar, konkrete Angaben dazu machen, wofür die Informationen verwendet werden. Für die Journalistin war die Auskunft aber trotzdem ein kleiner Schritt gegen den informationellen Kontrollverlust. So lernt sie durch ihre Auskunft unter anderem, dass datenverarbeitende Unternehmen durch Analysen ihres Verhaltens auch Informationen ableiten, die sie gar nicht bewusst preisgegeben hat. Der Privacy-Forscher Alessandro Acquisti erklärt das Phänomen „implizit preisgegebene Information“:

Aus der Untersuchung deines Verhaltens in der App weiß Tinder viel mehr über dich. Es weiß, wie oft du die App nutzt und zu welchen Zeiten; die Prozentahl der weißen Männer, schwarzen Männer, asiatischen Männer, die du gematcht hast; welche Arten von Menschen sich für dich interessieren, welche Wörter du am meisten benutzt; wie lange Meschen damit verbingen, dein Profilbild anzuschauen, bevor sie dich swipen und so weiter. Persönliche Daten sind der Kraftstoff der Wirtschaft. VerbraucherInnendaten werden zu Werbezwecken gehandelt und verwertet.

Selbst eine Datenauskunft anfordern

Es lohnt sich also, selbst mal einen Blick in den kommerziellen Datenspiegel zu werfen. Wer sich ein Bild davon machen möchte, welche Informationen Unternehmen über die eigene Person und das eigene Verhalten gespeichert haben, kann es Duportail mit wenigen Schritten gleichtun. Nach europäischem und deutschem Datenschutzrecht sind datenverarbeitende Stellen verpflichtet, allen NutzerInnen auf Anfrage Auskunft über die über sie gespeicherten Daten zu gewähren.

Der Verbraucherzentrale Bundesverband (VZBV) bietet für das Auskunftsersuchen ein praktisches Musterschreiben [doc] an, das man leicht anpassen und versenden kann. Es kann durchaus kurz und formlos gehalten werden.

„Gemäß § 34 Bundesdatenschutzgesetz (BDSG) fordere ich Sie auf, mir folgende Auskünfte zu erteilen:“ beginnt der VZBV direkt nach der Anrede. Paragraph 34 des Bundesdatenschutzgesetzes ermöglicht es, sowohl danach zu fragen, welche Daten gespeichert sind und woher diese kommen, als auch danach, zu welchem Zweck sie gespeichert sind und an wen sie weitergegeben werden. Wer weniger wissen will, kann natürlich auch nach weniger fragen. Auch das Setzen einer Frist und der Hinweis, sich im Notfall an die zuständige Landesdatenschutzbehörde zu wenden, können offenbar hilfreich sein.

Für Auskunftsanfragen bei staatlichen Behörden bietet die Bundesdatenschutzbeauftragte auf ihrer Webseite ähnliche Muster zum Download an. Das VZBV-Formular enthält zudem einen Passus, mit dem man zugleich der Nutzung und Übermittlung der eigenen Daten „für Zwecke der Werbung oder der Markt- oder Meinungsforschung“ widersprechen kann.

Nach der inhaltlichen Anpassung muss das Schreiben nur noch mit den eigenen Kontaktdaten versehen und postalisch an das entsprechende Unternehmen verschickt werden.

Dran bleiben lohnt sich

Wer Auskunftsersuchen nicht selbst anpassen und verschicken möchte, kann dafür auch den Dienst selbstauskunft.net nutzen. Darüber lassen sich nach Accounterstellung mit ein paar Klicks pro Jahr kostenlos drei Auskunftsanfragen verschicken.

Erfahrungsgemäß machen es einem Unternehmen allerdings nicht gerade einfach, tatsächlich an die eigenen Daten zu kommen. So versuchen sie beispielsweise, Anfragende durch fortwährende Rückfragen oder Verweise auf ohnehin zugängliche Daten (wie etwa die Bestellhistorie bei Amazon) abzuwimmeln. Die Hartnäckigkeit kann sich aber lohnen: Auch Datenschutzrebell Max Schrems hat schließlich mit einer einfachen Datenauskunftsanfrage bei Facebook begonnen.

Ihr habt es ausprobiert oder andere Erfahrungen mit der Datenauskunft gemacht? Berichtet uns davon in den Kommentaren!

33 Kommentare
  1. Vielen Dank Ingo für diesen Artikel! Ja, an dieser Story sollten wir unbedingt dran bleiben und weiter praktische Hilfestellung geben, was zu tun ist, wenn Unternehmen in die Trickkiste greifen, um sich der Auskunft zu entziehen.

    Wo fängt man an?

    Nun ich empfehle mal zu überlegen, wo man seine Daten
    1. üblicherweise ohne zu zögern preisgibt
    2. angeben muss, weil man sonst keinen Service bekommt
    3. auf gar keinen Fall haben möchte.

    Für den einzelnen können dabei recht unterschiedliche Problembereiche erkennbar werden. Während für den einen Internet-Shops problematisch sein können, so können es für andere Apps sein, oder Finanzinstitute (Banken, Versicherungen und deren Service-Partner), oder eben Social-Media oder auch Newsletter usw.. Es lohnt auch die klassische Briefpost zu untersuchen, wer denn da immer wieder unerwünschte Post schickt.

    Den Datenkraken schadet man am effektivsten, wenn man ihnen Kosten verursacht. Jeder Brief, der händisch etwa vom Datenschutzbeauftragten beantwortet werden muss kostet Geld. Daher ist ein längerer Briefwechsel gar nicht so schlecht. Nur dran bleiben muss man schon!

  2. Wie wäre bei einer Selbstauskunft nach BDSG seine Identität datenschutzkonform nachzuweisen?
    Auskunfteien (SCHUFA) beispielweise fordern zu diesem Zweck eine Ausweiskopie an.

    Kann das Lichtbild komplett geschwärzt werden?

    Dürfen neue Identifikationsmerkmale, die mit der Selbstauskunft bekannt werden, mit den gespeicherten Daten verknüpft werden?

    Danke.

    1. Laut LDI NRW darfst (und solltest) du das Bild schwärzen. Dazu gibt es hier mehr:
      https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Wirtschaft/index.php
      Dort klickst du auf „Personalausweis und Datenschutz“, gehst zu Punkt 4 (Seite 3) und guckst dort unter „Schwärzung von Angaben“.
      Bitte immer bedenken: Das Herausgeben von (ungeschwärzten) Personalausweisen ist (zumindest bei den neuen Personalausweisen) in vielen Fällen nicht erlaubt. Das schließt auch Kopien mit ein. Persos als Pfand zu verlangen oder herauszugeben ist beispielsweise strikt verboten. Beim Schwärzen besonders zu beachten ist die Nummer rechts oben (auf der Vorderseite), die an mehreren Stellen (zum Teil sehr klein gedruckt oder in Wasserzeichen) wiederholt wird.

      1. Danke für den Hinweis, Chris!
        Zur anderen Frage: Ich bin kein Jurist, aber nach meiner Einschätzung dürfen neue Identifikationsmerkmale, die nur zu diesem Zweck übermittelt werden, nicht mit den gespeicherten Daten verknüpft werden – es sei denn, die betroffene Person gibt ihr Einverständnis zur Verarbeitung über den Identitifikationszweck hinaus.

      2. Hmm, ich bin mir ziemlich sicher, dass ich bei der Autovermietung schon meinen Perso abgegeben habe und der fotokopiert wurde.. Ist das dort erlaubt?

        1. Neu, die Ausnahmen sind Banken und Mobilfunkanbieter. Alle anderen dürfen deinen Perso weder behalten noch kopieren. Machen es aber natürlich immer wieder. Versuch mal dich dagegen zu wehren, ist immer wieder eine helle Freude.

  3. Vielen Dank für diesen Artikel! Ich hatte einen Auskunftsersuch auf Basis von § 34 an den Hersteller meines Fitnesstrackers gestellt.

    Hintergrund war, dass ich meine bisher gesammelten Trainingseinheiten und Aktivitätsdaten herunterladen wollte, um sie zu archivieren bzw. selbst auswerten zu können. Die Daten sind ausschließlich über den Webdienst des Herstellers einsehbar/zugänglich und auf keiner Infrastruktur gespeichert, über die ich Kontrolle habe.

    Der Webdienst bietet mir zwar die Möglichkeit an, pro Trainingseinheit den zugehörigen Datensatz herunterzuladen. Eine Art gesammelter Download aller Trainings- und der Aktivitätsdaten ist (bisher) nicht möglich.

    Die deutsche Tochter des Herstellers beantworte meinen Auskunftsersuch mit folgenden Aussagen:
    – Der Ansprechpartner für mein Anliegen ist der eigentliche Betreiber des Webdienstes. Dieser ist die finnische Muttergesellschaft und ich solle mein Anliegen an sie richten.
    – Aus §34 entsteht ein Auskunftsanspruch auf Daten, auf die ich selbst keinen Zugriff haben. Auf die von mir geforderten Daten habe ich aber Zugriff und mir wurde erklärt, wie ich diese einsehen kann.

    1. Danke. Interessant. Der Antwort wäre zu entnehmen, dass nur explizite Daten gespeichert werden, also solche, mit denen sie gerechnet haben und abrufen können. Immerhin. Oder haben sie dediziert nur nach diesen Daten gefragt?

      Im neuen BDSG, das zum 25.05.18 in Kraft treten wird, liefert der § 34 demnächst einen weiteren Grund Auskunft zu verweigern:

      [keinen Anspruch…wenn die Daten] und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern[…]
      https://www.datenschutz-wiki.de/BDSG_2018

      1. Das „und“ ist in diesem Satz entscheidend. Die Einschränkung, dass die Daten nicht herausgegeben werden müssen, gilt *nur* für die davor aufgelisteten Fälle (Löschung nicht erlaubt oder Zweck Datensicherung oder Datenschutz).

        Ich lese das so, dass man nicht Archive oder Backups durchsuchen muss, ob da vielleicht (inzwischen gelöschte) Daten drin sind. Für „lebende“ Datensätze gilt die Einschränkung nicht (außer sie dienen nur dem Datenschutz, was auch immer das sein soll.)

    2. Wenn es dir vorrangig um den Download der Aktivitätsdaten geht, dann versuch doch mal SyncMyTracks. Ist ne Android-App (gibt es für wenige Euros), die zwischen allen möglichen Trackern syncen kann und auch den Download ermöglicht (alles sogar regelmäßig und im Hintergrund).
      Nutze ich regelmäßig, zwar nicht mit einem Hersteller aus Finnland, aber funktionieren sollte das genauso (ich nehme an, das wird der eine sein…).

    3. Ich würde einfach explizit darum bitten, alle über dich gespeicherten Daten herauszugeben – dann geht die Verzögerungstaktik mit dem Hinweis auf dir ohnehin zugängliche Daten nicht auf.

  4. Ok, alles schön und gut und möglich für mich als einzelne Person. Doch wie steht es mit mir als Teil einer größeren Gesamtgruppe. Da bin und bleibe ich scheinbar annoym, und werde dennoch zu einem Machtfaktor. Also z.B. zu den Wählern der Partei soundso. Oder zu „White Trash“. Oder zu einem Kostenfaktor. Und die Lösung für diesen Kostenfaktor wirkt sich dann wieder ganz individuell auf mich als einzelne Person aus. Doch die Entscheidungsgewalt über mein Schicksal haben andere. Für die ich, diese kleinste Einheit des großen Gesamtfaktors, absolut unerheblich und damit einsparbar werde.

  5. Ich kann sagen dass sie sich gerne darauf zurückziehen dass es öffentliche Daten waren.
    Da beisst man sehr oft auf Granit

    Gibt es Bemühungen derzeit den Datenbrief vom CCC einzuführen so dass die Info regelmäßig ohne Aufforderung von dem kommen muss der deine Daten hat?
    Eventuell mit Recht auf Löschung statt dem Mumpitz dass sie nur ben Vermerk dran machen es nicht weiterzugeben?

    1. Und somit die Löschung von Gesundheitsdaten durchsetzt, z.B. spätestens nach 20 Jahren auch die Diagnose „trockener Alkoholiker“? Bin ich sehr dafür. Sowas klebt sonst wie Sch… am Sch…

    2. Das wäre ja noch schöner.

      Das Recht auf Löschung ist einer Interessenabwägung untergeordnet.

      In der Praxis wird es so laufen:

      Bonität gut – Löschung durchsetzbar
      Bonität schlecht – wirtschaftliches Interesse überwiegt dem Recht auf informationelle Selbstbestimmung

  6. nicht nutzen! nicht dort arbeiten! ethik im info-studium! alles niederbrennen, wenn der staat mitmacht und auch noch *ungestraft* dazu aufruft! alles weicheier diese hacker heutzutage! schafft alternativen oder macht die ganze bande endlich platt, anstatt nur die meister der problemerkennung und der dokumentation des untergangs zu sein! cyberpeace!

  7. Mich würde interessieren ob man auch als „Nicht-Kunde“ eines Dienstes sinnvoll ein solches Auskunftersuchen stellen kann.

    Ich meine damit ob z.B. Facebook verplichtet ist die Daten einer Person auszuweisen die Sie aus Adressbüchern von Facebook-Nutzern heraus extrahiert haben.

    Noch interessanter wird es, wenn man die jeweilige Firma auffordert die eigenen Daten zu löschen. Verschwinden die eigenen Daten dann aus den Accounts der Nutzer die diese herauf geladen haben?

    1. Einfach mal versuchen! Entscheidend dürfte nur der richtige „Identifier“ sein, unter dem die Daten zusammengeführt werden.

      Das mit der Löschung ist eine echt gute Frage, die mich überfordert. Erstmal ist eine von jemand anderem aus dem Telefonbuch hochgeladene Nummer ja ein Datum, das dieser Person zugeordnet wird, würde ich sagen. Meine Vermutung: Eine Löschung dürfte dann wohl noch schwerer durchzusetzen sein, als wenn es sich um Daten handelt, die ausschließlich einer Person zugeordnet werden. Am besten einfach mal bei einer Datenschutzbehörde nachfragen und uns hier gerne über die Antwort informieren :)

  8. Ich habe die Datenauskunft vom BND angefordert und als Antwort nich nur die Forderung des Ausweises bekommen sondern auch die Forderung, auf einen konkreten Sacherverhalt hinweisen und ein besonderes Auskunftsinteresse darlegen.
    Das finde ich dann doch etwas seltsam! Wie wäre es damit, dass Geheimdienste einen konkreten Sachverhalt haben und ein besonders Auskunftsinteresse darlegen müssen um meine Daten ausspionieren zu dürfen?? -Ich fände, das wäre doch mal ein Vorschlag, oder??

  9. Wie sieht das im Falle von WhatsApp aus? WhatsApp kennt ja zumindest offiziell meinen Klarnamen nicht, sondern nur meine Telefonnummer. Ich bin bei WhatsApp gerade dabei, jetzt wird aber ein Ausweisdokument verlangt und die Rechnung meines Smartphones. Wie würdet Ihr mir raten, weiter vorzugehen?

    1. Ohne die Identifizierung wird es wohl leider nicht gehen. Aber Als Identifier reicht WhatsApp/FB ohnehin deine Telefonnummer, da ist der Name gar nicht für nötig ;)

  10. Alles echt eine Katastrophe…
    Jeder aber auch jeder speichert heute in der Zeit Daten über jeden…..
    Selbst wenn ich zu Atu etc. gehe. Ich sage ich will ein Ölwechsel ( Ich gebe immer meinen Schein in Kopie ab mit geschwärter Adresse), diese sagen zu mir dann geht so nicht. Die brauchen einen Namen. Ich sage: Hans Anonym , die sagten ich solle verschwinden oder meine echten Daten nennen……..für was bitte? Ich will ein Ölwechsel, den ich Bar zahle…..!?!?!?!!?

    1. Das ganze wurde mir (bei einer anderen Werkstatt) durch ‚Zuordbarkeit des Autos bei Abholung‘ begründet. Ah ja. Viel besser ist aber, dass besagte Werkstatt den CAN-Bus inklusive aller im Infotainmentsystem (oder wie auch immer man die Kombi von Navi, Radio und Bordtelefon sonst nennt) gespeicherten Daten meines Autos ausgelesen hat. Für neue Bremsscheiben. Ich frage mich, wer die jetzt hat.

  11. Hi, gibt es irgendwo ein Template für Anfragen im europäischen Ausland?
    Bei meinen Auskunftsersuchen bin ich auf verkettete Adresshändler gekommen, die tlw. in der Schweiz enden. Sind vermutlich nicht mit dem EU-Recht abgedeckt, oder? Schlupfloch oder kommt man da ran?

Schreibe einen Kommentar zu Tino Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.