DSGVODer steinige Weg zu den eigenen Daten

Im März hat ein Nutzer bei Zoom seine Daten angefordert. Seitdem wartet er auf eine Antwort. Auch Datenschutzbehörden können bislang nicht weiterhelfen. Weil der Videokonferenzanbieter mehrere Büros in der EU unterhält, bleibt bis heute ungeklärt, wer eigentlich zuständig ist.

Videokonferenz am Morgen
Die Videokonferenz-Software Zoom ist zuletzt rasant gewachsen – auf Kosten der Sicherheit und des Datenschutzes. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Chris Montgomery

Matthias Marx wartet auf Antworten. Ende März hatte er den Videokonferenzanbieter Zoom nach seinen personenbezogenen Daten gefragt. Das steht ihm rechtlich zu. Als nach dem Ablauf der einmonatigen Frist nichts zurückkam, wandte er sich an den hamburgischen Datenschutzbeauftragten.

Doch auch der konnte Marx bislang nicht weiterhelfen: Da Zoom in der EU Niederlassungen in Frankreich und den Niederlanden unterhält, ließ sich bis heute nicht feststellen, welche Datenschutzbehörde in Europa für das Unternehmen letztlich zuständig ist.

„Machtlos“ fühle er sich, sagt Marx per Mail. Jedenfalls sei dies kein „DSGVO wirkt“, und ganz neu sei die Datenschutz-Grundverordnung ja auch nicht mehr. „Ich hätte erwartet, dass die verschiedenen nationalen und europäischen Aufsichtsbehörden inzwischen schneller untereinander klären können, wer nun eigentlich zuständig ist“, sagt Marx.

Recht auf Auskunft

Seit über zwei Jahren ist die DSGVO inzwischen in Anwendung. Darin ist das Auskunftsrecht verankert. Nutzer:innen können von Anbietern unter anderem Auskunft darüber verlangen, ob personenbezogene Daten über sie gespeichert sind, wie diese verwendet und ob sie weitergegeben werden. Beschweren kann man sich überall, federführend zuständig ist aber die Datenschutzbehörde des Landes, in dem das jeweilige Unternehmen in Europa angesiedelt ist.

Zwar gilt das Datenschutzgesetz als ein „Kronjuwel europäischer Gesetzgebung“, wie es die Digital-NGO EDRi ausdrückt. Allerdings krankt die DSGVO an vielen Stellen. Insbesondere die Aufsichtsbehörden haben oft zu wenig Geld und Personal, teils sorgt ein Kompetenzwirrwarr dafür, dass Entscheidungen verschleppt werden.

So auch im aktuellen Zoom-Fall. Knapp drei Monate lang musste Marx warten, bis er überhaupt eine Antwort der hamburgischen Datenschützer erhielt. „Es ist unter den europäischen Datenschutzbehörden noch nicht abschließend geklärt, wem die aufsichtsrechtliche Zuständigkeit für Zoom zufällt, denn hierfür muss zunächst der rechtliche Status der EU-Niederlassungen abgeklärt werden“, bittet die Behörde um Geduld.

Die niederländische Aufsichtsbehörde habe Zoom angeschrieben, heißt es aus Hamburg, könne jedoch auf Basis der bislang erhaltenen Antworten noch keine abschließende Einschätzung treffen. „Diesen Prozess müssen auch wir erst abwarten.“ Binnen der nächsten zwei Wochen werde eine Antwort erwartet, die „hinreichende Klarheit“ bringen soll, sagt ein Sprecher der hamburgischen Behörde zu netzpolitik.org. Zoom beantwortete unsere Fragen bis Redaktionsschluss nicht.

Verschleppte Anfragen nicht ungewöhnlich

Dass Fristen ignoriert werden, Unternehmen gar nicht oder nur unvollständig antworten, sei nicht ungewöhnlich, berichtet Marx, der Unternehmen gelegentlich nach seinen Daten fragt. So habe es beim Tracking auf dem offiziellen Portal der Stadt Hamburg viele Monate gedauert, bis irgendetwas passierte.

Microsoft wiederum habe auf eine Anfrage zu MS Teams geantwortet, aber nicht vollständig und ausweichend. Und nur einer gehörigen Portion Hartnäckigkeit des CCC-Mitglieds ist es zu verdanken, dass mögliche Datenschutzverstöße des umstrittenen Gesichtserkennungs-Start-ups Clearview AI näher untersucht wurden.

Sitzfleisch wird nun auch im Fall der aktuellen Anfrage bei Zoom gefragt sein. Denn selbst wenn eines Tages die Zuständigkeit der Aufsicht geklärt ist, muss dann immer noch der Betreiber mitspielen. Bislang hat das Start-up Zoom jedoch kein gutes Bild abgegeben.

Dem US-Anbieter gelang es zwar nach dem Ausbruch der Corona-Krise Anfang des Jahres, sich rasch als die nutzerfreundliche Lösung für Videokonferenzen zu etablieren. Doch das rasante Wachstum offenbarte gravierende Mängel der zuvor nicht weit verbreiteten Software.

Beschwerde auch in Berlin

IT-Experten machten zahlreiche Sicherheits- und Datenschutzprobleme aus, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, weckte generell „Zweifel an der Zuverlässigkeit des Anbieters“. Auch in Berlin liegt eine Beschwerde gegen Zoom vor, bestätigt die Behörde gegenüber netzpolitik.org. Und auch in diesem Fall werde noch die Zuständigkeit geprüft.

Bisweilen kann dies länger dauern: „Wir haben bereits einige Fälle gehabt, in denen es sich schwierig gestaltete, die aufsichtsrechtliche Zuständigkeit zu klären, beispielsweise, weil die Hauptniederlassung kurzfristig verlagert wurde oder Unternehmen fusionierten“, teilt eine Pressesprecherin mit. „In solchen Fällen kann sich die Feststellung der Zuständigkeit unter Umständen sogar einige Monate hinziehen“.

Wie jetzt bei Zoom. Die einfache Bedienung der Software mag vielleicht viele Nutzer:innen angezogen und zu explosionsartigem Wachstum des Unternehmens geführt haben. Gleichzeitig zeigt es: Das Silicon Valley hat dem Motto „Move fast and break things“ noch lange nicht abgeschworen – und das bringt Aufsichtsbehörden allzu leicht ins Straucheln.

Update, 28. Juli: Zoom hat unsere Anfrage beantwortet, wenn auch noch nicht abschließend: „Zoom forscht hier derzeit nach“, schreibt die Presseabteilung. Immerhin hat das Unternehmen aber inzwischen eine EU-Datenschutzbeauftragte ernannt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. Zuständigkeit…

    Im Zweifel muss eben die Bundesbehörde zuständig sein, und das ganze dann dynamisch auch an Kräfte in möglicherweise zuständigen Ländern delegieren dürfen.

    Letztere erhalten aufgestocktes Personalk und dürfen sich gegenseitig unterstützen, wenn mal Resourcen gebündelt gehören, oder einfach frei sind.

  2. Hey, ehrlich gesagt finde ich es durchaus nobel und unterstützenswert, dass es immer noch Leute und Netzaktivist*innen gibt, die das Märchen vom Datenschutz und die Illusion einer DSGVO auf diese Art und Weise der Berichterstattung aufrecherhalten.

    Ok, klar. Dass private Datenkonzerne von Übersee sich nicht an deutsches oder europäisches Recht gebunden fühlen, ist vielleicht ein bisschen unhöflich. Aber hey, warum sollten sie es auch? Die entsprechenden Aufsichtsbehörden sowie der offen zelebrierte politische Nicht-Wille zur Durchsetzung dieser Gesetze, lädt ja auch nicht gerade dazu ein, sich an eben diese zu halten.

    Diesen Umstand müßte man fairerweise mitnennen. Und nicht immer auf den Datenkraken rumhacken.

    Mein Oma sacht immer: Datenschutz ist wie Brandschutz; dieser schützt ja auch nicht den Brand.

    1. Nur weil die Behörden bei der Verfolgung schlafen mindert das doch nicht die Schuld der Datenkraken. Wenn der Bankräuber davon kommt macht ihn das ja auch nicht weniger kriminell.
      Der organisierte Rechtsbruch geht ganz klar von den Datenkonzernen aus, es gibt hier keine Rechtfertigungsgründe a la „warum sollten die sich an unser Recht halten?“. Das sollten sie, weil sie hier Geschäfte machen möchten, Punkt. Dass Politik und Behörden unfähig oder unwillig sind, Verstöße zu verfolgen, ist ein davon völlig unabhängiges Problem, dass an der ersten Sache nichts, aber auch gar nichts besser macht, relativiert oder rechtfertigt.

      1. Sie haben natürlich vollkommen recht; wobei die Begriffe „Schuld“ und „kriminell“ in diesem Kontext lediglich moralische Normenvorstellungen beschreiben, wie sie als fromme Wünsche auch in politischen Sonntagsreden verpackt werden, um den Bürger*innen und vor allem sich selbst die Illusion einer potentiellen Rechtsdurchsetzung zu bewahren, u.a. mit dem Ziel den faktischen Souveränitätsverlust zumindest etwas zu kaschieren.
        Nur zu gerne stimme auch ich in den Chor der fortwährenden Appelle an Facebook, Google und Co. ein, doch „Bitte-Bitte“ etwas mehr Rücksicht auf unsere Rechtsordnung zu nehmen. Einfach aus Respekt und Höflichkeit, sozusagen als digitaler Gast in unserem analogen Rechts-Territorium.
        Jedoch komme ich nicht umhin ebenso auch die tatsächliche Lebenswirklichkeit anzuerkennen, also dass gewisse Datenkonzerne – in Ermangelung einer zu befürchteten spürbaren jurisitischen Konsequenz – sich eben nicht einer moralischen Selbstverpflichtung unterwerfen. Das kann man durchaus verurteilen. Meine Oma hat dieses unsägliche Gebaren heute Morgen sogar schon zwei mal verurteilt. Die Resonanz war die gleiche, wie wenn die Bundesregierung dies tut.
        2010 hat der Hamburgische Datenschutzbeauftragte sogar festgestellt, dass es unzulässig ist, wenn man Facebook Zugriff auf seine Kontaktdaten im Handy (also insb. den Adressen usw. seiner Kontakte) im Handy gibt bzw. das Facebook diese abgleicht.
        In den Folgejahren haben Behörden noch viele weitere Verstöße und damit rechtwidrige Praktiken erkannt und benannt. Die „Wucht“ der damit einhergehenden Rechtsfolgen kennen wir doch alle. ;-)

        Gewiß, die DSGVO hat alles wieder besser gemacht und wir müssen auch nur noch ein paar Jahre/Jahrzehnte warten, bis Behörden und Gerichte irgendetwas festgestellt haben, wie eine schöne neue digitale Datenwelt idealerweise aussehen könnte/sollte, um unseren europäischen Werte auch brav Rechnung zu tragen. Man darf ja noch träumen, nicht wahr!? :-)

  3. >>Im März hat ein Nutzer bei Zoom seine Daten angefordert. Seitdem wartet er auf eine Antwort.<<

    Mal ehrlich: Wie blauäugig wird denn hier auf das Recht auf Auskunft gepocht?
    Es gibt mittlerweile eine ganze Maschinerie die es sich auf die Fahne geschrieben hat sowenig wie möglich zu beauskunften und solange wie möglich den/die Antragsteller:in hinzuhalten!

  4. Ich könnte die Erfahrung von Matthias Marx noch um einige Beispiele ergänzen, darunter übrigens nicht nur IT-Unternehmen, sondern auch namhafte Medienhäuser in Deutschland, die alle die erwähnte Ein-Monatsfrist unverrichteter Dinge verstreichen ließen.
    Ich habe meine Erfahrung mit der neuen DSGVO in einen umfassenden Artikel zum Thema Datenschutz einfließen lassen:

  5. Gibt es so etwas wie Frag den Staat für DSGVO-Auskunftsersuchen? Nach kurzer Recherche bin ich auf datenanfragen.de gestoßen, das schon sehr vielversprechend aussieht – aber noch recht viel Eigeninitiative erfordert. Ich muss die E-Mails selbst abschicken, ich muss selbst Fristen im Blick behalten, gegebenenfalls nachfragen … Idealerweise übernimmt das die Plattform, inklusive einer Möglichkeit, bei ausbleibenden oder unzureichenden Antworten die zuständige Datenschutzbehörde einzubeziehen. Pro Firma könnten dann auch Scores für Geschwindigkeit und Antwort-Quoten berechnet werden.

    1. (Vielleicht hätte ich mir die Seite auch einfach mal genauer anschauen sollen. Für versendete Anfragen gibt es da ja durchaus Mahnungs- und Beschwerde-Funktionen.)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.