Die Datenschützer der Verbraucherzentrale in NRW haben sich in ihrer Studie „Soziale Medien und die EU-Datenschutzgrundverordnung“ (hier in voller Länge) die relevantesten sozialen Netzwerke vorgenommen. Dazu zählen: Facebook, Instagram, Whatsapp, Snapchat, LinkedIn, YouTube, Twitter und Pinterest. Im Zentrum der Betrachtung standen dabei zwei grundlegende Erweiterungen der Ende Mai in Kraft getretenen DSGVO. Auf der einen Seite die Ausweitung der Informationspflichten eines Anbieters, damit die Nutzer besser verstehen, wie ihre Daten verarbeitet werden. Auf der anderen Seite wollte man das Konzept der datenschutzfreundlichen Voreinstellungen (Privacy by default) in den Fokus rücken.

„Persönliche Daten liefern viel Futter für datengetriebene Geschäftsmodelle – etwa für personalisierte Werbung. Umso wichtiger ist es für die Nutzer, genau zu wissen, wie mit ihren Daten umgegangen wird“, erläutert Ricarda Moll vom Marktwächter-Team der Verbraucherzentrale NRW die Zielsetzung der Bestandsaufnahme, die im Zeitraum vom 15. Juni bis 4. Juli mit mehreren Untersuchungs-Accounts in den jeweiligen Netzwerken durchgeführt wurde.

Nutzerunfreundliche Voreinstellungen?

Nach der DSGVO müssen Betreiber sozialer Plattformen ihre Dienste so einstellen, dass ausschließlich personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck nötig sind. „Das ist gerade bei sozialen Medien wichtig, denn nur die Wenigsten nehmen Änderungen an den Standard- und Datenschutzeinstellungen vor“, sagt Moll in einer Pressemitteilung zur Studie. Mit der sogenannten Privacy-by-default-Regelung werden daher insbesondere Nutzer geschützt, die aus eigenem Antrieb keine Änderungen an den vorausgewählten Einstellungen vornehmen. Gerade hier stellt das Studienteam Mängel fest: Viele der geprüften Anbieter hätten diesen Punkt der Verordnung nicht nutzerfreundlich umgesetzt, heißt es.

Die Datenschützer bemängeln, dass Facebook, Instagram, WhatsApp, Twitter, Snapchat und LinkedIn die Benutzer auffordern, die Kontakte auf dem Smartphone an den Anbieter zu übertragen. So könne WhatsApp ohne eine Kontaktsynchronisation überhaupt nicht genutzt werden. Lediglich Pinterest und YouTube fordern Anwender nicht dazu auf, ihre Kontakte abzugleichen. „Auffällig sind die Anzahl und Formulierungen der Aufforderungen, die dem Nutzer suggerieren, die Synchronisation der Kontakte sei erforderlich für die Nutzung des Dienstes”, erklären die Verbraucherschützer in ihrer Untersuchung. „Durch die Synchronisation der Kontakte werden unter Umständen auch Daten von Personen an den Anbieter übermittelt, die sich gegen die Nutzung des Dienstes entschieden haben.”

Kritisch wird in diesem Zusammenhang auch angemerkt, dass soziale Netzwerke nach den Mobilfunk-Nummern der Nutzer fragen. Denn laut Argumentation des Verbraucherschutzes verfügten die meisten Anwender nur über eine mobile Nummer, während mehrere E-Mail-Adresse keine Seltenheit seien. „Mit der Mobilfunknummer könnten die Anwender über mehrere Dienste hinweg eindeutig identifiziert werden”, so die Schlussfolgerung.

Auch bei der Sichtbarkeit der Beiträge sind nur YouTube und Snapchat so voreingestellt, dass ausschließlich bestätigte Kontakte diese sehen können. Bei allen anderen Plattformen waren diese Inhalte öffentlich sichtbar, „das heißt im Mindesten für alle eingeloggten Nutzer, gegebenenfalls jedoch auch für Nicht-Mitglieder des Netzwerks”.

Wer kommt der Informationspflicht nach?

Nur Twitter, lautet die Antwort der Datenschützer. Der Kurznachrichtendienst mache als einziges Netzwerk in den Datenschutzerklärungen deutlich, welchen Bezug Zweck, Rechtsgrundlage und Verarbeitungsvorgänge der personenbezogenen Daten hätten. Bei allen anderen sei es für den Anwender schwierig, sich einen ausreichenden Überblick zu verschaffen. Wenn es um die Speicherdauer geht, bekleckert sich Twitter jedoch nicht mit Ruhm. Der Nachrichtendienst informiert wie folgt: „Twitter speichert verschiedene Arten von Informationen unterschiedlich lange und gemäß unseren Allgemeinen Geschäftsbedingungen sowie unseren Datenschutzrichtlinien. Der Dienst basiert auf Echtzeitkommunikation; es ist daher möglich, dass einige Daten (z. B. Protokolle des IP-Verkehrs) nur für sehr kurze Zeit gespeichert werden.“ Unzureichende Angaben machen darüber hinaus sechs weitere Anbieter, lediglich in der Datenschutzerklärung von Snapchat ist abzulesen, wie lange Daten gespeichert werden und wie bei Löschvorgängen verfahren wird.

Ein Verstoß gegen die DSGVO stelle laut Studie auch die mangelnde Information über die Weitergabe der personenbezogenen Daten dar. Dort würden überwiegend keine genauen Empfänger genannt, sondern lediglich auf allgemeine Begriffe wie „Personen“, „Unternehmen“ oder „Dritte“ verwiesen. „Wer Persönliches teilt, sollte aber genau wissen, wer noch an diese Daten kommt“, so Moll vom Marktwächter-Team. Allerdings nennen immerhin fünf von acht Anbietern (Snapchat, Facebook, Instagram, Pinterest, Twitter) konkrete Empfänger, was die Verbraucherschützer stutzig macht. „Wenn Anbieter teilweise konkrete Empfänger nennen können, wirft dies die Frage auf, warum diese Konkretisierung nicht durchgehend möglich ist.“ Ihnen müsste doch bekannt sein, wer genau ihre Werbepartner oder Drittanbieter sind, schlussfolgern die Macher. „Entsprechend müssten diese auch konkret genannt werden.“

Aufsichtsbehörden in der Pflicht

Insgesamt sehen die Verbraucherschützer „wesentliche Probleme in Bezug auf den Umgang von Anbietern sozialer Medien mit Vorschriften der DSGVO”. Auch nach dem Inkrafttreten der europäischen Verordnung blieben wichtige Aspekte der Datenverarbeitung intransparent. Den Nutzern werde nach wie vor erschwert, die Kontrolle über ihre personenbezogenen Daten zu behalten.

Daher bestehe aus Sicht der Verbraucherzentrale beim Datenschutz enormer Nachholbedarf. „Die Vorgaben der DSGVO müssen konsequent von den Diensten umgesetzt und von den Aufsichtsbehörden überprüft werden“, fordert Lina Ehrig. Sie ist Leiterin Team Digitales und Medien beim Verbraucherzentrale Bundesverband. Dafür bräuchten die Behörden allerdings die erforderlichen Ressourcen, um die Einhaltung der DSGVO sicherstellen zu können und je nach Fall „hohe Strafen (…) zu verhängen.“

tb