Mangelhafte Umsetzung der DSGVO in sozialen Medien

Anbieter sozialer Medien kommen ihren datenschutz­rechtlichen Pflichten nur teilweise nach

In einer neuen Marktanalyse untersuchten die Marktwächter Digitale Welt der Verbraucher­zentralen, wie die Anbieter sozialer Medien mit ausgewählten Vorschriften der DSGVO umgehen. Dazu erstellten sie im Juni und Juli 2018 Nutzerkonten bei den 8 nach ihrem Marktanteil größten Anbietern Facebook, Instagram, Whatsapp, LinkedIn, Pinterest, Snapchat, Twitter und Youtube. Im Fokus standen dabei die abgefragten Daten, Voreinstellungen und Erfüllung von Informati­ons­pflichten während der Anmeldung.

Umsetzung der Informati­ons­pflichten

Anbieter sozialer Medien müssen bereits vor der ersten Verarbeitung personen­bezogener Daten den Betroffenen umfangreich über diese Verarbeitung informieren. Dies dient der Erfüllung des in Art. 13 DSGVO festgelegten Transparenzgebots, nach dem auch die Rechtsgrundlage für die Verarbeitung, sowie deren Zweck anzugeben sind.

Es wurde festgestellt, dass in den Datenschutz­er­klärungen der überprüften Dienste größtenteils nicht ausreichend über Zweck, Rechtsgrundlage, Dauer der Datenspeicherung und Rechte des Betroffenen informiert wird. Insbesondere die Rechtsgrundlage wird meist verschwiegen, sodass deren Umsetzung dem Betroffenen Kulanz suggeriert, nicht die bloße Pflichterfüllung.
Auch die Speicherdauer der personen­bezogenen Daten war nur in einem Fall überhaupt ableitbar, explizit genannt wurde sie gar nicht.
Bei der Auskunft über die Empfänger der Daten stießen die Marktwächter nur auf sehr vage, weit gefasste Angaben, die den rechtlichen Anforderungen nicht gerecht werden.
Die Rechte der Betroffenen werden einhergehend mit der Verschweigen der Rechtsgrundlagen entweder ebenfalls teilweise verschwiegen, andernfalls meist als freiwillige Leistung des Anbieters getarnt.

Nach Ansicht der Marktwächter muss daher bemängelt werden, dass der Nutzer anhand der ihm zur Verfügung gestellten Informationen nicht ausreichend über die Hintergründe und Reichweite der Datenver­arbeitung informieren kann.

Datenschutz­freundliche Voreinstellungen

Nach dem privacy by default-Grundsatz müssen die Voreinstellungen beim Erstellen eines Nutzerkontos bereits bestmöglichen Datenschutz für den Nutzer gewähren. Dabei soll insbesondere der sogenannten Datenminimierung Rechnung getragen werden, es sollen nur wirklich notwendige Daten erhoben werden.

In diesem Rahmen wurden die Bereiche Authenti­fi­zie­rungsdatum, Kontaktsyn­chronisation, personalisierte Werbung und Sichtbarkeit als datenschutz­rechtlich problematisch identifiziert.

Bei einem Großteil der betreffenden untersuchten Einstellungs­mög­lichkeiten war keine datenschutz­freundliche Variante voreingestellt. Zudem waren die einzelnen Einstellungen und deren Auswirkungen häufig für den Verbraucher kaum nachvollziehbar, gerade in Tandem mit Einstellungen zu personalisierter Werbung.
Teilweise wird von einzelnen Einstellungen nur die Illusion von Kontrolle über den Datenfluss erzeugt, ohne dass eine wirkliche Einschränkung der Datenübermittlung tatsächlich stattfindet.

Insgesamt geben die Marktwächter den Anbietern Sozialer Medien ein schlechtes Zeugnis für deren Umsetzung der DSGVO. Wesentliche Aspekte der Datenver­arbeitung bleiben für den Nutzer undurchschaubar, wodurch er kaum in der Lage ist, Kontrolle über seine eigenen personen­bezogenen Daten auszuüben.

Zum vollständigen Untersuchungsbericht der Marktwächter hier.