Wer wissen will, welche persönlichen Daten ein App-Anbieter gespeichert hat, darf danach fragen. Dann ist der Anbieter, spätestens seit der Einführung der Europäischen Datenschutzgrundverordnung (DSGVO), verpflichtet, diese Auskunft zu erteilen. Ein Forscherteam der Universitäten Bamberg und Berlin wollte wissen, ob diese theoretische Verpflichtung in der Praxis funktioniert, und kam dabei zu dem Ergebnis, dass das zu häufig nicht der Fall ist.
Auskunftspflicht wird eher schleppend nachgekommen
„Unsere Studie zeigt, dass viele Anbieter ihrer gesetzlichen Auskunftspflicht nicht nachkommen“, sagt Studienleiter Dominik Herrmann, Professor für Privatsphäre und Sicherheit in Informationssystemen an der Universität Bamberg. Gemeinsam mit seinen Forscherkollegen Jens Lindemann und Jacob Leon Kröger hat Herrmann 225 iOS- und Android-Apps untersucht. In den meisten Fällen gab es etwas zu beanstanden.
Das Team legte für die Studie, die sich über den Zeitraum von 2015 bis 2019 erstreckte, fiktive Nutzerprofile in den getesteten Apps an. Später fragten die Forscher ebendiese Profile bei den Anbietern an und baten um Übermittlung der gespeicherten personenbezogenen Daten. Dabei stammte ein Drittel der Apps aus Deutschland.
Das oben stehende Video fasst die wichtigsten Erkenntnisse der Studie in 15 Minuten zusammen.
Das Ergebnis bezeichnet Herrmann als ernüchternd. So hätten im Schnitt 20 Prozent der Anbieter noch nicht einmal geantwortet. Manche hätten gar nicht erreicht werden können. Selbst in den Fällen, in denen eine Antwort erfolgte, sei diese häufig unverständlich strukturiert gewesen oder vermeintliche Links zu angeforderten Daten hätten nicht funktioniert. In einem Fall seien sogar die Daten einer anderen Person an die Forscher geschickt worden.
Besonders bedenklich findet Herrmann allerdings den Umstand, dass rund drei Viertel aller Angefragten nicht überprüft hätten, ob die anfragende Person überhaupt zu der Anfrage berechtigt gewesen sei. Behauptete Identitäten hätten sie sich nicht nachweisen lassen.
Diese Erkenntnisse wiederholten sich Jahr für Jahr. Mit dem Inkrafttreten der DSGVO hatten sich die Forscher dann eine Verbesserung der Situation erhofft, wurden aber enttäuscht. Stattdessen sei die Zahl der brauchbaren Antworten sogar noch zurückgegangen – von 53 Prozent im Jahr 2018 auf 41 Prozent im Jahr 2019.
Empfehlung: Datenschutzbehörde einschalten, falsche Personenangaben machen
Betroffenen Nutzern, die die gleiche Erfahrung mit ihren Anbietern machen, rät Herrmann, sich an die zuständigen Datenschutzbehörden zu wenden und die Verstöße zu melden. Da die Behörden aber generell mit zu wenig Personal ausgestattet seien, um die erforderlichen Kontrollen im erforderlichen Umfang durchführen zu können, wären auch Eigenmaßnahmen wichtig.
So empfiehlt Hermann, nicht jede beliebige App einfach zu installieren, sondern schon bei der Auswahl vorsichtig zu sein. Sofern möglich, sollten Nutzer möglichst wenige oder sogar gezielt falsche Angaben machen, um ihre persönlichen Daten weitestgehend zu schützen, so der Professor. Die komplette Studie kann unter diesem Link gefunden werden.
Passend dazu: Rant: Warum die DSGVO eine Datenschutz-Karikatur ist
Aufruf zur Urkundenfälschung!
Aber mal ehrlich, wer unbekannten oder gar unseriösen Firmen seine persönlichen Daten schenkt hat halt beim Thema Datenschutz geschwänzt.
Ist keine Urkundenfälschung. Wir sind nur dem Staat gegenüber verpflichtet wahre und richtige Angaben zu machen.
Landesdatenschutzbeauftragte deckt oft auskunftsunfreudige Unternehmen.
Meine Erfahrung:
– Ein Essenslieferant weigerte sich zu antworten, dann wurden sie gehackt und u.a. meine Daten wurden entwendet, dann ging eine Anfrage aus Berlin LDI Nach NL weil Takeaway Inhaber ist, die haben geantwortet, Takeaway hätte gesagt man kenne nicht, ich zurück – witzig weil hier sind Emails von you have been pawned und Foodora (die es nicht mehr gibt) die mich über den Diebstahl meiner Daten informierten
– Maxdoom behauptet die haben keine Daten gespeichert, ich war 1 Monat Kunde und die müssen nicht meine Kontonummer, Rechnung und Nutzungsdaten speichern? Datenschutzbeauftragte aus München sieht den Fall dennoch abgeschlossen
– LDI NRW – hier will ich den Namen der Bank nicht nennen, weil ich rechtlich auf die Barrikaden gehe: eine Bank weigert sich eine Auskunft zu erteilen, sagt es aber nicht direkt, sondern wirft Nebelkerzen und lenkt ab, seit 2 Jahren. Letzter Vorschlag der Bank, wenn ich wissen will, was die Bank gespeichert hat, soll ich Schufa fragen. Die LDI leitet nur Briefe weiter und tut nichts :-( Obwohl ich mehrfach aufgezeigt habe, welche Daten die Bank speichert (mit Screenshots und Fotos) aber darüber nicht berichtet hat
Ich gebe da schon seit vielen Jahren nur Fake Daten an….. Schon allein weil ich nicht will das meine Daten irgendwo illegal weiter gehandelt werden.