Daten: Wie weit reicht das Recht auf Vergessenwerden?

(Foto: Shutterstock/vchal)
Facebook, Google, Onlinehändler oder auch der Sportverein – sie alle sammeln Daten über ihre Nutzer, Kunden oder Mitglieder. Zwar in sehr unterschiedlichem Umfang und zu unterschiedlichen Zwecken. Personenbezogene Daten liegen aber praktisch überall vor. Doch die europäische Datenschutzgrundverordnung (DSGVO) hat das Recht der Bürgerinnen und Bürger an ihren eigenen Daten gestärkt.
Jeder hat nun das „Recht auf Vergessenwerden“ oder das „Recht auf Löschung“, erklärt Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit. „Dieses bietet allen Personen die Möglichkeit, personenbezogene Daten löschen zu lassen, und damit ein Mittel, um beispielsweise gegen unerwünschte Kontaktaufnahme durch Unternehmen vorzugehen.“ Personenbezogene Daten sind Name, Adresse, das Alter, Vorlieben oder andere Merkmale, die sich eindeutig auf eine Person beziehen.
Wer will, kann vom Unternehmen verlangen, dass dieses die gespeicherten Daten über ihn löscht, erklärt Christine Steffen von der Verbraucherzentrale Nordrhein-Westfalen. „Dazu sind Unternehmen unter bestimmten Voraussetzungen verpflichtet. Zum Beispiel, wenn der Verbraucher seine Einwilligung in die Datenverarbeitung widerruft. Ebenso, wenn er der Datennutzung für Direktwerbung widerspricht.“
Sperren sinnvoller als löschen
Eine Sperrung könne hier aber mitunter sinnvoller als ein Löschen der Daten sein, da Werbetreibende die Daten ansonsten einfach neu erheben könnten, etwa durch Adresshändler. „Allgemein gilt: Fällt die Grundlage für eine Datenerhebung weg, gilt das als Grund, die Daten löschen zu lassen.“ Benötigt ein Onlinehändler zum Beispiel nach Versand der Ware nicht mehr die Adresse eines Käufers, kann dieser grundsätzlich verlangen, dass der Händler sie löscht.
Alles müssen und dürfen Unternehmen aber nicht löschen. „Bestimmte Angaben müssen länger gespeichert werden, gerade bei Geschäftskontakten. Dazu zählen zum Beispiel Rechnungen beim Onlineshopping. Das Unternehmen darf diese Daten ohne Zustimmung aber nicht für etwas anderes nutzen.“ Allerdings: Wenn es ein sogenanntes berechtigtes Interesse eines Unternehmens an diesen Daten gibt, dürfen sie auch weiterhin genutzt werden, bis der Verbraucher der Nutzung widerspricht oder sie für die Nutzung sperrt.
„Wann das genau gilt, ist allerdings noch umstritten. Das müssen die Gerichte klären“, sagt Steffen. Zusätzlich gibt es in der DSGVO noch einige Ausnahmefälle, durch die das Recht auf Löschung eingeschränkt wird, weiß Caspar. Darunter fällt etwa die Meinungs- und Informationsfreiheit im Zusammenhang mit Suchmaschinen.
Manchmal fordern Menschen beispielsweise Google auf, gewisse Suchergebnisse zu ihrer Person nicht mehr anzuzeigen. Etwa wenn es in einer Zeitung negative Berichterstattung über sie gab. Suchergebnisse werden aufgrund eines öffentlichen Informationsinteresses an den verlinkten Webseiten häufig aber nicht blockiert, erklärt Caspar.
Öffentliches Interesse kann stärker sein
„Überraschend dürfte für viele Menschen sein, dass ein öffentliches Informationsinteresse sich nicht auf Hochprominenz oder Spitzenpolitiker beschränkt, sondern auch an viel kleineren Vorgängen bestehen kann. So wäre zum Beispiel die regionale Presse doch sehr eingeschränkt, wenn sie nicht mehr über die Menschen in der Region berichten dürfte, weil der Datenschutz dort einen Riegel vorschöbe.“
Dass jemand, über den negativ, aber wahrheitsgemäß berichtet wurde, nicht einfach das Recht hat, Suchmaschinentreffer zu solchen, seine Person betreffenden Artikeln löschen zu lassen, hat im Juli 2020 der Bundesgerichtshof bestätigt (Az: (VI ZR 476/18). In dem Fall hatte der frühere Geschäftsführer eines regionalen Wohlfahrtsverbandes, der 2011 ein Defizit von knapp einer Million Euro mitzuverantworten hatte, Google vergeblich auf Löschung verklagt.
Die Suchmaschine Google und das soziale Netzwerk Facebook sind in Sachen „Recht auf Löschen“ sowieso Sonderfälle. Allein, weil sie ein enormes Wissen über ihre Nutzer haben. „Facebook kennt zum Beispiel alle Kontakte und Interessen. Und zusätzlich einen Teil des Surfverhaltens außerhalb des Netzwerks“, schildert Martin Gobbin von der Stiftung Warentest. „Und Google kennt einen besser als die eigene Mutter.“
Internetkonzerne mit Datenbergen
Denn durch den Browserverlauf bei Google Chrome, den Suchverlauf in der Suchmaschine, durch Standortinformationen von Google Maps, Zahlungsdaten von Google Pay und durch die vielen anderen Google-Dienste stehen dem Internetriesen ungleich viele Informationen zur Verfügung. Sowohl bei Google als auch bei Facebook kann man im Nutzerkonto einsehen, welche Informationen über einen gesammelt wurden.
Facebook listet zum Beispiel auf, welche Informationen es aus den Likes, aus Besuchen auf anderen Seiten, aus den Gruppen des Nutzers zieht. Aber auch, und das ist noch recht neu, welche Informationen es über diesen Nutzer von anderen Seiten außerhalb des Netzwerks bekommt. Nutzer können letztere aus ihrem Konto entfernen.
„Allerdings werden diese Angaben von Facebook dann nicht gelöscht, sondern lediglich nicht mehr mit dem Nutzerkonto verknüpft“, erklärt Gobbin. Facebook bekommt also weiterhin die Daten geliefert, nutzt sie ab jetzt aber in anonymisierter Form. „Man selbst verliert dadurch Transparenz, weil man noch weniger nachverfolgen kann, was die Plattform weiß“, kritisiert der Experte.
Auch Google sammelt durch Tracking immer mehr Daten, sagt Caspar, ohne dass dies für die Nutzer offensichtlich erkennbar sei. „Es ist überhaupt nicht notwendig, hierfür den Namen einer Person zu kennen. Die Datensätze werden daher unter Zufallskennungen angelegt. Eine Datenlöschung lässt sich kaum verwirklichen, da der Beweis, die Person hinter einer Kennung zu sein, schwierig zu erbringen ist.“ Wo die Daten letztendlich landen, sei auch nicht nachvollziehbar.
Löschanträge per Einschreiben
Denn über Werbenetzwerke gelangen sie an verschiedenste Unternehmen. Sofern bekannt ist, welches Unternehmen Daten über einen besitzt, lässt sich aber eine Löschung einfordern. Grundsätzlich geht das formlos. Verbraucherschützerin Steffen empfiehlt aber aus Beweisgründen, ein Einschreiben zu nutzen.
Manche Unternehmen haben auch ein eigenes Formular für den Antrag. „Oft fragen die Unternehmen noch nach einem zusätzlichen Identitätsnachweis, etwa einer Ausweiskopie. In dieser sollte man alle unerheblichen Angaben wie etwa die Ausweisnummern schwärzen“, rät Steffen. Bei Problemen sind die Landesdatenschutzbeauftragten die ersten Ansprechpartner.
So lässt sich das Datensammeln erschweren
Mit einigen Kniffen lässt sich zumindest wie viel Unternehmen über jemanden erfahren. Martin Gobbin von der Stiftung Warentest rät ganz grundlegend zu Datensparsamkeit. „Es ist immer sinnvoll zu überlegen, ob man etwas wirklich online stellt. Im Zweifel bekommt man diese Informationen nie wieder aus dem Netz.“
Weitere Tipps: Sich nicht bei Google, Facebook und Co. eingeloggt durchs Netz bewegen oder im Netz suchen. Beim Surfen den anonymen Modus nutzen, um dauerhafte Cookies zu vermeiden. Trackingblocker im Browser (etwa im Firefox) aktivieren oder als Add-on installieren. Alternative Suchmaschinen wie Startpage oder Duckduckgo nutzen. Und auf dem Smartphone die Rechte der Apps möglichst weit einschränken. dpa
Zum Weiterlesen:
- Neue Datenschutz-Einstellungen: Google will weniger Nutzerdaten sammeln
- Tiktok: Rechenzentrum in Irland soll Daten europäischer Nutzer besser schützen
- Cybersecurity und Datenschutz: Wie schützen Unternehmen sich und ihre Kunden?