Was bringt ein Datenlöschdienst wie Incogni wirklich?
Nach Jahren des Cookie-Banner-Wegklickens sorgt das Stichwort „Datenschutz“ bei vielen Menschen für kaum mehr als ein Schulterzucken. Dabei sind die Konsequenzen mangelnden Datenschutzes immer wieder spektakulär: Standortdaten ermöglichten zuletzt etwa das Ausspionieren der Entourage des französischen Präsidenten Macron oder die Enttarnung Jan Marsaleks in Russland.
➤ Mehr lesen: TikTok weiß, welche Dating-Apps du nutzt
Seit 2018 schützt die DSGVO Bürgerinnen und Bürger der EU vor unberechtigter Datenverarbeitung und gibt ihnen Werkzeuge in die Hand, Daten löschen zu lassen. Doch das ist in der Praxis schwierig, erklärt Petra Leupold, Juristin beim Verein für Konsumenteninformation (VKI): „Problematisch ist aus Verbraucherschutzsicht, dass Betroffene im Regelfall keine Informationen darüber haben, ob und welche Daten bei welchen Unternehmen verarbeitet werden.“
Außerdem muss man für jedes Unternehmen einzeln eine Datenschutzanfrage stellen. Kostenpflichtige Datenlöschservices versprechen, einem diese Arbeit abzunehmen.
Incogni hat kaum Wettbewerber
Der bekannteste Anbieter ist wahrscheinlich Incogni, eine US-amerikanische Tochterfirma des niederländischen VPN-Services Surfshark. In den vergangenen Wochen hat das Unternehmen auch im deutschsprachigen Raum intensiv für sein Angebot geworben. Mehrere YouTuber bieten in Werbesegmenten bis zu 60 Prozent Rabatt auf Jahresabos, die dann aber immer noch zwischen 50 und 190 Euro kosten. Regulär zahlt man laut Website für das Service zwischen 144 und 480 Euro im Jahr, je nach Abo-Umfang. Für diesen Artikel hat Incogni der futurezone einen zeitlich begrenzten Test-Zugang zur Verfügung gestellt.
Hierzulande hat Incogni kaum Konkurrenz: Das ebenfalls aus den USA stammende Service Privacybee ist international tätig, hier kostet das Abo zwischen 96 und 804 US-Dollar jährlich (ca. 82 bzw. 683 Euro). Deleteme ist zwar in einigen europäischen Ländern aktiv, nicht aber in Österreich.
Scam und Identitätsdiebstahl als Drohszenarien
Incogni verspricht, automatisiert und regelmäßig bei mehr als 420 Databrokern Auskunfts- und Löschanfragen zu stellen. Das soll das Risiko für Scam und Identitätsstahl verringern. „Unser Tool hindert Broker daran, Daten weiterzuverkaufen. Unsere Nutzerinnen und Nutzer nehmen dabei einen signifikanten Nutzen wahr. Vor allem die Reduktion von Spam ist auffällig“, erklärt eine Incogni-Sprecherin auf futurezone-Anfrage.
➤ Mehr lesen: Millionen E-Mail-Passwörter gestohlen: Ist eures darunter?
Auf der Webseite schwärmen US-amerikanische Testimonials von drastisch reduzierten Spam-Calls. Davon sollte man sich hierzulande nicht in die Irre führen lassen: Sogenanntes „cold calling“ ohne Einwilligung des Betroffenen ist in Österreich ohnehin gesetzlich verboten, weshalb sie in weit geringerem Ausmaß passieren als in den USA.
Einfaches Onboarding bei Incogni
Das Onboarding bei Incogni ist einfach: E-Mail-Adresse, vollen Namen und Wohnadresse angeben, Autorisierungsformular unterschreiben und los gehts.
Man muss Incogni bevollmächtigen, Datenlöschanfragen zu stellen.
© Screenshot
Das Dashboard zeigt schon nach wenigen Minuten 46 versendete und 15 abgeschlossene Datenlösch-Anfragen. Außerdem stehe ich nach gut 2 Wochen auf der “Supression List” von 12 Anbietern, d.h. diese werden in Zukunft keine Daten mehr sammeln, die mit mir in Verbindung gebracht werden könnten.
Der Datenlöschdienst bereitet seine Aktivitäten in einem ausführlichen Dashboard auf. Das möchte mir weismachen, dass ich schon mehr als 24 Stunden „gespart“ habe, die ich ohne Incogni mit händischem Verschicken von Datenlöschanfragen verbracht hätte.
Die Diagramme bestärken den Nutzer, dass das Datenlöschservice viel unternimmt.
© Screenshot
Das Problem: Es ist quasi unmöglich, diese Behauptung zu überprüfen. Bei 46 Unternehmen hat Incogni für mich laut Dashboard Löschanfragen abgeschlossen.
Ob diese Unternehmen überhaupt jemals Daten von mir hatten, ist allerdings nicht ersichtlich. VKI-Juristin Leupold meint dazu: „Der Mehrwert der Leistung und die Einordnung des Angebots von Datenlöschdiensten ist vor diesem Hintergrund für Konsumentinnen und Konsumenten schwer abschätzbar.“
Relevanz bestimmter Databroker unklar
Außerdem ist nicht nachvollziehbar, wie relevant die entsprechenden Databroker für Menschen in Österreich tatsächlich sind. Jene, die in der Übersicht von Incogni als besonders heikel eingestuft sind, etwa US-Personen-Suchseiten, sind in der EU ohnehin nicht (legal) tätig. Incogni erklärt auf futurezone-Anfrage, dass auch Databroker mit „niedrigerem“ Gefahrenscore viele sensible Daten sammeln können, darunter Ethnizität, Nationalität, Gender, Alter, Religion, Wohnadresse oder Suchhistorie. „Wir müssen uns daran erinnern, dass viele Bedrohungen, die durch Offenlegung personenbezogener Daten entstehen, nicht sichtbar sind. Das betrifft verschiedene Arten von Belästigung, Stalking und Doxxing“, betont eine Unternehmenssprecherin.
Andere Dienste, bei denen Incogni meine Daten hat löschen lassen, z. B. das in Deutschland ansässige Yasni, wirken obsolet. Die entsprechende Webseite ist gestaltet, als wäre es 2007. Der letzte Eintrag im Firmenblog stammt von 2014, unter der angegebenen Telefonnummer hört man nur das „kein Anschluss“-Biepen.
Ob dieser Databroker noch im Geschäft ist, ist unklar.
© Screenshot
Undurchsichtige Branche
Es gestaltet sich schwierig, überhaupt herauszufinden, welche Akteure als Databroker für den eigenen Fall eine Rolle spielen. Die US-amerikanische Softwareentwicklerin Yael Grauer führt auf Github die „Big Ass Data Broker Opt-Out List“, die ein Anhaltspunkt im Meer an Databrokern ist, allerdings mit USA-Fokus.
Im österreichischen Gewerberecht werden sie Adressverlage und Direktmarketingunternehmen genannt. Der entsprechende Fachverband bei der WKO verweist lediglich auf das Firmen A-Z. Eine Suche dort nach „Adressverlag“ ergibt 374 Treffer.
Wie dutzende futurezone-Anfragen ergeben, haben auch Datenschutz-NGOs und Verbraucherschutzorganisationen keinen Überblick über die undurchsichtige, international vernetzte Branche. Einzelne österreichische Adressverlage beteuern auf futurezone-Anfrage, selbstverständlich DSGVO-konform zu handeln und geben sonst keine weitere Auskunft über ihre Tätigkeiten.
Kaum Handhabe bei illegalen Leaks
Im Internet schwirren zudem Millionen Datensätze herum, die aus illegalen Kanälen stammen. Dass man bei kriminellen Hackern mit einer DSGVO-Löschanfrage weiterkommt, ist zu bezweifeln. Dabei sollte man einen weiteren Punkt bedenken, sagt Sebastian Kneidinger von der Grundrechts-NGO epicenter.works: „Internationale Databroker befinden sich womöglich in einer rechtlichen Grauzone, denn in den USA ist es viel leichter möglich, dass Datensätze verkauft werden, auch nach Leaks.“
➤ Mehr lesen: Leak bei Onlinehändler betrifft die Hälfte der Bevölkerung
Auch Incogni verweist im Kontext illegaler Leaks auf diese Praxis: „Daten, die von einem Unternehmen gestohlen wurden, können von verschiedenen Datenbrokern gesammelt und in deren Datenbanken aufgenommen werden. Wir fordern diese Broker auf, alle möglicherweise gesammelten Nutzerdaten zu löschen.“ Darüber hinaus bleibt das Unternehmen vage, was seine Handhabe gegenüber illegal verarbeiteten Datensätzen betrifft.
„Händische“ DSGVO-Anfragen
Derzeit scheint Incogni keinen Databroker mit Sitz in Österreich in seiner Liste zu haben. Ich habe daher „händisch“ und relativ zufällig ein paar Datenlöschanfragen an Unternehmen mit Sitz in Österreich verschickt. Darunter z.B. der Adresshändler AZ Direct und die Kredit-Auskunftei CRIF. Die österreichische Datenschutz-NGO noyb wirft letzterer vor, Bonitätsscores teils auf zweifelhafte Art zu berechnen.
Der Versuch, auf diesem Weg einen Überblick über meine eigenen Datenspuren zu gewinnen, war wenig erfolgreich. Denn wo anfangen und wo aufhören, wie wissen, was wirklich wichtig wäre? Auf futurezone-Anfrage erklärt noyb in diesem Kontext, dass die Verantwortung eben nicht auf den Einzelnen abgewälzt werden dürfe: „Wenn wir beim Beispiel CRIF bleiben: Die meisten Menschen wissen überhaupt nicht, dass ihre Daten von CRIF verarbeitet werden, das passiert alles im Hintergrund. Deshalb braucht es klare gesetzliche Regelungen und eine strikte Durchsetzung ebendieser.“
Zu teuer für „Hilfts nix, schadts nix“
Fazit: Nach Selbstversuch und umfangreicher Recherche bleibt offen, ob Incogni tatsächlich wesentlich dazu beiträgt, das Risiko für Scam und Identitätsdiebstahl zu reduzieren. Doch für ein „vielleicht bringt es was“ ist das Jahres-Abo einfach zu teuer.
Und ja, Zeit ist Geld, aber wer sich Sorgen um konkrete Databroker macht, kann auch selber tätig werden. Eine Auskunfts- oder Löschanfrage nach DSGVO kostet nichts und eine E-Mail mit persönlichen Daten und Identitätsnachweis ist dafür i. d. R. ausreichend. Die Österreichische Datenschutzbehörde bietet Formulare dafür an. Wer wissen will, ob die eigene E-Mail-Adresse in einem bekannten Datenleak enthalten ist, kann dies z. B. unter haveibeenpwned.com überprüfen und dann ggf. Passwörter bei entsprechenden Services ändern.