Firmen legen Kundendaten offen

Egal ob soziale Netzwerke, Mobilfunker, Online-Händler oder Kreditinstitute – sie alle sammeln täglich massenweise persönliche Informationen über ihre Nutzer und Kunden. In der Regel wissen die User aber kaum darüber Bescheid, was genau über sie aufgezeichnet und in den Firmendatenbanken gespeichert wird. Die britische Initiative „mydata“ will das nun ändern und den Nutzern auf einer Online-Plattform mehr Einblick in die über sie gesammelten Daten geben. Dadurch soll einerseits mehr Transparenz geschaffen werden, andererseits sollen sich die User die Daten aber auch zunutze machen können - beispielsweise Kaufentscheidungen auf Grundlage ihres bisherigen Konsumverhaltens treffen oder bessere Preisvergleichsmöglichkeiten verschiedener Anbieter eines bestimmten Services bekommen.

Angestoßen wurde das Projekt vom britischen Konsumentenschutz-Minister Ed Davey im Rahmen der Verbraucher-Initiative „Better Deals: Better Choices". Die Grundlage bildet nicht ein gesetzlicher Rahmen, vielmehr handelt es sich um eine Art Selbstregulierung und freiwillige Kooperation zwischen Regierung und Unternehmen. Zum Start machen etwa 20 Firmen aus den Bereichen Finanzen, Telekommunikation und Energiedienstleistung mit.

„Im Zuge der Anpassung der Datenschutzrichtlinie möchte die EU die Rechte der Betroffenen stärken und auch mehr Möglichkeiten schaffen, dass sich Bürger über ihre verwendeten Daten informieren können“, sagt Hans Zeger von der Arge Daten im futurezone-Gespräch. Allerdings gebe es derartige Bekenntnisse auf EU-Ebene seit Jahren - ohne tatsächliche Auswirkungen. In Österreich werde das Thema von der Politik weitgehend ignoriert, kritisiert der Datenschützer. „Grundsätzlich ist eine verstärkte Informationspflicht zu begrüßen, doch hängt hier alles von der Umsetzung und Überwachung der Einhaltung ab. Schon jetzt gibt es eine Informationspflicht bei Datenermittlung und Datenweitergabe, die jedoch von vielen Unternehmen ignoriert wird.“

Recht auf Auskunft
Nach EU-Datenschutzrichtlinie gilt prinzipiell für jeden Bürger das Recht auf Auskunft über die Verarbeitung personenbezogener Daten. Das gilt für britische Nutzer ebenso wie für Konsumenten in Österreich. Nach dem Datenschutzgesetz hat jeder das Recht auf Auskunft – wer welche Daten über ihn verarbeitet, woher die Daten stammen, wozu sie verwendet und an wen sie übermittelt werden, heißt es aus dem Bundesministerium für Arbeit, Soziales und Konsumentenschutz. Verlangt werden können Auskünfte zu den verarbeiteten Daten, Informationen über ihre Herkunft, allfällige Empfänger, Zweck der Datenverarbeitung sowie Rechtsgrundlagen hierfür.

Das Neue an mydata ist, dass erstmals eine Plattform geschaffen wird, auf der die Nutzer online und gebündelt Einblick nehmen können. Auf herkömmlichem Wege, also nach den geltenden Datenschutz-Bestimmungen, gestaltet sich die Einsichtnahme in die eigenen verarbeiteten Daten oftmals kompliziert und langwierig. Auskunftsbegehren müssen schriftlich unter Beigabe eines Identitätsnachweises bei der jeweiligen Firma oder Organisation gestellt werden. Die Arge Daten hat dazu einen Musterbrief online gestellt. Danach können bis zu acht Wochen vergehen, bis der Antragsteller die gewünschten Informationen übermittelt bekommt. Prinzipiell kann kostenlos Einblick genommen werden, wer allerdings öfter als einmal jährlich nach seinen Daten fragt, muss in Österreich 18,89 Euro dafür berappen.

„Wartezeiten von bis zu acht Wochen sind im Internetzeitalter nicht mehr zeitgemäß“, sagt Zeger, der schon seit Jahren nach einer Art Datenkonto verlangt, über das „jeder Betroffene sehen kann, wer welche Daten von ihm abgerufen hat“. Auch eine Verständigung per SMS bei Verwendung sensibler Daten wäre sinnvoll und denkbar, so der Datenschützer. „Das Wissen, dass eine bestimmte Abfrage automatisch auch eine Verständigung des Betroffenen auslöst, könnte zu einer gewissen Reduktion des Datenhungers führen.“

Abfrage außerhalb der EU problematisch
Weniger Aussicht auf Erfolg haben Auskunftsbegehren an Unternehmen, die ihren Firmensitz außerhalb der EU haben und damit nicht den geltenden Datenschutzbestimmungen unterworfen sind. Zwar gibt es auch außerhalb der Europäischen Union Länder, die gleichwertige Regelungen getroffen haben. Kommt es hart auf hart, müsste die Durchsetzung von Auskunftsansprüchen etwa gegenüber einem internationalen Konzern mit Firmensitz in der Schweiz vor Gericht erfolgen.

Im Zuge der britischen Selbstregulierungsmaßnahme sollen die Konsumenten nicht nur einfacher Einsicht in ihre verarbeiteten Daten nehmen können, sondern auch von den Aufzeichnungen profitieren. So könnte etwa das persönliche Kaufverhalten besser nachverfolgt und infolge günstigere Einkaufsmöglichkeiten gefunden werden. Auch in punkto Energieverbrauch soll für die Verbraucher mehr Transparenz und die Möglichkeit zur Kostenersparnis geschaffen werden.

Konsumentenschützer stehen der Initiative grundsätzlich positiv gegenüber, fürchten aber auch, dass eine Selbstregulierung allein langfristig nicht ausreichen wird. Auch Zeger steht der Thematik skeptisch gegenüber. Selbstverpflichtung setze einen relativ hohen gemeinschaftlichen Ethos voraus und binde nur die, die Verantwortung tragen wollen. „Bei allen, denen Bestimmungen egal sind und die nur auf den raschen Vorteil achten, wirken Selbstverpflichtungen nicht. Sie können Details regeln, nicht aber Grundlagen, wie die Einhaltung der Grundrechte und strenge Sanktionen bei deren Verletzung.“