Diese Firmen wollen Daten ihrer Kunden nicht herausrücken

Firmen müssen neu Auskunft geben, welche Daten sie von Kunden sammeln. Die wenigsten halten sich daran, wie eine Analyse von 10'000 Begehren zeigt.

Geht auf Kunden, die Auskunft über ihre Daten wollen, nicht ein: Die Swiss. Foto: Christian Beutler/Keystone

Geht auf Kunden, die Auskunft über ihre Daten wollen, nicht ein: Die Swiss. Foto: Christian Beutler/Keystone

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Die Posteingänge Abertausender Schweizerinnen und Schweizer quollen kürzlich über von E-Mails mit sperrigen Titeln wie: «Bestätigen Sie noch heute unsere neuen Nutzungsbedingungen.» Hintergrund der Flut ist das neue Datenschutzgesetz der EU, das seit dem 25. Mai in Kraft ist. Es soll den Konsumenten mehr Kontrolle über ihre Daten geben, um Skandale wie bei Facebook und Cambridge Analytica zu verhindern. Konsumentenschützer weltweit feiern das Gesetz als Mittel, um die Datenhoheit der Konzerne zu brechen.

In der Praxis ist das neue EU-Gesetz wenig mehr als ein Stück Papier. Das zeigt eine Auswertung von 10'000 Auskunftsbegehren bei 59 globalen Konzernen, deren Frist diese Woche abgelaufen ist. Zentral am EU-Gesetz ist das Auskunftsrecht. Demnach darf jeder Kunde, jede Kundin von einer Firma wissen, ob und wie Daten von ihm oder ihr gesammelt werden. Es gilt das Recht auf Vergessen. Was dem Kunden unangenehm ist, wird gelöscht. Die Unternehmen haben dafür jeweils dreissig Tage Zeit.

Das Auskunftsrecht gilt auch in der Schweiz. Doch in der vorliegenden Auswertung gaben nur 5 der 59 befragten Firmen ohne Umschweife an, welche Personendaten sie sammeln. Die anderen sperrten sich dagegen, vertrösteten die Kunden auf später, oder liessen die Frist ohne Antwort verstreichen. Zu dieser Kategorie gehören auch die drei Schweizer Unternehmen Swiss, Swatch Group und Richemont.

Fluggesellschaft fordert zu Unrecht eine Vollmacht

Die untersuchten Daten stammen vom Schweizer Start-up One Thing Less mit Sitz in Freienbach SZ. Dessen Handy-App ist seit Ende Mai für iPhones erhältlich, neuerdings auch für Android-Geräte. Die Applikation ermöglicht es Nutzern, mit wenigen Klicks folgende sieben Fragen an die 59 weltweit tätigen Konzerne zu übermitteln:

  • Haben Sie Daten von mir?
  • Haben Sie von Dritten Daten zu meiner Person gekauft?
  • Teilen Sie Daten mit Dritten?
  • Überwachen Sie mein Internetverhalten?
  • Und meinen Standort?
  • Erstellen Sie damit ein Profil?
  • Treffen Ihre Algorithmen automatisierte Entscheidungen, die mich betreffen?

Die Fragen sind bei den meisten Firmen schlecht angekommen. Die Lufthansa zum Beispiel verweist Nutzer lediglich auf ihre Datenschutzbestimmungen, die im Internet zu finden sind. Sie ­haben den Umfang eines Essays: 6990 Wörter, 53'695 Zeichen. Wer die Bestimmungen bis zum Ende liest, ahnt, dass die Lufthansa die obigen Fragen wohl alle mit Ja beantworten muss. Auf die Fragen geht sie trotzdem nicht ein.

Bilder: Der Fall Cambridge Analytica

Genauso wenig tut das die Lufthansa-Tochter Swiss. Die Schweizer Fluglinie behauptet: «Der App-Betreiber ist nicht legitimiert, Auskünfte für Drittpersonen einzufordern.» Die Swiss stellt sich auf den Standpunkt, sie benötige die unterschriebene Vollmacht des Nutzers und eine Kopie seines Ausweises für eine solche Information. James Aschberger, Gründer und Chef von One Thing Less, sagt: «Die Aussage der Swiss ist nicht korrekt.» Eine Vollmacht könne durch elektronische Kommunikation erteilt werden, etwa per E-Mail. Genau das ist bei One Thing Less der Fall. Wer sich in der App anmeldet, gibt seine E-Mail-Adresse an, bestätigt die Ermächtigung in seinem Posteingang und kann schliesslich aus 59 Grosskonzernen wählen, um die sieben Fragen zu stellen.

Grafik vergrössern

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte gibt dem Jungunternehmer recht. An der Autorisierung der Nutzer von One Thing Less sei nichts auszusetzen, sagt Sprecher Hugo Wyler. «Firmen können sich nicht auf Schriftlichkeit berufen. Anfragen können auch mündlich gestellt werden, und im digitalen Zeitalter ist ein Zugangskanal via App keine Überraschung.» Der Datenschutzbeauftragte hält fest, dass er die App nicht geprüft habe und bei deren Entwicklung nicht einbezogen worden sei.

Der Swatch Group könnten Zivilklagen drohen

Die grosse Mehrheit der angefragten Konzerne lässt sich Zeit und verlängert die Frist der Datenauskunft. Das ist nach aktuellem Schweizer Datenschutzgesetz legitim. Christian Kunz vom Berner Start-up Bits About Me hat Verständnis dafür: «Das Problem ist, dass viele Firmen nicht auf solche Anfragen vorbereitet sind.» Sie müssten ihre Kundendaten firmenintern zuerst einmal zusammentragen. Kunz entwickelt mit Bits About Me ein ähnliches Produkt wie die App One Thing Less. Es handelt sich um eine Plattform, auf der Nutzer ihre eigenen Daten – etwa von Telecomanbietern oder Social-Media-Diensten – verwalten und künftig selbst vermarkten können.

Am heikelsten ist die Angelegenheit für jene Unternehmen, die nicht innerhalb der 30-Tage-Frist antworteten. Die Swatch Group zum Beispiel. Sie nahm erst auf Nachfrage der SonntagsZeitung Stellung zu den Auskünften der Firma One Thing Less. Der Konzern argumentiert unter anderem: «Die Swatch Group hat Gesellschaften auf der ganzen Welt.» Damit Nutzer eine Auskunft erhielten, müssten Fragen spezifischer formuliert werden: Geht es um einen Tissot-Kunden, oder geht es um solche von Swatch?

Bislang kein Prozess in der Schweiz bekannt

Mit dieser Argumentation kann der Jungunternehmer James Aschberger ebenfalls wenig anfangen. Er sagt: «Marken wie Longines, Omega, Swatch oder Tissot schreiben in ihren Datenschutzerklärungen, dass sie personenbezogene Daten an ihre Muttergesellschaft Swatch Group zur eigenen Verwendung weitergeben können.» Die Nutzer seiner App wünschten Einblick in diese Vorgänge, ohne alle Gesellschaften kontaktieren zu müssen.

Tatsächlich könnten der Swatch Group seitens ihrer Kunden Tausende Zivilklagen drohen. Das sieht das Gesetz vor, wenn ein ­Konzern nicht auf Auskunftsbegehren eingeht. Zumindest in der Schweiz ist bislang kein Prozess bekannt, in dem ein Kunde gegen ein Unternehmen vorgegangen ist, um an seine persönlichen Daten zu kommen. Faktisch hatten Verstösse gegen das allseits gefeierte Datenschutzgesetz bisher keine Konsequenzen.

* Dieser Artikel erschien erstmals am 1. Juli 2018 in der SonntagsZeitung.

(SonntagsZeitung)

Erstellt: 03.07.2018, 17:17 Uhr

Artikel zum Thema

Die Absurditäten der neuen Datenschutzregeln

Sie gelten erst seit Freitag und sorgen bereits für Stirnrunzeln: Die neue Datenschutz-Grundverordnung. Mehr...

Facebook sträubt sich gegen verschärften Datenschutz

Im Mai tritt der neue restriktivere Datenschutz der EU in Kraft. Das trifft auch Facebook – denn die Server stehen in Irland. Mehr...

Facebook: EU-Datenschutz auch für die Schweiz gültig

Ab dem 25. Mai werden die EU-Datenschutzregeln verschärft. Ziel der neuen Verordnung ist es, Daten und Privatsphäre aller EU-Bürger zu schützen – auch die der Schweizer. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Abo

SonntagsZeit. Im Digital-Abo.

Die SonntagsZeitung digital ohne Einschränkung nutzen. Für nur CHF 10.- pro Monat.
Jetzt abonnieren!

Kommentare

Werbung

Urban und trendy?

Mal im Selbstversuch, mal beim Ortstermin. Oft mit Nachgeschmack. Immer allumfassend.

Die Welt in Bildern

Unter Pausbacken: Eine Verkäuferin bietet an ihrem Stand im spanischen Sevilla Puppen feil. (13. November 2018)
(Bild: Marcelo del Pozo ) Mehr...