Persönliche Angaben im Internet: Unternehmen ist Datenschutz egal

Viele Firmen im Web scheren sich nicht um die Datenschutzgesetze, zeigt eine neue Studie. Kein Wunder, denn die zuständigen Behörden sind mit der Kontrolle überfordert.

Ein Viertel der untersuchten Unternehmen macht gar keine Angaben zu genutzten Cookies. Bild: ap

Die meisten Internetanbieter scheren sich nicht um die Datenschutzgesetze. Deren Einhaltung wird auch kaum überwacht. Das ist das Ergebnis einer Studie des Karlsruher Instituts für Technologie und der Universität Regensburg. "In dem von uns festgestellten Umfang sind die Mängel erschreckend", sagte Klemens Böhm, Leiter der Karlsruher Forschungsgruppe, taz.de am Donnerstag.

Das Forscherteam untersuchte insgesamt 100 Online-Shops, Auktionsplattformen, Informationsportale und Suchmaschinen - darunter Seiten wie das Nachrichtenportal Spiegel Online, die Reiseseite Expedia und die Onlinepräsenzen der Versandhäuser Otto und Quelle. Sie wollten vor allem eine Frage beantworten: Inwieweit ist es für Verbraucher transparent, was mit seinen persönlichen Daten geschieht. Die Antwort fällt ernüchternd aus: "Nur fünf von 100 Anbietern halten sich vollständig an die Gesetze", sagt Böhm.

Beispielsweise geben 31 Anbieter nur sehr grob an, welche Daten von ihnen erhoben werden. Sechs äußern sich dazu gar nicht. Etwa ein Drittel der Unternehmen gibt auf ihren Seiten keinerlei Hinweis darauf, wie lange Daten der Kunden gespeichert werden.

Das Forscherteam aus Karlsruhe und Regensburg hat seine Forschungsergebnisse auf einer eigenen Seite online gestellt. Scrollt man auf dieser bis zum Punkt "An Empiricial Study of the Law Enforcement Deficit", dann findet man unter Additional Information 1- 4 mehrere PDF-Dateien, in denen ausführlich aufgelistet wird, wie Unternehmen ihre Datenschutzerklärungen gestalten.

Eine Erklärung, wie die Tabellen zu lesen sind, findet sich im CTRL-Blog der taz.

Ähnlich finster sieht es aus, wenn die Datenerhebung per verborgener Technik also beispielweise per Cookie geschieht. Es ist gesetzlich vorgeschrieben, dass Nutzer über Art, Umfang und Zweck der erhobenen Daten informiert werden. Tatsächlich passiert etwas ganz anderes: Ein Viertel der untersuchten Unternehmen macht gar keine Angaben zu genutzten Cookies, der große Rest informierte laut Studie entweder unzureichend oder gar falsch.

Per Gesetz muss der Kunde zustimmen, wenn der Anbieter die Daten für andere Zwecke weiterverarbeiten will. Und selbst wenn der Kunde dazu einmal Ja gesagt hat, kann er seine Einwilligung später wieder zurückziehen. Doch das ficht viele Unternehmen offenbar nicht an. Zwölf Firmen holen sich die Zustimmung gar nicht erst, 18 weisen nicht auf die Möglichkeit des Widerrufs hin.

Außerdem können viele Nutzer nicht erkennen an wen Anbieter ihre Daten weitergeben. Zwanzig Prozent der untersuchten Firmen geben nicht an, wer Daten von ihnen bekommt. Über ein Viertel der Unternehmen führen für die Weitergabe keine Gründe an.

Selbst wenn Nutzer bei Unternehmen explizit nachfragen, bekommen sie oft nicht heraus, welche ihrer Angaben gespeichert wurden und wen der Anbieter noch alles damit beliefert hat. "Mehr als 35 Prozent der Anbieter nehmen die Auskunftspflicht nicht wahr", sagt Klemens Böhm, "außerdem löschen sie die personenbezogenen Daten nicht."

Gruselig wird es, wenn die Unternehmen begründen sollen, wieso sie gegen die Gesetze handeln. Einige behaupteten, das Löschen von Daten sei technisch unmöglich, andere behaupten, man sei bei ihnen überhaupt nicht registriert.

Klemens Böhm zieht daraus vor allem den Schluss, dass neue Datenschutzgesetze nichts bringen: "Ich kann den Sinn neuer Gesetze nicht erkennen, wenn schon die bisherigen kaum beachtet werden", sagt der Forscher. Die Nutzer selbst könnnten das Problem am besten lösen.

In Karlsruhe forscht man derzeit an einem Portal, bei dem die Nutzer Unternehmen nach bestimmten Kriterien bewerten und Datenschutzverstöße anzeigen können. "So kann der mündige Konsument die Firmen zum Umdenken bewegen", glaubt Böhm.

Zuständig für die Kontrolle der Unternehmen sind in Deutschland die Datenschutzbeauftragten der Länder. "Die müssen endlich personell aufgestockt werden", sagt Markus Beckedahl von Netzpolitik, einem Blog für digitale Bürgerrechte, "nur so können sie ihre Kontrollfunktionen erfüllen."

Tatsächlich ist es derzeit eher unwahrscheinlich, dass die Datenschützer der Länder flächendeckend prüfen können, wo etwas falsch läuft. Im Landesamt für Datenschutz in Schleswig-Holstein beispielsweise sind sechs Mitarbeiter dafür zuständig, die etwa 100.000 Unternehmen im Land zu kontrollieren, fast alle davon haben zumindest eine Homepage.

Für den Bereich Internetunternehmen ist nur eine halbe Stelle vorgesehen. "Deshalb haben wir ein wahnsinnig großes Vollzugsdefizit", sagt Landesdatenschützer Thilo Weichert. "Es gibt einfach zu viele Verstöße als dass wir sie alle bearbeiten könnten."

Man wisse beispielsweise, dass etwa 80 Prozent der Web-Firmen für das Sammeln von Kundendaten das Programm Google Analytics benutzen. "Das kann gar nicht gesetzeskompatibel eingesetzt werden", sagt Weichert, "denn das Programm lässt weder eine Benachrichtigung des Nutzers noch ein Widerspruchsrecht zu." Aufgrund ihrer Ausstattung sei es den Datenschützern jedoch schlichtweg unmöglich gegen die große Menge an Firmen vorzugehen, die Google Analytics verwenden. Statt dessen verhandeln die Landesdatenschützer mit dem Google-Konzern über eine einvernehmliche Lösung. Laut Weichert stellt sich der Konzern bisher quer.

Der Datenschutzexperte und Unternehmensberater Hans Gliss gibt den Datenschutzprüfern dagegen eine Mitschuld an der derzeitigen Situation: "Die Behörden müssen ja nicht auf einmal alle Betriebe kontrollieren", sagt Hans Gliss, den Firmen und Wirtschaftsverbände oft in Datenschutzfragen konsultieren. "Wenn die Landesdatenschützer mit ein paar Unternehmen anfangen würden, könnten sie damit ein deutliches Zeichen setzen." Gliss glaubt, dass "die richtige Motivation fehlt".

Doch es gibt noch ein weiteres Problem: Viele der gesetzlichen Verstöße könnten nach dem bisherigen Recht gar nicht wirkungsvoll geahndet werden, sagt Weichert: "Wenn ein Anbieter beispielsweise nicht bekannt gibt, wann er Daten weitergibt oder wo er Cookies setzt, dann ist das nicht sanktionsbewehrt." Im Klartext: In solchen Fällen sehen die Gesetze keine Bußgelder vor und daher scheren sich die Unternehmen offensichtlich nicht darum.

Abhilfe ist hier wenigstens für den Fall in Sicht, dass ein Unternehmen auf Nachfrage die Auskunft verweigert. Ab dem 1. April 2010 kann in solchen Fällen ein Bußgeld von bis zu 50.000 Euro verhängt werden - dank der letzten Novellierung des Datenschutzgesetzes in diesem Sommer.

Deshalb halten Datenschützer Weichert und Blogger Beckedahl die Ansicht der Forscher, es brauche keine neuen Gesetze, für Unsinn. Sie glauben: Klarere Regeln und schärfere Bußgelder könnten viele Unternehmen dazu bringen, mit den Daten ihrer Kunden umsichtiger zu verfahren.

Nach Ansicht der Internet-Branche tut sie das übrigens bisher schon. "Nach unserer Erfahrung ist es aus vielerlei Gründen im eigenen Interesse der Unternehmen, sich an die Datenschutzbestimmungen zu halten", sagt Marita Strasser, Sprecherin des Verbandes der Internetwirtschaft eco, "das Thema ist den Unternehmen ein sehr wichtiges Anliegen."

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.