Von A wie Amazon bis X wie Xing: DSGVO-Selbstauskunft bei 30 Firmen
Wir haben 30 deutsche sowie internationale Firmen um Datenauskunft gebeten. Viele der Ergebnisse waren erschreckend, einige frustrierend, aber auch erhellend.
- Joerg Heidrich
- Nicolas Maekeler
Zur Datenschutz-Grundverordnung (DSGVO) gehört der Auskunftsanspruch von Bürgern gegenüber Unternehmen. Wir haben zwischen Februar und April 2019 als Privatpersonen bei mehr als 30 Firmen den Selbsttest gemacht und detaillierte Auskunft über alle unsere dort gespeicherten Daten erbeten. Von A wie Amazon bis X wie Xing: Bei den meisten der befragten Unternehmen sind wir langjährige Kunden. Wir wählten ein breites Spektrum an Branchen aus: eBay war genauso dabei wie Krankenversicherungen, die Deutsche Bahn und der Lautsprecherproduzent Sonos.
Als Handwerkszeug für das Vorhaben fungierte unser ct5F – die "c’t-Fassung von Framstags freundlichem Folterfragebogen". Dabei handelt es sich um ein Muster für ein Auskunftsersuchen, das c’t kurz nach Inkrafttreten der DSGVO kostenlos zur Verfügung stellt. Das Formular enthält, angelehnt an Art. 15 DSGVO, neun konkrete Fragen an den Empfänger, die sich auf die dort gespeicherten personenbezogenen Daten beziehen. Wir fragten unter anderem nach Stammdaten wie Namen und Anschrift, nach Verarbeitungszwecken, Datenweitergaben und der geplanten Speicherdauer. Außerdem forderten wir eine Kopie der über uns gespeicherten Datensätze an.
Bis aufs Briefporto haben uns die Auskünfte nichts gekostet. Datenverarbeitende Stellen sind verpflichtet, Auskünfte kostenlos zu erteilen. Nur bei exzessiven Anträgen oder wenn weitere Kopien verlangt werden, dürfen angemessene Verwaltungskosten berechnet werden.