Datenschutz ist immer noch der Wilde Westen

Consumer Reports untersuchte gemeinsam mit der Wesleyan University, wie Unternehmen auf Opt-out-Anfragen reagieren, die über universelle Mechanismen versendet werden. Diese ermöglichen es Verbrauchern, gezielte Werbemaßnahmen einzuschränken, die eine umfangreiche Datenerhebung und Retargeting ermöglichen. Die Forschung deutete darauf hin, dass Unternehmen solche Opt-outs ignorieren. Trotz gewisser methodischer Einschränkungen zeigen die Ergebnisse gravierende Lücken beim Datenschutz und eine deutliche Diskrepanz zwischen öffentlicher Darstellung und tatsächlichem Handeln.

Die Studie analysierte 40 verschiedene Online-Händler und stellte fest, dass etwa 30 % von ihnen Opt-out-Anfragen offenbar nicht beachteten, obwohl dies laut bestimmten US-Bundesstaatengesetzen vorgeschrieben ist. Diese Unternehmen schalteten trotz Widerspruch weiterhin gezielte Werbung auf anderen Websites. Die weitreichendere Implikation: Personenbezogene Daten werden auch nach einem aktiven Widerspruch weiterhin ohne Zustimmung oder Wissen der Nutzer verkauft oder weitergegeben.

Ähnliche Ergebnisse fanden sich in einer aktuellen Studie des Elektronischen Kommunikationsamts von Island, die zeigte, dass Cookie-Einwilligungsbanner auf den meisten untersuchten Websites weitgehend nur eine symbolische Funktion hatten.

Und das sind nur zwei Beispiele für ein weitaus größeres und komplexeres Problem.

Zentraler Bestandteil der meisten Datenschutzgesetze ist das Prinzip der informierten Einwilligung – Nutzer sollen verstehen, worin sie einwilligen, wenn sie ihre Daten preisgeben. Leider unternehmen Unternehmen oft nicht genug, um zu erklären, was Cookies sind oder welchen Zwecken sie dienen. Wozu stimmen Verbraucher tatsächlich zu, wenn sie ihre Daten freigeben? Obwohl Datenschutzbewusstsein wächst, herrscht weiterhin eine gewisse Gleichgültigkeit – vermutlich ausgelöst durch mangelndes Verständnis für die weitreichenden Konsequenzen der Datenweitergabe. Dieses Defizit wird meist erst dann deutlich, wenn Vorfälle wie die jüngste Insolvenz des Genanalyseunternehmens 23andMe eintreten. Nutzer fragen sich dann mit Recht: Was passiert mit meinen sensiblen Daten, wenn das Unternehmen aufgelöst wird? Und welchen Schutz genießen ich und meine Daten?

In den meisten Fällen unterliegen die von 23andMe gesammelten und gespeicherten personenbezogenen Daten denselben Datenschutzgesetzen wie alle anderen Daten, z. B. der DSGVO. In den USA ist die Rechtslage jedoch komplizierter: Es gibt keine einheitliche nationale Regelung, sondern ein Flickenteppich auf Bundesstaatsebene. Und HIPAA, das Bundesgesetz für Datenschutz im Gesundheitswesen, findet keine Anwendung auf 23andMe, da das Unternehmen nicht als Gesundheitsdienstleister gilt.

Verbraucher werden daher zunehmend dazu geraten, ihre 23andMe-Konten zu löschen, ihr Einverständnis zu widerrufen und die Löschung sowohl ihrer personenbezogenen als auch pseudonymisierten Daten zu verlangen.

Der Fall 23andMe, kombiniert mit den oben genannten Beispielen für das Ignorieren von Nutzerwünschen, zeichnet ein klares Bild eines Wilden Westens bei Datenschutz und Datenmanagement, in dem Einzelpersonen echten Schaden durch mangelhafte Strukturen erleiden können.

Erstens herrscht unter Datenschutzexperten und auch in Unternehmen breite Einigkeit: Die USA brauchen dringend einen harmonisierten Ansatz für Datenschutz und Verbraucherrechte. Andere Länder und Regionen haben wirksame Regulierungsrahmen etabliert – auch wenn es anfangs Schwierigkeiten gab. Und über die reine Existenz von Gesetzen hinaus braucht es wirksame Durchsetzungsmechanismen. Ohne diese sind Gesetze wirkungslos.

Zweitens können Unternehmen unabhängig von der Gesetzeslage ihrer Region Best Practices für Datenerhebung, Privatsphäre und Einwilligungsmanagement umsetzen. Wer in Märkten mit klaren Datenschutzanforderungen agiert, kann sich daran orientieren, um weltweit konform zu handeln und auf neue gesetzliche Vorgaben vorbereitet zu sein.