Wer weiß was über mich? Das zu wissen ist ein Grundrecht. Eine Frage, die kaum jemand beantworten kann. Jeder erzeugt Daten. Tagtäglich und überall. Selbst Personen, die das Internet soweit wie möglich meiden, erzeugen zahlreiche personenbezogene Daten: Geld abheben am Bankautomat, Versichertenkarte beim Arztbesuch zeigen, Treuepunkte sammeln beim Einkaufen oder die Mitgliedskarte im Fitness-Studio vorzeigen, all dies hinterlässt elektronische Spuren. Dienste wie Facebook, Google und co. Speichern unser Verhalten sehr genau ab, aber genau so sehr sammeln Handy, Fitness-Tracker und andere smarte Produkte Daten, wie zum Beispiel das Bewegungsprofil oder die Herzfrequenz.

Mit der Menge der gesammelten Daten stieg auch das Bewusstsein für Datenschutz und Datenschutzrisiken. Die am meisten vorgeschlagenen Datenschutzstrategien sind dabei die Vermeidung von Produkten und Dienstleistungen die personenbezogenen Daten speichern oder das Vergleichen von Datenschutzerklärungen und AGBs. Ehrlicherweise übersteigen die Kosten der beiden Strategien ihren Nutzen für die meisten Verbraucher bei weitem. Ein Verzicht auf einzelne Dienste mag möglich sein, viele andere sind aber zu wichtig, um auf sie zu verzichten.

Auch das ausführliche studieren von Datenschutzerklärungen ist realitätsfern. Stundenlange Recherche im Vorfeld für ein Produkt, das man nur wenige Minuten nutzt, ist schlichtweg zu aufwendig. Müssen wir uns also entscheiden zwischen einem Leben als sozialen Außenseiter, der keine digitale Spur hinterlassen möchte und dem Dasein als gläserner Bürger? Das sollte und muss keinesfalls so sein. Das zeigen Initiativen wie MyData.org, MyShadow.org und MyDataIsMine.com, die sich für eine Stärkung der Bürger im Umgang mit Daten einsetzen.

Es bräuchte lediglich Möglichkeiten der Selbstbestimmung im Bezug auf personenbezogene Daten. Wir brauchen also Rechte und Auswahlmöglichkeiten gegenüber denen, die unsere Daten haben wollen. Tatsächlich hat der Gesetzgeber den Verbrauchern solche Rechte gegeben. In der EU regelt die Datenschutzgrundverordnung (DSGVO) in Zusammenspiel mit nationalen Gesetzen was Organisationen mit deinen Daten machen dürfen und welche Rechte du persönlich hast.

Doch reicht die DSGVO um die Frage, wer was über mich weiß, zu beantworten? Dafür müssen wir zuerst einen kurzen Blick in die DSGVO werfen. Grundsätzlich ist Unternehmen im Umgang mit ihren Daten alles verboten, was ihnen nicht explizit erlaubt ist. In der DSGVO sind dafür sechs Rechtsgrundlagen aufgezählt: Die Einwilligung des Betroffenen, die Notwendigkeit zur Erfüllung eines Vertrages mit dem Betroffenen, das lebenswichtige Interesse einer Person, gesetzliche Verpflichtungen im öffentlichen Interesse und die Abwägung eines berechtigten Interesses mit den Grundrecht des Betroffenen. Das klingt kompliziert. Wichtig ist aber vor allem eines: Es gibt Gründe Daten auch ohne die Einwilligung des Betroffenen zu verarbeiten. 

Zusätzlich gibt die DSGVO uns Verbrauchern noch weitere Rechte. Unter anderem zu wissen welche Daten zu welchem Zweck verarbeitet werden; zu wissen an wen Daten weitergegeben wurden; Daten löschen zu lassen; der Verarbeitung zu wiedersprechen; Und zu wissen woher die Daten kommen.

Reichen uns diese Rechte nun um sagen zu können, wer welche Daten von uns hat? Leider Nein. Die DSGVO ist in Abschnitten sehr vage formuliert, lässt Ausnahmen zu und erlaubt es den EU Mitgliedern einige Dinge national zu regeln. So kann eine Auskunftei, wie die Schufa, beispielsweise aufgrund einer Interessensabwägung ohne meine Einwilligung Daten von mir erheben bei der Bank A und Daten weiterreichen an Kreditinstitut B. Auf die Frage nach Datenquelle, Art der Daten und an wen die Daten weitergegeben wurden könnte die Antwort lauten: „Wir beziehen kreditrelevante Daten von Finanzinstituten, Schuldnerverzeichnissen und anderen öffentlichen Stellen und reichen diese an Kreditinstitute weiter.“ Selbst wenn detaillierter aufgelistet ist welche Daten die entsprechende Auskunftei hat, hilft das wenig bei der Frage wer diese Informationen nun noch hat. An dieser Stelle müssen wir uns eingestehen, dass wir nicht sagen können wer was über uns weiß, da wir nicht sagen können, an wen unsere Daten gelangt sind.

Nichtsdestotrotz können wir uns an die Frage herantasten. Es ist logisch, dass alle Organisationen denen du personenbezogene Daten von dir gibst, diese Daten haben könnten. Das betrifft Onlinedienste und Internetfähige Geräte ebenso wie alle Stellen an denen du Daten offline preisgibst, wie dem Bürgerbüro, beim Einkaufen, beim Arzt oder ähnlichem. Dafür musst du die Daten nicht einmal selber angegeben haben. Unternehmen können dein Verhalten auch einfach beobachtet haben. Dein Fitnesstracker könnte wichtige Daten über deine Gesundheit sammeln. Deine Payback-Karte dokumentiert was du wann und wo kaufst. YouTube speichert, was du schaust und was dich interessiert. Du könntest also zunächst alle Organisationen, mit denen du persönlich Kontakt hattest, um eine Auskunft personenbezogener Daten bitten.

Des Weiteren sind in den Datenschutzerklärungen der Unternehmen meist weitere Unternehmen gelistet, die Daten im Auftrag verarbeiten. Diese sind jedoch nicht immer namentlich erwähnt, sondern in manchen Fällen nur nach Art des Unternehmens, wie zum Beispiel bei der Commerzbank: Hier werden unter anderem die Unternehmenskategorien “kreditwirtschaftliche Leistungen”, “IT-Dienstleistungen”, “Logistik”, “Druckdienstleistungen”, “Telekommunikation”, “Inkasso”, “Beratung” sowie “Vertrieb und Marketing” aufgezählt, die deine Daten von der Commerzbank haben könnten.

Im Resultat ist es selbst nach der DSGVO für uns Verbraucher unverhältnismäßig aufwendig unsere gegebenen Rechte durchzusetzen. Der Empfängerkreis personenbezogener Daten ist kaum abgrenzbar oder kontrollierbar. Um dies zu lösen benötigen wir entweder eine Verschärfung oder Präzisierung der DSGVO oder Tools, die es uns Verbrauchern erleichtern unsere Rechte aus der DSGVO wahrzunehmen. Ein solches Tool müsste aufzeigen können mit welchen Unternehmen du in Kontakt standest, an wen dieses Unternehmen Daten weitergegeben hat und dir ermöglichen Auskunft persönlicher Daten, Korrektur, Löschung und Wiederspruch gegen die Verarbeitung zu verlangen. Tatsächlich gibt es mehrere junge Unternehmen, die sich mit Aspekten eines solchen Tools beschäftigen.