noyb Blog | Updates

Beschwerden gegen Netflix, Amazon, Spotify, YouTube und Apple eingebracht

Jan 18, 2019

Ein Test von noyb zeigt strukturelle DSGVO-Verstöße bei den meisten Streaming-Diensten. In zehn Testfällen musste noyb offensichtliche Verletzungen des Auskunftsrecht nach der neuen DSGVO feststellen. Die Verletzungen reichen vom totalen Ignorieren des Auskunftsrechts bis zu vielen fehlenden Informationen zu Quellen und Empfängern bei der Datenweitergabe.

Quick Links:

Presseinfo (PDF) & Gratis Bilder, Tabellen und Dokumente (ZIP)

Online-Guide: Wie mache ich ein Auskunftsersuchen? (Link)

Kopie der Beschwerden (Link)

Recht auf Auskunft. Nach der neuen Datenschutzverordnung („DSGVO“) haben Benutzer und Benutzerinnen ein „Recht auf Auskunft“. Benutzern und Benutzerinnen wird das Recht eingeräumt, eine Kopie aller Rohdaten zu erhalten, die ein Unternehmen über sie speichert, sowie zusätzliche Informationen, wie etwa zu den Quellen und Empfängern der Daten, dem Zweck, zu dem die Daten verarbeitet werden, oder Informationen zu den Ländern, in denen die Daten gespeichert sind und wie lange sie gespeichert werden. Dieses „Auskunftsrecht“ ist in Artikel 15 der DSGVO und in Artikel 8 Absatz 2 der Grundrechte-Charta verankert.

Acht von acht verstoßen gegen die DSGVO. noyb (eine europäische Non-Profit-Organisation, die sich für die Durchsetzung von Datenschutzbestimmungen einsetzt) hat das Gesetz und acht Online-Streaming-Dienste aus acht Ländern auf die Probe gestellt – aber kein Service ist dem Antrag vollständig nachgekommen. In acht von acht überprüften Unternehmen hat noyb heute Beschwerden bei der zuständigen Datenschutzbehörde eingebracht. Alle großen Anbieter haben sogar „strukturell“ gegen das Gesetz verstoßen, sagt Max Schrems, Geschäftsführer von noyb.

„Strukturelle Verstöße“. Während viele kleinere Unternehmen manuell auf DSGVO-Anfragen reagieren, entwickelten größere Dienste wie YouTube, Apple, Spotify oder Amazon automatisierte Systeme, die die relevanten Informationen angeblich bereitstellen. Bei einem Test stellte keines dieser Systeme dem Benutzer alle relevanten Daten zur Verfügung.

Max Schrems, Geschäftsführer von noyb: „Viele Unternehmen richten automatisierte Systeme ein, um auf Zugriffsanfragen zu reagieren. Oft liefern sie jedoch nicht einmal ansatzweise die Daten, auf die jeder Benutzer und jede Benutzerin ein Recht hat. In den meisten Fällen erhielten Benutzer und Benutzerinnen nur die Rohdaten, jedoch keine Informationen darüber, mit wem diese Daten geteilt wurden. Dies führt zu strukturellen Verletzungen der Benutzerrechte und Benutzerinnenrechte, da diese Systeme dazu dienen, die relevanten Informationen zurückzuhalten.“

Mini-Anbieter „Flimmit“ noch am Besten. Der kleine Anbieter von österreichischem Film „Flimmit“ kam noch am Besten weg. Die manelle Beantwortung war umfangreich und verständlich – nur detailierte Informationen zu möglichen Empfängern fehlte.

DAZN und SoundCloud haben die Anfrage einfach ignoriert. Während alle anderen Streaming-Dienste zumindest auf die Anfrage der Benutzer nach Auskunft über ihre Daten geantwortet haben, haben der britische Sport-Streaming-Dienst „DAZN“ und der deutsche Musikstreaming-Dienst SoundCloud die Anfrage einfach ignoriert und alle Fristen vertreichen lassen.

Fehlende Informationen und unverständliche Rohdaten. Die restlichen Streaming-Dienste stellten als Antwort auf die Auskunftsanforderungen zumindest einige Rohdaten bereit. Bei diesen Antworten fehlten jedoch Hintergrundinformationen, wie etwa Datenquellen und -empfänger oder wie lange die Daten tatsächlich gespeichert werden („Aufbewahrungszeitraum“). In vielen Fällen wurden die Rohdaten in kryptischen Formaten bereitgestellt, wodurch es einem durchschnittlichen Benutzer bzw. einer durchschnittlichen Benutzerin äußerst schwer oder sogar unmöglich ist, die Informationen zu verstehen. In vielen Fällen fehlten auch bestimmte Arten von Rohdaten.

10 eingereichte Beschwerden. noyb hat heute bei der österreichischen Datenschutzbehörde (dsb.gv.at) Beschwerden gegen 8 Unternehmen für 10 Benutzer eingereicht. Die österreichische Datenschutzbehörde muss mit den zuständigen Behörden in den Ländern der Hauptniederlassung der Streaming-Dienste zusammenarbeiten. Da die DSGVO € 20 Millionen oder 4% des weltweiten Umsatzes als Strafe vorsieht, könnte die theoretische Höchststrafe für die 10 Beschwerden insgesamt bis zu € 18,8 Milliarden betragen.

Transparenz ist ein Eckpfeiler. Das Auskunftsrecht ist ein Eckpfeiler des Datenschutzgerüsts. Nur wenn sich Benutzer und Benutzerinnen ein Bild davon machen können, wie und warum ihre Daten gespeichert oder weitergegeben werden, können sie Verstöße gegen die DSGVO tatsächlich aufdecken und entsprechend handeln.

Service Info: Jede Person kann eine Anfrage stellen. Jeder Benutzer und jede Benutzerin hat das Recht, eine Kopie seiner/ihrer Daten und zusätzliche Informationen zu erhalten. Normalerweise können Benutzer und Benutzerinnen ein Formular ausfüllen oder ein E-Mail an die meisten Dienste senden. noyb hat die Links und Formulare für die wichtigsten Streaming-Dienste auf seiner Webseite zur Verfügung gestellt.

noyb bringt Privatsphäre auf Ihr Handy. Artikel 80 der DSGVO sieht vor, dass betroffene Personen von einem gemeinnützigen Verein vertreten werden können, da einzelne Benutzer und Benutzerinnen in der Regel nicht in der Lage sind, die relevanten rechtlichen Beschwerden einzureichen. In diesem Fall werden alle zehn Benutzer von der Non-Profit-Organisation noyb vertreten. Schrems: „noyb soll das neue Gesetz angemessen durchsetzen, damit die Vorteile daraus die Benutzer und Benutzerinnen auch tatsächlich erreichen.“

Finanzierung noch auf dem Weg.  Bisher wird noyb.eu von über 3.100 einzelnen Fördermitgliedern und Sponsoren (beispielsweise StartPage.com oder die Stadt Wien) finanziert. Um die Bekämpfung von Datenschutzverletzungen langfristig finanzieren zu können, sucht der Verein nach weiteren unterstützenden Mitgliedern. Das Budget für 2018 ist bisher nur zu 75% finanziert. Schrems: „Die EU hat bereits 1995 Datenschutzgesetze verabschiedet, die von den Big Playern jedoch einfach ignoriert wurden. Jetzt müssen wir dafür sorgen, dass dies mit der DSGVO nicht gleichermaßen passiert. Bislang scheinen viele Unternehmen nur oberflächlich konform zu sein.

Table of all complaints

  Response Raw Data Data was Intelligible Background Information1 Delay of Response Company Location Maximum Penalty³ Complaint
Amazon Prime Download² Luxembourg € 6.31 Billion Link (PDF)
Apple Music Download² Ireland € 8.02 Billion Link (PDF)
DAZN Never United Kingdom € 20 Million Link (PDF)
Flimmit 30 days Austria Not requested Link (PDF)
Netflix 27-30 days The Netherlands € 415 Million Link (PDF)
SoundCloud Never Germany € 20 Million Link (PDF)
Spotify Download² Sweden € 163 Million Link (PDF)
YouTube Download² USA € 3.87 Billion Link (PDF)

 

1) In addition to the raw data, users have the right to know the sources, recipients, purposes and alike. 2) Instant download option on the webpage. 3) Approximate value for 2017 based on public information.