Die Datenschutzgrundverordnung (DSGVO) regelt, dass Sie ihre personenbezogenen Daten bei Unternehmen abfragen können. Eine Untersuchung des vzbv in Kooperation mit der Stiftung Warentest zu Zyklus-Apps zeigt: Der Großteil der Anfragen wurde nicht vollständig gemäß der DSGVO beantwortet.
Mit Hilfe von Zyklus-Apps können Nutzer:innen ihren Monatszyklus dokumentieren. Dabei werden sensible Daten verarbeitet, zum Beispiel über die Dauer der Menstruation und mögliche damit einhergehende körperliche oder seelische Beschwerden. Auch Nutzer:innen von Zyklus-Apps haben das Recht zu erfahren, wie ihre personenbezogenen Daten vom App-Anbieter verarbeitet werden.
Wie aber reagieren die Anbieter von Zyklus-Apps, wenn sie ein solches Auskunftsbegehren von einer Nutzerin erhalten? Das haben Stiftung Warentest und Verbraucherzentrale Bundesverband (vzbv) getestet. Die Ergebnisse zeigen: Der Großteil der Anfragen (insgesamt 15 von 17) wurden nicht vollständig gemäß der DSGVO beantwortet.
Was ist das Auskunftsrecht?
Verbraucher:innen haben ein Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten gegenüber dem Verantwortlichen der Datenverarbeitung. Das wird ihnen in Artikel 15 der DSGVO garantiert. Es ermöglicht Verbraucher:innen zu erfahren, ob und welche eigenen personenbezogenen Daten beim Unternehmen vorliegen und wie diese verarbeitet werden.
Unternehmen müssen demnach in präziser, transparenter, verständlicher Sprache und leicht zugänglicher Form auf Auskunftsersuchen von Verbraucher:innen antworten. So sollen sie Anfragende über die Datenverarbeitung informieren. Damit sind Informationen gemeint wie:
- welche personenbezogenen Daten werden zu welchem Zweck verarbeitet,
- für welche Speicherdauer oder an welche Empfänger die Daten gehen,
- welche Rechte Verbraucher:innen darüber hinaus noch haben.
Die Inanspruchnahme des Auskunftsrechts ist grundsätzlich kostenlos und kann Betroffenen als erster Hinweis dienen, ob die Ausübung weiterer Rechte notwendig ist. Dazu zählen etwa das Recht auf Löschung oder Berichtigung von Daten und das Recht auf Einschränkung der Verarbeitung (Sperrung der Daten).
Das Auskunftsrecht geht über die Auskunft sogenannter Stammdaten wie etwa Name, Adresse und Geburtsdatum hinaus. Unternehmen müssen ebenfalls die mit Verbraucher:innen geführte Kommunikation und interne Vermerke teilen, soweit diese personenbezogene Daten enthalten. Auch mögliche Empfänger der personenbezogenen Daten müssen in der Auskunft namentlich genannt werden. Zusätzlich haben Sie als Nutzer:in das Recht auf eine Kopie der Daten.
Möchten Sie mehr über Ihre Daten, Ihre Rechte und die DSGVO lesen? Dann lesen Sie unseren Artikel zum Thema und die dort angegebenen weiteren Seiten.
Wie erhalten Sie Auskunft?
Sie können Ihr Auskunftsrecht mit einem formlosen Antrag und ohne Begründung gegenüber dem datenverarbeitenden Unternehmen geltend machen. Grundsätzlich gibt es keine Vorgabe, wie die Auskunftsanfrage formuliert sein muss. Wir empfehlen aber, dass Sie die Auskunft schriftlich anfordern. Hilfreich ist es, wenn Sie genau beschreiben, worüber Sie Auskunft wünschen.
Nutzen Sie unsere interaktive Musterbriefvorlage, wenn Sie Auskunft über personenbezogene Daten erhalten möchten. Diese können Sie an Ihre Wünsche und Fragen anpassen.
Unternehmen müssen sicherstellen, dass die Antwort auf eine Auskunftsanfrage zu Ihren personenbezogenen Daten nicht an unbefugte Dritte herausgegeben wird. Aus diesem Grund müssen Sie identifiziert werden können. Bei dieser Identifizierung können Sie zum Beispiel mithelfen, indem Sie Ihre Auskunftsanfrage von dem E-Mail-Account stellen, das bei dem Unternehmen bereits registriert ist oder Sie nennen andere identifizierende Merkmale (wie den Namen Ihres Accounts oder die Vertrags-ID), die das Unternehmen bereits von Ihnen kennt.
Hat das Unternehmen legitime Zweifel an Ihrer Identität, kann es Informationen zur Bestätigung Ihrer Identität verlangen. In seltenen Fällen kann ein Unternehmen daher die Kopie Ihres Personaldokuments verlangen. Sie sollten solch ein Dokument um nicht notwendige Details schwärzen, insbesondere die Ausweisnummer und das Foto.
Auskunftsrecht bei Zyklus-Apps
Bedeutung von Zyklus Apps
Zyklus-Apps sind digitale Gesundheitsangebote, mit denen Nutzer:innen eine Vielzahl von sensiblen Gesundheitsdaten zum weiblichen Zyklus dokumentieren können. Die Apps berechnen anhand der eingetragenen Daten das fruchtbare Fenster sowie das voraussichtliche Einsetzen der nächsten Regelblutung. Auch versprechen sie Unterstützung bei Kinderwunsch oder Verhütung.
Laut einer Onlinebefragung im Auftrag des vzbv sind die Apps unter Frauen beliebt: 39 Prozent aller befragten Internetnutzerinnen zwischen 18 und 55 Jahren gaben an, innerhalb der vergangenen zwölf Monaten eine Zyklus-App genutzt zu haben. Damit werden Zyklus-Apps eher genutzt als Ernährungs- (33 Prozent) oder Achtsamkeits-Apps (21 Prozent).
Möchten Sie die Ergebnisse der Befragung zur Nutzung und Bewertung von Zyklus-Apps im Detail lesen? Sie finden den Ergebnisbericht beim vzbv.
Ergebnisse des Marktchecks
In Zusammenarbeit mit der Stiftung Warentest untersuchte der vzbv wie ausgewählte Anbieter von Zyklus-Apps, als Verantwortliche der Datenverarbeitung, auf das Auskunftsrecht nach Art. 15 DSGVO reagieren. Dafür wurden jeweils drei Auskunftsersuchen an zwölf Anbieter von Zyklus-Apps gestellt.
Fünf Anfragen (verteilt auf drei Anbieter) wurden nicht beantwortet. Und in 14 Fällen (verteilt auf sechs Anbieter) wurden laut den Anbietern keine personenbezogenen Daten verarbeitet, da die eingegebenen Daten lokal auf dem Gerät der Nutzer:innen bleiben. Insgesamt ergaben sich somit 17 Anfragen (verteilt auf sechs Anbieter), bei denen personenbezogene Daten verarbeitet wurden.
Es zeigte sich jedoch, dass diese Anbieter inhaltlich größtenteils nur unzureichend auf Auskunftsersuchen von Verbraucher:innen antworteten. So haben sie den Großteil der an sie gerichteten Anfragen nicht vollständig gemäß Artikel 15 DSGVO beantwortet. Beispielsweise fehlten in 14 Auskünften die Angaben zur Speicherdauer und in ebenso vielen wurden die Verarbeitungszwecke nicht oder nur unzureichend benannt. Auch die Angaben zu den Datenkategorien waren in 9 Auskünften gar nicht aufgeführt. Außerdem nannte keiner der sechs Anbieter in allen drei Anfragen vollständig die Betroffenenrechte.