Marktcheck: Auskunftsrecht bei Zyklus-Apps

Stand:
Die Datenschutzgrundverordnung (DSGVO) regelt, dass Sie ihre personenbezogenen Daten bei Unternehmen abfragen können. Eine Untersuchung des vzbv in Kooperation mit der Stiftung Warentest zu Zyklus-Apps zeigt: Der Großteil der Anfragen wurde nicht vollständig gemäß der DSGVO beantwortet.
Ein Kalender mit Menstruationszyklus, ein Symbol für Datenschutz und ein Handy mit einem Symbol für eine abgeschickte Anfrage.

Das Wichtigste in Kürze:

  • Verbraucher:innen haben ein Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten. Nutzen Sie unseren interaktiven Musterbrief, wenn Sie Auskunft über personenbezogene Daten erhalten möchten.
  • Anbieter antworten inhaltlich größtenteils nur unzureichend auf Auskunftsersuchen von Verbraucher:innen.
  • Melden Sie Probleme (z. B. ausbleibende oder ungenügende Antworten) bei den zuständigen Datenschutzbehörden.
On

Mit Hilfe von Zyklus-Apps können Nutzer:innen ihren Monatszyklus dokumentieren. Dabei werden sensible Daten verarbeitet, zum Beispiel über die Dauer der Menstruation und mögliche damit einhergehende körperliche oder seelische Beschwerden. Auch Nutzer:innen von Zyklus-Apps haben das Recht zu erfahren, wie ihre personenbezogenen Daten vom App-Anbieter verarbeitet werden.

Wie aber reagieren die Anbieter von Zyklus-Apps, wenn sie ein solches Auskunftsbegehren von einer Nutzerin erhalten? Das haben Stiftung Warentest und Verbraucherzentrale Bundesverband (vzbv) getestet. Die Ergebnisse zeigen: Der Großteil der Anfragen (insgesamt 15 von 17) wurden nicht vollständig gemäß der DSGVO beantwortet.

Was ist das Auskunftsrecht?

Verbraucher:innen haben ein Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten gegenüber dem Verantwortlichen der Datenverarbeitung. Das wird ihnen in Artikel 15 der DSGVO garantiert. Es ermöglicht Verbraucher:innen zu erfahren, ob und welche eigenen personenbezogenen Daten beim Unternehmen vorliegen und wie diese verarbeitet werden.

Unternehmen müssen demnach in präziser, transparenter, verständlicher Sprache und leicht zugänglicher Form auf Auskunftsersuchen von Verbraucher:innen antworten. So sollen sie Anfragende über die Datenverarbeitung informieren. Damit sind Informationen gemeint wie:

  • welche personenbezogenen Daten werden zu welchem Zweck verarbeitet,
  • für welche Speicherdauer oder an welche Empfänger die Daten gehen,
  • welche Rechte Verbraucher:innen darüber hinaus noch haben.

Die Inanspruchnahme des Auskunftsrechts ist grundsätzlich kostenlos und kann Betroffenen als erster Hinweis dienen, ob die Ausübung weiterer Rechte notwendig ist. Dazu zählen etwa das Recht auf Löschung oder Berichtigung von Daten und das Recht auf Einschränkung der Verarbeitung (Sperrung der Daten).

Das Auskunftsrecht geht über die Auskunft sogenannter Stammdaten wie etwa Name, Adresse und Geburtsdatum hinaus. Unternehmen müssen ebenfalls die mit Verbraucher:innen geführte Kommunikation und interne Vermerke teilen, soweit diese personenbezogene Daten enthalten. Auch mögliche Empfänger der personenbezogenen Daten müssen in der Auskunft namentlich genannt werden. Zusätzlich haben Sie als Nutzer:in  das Recht auf eine Kopie der Daten.

Möchten Sie mehr über Ihre Daten, Ihre Rechte und die DSGVO lesen? Dann lesen Sie unseren Artikel zum Thema und die dort angegebenen weiteren Seiten.

Wie erhalten Sie Auskunft?

Sie können Ihr Auskunftsrecht mit einem formlosen Antrag und ohne Begründung gegenüber dem datenverarbeitenden Unternehmen geltend machen. Grundsätzlich gibt es keine Vorgabe, wie die Auskunftsanfrage formuliert sein muss. Wir empfehlen aber, dass Sie die Auskunft schriftlich anfordern. Hilfreich ist es, wenn Sie genau beschreiben, worüber Sie Auskunft wünschen.

Nutzen Sie unsere interaktive Musterbriefvorlage, wenn Sie Auskunft über personenbezogene Daten erhalten möchten. Diese können Sie an Ihre Wünsche und Fragen anpassen.

Unternehmen müssen sicherstellen, dass die Antwort auf eine Auskunftsanfrage zu Ihren personenbezogenen Daten nicht an unbefugte Dritte herausgegeben wird. Aus diesem Grund müssen Sie identifiziert werden können. Bei dieser Identifizierung können Sie zum Beispiel mithelfen, indem Sie Ihre Auskunftsanfrage von dem E-Mail-Account stellen, das bei dem Unternehmen bereits registriert ist oder Sie nennen andere identifizierende Merkmale (wie den Namen Ihres Accounts oder die Vertrags-ID), die das Unternehmen bereits von Ihnen kennt.

Hat das Unternehmen legitime Zweifel an Ihrer Identität, kann es Informationen zur Bestätigung Ihrer Identität verlangen. In seltenen Fällen kann ein Unternehmen daher die Kopie Ihres Personaldokuments verlangen. Sie sollten solch ein Dokument um nicht notwendige Details schwärzen, insbesondere die Ausweisnummer und das Foto.

Auskunftsrecht bei Zyklus-Apps

Bedeutung von Zyklus Apps

Zyklus-Apps sind digitale Gesundheitsangebote, mit denen Nutzer:innen eine Vielzahl von sensiblen Gesundheitsdaten zum weiblichen Zyklus dokumentieren können. Die Apps berechnen anhand der eingetragenen Daten das fruchtbare Fenster sowie das voraussichtliche Einsetzen der nächsten Regelblutung. Auch versprechen sie Unterstützung bei Kinderwunsch oder Verhütung.

Laut einer Onlinebefragung im Auftrag des vzbv sind die Apps unter Frauen beliebt: 39 Prozent aller befragten Internetnutzerinnen zwischen 18 und 55 Jahren gaben an, innerhalb der vergangenen zwölf Monaten eine Zyklus-App genutzt zu haben. Damit werden Zyklus-Apps eher genutzt als Ernährungs- (33 Prozent) oder Achtsamkeits-Apps (21 Prozent).

Möchten Sie die Ergebnisse der Befragung zur Nutzung und Bewertung von Zyklus-Apps im Detail lesen? Sie finden den Ergebnisbericht beim vzbv.

Ergebnisse des Marktchecks

In Zusammenarbeit mit der Stiftung Warentest untersuchte der vzbv wie ausgewählte Anbieter von Zyklus-Apps, als Verantwortliche der Datenverarbeitung, auf das Auskunftsrecht nach Art. 15 DSGVO reagieren. Dafür wurden jeweils drei Auskunftsersuchen an zwölf Anbieter von Zyklus-Apps gestellt.

Fünf Anfragen (verteilt auf drei Anbieter) wurden nicht beantwortet. Und in 14 Fällen (verteilt auf sechs Anbieter) wurden laut den Anbietern keine personenbezogenen Daten verarbeitet, da die eingegebenen Daten lokal auf dem Gerät der Nutzer:innen bleiben. Insgesamt ergaben sich somit 17 Anfragen (verteilt auf sechs Anbieter), bei denen personenbezogene Daten verarbeitet wurden.

Es zeigte sich jedoch, dass diese Anbieter inhaltlich größtenteils nur unzureichend auf Auskunftsersuchen von Verbraucher:innen antworteten. So haben sie den Großteil der an sie gerichteten Anfragen nicht vollständig gemäß Artikel 15 DSGVO beantwortet. Beispielsweise fehlten in 14 Auskünften die Angaben zur Speicherdauer und in ebenso vielen wurden die Verarbeitungszwecke nicht oder nur unzureichend benannt. Auch die Angaben zu den Datenkategorien waren in 9 Auskünften gar nicht aufgeführt. Außerdem nannte keiner der sechs Anbieter in allen drei Anfragen vollständig die Betroffenenrechte.

Die Bewertung der Auskunftsanfragen des vzbv floss im Prüfpunkt "Antworten auf Auskunftsersuchen" in die Gesamtbewertung des Produkttests von Zyklus-Apps der Stiftung Warentest (liegt hinter Paywall bzw. Bezahlsperre) ein.

Methode und Forderungen

Im Zeitraum zwischen April und Juli 2023 wurden zwölf Anbietern von Zyklus-Apps drei unterschiedliche, umgangssprachlich formulierte Auskunftsersuchen zugesandt – zuvor wurden authentische Testdaten in die Apps eingetragen.

Im Rahmen einer qualitativen Inhaltsanalyse sollte anschließend herausgefunden werden, wie Anbieter von Zyklus-Apps auf die Auskunftsersuche reagieren und in welchem Umfang sie dem Auskunftsrecht gemäß der DSGVO nachkommen.

Der vzbv fordert von Zyklus-App-Anbietern, dass sie:

  • auch formlose Anfragen als Auskunftsersuche nach Art. 15 DSGVO erkennen und gemäß dem Recht auf Auskunft beantworten,
  • klare und transparente Informationen für die betroffene Person bereitstellen,
  • die Betroffenenrechte der DSGVO bei der Beantwortung nennen,
  • ihre Datenschutzerklärungen (DSE) auf dem aktuellen Stand der Datenverarbeitung halten.

Die Untersuchung ist im Rahmen des Projektes "Verbraucherschutz bei digitalen Gesundheitsangeboten" entstanden. Ziel des vom Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz (BMUV) geförderten Projektes ist es, digitale Gesundheitsangebote zu untersuchen und Verbraucher:innen auf damit verbundene Probleme aufmerksam zu machen. Dafür sammelt der vzbv Probleme, Beschwerden oder Hinweise zu unseriösen Angeboten oder dubiosen Anbietern im Zusammenhang mit digitalen Gesundheitsangeboten.

Haben Sie eine Beschwerde oder einen Hinweis zu einem Unternehmen oder einem Produkt?
Dann nutzen Sie unser kostenloses Kontaktformular.

Tipps zur Ausübung des Auskunftsrechts

Möchten Sie von Ihrem Auskunftsrecht Gebrauch machen, dann helfen Ihnen die folgenden Tipps:

  • Nutzen Sie den interaktiven Musterbrief der Verbraucherzentrale.
    Anbieter haben laut DSGVO einen Monat Zeit Ihnen zu antworten. Die Frist kann nur unter bestimmten Bedingungen (hohe Komplexität und Anzahl von Anfragen) verlängert werden.
  • Bekommen Sie keine oder nur eine ungenügende Antwort auf Ihr Auskunftsersuchen?
    Dann kann zunächst ein erneutes Nachfragen (mit Fristsetzung) beim Anbieter hilfreich sein, ggf. direkt beim Datenschutzbeauftragten des Unternehmens. Um die Kontaktdaten des Datenschutzbeauftragten herauszufinden, schauen Sie am besten in die Datenschutzerklärung.
  • Möchten Sie eine Kopie Ihrer Daten vom Anbieter erhalten? Darauf sollten Sie explizit im Auskunftsersuchen hinweisen.
  • Melden Sie Probleme (z. B. ausbleibende oder ungenügende Antworten) bei den zuständigen Datenschutzbehörden. Der Kontaktfinder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) kann Ihnen helfen, die richtige Aufsichtsbehörde zu finden.

Auskunft über personenbezogene Daten: interaktive Briefvorlage

Unsere interaktive Briefvorlage hilft Ihnen zu erfahren, ob und welche Daten ein Unternehmen von Ihnen gespeichert hat.
Augenpartie und Nase einer Frau, darüber 0 und 1 in Zahlensträngen

Ihre Daten, Ihre Rechte: die Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 ist EU-weit die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Wie Sie als Verbraucher von ihr profitieren, lesen Sie hier.
Grafische Darstellung einer Frau, die ungeduldig auf ihre Armbanduhr schaut. Rechts daneben befindet sich das Logo von Cleverbuy, darunter eine Grafik von einem Smartphone, von der ein roter Pfeil auf einen Stapel Euroscheine führt. Rechts daneben befindet sich ein großes, rotes Ausrufezeichen, in dem "Warnung" steht.

Warnung vor Cleverbuy: Auszahlung lässt auf sich warten

"Clever Technik kaufen und verkaufen" heißt es auf der Website der Ankaufplattform Cleverbuy. Gar nicht clever ist die oft lange Zeit, die verstreicht, bis Nutzer:innen ihr Geld für Smartphone und Co. ausgezahlt bekommen. Der Verbraucherzentrale Bundesverband (vzbv) warnt daher vor dem Anbieter.
Besorgt dreinblickender Mann, der auf seine Kreditkarte schaut, während er mit seinem Mobiltelefon spricht.

Der vzbv stellt fest: Banken tun nicht genug gegen Kontobetrug

Opfer von Kontobetrug bleiben in vielen Fällen auf dem Schaden sitzen, denn: Banken werfen ihnen grobe Fahrlässigkeit vor. Aus Sicht des Verbraucherzentrale Bundesverbands (vzbv) müssten Banken jedoch mehr tun, um Verbraucher:innen zu schützen.

Ärger mit Strom-, Gas- und Fernwärmeverträgen

Viele Verbraucher:innen haben Preiserhöhungen für ihre Strom-, Gas- und Fernwärmeverträge oder die Kündigung erhalten. Der Verbraucherzentrale Bundesverband (vzbv) und die Verbraucherzentralen klagen gegen mehrere Unternehmen wegen rechtswidrigen Verhaltens.