Unbefristete Amazon-Speicherpraxis: Kritik an Luxemburger Datenschutz-Behörde
Die luxemburgische Datenschutz-Aufsicht sieht in Amazons Praxis, Bestelldaten von Kunden unbefristet zu speichern, kein Problem. Deutschen Daten- und Verbraucherschützern halten diese Rechtsauffassung in mehreren Punkten für fragwürdig.
Amazon speichert alle geschäftlichen Transaktionen seiner Kunden mit Beginn der Geschäftsbeziehung. Längstens ist dies seit 1998 der Fall. Falls Kunden Bestelldaten bei der Vorgängerin ABC Bücherdienst GmbH vor 1998 erzeugt haben, sind auch diese heute noch online abrufbar.
Was die einen Kunden freut, weil sie mit den Daten ein Stück Lebensgeschichte rekonstruieren können, ärgert die anderen, die meinen, dass Amazon auf diese Weise zu viel von ihnen erfährt. So befasst sich der Online-Shopping-Konzern etwa mit Deep-Learning-Methoden, mit denen die Verarbeitung der Datenbestände ungeahnten neuen Zwecken zugeführt werden soll.
Das Datenhorten kann unter Umständen unangenehme Folgen haben, wenn Sicherheits- und Nachrichtendienste Bücherkäufe mit weiteren Daten kombinieren und zu Persönlichkeitsprofilen verdichten. Unlängst wurde ein US-amerikanischer Imam aus dem Gefängnis entlassen, in dem er Jahre aufgrund einiger Titel seines E-Book-Archivs unschuldig verbringen musste.
Keine Befristung möglich
Bei Amazon können Kunden die Datenspeicherung nicht befristen. Sie können ihre Daten nur in Gänze löschen, indem sie ihr Konto auflösen und für neue Käufe unter demselben Namen wieder ein neues einrichten. Damit sind zwei Nachteile verbunden: Zum einen werden für Empfehlungen relevante Käufe aus der jüngsten Zeit gelöscht. Zum anderen können E-Books und andere in der Amazon-Cloud gespeicherten Titel nicht in die Cloud des neuen Kontos übertragen werden.
Damit gehen die Vorteile der Cloud für die bereits gekauften Bücher verloren. Für Carola Elbrecht vom Verbraucherzentrale Bundesverband ist dies eine Friss-oder-stirb-Taktik: „Entweder muss der Kunde das Konto komplett löschen oder nicht. Weshalb kann Kunde nicht selbst entscheiden, ab welchen Zeitpunkt die Daten gelöscht werden sollen?“
Luxemburg sieht keine Probleme
Die zuständige Datenschutzaufsicht für Amazon Deutschland, die luxemburgische Nationale Kommission für den Datenschutz, kann darin jedenfalls keine Benachteiligung von datenschutzbewussten Kunden erkennen. Weil allein der betroffene Nutzer seine Daten einsehen kann und weil er sein Konto jederzeit schließen und neu eröffnen kann, betrachtet die Aufsichtsbehörde das Vorgehen von Amazon als "nicht unverhältnismäßig gegenüber den schutzwürdigen Interessen des Nutzers“.
Die Datenschutz-Kontrollbehörde räumt aber ein, dass sich regelmäßig Kunden über dieses Geschäftsmodell beschweren und ein "Recht auf Löschung" einfordern. Gleichwohl brauchte sie trotz mehrfacher Nachfragen über neun Monate, um auf eine entsprechende Anfrage von heise online zu reagieren. Jährlich erhält sie etwa 70 Datenschutz-relevante Beschwerden von deutschen Bürgern. Zuständig ist sie übrigens nicht nur für Amazon, sondern auch für europaweit agierende Unternehmen wie E-Bay, Paypal und Yapital.
Kritik von deutschen Datenschützern
Die Luxemburger Kontrollbehörde ist überdies der Ansicht, dass die unbefristete Kundenhistorie zum Geschäftsmodell von Amazon gehöre, das man als Kunde mit den allgemeinen Geschäftsbedingungen automatisch akzeptiere. Der bayerische Landesdatenschützer Thomas Kranig vermisst dabei, dass die Behörde nicht klar zwischen den Allgemeinen Geschäftsbedingungen sowie der explizit gegebenen Datenschutz-Einwilligung unterscheidet, die widerrufbar sei.
Verbraucherschützerin Carola Elbrecht betont: "Wenn es keine spezielle Regelung in den AGB oder Datenschutzbestimmungen gibt, ist Amazon grundsätzlich nach dem Zweckbindungsgrundsatz verpflichtet die Daten zu löschen, wenn der Kauf vollständig abgewickelt wurde.“ Zur vollständigen Abwicklung gehört es, dass die Widerrufsfrist sowie die gesetzliche Gewährleistungsfrist, die üblicherweise zwei Jahre beträgt, abgelaufen ist. Und der scheidende schleswig-holsteinische Landesdatenschützer Thilo Weichert merkt an, dass nicht zu erkennen sei, dass Luxemburg die AGBs daraufhin überprüft habe, ob sie den Kunden übermäßig benachteiligen. In diesem Fall wären sie unwirksam.
Permanente Kaufgeschichte
Amazon hat der Aufsichtsbehörde überdies eine Reihe von Zweckbestimmungen vorgelegt, die „gegenwärtig gelten und welche für die Zukunft geplant sind“, die eine „integrale und permanente Kaufhistorie“ begründen sollen. Erwirbt ein Kunde etwa digitale Inhalte, gehören diese ihm unbefristet. Der Beleg hierfür erfolgt über die Kaufhistorie. Weichert hält das Argumentieren mit künftig noch möglichen Zwecken für europarechtlich nicht gedeckt. Weichert: „Das Nachschieben von Zwecken ist so einfach und dieser vagen Form nicht möglich.“ Überdies argumentiert die Aufsichtsbehörde mit einer Interessenabwägung, die jedoch im Ergebnis nicht vorgenommen werde. Weichert: „Die Löschinteressen werden praktisch nicht, die Interessen des Geschäftsmodells Amazons hingegen werden vollständig beachtet.“
Die Luxemburger Datenschutzkontrolleure weisen in einem weiteren Argument darauf hin, dass das luxemburgische Datenschutzgesetz, das die europäische Datenschutzrichtlinie umsetzt, den Betroffenen nicht erlaube, die Löschung seiner Daten zu beantragen. Es sehe nur einschränkend vor, dass die Daten nicht länger als notwendig für die Erreichung eines bestimmten Zwecks aufbewahrt werden dürfen. Weichert glaubt, dass die Auskunft entweder falsch oder das luxemburgische Recht EU-widrig ist, weil Artikel 14 der europäischen Datenschutzrichtlinie eindeutig einen Löschanspruch der Betroffenen vorsehe.
Verweis aufs Handelsgesetzbuch
Überdies verweist die Aufsichtsbehörde auf das luxemburgische Handelsgesetzbuch, das jedem Händler vorschreibe, geschäftliche Unterlagen mindestens zehn Jahre aufzubewahren. Daten dürften also in diesem Zeitrum nicht gelöscht werden. Hier widerspricht Carola Elbrecht, die darauf hinweist, dass diese Daten nicht online abrufbar sein müssen, da sie damit auch der Gefahr etwaiger Hackerangriffe unnötig ausgesetzt seien: „Wenn steuerrechtliche Speicherpflichten bestehen, dann bitteschön nur in geschlossenen Systemen!“ Und Thilo Weichert sagt, dass die Auffassung, dass innerhalb einer Vertragsabwicklung kein Löschanspruch bestehe, nicht nur dem Grundsatz der Datensparsamkeit, sondern auch dem Löschanspruch gemäß Art. 12 der Richtlinie widerspreche. Dieser besteht auch bei einer Datenverarbeitung, die durch Wegfall der Erforderlichkeit rechtswidrig geworden ist. (axk)
