Kein Recht an den eigenen Daten!?

Ein AGEV-Mitglied wollte seine private Handynummer aus der Bing-Suche löschen lassen. Nach einem halben Jahr nervenaufreibenden Ringens: vergeblich! Wie ein Tech-Riese das DSGVO-Recht ignoriert und nebenbei einen Service offenbart, der einem die Haare zu Berge stehen lässt. Ein Erfahrungsbericht.

Bildquelle: Kai Pilger auf Unsplash

Die EU-Datenschutzgrundverordnung (DSGVO) ist seit 2018 in Kraft. Die Umsetzung der strengen Vorgaben dieser Verordnung hat vor allem für kleinere Unternehmen enormen Stress und Aufwand bedeutet. Denn die Strafen bei Nichteinhaltung sind drakonisch: Bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes können in besonders schweren Fällen verhängt werden.

Der Fall

Sechs Jahre nach Inkrafttreten sollte es also kein Problem sein, die unerlaubte Veröffentlichung einer privaten Handynummer im Internet durch die Suchmaschine Bing zu unterbinden. Dabei handelt es sich wohlgemerkt nicht um ein Suchergebnis, sondern um die Bing-eigene Plattform „Bing Places for Business“, auf derUnternehmen ein Profil anlegen können, um bei der Suche besonders schnell gefunden zu werden – also genau wie beim bekannteren Google Business Profil. Allerdings erstellt Bing wie Google auch ein solches Profil selbst, und zwar aus Daten, die Suchmaschinen im Internet finden.

Eigentlich eine gute Sache, denn so kann man sowohl bei Bing als auch bei Google über ein Identifizierungsverfahren ein Firmenprofil als sein eigenes beanspruchen und nach erfolgreicher Identifizierung auch selbst editieren. Aber der Fall, der uns von einem AGEV-Mitglied geschildert wurde, kann einem die Haare zu Berge stehen und Zweifel aufkommen lassen, ob die Gesetzgebung wirklich etwas gebracht hat, außer Kosten für kleine Unternehmen. Der Name des uns bekannten Mitglieds muss anonym bleiben, da die Problematik nach wie vor besteht und wir durch die Veröffentlichung des Namens den Schaden für den Betroffenen nicht noch vergrößern wollen. Wir haben das Mitglied jedoch gebeten, seine Erfahrungen einmal aufzuschreiben und uns zur Verfügung zu stellen:

Die Ausgangslage

Ich betreibe nebenberuflich ein kleines regionales Geschäft und habe natürlich auch eine Website und ein Google Business Profil, um im Internet auf mein Geschäft aufmerksam zu machen. Um die Suchmaschine Bing habe ich mich nie gekümmert, da ich sie bisher für irrelevant hielt. Umso erstaunter war ich, als ich plötzlich einen Anruf auf meinem privaten Handy erhielt. Der unbekannte Anrufer hatte eine Frage zu meinem Geschäft. Aber ich habe diese Handynummer bewusst nirgendwo im Internet veröffentlicht. Deshalb fragte ich den Anrufer, woher er diese Nummer habe. Er antwortete, er habe sie bei Bing gefunden. Daraufhin habe ich meinen Firmennamen bei Bing eingegeben, und tatsächlich erschien ein Firmenprofil mit einer veralteten Adresse und eben dieser privaten Handynummer. Kein Problem, dachte ich, das lässt sich sicher leicht ändern, einfach die Nummer löschen. Und so begann ein unglaublicher Prozess, der bis heute andauert und mich manchmal an den Rand der Verzweiflung gebracht hat.

Kein Kontakt zu Bing oder Microsoft

Zuerst habe ich versucht, mit Microsoft Kontakt aufzunehmen. Laut DSGVO muss jedes Unternehmen einen Datenschutzbeauftragten oder eine für Datenschutzanfragen verantwortliche Person auf der Website angeben. Erste Überraschung: So etwas gibt es bei Microsoft nicht. Stattdessen gibt es viele Informationen darüber, wie gut Microsoft meine Daten schützt – aber eine direkte Kontaktmöglichkeit per E-Mail oder Telefon: Fehlanzeige. Mit viel Recherche habe ich ein Formular gefunden, mit dem man einen Antrag auf Löschung stellen kann. Ich füllte das Formular aus, schilderte den Fall genau und bat darum, die falsche Adresse zu korrigieren und die private Handynummer sofort zu löschen. Nach einigen Tagen erhielt ich folgende Antwort

„Im Rahmen des EU-Rechts „Recht auf Vergessenwerden“ werden wir nur URLs aus unseren Suchergebnissen entfernen, die sich auf den in der Anfrage angegebenen Namen einer Person beziehen. Wir blockieren keine Suchergebnisse für bestimmte Sucharten, einschließlich Suchen, die sich auf den Namen eines Unternehmens oder einer Organisation beziehen. Daher sind wir nicht in der Lage, mit Ihrer Anfrage fortzufahren, bestimmte URLs im Rahmen des „Rechts auf Vergessenwerden“ sperren zu lassen, und werden keine Maßnahmen für Ihre Anfrage ergreifen. Vielen Dank! Microsoft-Kundensupport“

Diese anscheinend automatisch generierte Antwort bezog sich offensichtlich nur auf die Löschung von Suchergebnissen von Privatpersonen. Es wurde also nicht einmal der Versuch unternommen, die Anfrage zu verstehen.

Sackgasse Datenschutzbehörden

Da ich auf diese Weise nicht weiterkam, beschloss ich, mich in gutem Glauben an die Datenschutzbehörde meines Bundeslandes Nordrhein-Westfalen zu wenden, um meine Rechte aus der DSGVO geltend zu machen. Nach etwa zwei Wochen erhielt ich per Post ein Schreiben, in dem sich die Behörde für nicht zuständig erklärte, da sich der deutsche Firmensitz von Microsoft in Bayern befinde. Daraufhin wandte ich mich an die Bayerische Landesdatenschutzbehörde. Diese verwies nach weiteren zwei Wochen ebenfalls per Brief auf das oben genannte Datenschutzformular von Microsoft. Das hatte ich aber, wie beschrieben, längst ausgefüllt und die abschlägige Antwort auch der Behörde zur Kenntnis übersandt. Es wurde aber offensichtlich nicht einmal der Versuch unternommen, zu verstehen, worum es geht oder gar zu helfen. Die bayerische Behörde erklärte sich zudem auch für nicht zuständig, da die Europazentrale von Microsoft in Irland sei. Immerhin erklärte man sich bereit, mein Auskunftsersuchen bzw. meine Bitte um Löschung der privaten Handynummer nach Irland weiterzuleiten. Das ist fast ein halbes Jahr her und ich habe aus Irland natürlich gar nichts gehört.

Ein Hoffnungsschimmer

Parallel dazu hatte ich mich vorsorglich an die vom österreichischen Datenschutzrebellen Max Schrems gegründete Organisation noyb gewandt. Dort hat man offenbar auch schon schlechte Erfahrungen mit Microsoft gemacht. Jedenfalls teilte mir der freundliche Mitarbeiter (ausnahmsweise mal keine automatische Antwort!) mit, dass Microsoft praktisch kein Auskunftsersuchen beantworte. Trotzdem riet er mir, es noch einmal schriftlich, also auf dem Postweg per Einschreiben (keine digitale Kontaktmöglichkeit! – und das bei einem der größten Softwareunternehmen!) – zu versuchen. Das habe ich dann auch getan. Aber auch hier kam keine Antwort. Plötzlich meldete sich aber ein englisch sprechender Mitarbeiter von Microsoft per Mail und teilte mir mit, dass er die Löschung der Handynummer veranlasst habe. Es dauerte dann einige Tage, und tatsächlich war die Telefonnummer kurzzeitig aus dem Eintrag verschwunden. Allerdings stimmte die Adresse immer noch nicht, was leider Folgen hatte.

Zurück auf Anfang

Ich hatte nämlich parallel versucht, den Eintrag über das Identifizierungsverfahren als meinen Eintrag zu reklamieren, was z. B. bei Google überhaupt kein Problem ist. Bei Microsoft ging das leider nicht per Telefon („Aufgrund technischer Schwierigkeiten steht das telefonische Identifizierungsverfahren derzeit nicht zur Verfügung“), sondern nur per Post. Eine Postkarte konnte mich aber wegen der falschen Adresse natürlich nicht erreichen. Also bat ich den englischsprachigen Microsoft-Mitarbeiter, die Adresse zu ändern. Das tat er auch – aber zu meinem Leidwesen erschien nach ein paar Tagen zwar die richtige Adresse, aber auch wieder die private Handynummer. Zwar kam jetzt auch die Postkarte mit dem Identifikationscode, und ich konnte endlich den Eintrag bearbeiten, aber die Telefonnummer zu löschen, war trotz unzähliger Versuche nicht möglich.

Pikant war auch, dass dieser Code, mit dem ich mich identifizierte, nicht in einem Umschlag verschickt wurde, wie es bei Bank-Pins üblich ist, sondern völlig offen und für jedermann lesbar. Auch das kann man nur als datenschutzrechtliche Katastrophe bezeichnen. Inzwischen ist aber auch die Identifizierungsmethode per Post – zumindest für mich – nicht mehr verfügbar: „Aufgrund einiger betrieblicher Probleme können wir Ihre Postkarte nicht verifizieren“. Auch eine weitere Mail an den englischsprachigen Mitarbeiter ist nicht mehr möglich, da mittlerweile jede Mail als unzustellbar zurückkommt.

Fazit:

Inzwischen habe ich aufgegeben. Anscheinend kann Microsoft mit meinen Daten machen, was es will. Ich muss wohl meine Telefonnummer ändern oder mich in Zukunft mit Spam- und Phishing-Anrufen herumschlagen. Wenn schon ein so klarer Fall wie der Schutz meiner privaten Handynummer nicht durchgesetzt werden kann, möchte ich nicht wissen, was sonst noch mit meinen Daten geschieht. Weder das betroffene Unternehmen noch die Datenschutzbehörden haben in meinem Fall geholfen. Als Kleinstunternehmer könnte ich mir ein Verhalten wie das von Microsoft niemals erlauben. Wahrscheinlich wäre ich längst verklagt und zu hohen Geldstrafen verurteilt worden. Für Microsoft hingegen gilt das EU-Recht in meinem Fall offenbar nicht.