Ein Test bezüglich des Auskunftsrechts über Nutzerdaten hat allen bei überprüften Streamingdiensten Defizite ergeben – wie bewerten Sie das?
Unser Test zeigt strukturelle DSGVO-Verstöße bei den meisten Streaming-Diensten. In zehn Testfällen musste noyb offensichtliche Verletzungen des Auskunftsrecht nach der neuen DSGVO feststellen. Die Verletzungen reichen vom totalen Ignorieren des Auskunftsrechts bis zu vielen fehlenden Informationen zu Quellen und Empfängern bei der Datenweitergabe.

Bei einer Reihe von Antworten fehlten Informationen zu Datenquellen und -empfängern oder dem Aufbewahrungszeitraum. Sehen Sie diesbezüglich Konkretisierungsbedarf bei den Datenschutzregeln? 
Ich denke, dass die Datenschutzbestimmungen in dieser Frage ziemlich klar sind. Natürlich könnten einige allgemeine Informationen über ungefähre Aufbewahrungsfristen (oder die Kriterien, die zu ihrer Bestimmung herangezogen werden) oder über die Kategorien von Empfängern personenbezogener Daten in Bezug auf die Datenschutzrichtlinien in Ordnung sein. Das ist aber nicht DSGVO-konform, wenn es darum geht, das Auskunftsersuchen eines Nutzers zu beantworten. Eine Datenschutzerklärung könnte etwas allgemeiner sein, da sie sich an eine große Anzahl potenzieller Nutzer richtet. Ein Auskunftsersuchen muss individuell behandelt werden und alle vom Nutzer angeforderten Informationen so detailliert wie möglich liefern. Kurz gesagt, ich sehe dies eher als ein unternehmenspolitisches Problem denn als ein Auslegungsproblem der Datenschutzgesetze.

Beim Test wird bemängelt, dass übergebene Rohdaten zum Teil in kryptischen Formaten bereitgestellt wurden. In welcher Form sollten Nutzer ihre Daten übergeben bekommen?
Der Europäische Gerichtshof hat in dieser Hinsicht klargestellt, dass Verantwortlichen verpflichtet sind, die Daten in einem verständlichen und benutzerfreundlichen Format bereitzustellen. Dies wird durch die DSGVO weiter geregelt. Die Nutzer sollten in der Lage sein, die Informationen, die Unternehmen über sie besitzen, vollständig zu verstehen, um ihre Gültigkeit und Rechtmäßigkeit überprüfen zu können.

Die DSGVO gilt seit Mitte letzten Jahres. Wie ist Ihr Fazit zur Umsetzung der Regeln bislang?
Wir haben festgestellt, dass für eine große Mehrheit der Unternehmen der neue Acquis im Bereich des Datenschutzes noch etwas zu sein scheint, das sie erfüllen müssen. Es gab viele Schritte, aber diese kommen meist von kleinen oder mittleren Unternehmen. Größere Unternehmen haben die neue Verordnung bis zu einem gewissen Grad ignoriert und versucht, sich manchmal ihren Verpflichtungen zu entziehen. In diesem Zusammenhang glauben wir, dass die von der französischen Datenschutzbehörde im Januar 2019 gegen Google verhängte Geldbuße in Höhe von 50 Millionen Euro ein starkes Zeichen für die Einhaltung der Datenschutzgesetze durch große Unternehmen ist.