Seitenlange Ausführungen zum Datenschutz, voller Juristendeutsch und totlangweilig – das ist nicht nur die gefühlte Realität vieler Leserinnen und Leser von Datenschutzerklärungen, sondern die Wahrheit. Kein Wunder, dass sie kaum jemand liest: In all ihrer Fülle sind sie aufgebläht, intransparent und aus Datenschutzsicht kontraproduktiv. Ein Kommentar.
Der Inhalt im Überblick
Liest doch eh kein Mensch
Hand hoch, wer Datenschutzerklärungen liest. Okay, der ein oder andere bestimmt. Hin und wieder. Manchmal. Gut, zumindest selten. Es dürfte sich wohl so verhalten wie bei AGBs. Die will auch jeder gelesen haben und wenn man mal genauer hinguckt, haben fast 90 % unwissentlich ihre Seele dem Teufel verkauft.
Laut der 2019 veröffentlichten Eurobarometer-Umfrage zum Thema Datenschutz liest nur jeder zehnte Deutsche Datenschutzerklärungen komplett durch. Ungefähr drei Viertel der in einer Studie des Instituts für Demoskopie Allensbach Befragten gaben an, Datenschutzerklärungen nicht wirklich zu lesen, genauso viele hielten die Lektüre sogar für zwecklos, weil man eh zustimmen müsste.
Was läuft hier schief? Zum einen ist der Großteil der Datenschutzerklärungen einfach nur Buchstabensalat, von vorne bis hinten Wirrwarr und ellenlang. Zum anderen ist dem konsumorientierten Kunden von heute Datenschutz einfach nicht so wichtig.
Das Nonplusultra des Datenschutzes
Das Erfordernis einer Datenschutzerklärung resultiert aus den in Art. 13 und 14 DSGVO geregelten Informationspflichten. Notwendiger Inhalt ist folgender:
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Zweck und Rechtsgrundlage der Datenverarbeitung
- Berechtigtes Interesse im Falle von Art. 6 Abs. 1 S. 1 lit. f DSGVO
- Empfänger bzw. Kategorien von Empfängern der personenbezogenen Daten
- Datenübermittlung in ein Drittland bzw. an eine internationale Organisation und Verweis auf eventuelle Angemessenheitsbeschlüsse oder sonstige Garantien
- Speicherdauer der Daten
- Betroffenenrechte
- ob eine Bereitstellungspflicht besteht
- ob eine automatisierte Entscheidungsfindung/Profiling stattfindet.
Das Ganze muss gemäß Art. 12 Abs. 1 S. 1 DSGVO
„in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“
erfolgen. Dass das nicht der Realität entspricht, dürfte jedem klar sein. Aber was hat das für Folgen? Und interessiert das überhaupt jemanden?
Datenschutzerklärungen konterkarieren Datenschutz
Spätestens jetzt fahren übereifrige Datenschützer die Krallen aus. Als jemand, der beruflich damit zu tun hat, bin ich mir der Bedeutung von Datenschutzerklärungen natürlich bewusst. Manchmal muss man jedoch einen Blick über den Tellerrand wagen. Und außerhalb des Datenschutz-Elfenbeinturms sieht es nun einmal zappenduster aus.
Dies bestätigt auch die Vizepräsidentin der Europäischen Kommission, Věra Jourová:
„Eines unserer wichtigsten Ziele besteht darin, den Europäerinnen und Europäern dabei zu helfen, die Kontrolle über ihre personenbezogenen Daten zurückzugewinnen. Von den 60 Prozent der Europäerinnen und Europäer, die überhaupt Datenschutzerklärungen lesen, lesen jedoch lediglich 13 Prozent diese Erklärungen vollständig durch. Grund hierfür ist, dass die Erklärungen zu lang oder zu schwierig zu verstehen sind. Daher möchte ich noch einmal darauf drängen, dass alle Online-Unternehmen ihre Datenschutzerklärungen präzise, transparent und für alle Nutzer verständlich formulieren. Zudem möchte ich alle Europäerinnen und Europäer ermutigen, von ihren Datenschutzrechten Gebrauch zu machen und ihre Datenschutzeinstellungen zu optimieren.“
Ich denke, dieser Zug ist abgefahren. Es mangelt
- am Willen der Unternehmen, wirkliche Transparenz zu schaffen,
- an verständlichen, nicht mit Juristen-Kauderwelsch vollgestopften Texten,
- aber auch am Engagement der Nutzerinnen und Nutzer, die lieber auf Datenschutz pfeifen, als ihre heißgeliebten Dienste zu hinterfragen.
Datenschutzerklärungen werden zum Selbstzweck. Sie existieren, aber helfen nicht weiter. Sie informieren nicht mehr, die Fülle an kompliziertem Text desinformiert stattdessen. Man nimmt sie nicht ernst, schlimmer noch: Sie erweisen dem Datenschutz einen Bärendienst.
Vor lauter Transparenz intransparent
Viele Unternehmen schreiben sich Transparenz auf die Fahne. Sie geben vor, nur das Beste für ihre Kunden zu wollen und deshalb alles offenzulegen. Das ist natürlich Quatsch. Unternehmen veröffentlichen Datenschutzerklärungen, weil sie es müssen, häufig von anderen Webseiten geklaut oder sonst wie zusammengeschustert. Selbst die Big Player, denen man eher auf die Finger schaut, richten sich lediglich nach Trends, nach Vorgaben, nach ihren monetären (Werbe-)Interessen.
Transparenz schafft Kontrolle. Leserinnen und Leser einer Datenschutzerklärung sollten nach deren Lektüre also verstehen, was mit ihren personenbezogenen Daten geschieht, damit sie ihre Rechte geltend machen können und den Dienst gut oder schlecht finden. Ich behaupte, dass das – für einen Großteil der Lesenden – danach immer noch nicht möglich ist. Wieso? Ganz einfach.
Unabhängig davon, ob der Text verständlich oder kompliziert geschrieben ist, bleibt er doch angefüllt von Informationen. Je mehr ein Unternehmen da hineinschreibt und preisgibt, desto leichter fällt es diesen, die problematischen Punkte zu verschleiern, untergehen zu lassen in der Informationsflut.
Ein Kommentar fasst dies ganz wunderbar zusammen:
„Also wenn ich 50 Seiten am Tag anschaue, dann lese ich mir ALLE Datenschutzerklärungen durch und archivier die, nicht dass die hinterher geändert werden, ich dokumentiere den Stand, der zum Zeitpunkt des Besuchs gültig war, dann bin ich auf der sicheren Seite. Weiter prüfe ich immer, ausnahmslos, ob da nicht doch ein JavaScript verbaut ist, der einen Cookie setzt, der nicht genannt ist, umgekehrt prüfe ich auch, ob die Cookies, die genannt werden, auch tatsächlich vorhanden sind, könnte ja sein, dass die Datenschutzerklärung einfach von einer anderen Seite übernommen wurde. Weiter prüfe ich noch, ob auf allen Seiten wirklich die gleiche Datenschutzerklärung steht. Könnte ja sein, dass auf der index.htm eine genannt wird, die alle Cookies nennt und beschreibt was mit den Daten passiert, aber auf den Folgeseiten dann gemogelt wird, dann hätte ich ja sozusagen zugestimmt. Auch das dokumentiere ich. Nachdem ich das alles erledigt habe, mache ich eine sorgfältige Abwägung, ob ich die Seite nun tatsächlich betreten will, wobei mir allerdings immer noch nicht so richtig klar ist, was mit meinen Daten dann passiert, wenn ich nicht zustimme, denn wenn ich die Datenschutzerklärung gelesen habe, war ich ja schon auf der Seite.“
Kapiert eh keiner
Juristische Texte sind schwierig zu lesen. Manche Klauseln muss sogar ich mehrfach lesen und ich habe das Zeug studiert. Wie geht es dann dem Normalo von nebenan? Von einer einfachen Sprache gemäß Art. 12 Abs. 1 S. 1 DSGVO wird angesichts verschachtelten Satzbaus und unbekannter Fachbegriffe häufig nicht die Rede sein können.
Der Bayerische Rundfunk wagte das Experiment. Was ist komplizierter, WhatsApps Datenschutzerklärung oder Thomas Manns „Der Tod in Venedig“? Wörter mit drei oder mehr Silben gelten als schwierig. Während sich im Klassiker im Schnitt fünf solcher Wörter pro Satz finden, sind es in der Datenschutzerklärung 8,4, manchmal sogar mehr als 15.
Ach wo, denken sie vielleicht. So schlimm ist das doch nicht. Dann stellen Sie sich mal vor, sie wären ein Jugendlicher. Laut dem durch Wissenschaftler der Universität Regensburg entwickelten Textanalyse-Programm gelten die Datenschutzerklärungen der bekanntesten Dienstanbieter (Instagram, Facebook, TikTok, Spotify etc.) als für diese Altersgruppe nicht verständlich. Im Übrigen sind alle untersuchten Datenschutzerklärungen schwieriger als „Der Tod in Venedig“.
Das klingt jetzt zynisch, aber ich glaube, mein Blick aus dem Fenster offenbart mehr Leute, die Datenschutzerklärungen nicht verstehen, als Leute mit Durchblick. Es braucht Bildung, könnte man sagen. Oder mehr Eigenverantwortung. Ich sage, wir brauchen leichtere Texte. Wes Brot ich ess, des Lied ich sing – oder auf Datenschutz-Deutsch: Wes Daten ich schütze, des Sprache ich sprech.
Je länger, desto besser?
Wenn man alle Datenschutzerklärungen der Welt aneinanderheften würde, käme man bestimmt durch die halbe Galaxie und zurück. Bei über der Hälfte der im Rahmen der Textanalyse untersuchten Datenschutzerklärungen brauchen Leserinnen und Leser mehr als eine halbe Stunde, um sie durchzulesen. Wenn Sie Lust haben, sich den ganzen Tag Datenschutzerklärungen zu Gemüte zu führen, bitteschön.
Die vielfach als Wunderlösung präsentierten One Pager – sogenannte Zusammenfassungen der Datenschutzerklärung auf einer Seite, den ausführlichen Bestimmungen vorangestellt – sind wohl auch nicht so ganz der Bringer. Sie werden zwar häufiger gelesen, führen aber dennoch nicht zu besserem Verständnis. Selbst Piktogramme sollen nicht helfen. Die Lösung dieses Kommentars finde ich ganz witzig:
„Ich bin für einen gesetzlich verbindlichen Test mit dem überprüft wird, ob man die Datenschutzerklärung […] gelesen hat. Ohne den kann man die Erklärung nicht abnicken und die Webseite/Software nicht verwenden. Es würde keine 2 Wochen dauern, dann wären alle Datenschutzerklärungen […] so kurz und leicht verständlich wie es nur geht.“
Die Versuchung ist zu groß
Wenn ich vor der Wahl stehe, mir ein superleckeres Kuchenstück zu gönnen oder in den sauren Apfel zu beißen, wähle ich – richtig – die Kalorienbombe. So geht es auch Millionen von Social Media-Nutzerinnen und Nutzern da draußen. Viele wissen, dass Facebook & Co. Schabernack mit ihren Daten treiben. Es ist ihnen aber schlichtweg egal, weil ihnen die Dienstleistung zu wichtig ist.
Dieser Kommentar liefert eine schöne Kostprobe:
„Wenn ich etwas brauche, brauche ich es. So einfach ist das. Gegen Abzocke schützt der Gesetzesrahmen. Der Rest ist irrelevant. Ich kann zwar 20 30 Seiten lesen, brauche es aber trotzdem. Ob mir die Verwendung schmeckt oder nicht ist völlig irrelevant. Da braucht man es auch nicht lesen. […] Völlig egal was drin steht. Was ich brauche, das brauche ich eben. Daran ändert die Datenschutzerklärung nichts. Du brauchst Whatsapp? Dann brauchst du Whatsapp. So einfach ist es. Kannst dich wehren, dann fehlt dir halt ein Kanal für Werbung und Kommunikation. Dein Geld. Deine Kunden. Dein Problem.“
Kein Wunder also, dass 57 % der Allensbach-Studienteilnehmer angaben, den Datenschutzbestimmungen bei Nutzung eines Dienstes ohnehin in jedem Fall zuzustimmen, da sie mit der Nutzung weitermachen würden wollen. Von allen in der Studie befragten Nutzern könnten auf Google die Hälfte und auf WhatsApp 46 % nicht mehr verzichten. In der Altersgruppe der 14- bis 29-Jährigen fallen die Zahlen deutlicher aus: 61 % (Google) und 67 % (WhatsApp). Wenn sie keinen Datenschutz wollen, sollen sie halt Kuchen essen?
Den Großteil haben wir schon verloren
Vielleicht sehe ich das auch zu schwarz, aber ich denke, mit Datenschutz haust du heute niemandem mehr vom Hocker. Die Unternehmen basteln sich Datenschutzhinweise zusammen oder bezahlen jemanden dafür. Sie machen mit den Daten, was sie wollen? Egal, liest im Zweifel eh keiner. Und wenn, dann checkt der das sowieso nicht.
Dem wilden Treiben der Datensammler lässt sich mit Datenschutzerklärungen nicht Einhalt gebieten – den Nutzerinnen und Nutzern ist die „kostenlose“, coole Dienstleistung nun einmal wichtiger als Datenschutz. Daran werden auch interessante Projekte wie Privacy Bots und Datenschutzscanner nichts ändern. Wir Datenschützer kämpfen gegen Windmühlen mit Hyperantrieb.
—
Dieser Beitrag ist ein Kommentar und spiegelt daher die persönliche Meinung der Autorin / des Autors wider. Diese muss nicht mit der Meinung des Herausgebers oder seiner Mitarbeitenden übereinstimmen.
Die Datenschutzerklärungen werden auch nicht für die User gemacht, sondern für die Abmahnanwälte und die Aufsichtsbehörden. Weil es sonst teuer werden kann, wenn nicht alles haarklein aufgeführt wird.
Die Datenschutzerklärung für ein normalen User könnte/sollte so oder so ähnlich lauten:
„Wir nutzen Cookies um zu analysieren wie du auf unsere Seite gekommen bist, wie lange du hier warst, was du angeschaut hat und wann du sie wieder verlassen hast.
Falls du Social Media Kanäle nutzt (FB, Insta, Twitter,…) melden wir dorthin, dass du unsere Seite besucht hast. Die verwenden dass um ein möglichst genaues Profil von dir zu erstellen.
Ebenso nutzen wir Cookies um dir Werbung auf unserer Seite zu zeigen. Und um diese passend für dich zu präsentieren nutzen wir zum einen die Informationen die wir selber von dir gesammelt haben und zum anderen kaufen wir die von Google, FB, … Die Cookies bleiben 35 Jahre auf deinem Rechner. So können wir dich noch über Jahre verfolgen :-)“
Das wäre klare einfache Sprache, würde aber eben sofort die Aufsichtsbehörden auf den Plan rufen.
Und solange sich hier nichts ändert, werden die DS Erklärungen weiterhin so aussehen, wie sie aussehen.
Sie haben recht, vielfach gewinnt man den Eindruck, die Datenschutzerklärung sei einfach lieblos hingeklatscht worden, um Abmahnanwälte und Aufsichtsbehörden zufriedenzustellen. Der eigentliche Sinn und Zweck der Datenschutzerklärung geht verloren. Ich halte diese Entwicklung für bedenklich. Es wird eine datenschutzrechtliche Parallelwelt geschaffen, die Konformität vorgaukelt, aber keinen Datenschutz wahrt. Wenn die DSGVO lediglich gut gemeint ist, aber zum Papiertiger mutiert, dann läuft etwas gewaltig schief.
Die Lösung des Voranstellens einer Art leichteren Zusammenfassung finde ich persönlich ganz gut. Mal sehen, wie viele Unternehmen das umsetzen.
Grandioses Plädoyer, Frau Pettinger!
Aber dann wäre doch dieser Blog ein hervorragendes Feld, damit mal anzufangen. Ich zitiere aus Ihren Datenschutzbestimmungen:
„Der Access-Log durch unseren Webserver wird vollständig anonymisiert. Unser System nutzt jedoch bestimmte Security-Plugins des Anbieters WordPress…“
Welche Normalsterblichen verstehen das? Die fragen sich doch, was ein Access-Log ist, was ein Security-Plugin und was WordPress. Nur so als Beispiel.
Auf einer US-Seite habe ich mal eine tolle Lösung gefunden: es gab eine nicht juristisch formulierte Datenschutzerklärung in ganz einfachen Worten, die dann am ende gesagt hat: „Und wenn Sie es juristisch genau haben wollen, finden Sie hier (Link) die ausführliche Version). Das fand ich eine hervorragende Lösung, die beiden Seiten gerecht wird.
Vielen Dank, freut mich, dass es Ihnen gefallen hat. Sie haben schon irgendwie recht, für jeden verständlich dürfte das nicht sein. Da bin ja froh, diese Datenschutzerklärung nicht verfasst zu haben ;-)
Ihre Lösung finde ich ganz charmant, allerdings sollte der Link zur ausführlichen Version bereits am Anfang zu finden sein. Der ein oder andere Querulant könnte sonst nicht bis nach unten lesen, die Krise kriegen und einem mächtig Ärger bzw. Aufwand bereiten.
Sehr gut! Ich stimme voll zu!
Vielleicht würde es helfen, mal Bußgelder wegen der fehlenden präzisen, transparenten und verständlicher Form bzw. einer fehlenden einfachen Sprache zu sehen.
Mein Favorit hinsichtlich einer transparenten Aufbewahrungsdauer ist: „Wir speichern Ihre Daten solange es für den Zweck notwendig ist.“ – Eigentlich will ich doch wissen, ob das 3 Tage oder 4 Wochen oder 5 Jahre sind und nicht den Gesetzestext lesen ….
Die Frage ist, wer bewertet, was präzise, transparent und verständlich bzw. einfach genug ist? Für Behörde bzw. Gericht dürften da andere Verständnismaßstäbe gelten als für Nichtjuristen. Ich kann mir vorstellen, dass man deshalb lieber zurückhaltend ist mit Bußgeldern. Zu Ihrem Fall einer besonders „transparenten“ Aufbewahrungsdauer: Selbst ein Blick ins Gesetz hilft hier häufig nicht weiter. Wenn die Rechtsgrundlage für die Speicherung der Daten Art. 6 Abs. 1 S. 1 lit. c DSGVO ist, dann ggf. schon, sofern im Spezialgesetz was zur Speicherdauer steht. Aber was tun Sie, wenn die Rechtsgrundlage das berechtigte Interesse ist? Wie lange die Speicherung erforderlich ist, können Sie dann nicht wissen. Vor Gericht, auf hoher See und bei Datenschutzerklärungen ist man in Gottes Hand.
Als vor (vielen) Jahren, in diesem Zusammenhang, mal die Rede von One-Pager war, haben viele Verbraucher darauf gehofft und gedacht es gibt eine DIN a 4 Seite. PRIMA! Dieses juristisch verseuchte Geschwafel ist leider ein Abbild von viel anderen Stellen auch. Wenn man sich das vom BSI mit all seinen Verzweigungen und Links mal anschaut, ist man reif für die Anstalt!
Ich möchte mal Zitieren:
Die Zehn Gebote Gottes enthalten 279 Wörter, die amerikanische Unabhängigkeitserklärung 300 Wörter!
Wie sagte einst ein „alter Chinese“
WAT NU !
Hier ist der Gesetzgeber gefordert! One-Pager. (Punkt)
Datenschutzhinweise sind nicht primär deshalb schlecht, weil Unternehmen sie schlecht haben wollen. Die meisten erstellen diese Texte doch gar nicht selbst, sondern lagern die Aufgabe aus – an den Datenschutzberater. Hier aber wird so viel Mist abgeliefert (darf ja schließlich nichts kosten…), dass völlig vorhersehbar ist, dass das Ergebnis für die Praxis selten taugt.
Dass die Umsetzung schlecht ist, macht die dahinter stehende Idee aber nicht falsch.
Warum Datenschutzerklärungen häufig schlecht formuliert/gestaltet sind, liegt an vielerlei Gründen, z.B.:
– Fehlendem Interesse bzw. Datenschutzbewusstsein des Unternehmens
– Fehlendem Knowhow (gerade Kleinunternehmen wissen oft gar nicht, welche Anforderungen sie wahren müssen)
– Fehlendem Willen zur Transparenz
– Wie Sie bereits sagten: am Wunsch, Kosten zu sparen.
Datenschutzerklärungen scheitern in manchen Fällen sicher auch dadurch, dass der Datenschutzberater, der den Text erstellen soll, vom Unternehmen nicht ausreichend Informationen erhält. Was wiederum daran liegen dürfte, dass das Unternehmen selbst nicht weiß, was es da eigentlich so mit den personenbezogenen Daten macht und warum. Ein Teufelskreis.
Ich stimme Ihnen zu, die schlechte Umsetzung macht die dahinter stehende Idee nicht falsch – damit die Idee allerdings nicht für die Tonne ist, sollte sich an der Umsetzung dringend was ändern.
Ja die gute Datenschutzerklärung, wer liest Sie und wer nicht. Richtig, der Antwender liest sie nciht warum, zu lang. Warum zu lang oftmals weil man sämtliche Cookies und Träckingtools in ausführlicher Form mit aufführt um einfach sicher zu sein, das die behörde einem kein Bußgeld auferlegt. Besser wäre es man setztt die klassische Form auf nach §12 mit den Grundfunktionen und wenn der Nutzer Details wissen will, dann aktiv nachfragen, alternativ Pflicht zu einer Seite zum Thema Cookies und Traffic, das aber losgelöst voneinandern. VG
Die von Ihnen vorgeschlagene zweite Alternative halte ich für sinnvoll. Es würde die Datenschutzerklärung verschlanken, wenn Cookies/Trackingtools in einem eigenen Dokument erläutert werden. In der Datenschutzerklärung sollte sich dann lediglich ein Verweis mit Link darauf befinden. Vielfach wird das auch schon so gemacht.
Bei der von Ihnen genannten ersten Alternative sehe ich das Problem, dass der Nutzer erst aktiv nachfragen müsste, um die Informationen zu erhalten. Was für den Nutzer interessant ist und was nicht, würde damit das Unternehmen bestimmen, außerdem ist ja gerade das Unternehmen in der Pflicht, den Nutzer zu informieren. Ich halte es für wahrscheinlich, dass wesentliche Informationen von Seiten des Unternehmens dann als „unwichtig für den Betroffenen“ eingestuft und auf der Website gar nicht erwähnt würden. Woher soll der Betroffene wissen, zu welchem Thema er eine Nachfrage stellen sollte, wenn das Thema gar nicht erst in der Datenschutzerklärung erwähnt/angedeutet wird? Wenn erst überall nachgefragt werden müsste, entstünde viel Aufwand zulasten des Nutzers. Aus diesen Gründen halte ich es nicht für angebracht, die Last auf den Nutzer abzuwälzen.
Wie bereits gesagt wurde, die Datenschutzerklärungen werden für Aufsichtsbehörden und Gerichte geschrieben. Wichtigstes Ziel ist es, kein Bußgeld aufgebrummt zu bekommen und keinen Schadensersatz an pingelige Kunden zahlen zu müssen, die sich dran aufhängen, dass irgend ein Aspekt nicht erwähnt wurde.
Der Verantwortliche muss sich exkulpieren. Die DSGVO drängt ihn in diese Situation.
Art 13 und 14 sind gut gemeinte Bürokratie-Monster. Und nicht die einzigen in der DSGVO.
Wunderbares Plädoyer und den Nagel auf den Kopf getroffen.
Ich rege mich immer wieder über Datenschutzerklärungen auf, die beschreiben sollen was die Webseite tut und was der „Verantwortliche“ mit den Daten tut. Ein Großteil davon ist schlichtweg genormt falsch, da oft Dinge beschrieben werden, die die Webseite gar nicht tut und/oder nicht tun muss und außerdem die juristische Marinade nur Magendrücken verursacht. Ich arbeite gern mit einer Zweiteilung ähnlich dem von Mac Manux beschriebenen amerikanischen Ansatz. Eine Datenschutzerklärung so einfach wie möglich, die wirklich nur das beschreibt, was die Webseite tut und für die normale Korrespondenz eine möglichst kurze Transparenzerklärung, die für den jeweiligen Zweck in einfacher Sprache nur die vorgeschriebenen Daten enhält und in jeder Email mit der Signatur verlinkt ist. Dann kann man dieses Instrument auch als positives Marketinginstrument zum Aufbau von Kundenvertrauen einsetzen. Vorausgesetzt, man hat nichts zu verbergen und weiß was man tut.
Dass die Datenschutzerklärungen eher für die Abmahnanwälte und die Aufsichtsbehörden gemacht werden, weil es sonst teuer werden kann, ist doch eher positiv zu bewerten. Die Erklärung dient damit der Disziplinierung der Datenverarbeiter. Je mehr in der Erklärung drin steht, umso mehr Bindungswirkung entfaltet sie. Schließlich muss das was drinnen steht auch stimmen. Je umfangreicher die Erklärung wird, desto misstrauischer darf der User sein, was mit seinen Daten eigentlich passiert.
Die Praxis zeigt leider, dass sich die datenverarbeitenden Unternehmen eher kaum bis nicht durch die Datenschutzerklärung disziplinieren lassen. Viele Unternehmen fühlen sich zwar regelrecht erschlagen von den Anforderungen und Inhalten einer Datenschutzerklärung, nehmen dies aber nicht zum Anlass „auszumisten“. So wäre das Verfassen einer Datenschutzerklärung mit all den Hinweisen und Nachfragen, welche Cookies denn nun eingesetzt werden, welche Tools und Plugins etc., doch eigentlich ein guter Anlass, Cookies und Tools herauszufiltern, die man eh nicht mehr wirklich nutzt bzw. nicht mehr braucht und diese dann künftig nicht mehr zu nutzen.
Wir Datenschutzberater können lediglich auf Ungeklärtes bzw. Risiken hinweisen. Während manche Unternehmen versuchen, diese Punkte zu klären, schreiben andere dann einfach irgendwas hin. Es ist wohl eine Frage des Datenschutzbewusstseins des Unternehmens – will man versuchen, transparent zu sein und Datenschutz zu wahren oder hat man da eher gar keine Lust drauf?
Je mehr in der Datenschutzerklärung steht, umso mehr Bindungswirkung entfaltet sie, sagen Sie. Aus Sicht der Aufsichtsbehörde ja, aber ich denke, mit inhaltsleeren Floskeln angefüllte Datenschutzerklärungen können auch lang sein. Die sind dann so offen formuliert, dass eine Bindung erschwert wird.
Alles richtig. Aber: Verwechseln wir hier nicht Ursache und Wirkung? Natürlich sind DSE heutzutage kompliziert und umfangreich. Das ist suboptimal, keine Frage. Es hat allerdings (auch) Gründe: Schauen Sie sich die entsprechenden Online-Auftritte aus der technischen Perspektive an. Bei nur einem (Web-)Seitenaufruf werden meist Dutzende Drittanbieter-Verbindungen aufgebaut. Gleiches gilt für den Cookie-Cache oder den LocalStorage mit Cookies / Objekten. Oder man verwendet ein CNAME-Alias (CNAME Cloaking), um die Trackingdomain als Subdomain der eigenen Webseite zu „tarnen“ (mit allen technischen Risiken, sofern der Scope der Session-Cookies zu weit gefasst ist). Oder Retargeting mittels Cookie Matching.
Aktuell gibt es kaum einen Online-Werbeplatz ohne Real Time Bidding – allein der Einsatz dieser Tracking-Technik würde locker 100 Seiten füllen.
Sie haben recht, der zunehmende Einsatz von technischen Spielereien macht es erforderlich, auch in der Datenschutzerklärung mehr dazu zu schreiben (wobei es auch hier immer wieder Unternehmen geben dürfte, die das ein oder andere verschweigen). Es würde sich anbieten, diese Punkte gesondert aufzuführen und in der Datenschutzerklärung darauf zu verlinken oder mit ausklappbaren Überschriften/Textabschnitten zu arbeiten, damit der Nutzer auch nur das liest, was er lesen möchte.
Und dieser ganze Wahnsinn wird von Unternehmen verlangt, die auf Ihrer Webseite nur die Möglichkeit anbieten wollen, online eine Pizza zu bestellen. Dazu müssen leider auch personenbezogene Daten erfasst werden. Ich rede hier noch nicht mal von irgendwelchen Google PlugIns oder IP Adressen (Der Pizza Bäcker weiß gar nicht, was das ist…) sondern nur von einer Lieferdresse. Die einfache Frage lautet: Wo soll die Pizza denn hin…. Und dann schlägt Artikel 13 zu! Ich würde sagen, hier treffen selbsternannte Datenschützer, die noch nie eine Pizza oder etwas ähnlich Sinnvolles verkauft haben, auf das ganz normale Leben. Eine Vermischung kann hier gar nicht stattfinden und ist auch von keiner Seite erwünscht. Also kopiert man irgendwas rein. Die großen Datenkracken haben Ihre Rechtsabteilungen. Da kann man doch gar nichts anderes erwarten. Und der dumme Nutzer is jetzt wieder Schuld, weil er diesen Quatsch nicht lesen will?
Die „großen Datenkraken“ und ihre Rechtsabteilungen haben teilweise keine gute Figur gemacht – siehe momentan: WhatsApp.
Häufig wird Selbstverständliches in Datenschutzerklärungen ausführlich behandelt (z.B. die Erhebung der Lieferadresse bei Lieferdiensten). Dargestellt werden muss es, allerdings ist es sinnvoll, sich hinsichtlich solcher für jeden offensichtlichen Punkte kurz zu fassen. Dass der Frust da steigt, wenn man so etwas lesen soll, ist verständlich. Der Nutzer ist jedoch nicht schuld an der Misere.
So sehr ich der Grundaussage des Artikels – Datenschutzerklärungen erfüllen ihren eigentlichen Zweck nicht und erfüllen dem Datenschutz einen Bärendienst – so sehr könnte ich Ihren Aussagen, insbesondere auch Ihren Antworten in den Kommentaren nicht noch mehr widersprechen.
Vorab: ja. Es gibt sie die „bösen Datensammler“, die Verfahren verschweigen und hinter komplizierten Datenschutzerklärungen verstecken wollen. Und ganz sicher gibt es die unter den größten und bekannten Auftritten in der Onlinewelt. Aber deswegen sind doch nicht alle so. Ich würde sogar behaupten, nicht mal die Mehrheit. Nein, ich würde sogar sagen die Minderheit.
Ich war externer Datenschutzberater und bin schon eine ganze Weile interner DSB. Externer sein ist so leicht. „Misten Sie doch direkt Ihre Verfahren aus, dann kann ich Ihnen auch eine kürzere rechtskonforme Erklärung schreiben.“
Als interner DSB habe ich dann angefangen zu verstehen, dass man als Firma Datenschutz sehr wohl ernst und wichtig nehmen kann, aber dennoch wirtschaftlich arbeiten muss und dazu auch Daten verarbeiten muss und das möglichweise auch zu Marketingzwecken.
Wenn man das dann in knappen und einfachen Worten dem Nutzer erklären möchte, dann passieren einem als Unternehmen eine oder beide von zwei Dingen: man wird von einer Datenschutzbehörde angepfiffen oder direkt von einem Missgünstigen abgemahnt, weil die Informationen nicht den Anforderungen der DSGVO entsprechen würden.
Die Telekom hat’s ja mal versucht mit einer übersichtlichen Kurzversion mit Verlinkungen auf die Detailbeschreibungen. Das hat die Behörde damals nicht akzeptiert. Also passiert das, was hier viele schon sagten: ich muss als Unternehmen die Hinweise für die Behörden, Anwälte und Auditoren schreiben, nicht für die Nutzer.
Das Problem ist, dass die Gesetzgeber und Behörden leider weder Ahnung von der Realität eines Unternehmens haben, noch von der Realität eines Nutzers. Die denken, dass es einfach so möglich wäre die Datenverarbeitung „präzise, transparent, verständlich und leicht zugänglich“ zu schreiben und gleichzeitig alle Anforderungen der DSGVO zu erfüllen. Geht aber nicht. Aus Sicht des Unternehmens nicht, weil es zu komplex ist, um es gleichzeitig simpel zu beschreiben und ausführlich genug, um den Anforderungen zu genügen. Und es Sicht des Nutzers nicht, weil der Nutzer einfach nicht so viele Details will wie der Gesetzgeber für ihn fordert.
Also: JA! Bitte ein Plädoyer gegen die aktuelle Praxis der Datenschutzerklärungen. Aber bitte nicht mit der Aussage es würde nur an fehlendem Willen oder Fachkenntnis der Unternehmen liegen oder gar an deren Boshaftigkeit. Bitte konstruktive Vorschläge, insbesondere Richtung Gesetzgeber und Behörden, wie man einerseits strenge Regeln setzt (was überhaupt mit Daten gemacht werden darf) und andererseits nötige Freiheiten lässt (wie Nutzer und Unternehmen beide ihre Interessen bekommen). Und auch mal kritisch die eigene Rolle als externe Berater hinterfragen. Die meisten der überladenen Datenschutzerklärungen kommen nämlich von genau denen.
wenn es einen „Like“-Button für Kommentare gäbe, würden Sie einen von mir bekommen.
Gerne möchte ich Ihre Argumente aufgreifen:
Natürlich gibt es auch genügend Unternehmen, die sich um Transparenz und Darlegung ihrer Verarbeitungsprozesse in der Datenschutzerklärung bemühen. Nur ein Bruchteil übt sich im Verschleiern.
In meiner täglichen Praxis sehe ich mehrheitlich das Problem, dass viele Unternehmen gar nicht wirklich wissen, was sie angeben sollen. Wenn man dann nach konkreten Cookies fragt, für welche Zwecke die eingesetzt werden, etc., dann kommen häufig wenig zielführende Antworten zurück. Ich finde den Wunsch nach datenschutzkonformer Darstellung in der Datenschutzerklärung zwar sehr lobenswert, aber hierzu muss von Seiten der Unternehmen auch Einsatz gezeigt werden. Der externe Datenschutzberater kann den Finger in die Wunde/Lücke legen, aber zum Ausfüllen braucht er interne Informationen.
Das heißt natürlich nicht, dass alle Unternehmen derart mit Informationen geizen. Häufig können die offenen Punkte schnell gelöst werden, vor allem dann, wenn die internen Strukturen geklärt sind oder die Beschäftigten schon früher mit dem Thema Datenschutz Kontakt hatten.
Wir haben uns auf die Fahne geschrieben, datenschutzrechtlich zu beraten und zugleich pragmatische Lösungen zu bieten. Für einen pragmatischen Ansatz gehört es dazu, bestimmte Marketingmaßnahmen nachvollziehen zu können. Das tun wir. Wir verbieten nicht, wir beraten, schlagen vor, warnen. Doch wenn ich bei Nachfragen höre „also das Tool da, das nutzen wir eigentlich nicht, keine Ahnung, warum das noch da ist“, dann empfinde ich die Datenschutzerklärung als idealen Anlass zum „Ausmisten“.
Mir ist bewusst, dass die Datenschutzerklärung zum Großteil lediglich für Behörden, Abmahner und Auditoren geschrieben wird. Ich denke, dass konterkariert den Datenschutz. Informationelle Selbstbestimmung setzt Informiertheit voraus. Die ist nicht gegeben, wenn ich die Datenschutzerklärung nicht verstehe.
Sie haben recht, wir befinden uns hier in einer Zwickmühle zwischen strengen und umfangreichen Anforderungen und verständlicher Darstellung. Je nachdem, auf welcher Seite das Pendel ausschlägt, ist der andere der Gelackmeierte: Werden die Anforderungen vollständig gewahrt, leidet die Verständlichkeit für den Nutzer. Wird die Erklärung simpler aufgesetzt, stürzen sich Abmahnanwälte und Behörden auf die Unternehmen.
Keinesfalls liegt die aktuelle Misere daran, dass alle Unternehmen nicht wollen würden oder können oder an Boshaftigkeit. Ich bin mir sicher, auch wenn alle Unternehmen datenschutzbewusst auftreten würden wollen, sich informieren und wirkliche Transparenz wünschen, wäre die Datenschutzerklärung immer noch für viele unverständlich. Viele Unternehmen haben den Willen zu Transparenz und Datenschutz. Man legt ihnen nur Stolpersteine in den Weg.
In diesem Artikel gibt es ein paar Umsetzungsvorschläge: https://www.dr-datenschutz.de/datenschutzerklaerungen-nach-der-dsgvo-tipps-zur-umsetzung/
Im Übrigen hören Gesetzgeber und Behörden sowieso nicht wirklich auf Berater oder Unternehmen.