Wir alle kennen Sie, wir alle ignorieren sie meistens. Und trotzdem klicken wir auch noch oft genug an, dass wir damit einverstanden sind. Ich spreche von Datenschutzerklärungen oder – besser gesagt – Datenschutzinformationen. Leider, so muss ich konstatieren, sind die meisten Erklärungen nicht nur schlecht gemacht sondern entsprechen auch kaum den gesetzlichen Anforderungen. Ein Grund hierfür mag sein, dass sie von den wenigsten Verantwortlichen erstellt werden, weil sie den damit verbundenen Sinn erfüllen wollen sondern weil man es halt einfach machen muss. Also wird da etwas “hingerotzt”, was man getrost als Anschlag auf den geneigten Leser oder die geneigte Leserin verstehen kann aber nicht als eine geeignete Lösung für eine transparente und faire Datenverarbeitung.
Und hier sind wir tatsächlich schon beim Kern der ganzen Angelegenheit. In Art 5 Abs 1 Lit a DSGVO wird gefordert:
Personenbezogene Daten müssen
a.) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
Damit muss jeder Verantwortliche dafür sorgen, dass betroffene Personen die Verarbeitung ihrer personenbezogenen Daten nachvollziehen können (Transparenz). Dabei dürfen sie über die wahren Verhältnisse einer Datenverarbeitung nicht getäuscht werden (Treu und Glauben). In Erwägungsgrund 60 schreibt der Gesetzgeber:
Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.
Bereits an dieser Stelle ist auf die Formulierungen des Gesetzestextes hinzuweisen, nämlich, dass es um die transparente Aufklärung über Verarbeitungen bzw. Verarbeitungsvorgänge geht. Es mag verwundern, warum das an dieser Stelle so betont werden muss. Das liegt aber daran, dass die meisten Datenschutzerklärungen sich viel Mühe geben bei
- der Definition von Begriffen,
- der Aufzählung von Rechtsgrundlagen,
- der Aufzählung der verarbeiteten Daten,
- der Zwecke, für die Daten verarbeitet werden, und
- der seitenlangen Beschreibung, welche Betroffenenrechte unter welchen Bedingungen möglicherweise existieren oder auch nicht.
Was den meisten Datenschutzerklärungen fehlt, ist eine konsistente Beschreibung der Datenverarbeitungsvorgänge als führendes Kriterium. Ich will nicht allgemein wissen, ob meine Daten nach Artikel 6 Abs. 1 lit b DSGVO verarbeitet werden, wenn ich einen Vertrag mit dem Verantwortlichen eingehe. Das weiß ich auch so, wenn ich die DSGVO ein bisschen kenne. Das ist allgemeines unkonkretes Blabla, welches die Datenschutzerklärung nur unlesbar aufbläht und nichts zu den in Artikel 5 oder ErwG 60 genannten Zielen beiträgt. Ich will stattdessen wissen, welche Verarbeitung hier und jetzt stattfindet, bei der sich der Verantwortliche auf einen Vertrag zwischen uns beruft. Das ist etwas anderes. Im ersteren Fall darf ich mir selbst überlegen, auf welche Verarbeitungen das zutrifft, im letzten werden ich darüber informiert.
Viele Datenschutzerklärungen sehen eher so aus, als ob der Verantwortliche alle relevanten Begriffe einmal in die Luft geworfen hat und der geneigte Leser sie sich zu einem konsistenten Bild über die tatsächlichen Verarbeitungsvorgänge selbst zusammensetzen darf.
Dies wird umso schlimmer, als dass Verantwortliche gerade auf Webseiten dazu neigen, noch zahlreiche andere Verarbeitungen aufzuführen, die dort nachweislich gar nicht stattfinden. Getreu dem Motto, “Hauptsache, es steht schon mal da”, werden gerade Datenschutzerklärungen auf Webseiten mit allem Möglichen bis zur Unlesbarkeit überfrachtet.
Dass dies einen klaren Widerspruch zu Artikel 12 Absatz 1 DSGVO darstellt, wird spätestens klar, wenn man sich den Wortlaut vergegenwärtigt:
Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln
Insbesondere eine verständliche Form der Datenschutzinformation ist schon dann nicht mehr gegeben, wenn die relevanten Informationen unter einem Berg von anderen irrelevanten Informationen kaum noch zu finden sind.
Grundlage jeder Datenschutzerklärung auf einer Webseite ist Artikel 13 DSGVO. Dort wird genau definiert, was in einer solchen Information enthalten sein sollte. Und auch hier wird ausweislich Absatz 1c, 1d oder 2 von der Verarbeitung gesprochen, über die informiert werden soll. Ein weiteres Indiz dafür, dass eine allgemeine Aufzählung von Rechtsgrundlagen, Datenkategorien oder Löschfristen nicht ausreicht, wenn diese nicht in den Kontext konkreter benannter Datenverarbeitungen gestellt werden.
Zusammenfassend lässt sich sagen, dass viele Datenschutzinformationen den Zweck verfehlen, für eine transparente Information der Betroffenen für einen fairen Umgang mit ihren Daten zu sorgen.
Eine Datenschutzinformation muss nicht lang sein. Sie sollte sich auf das Notwendigste beschränken und einen guten Überblick über die Datenverarbeitungen geben. Dazu können tabellarische Übersichten dienen, die auf sehr kleinem Raum alle notwendigen Informationen enthalten. Niemand hat ernsthaft Lust, sich durch Seiten von Fließtext zu quälen, um sich dort die relevanten Informationen mühsam zusammen zu sammeln.
Eine Datenschutzerklärung sollte nicht für Juristen geschrieben werden sondern für den “Normalbürger”, der wissen will, was mit seinen Daten geschieht. Und noch eine Bitte zum Schluß: Lassen Sie den Unsinn, jeden um Zustimmung zu Ihrer Datenschutzerklärung zu bitten. Dies ist erstens nicht notwendig und kann zweitens auch ein Schuß nach hinten sein, wenn nämlich eine solche Erklärung dadurch Vereinbarungscharakter bekommt und somit den strengen Prüfkriterien für AGB’s unterfällt.
