Mitautor: Christian Frerix, wissenschaftlicher Mitarbeiter*
Das BMJV hat vor gut zwei Wochen, am 19.11.2015, als Ergebnis des diesjährigen IT-Gipfels ein „Muster für Datenschutzhinweise“ auf nur einer DIN-A4-Seite vorgestellt. Dieser sog. „One Pager“ soll nach eigener Aussage nun von Unternehmen genutzt werden können, um ihre Datenverarbeitung gegenüber Verbraucherinnen und Verbrauchern auf einfache Weise im Internet transparent zu machen. Hilfestellungen gibt’s im Rahmen einer Erläuterung für den Verwender des „One Pagers“. Das klingt erstmal nicht schlecht. Haben doch selbst schon einfache Unternehmenswebseiten Datenschutzerklärungen, die gerne vier DIN-A4-Seiten umfassen. Bei etwas komplexeren Telemediendiensten bzw. Geschäftsmodellen können es auch einmal fünfzehn Seiten werden.
Doch wer sich jetzt schon auf das Ende des Leidens (ergo, der umfangreichen Informationspflichten) und eine knackige Lösung zum „Selbermachen“ freut, den müssen wir an dieser Stelle leider enttäuschen. Die gesetzlichen Anforderungen an den Inhalt von Datenschutzerklärungen haben sich nämlich nicht geändert.
Angesichts dieser Tatsache drängt sich förmlich die Frage auf, wie das BMJV den Regelungsinhalt von fünf bis zehn Seiten auf einer Seite unterbringen kann? Die Antwort führt leider zur nächsten Enttäuschung: Gar nicht.
Denn noch bleibt ein Gedanke: Wenn also weiterhin umfangreich informiert werden muss und das BMJV das irgendwie mit einer DIN-A4-Seite schafft, dann kann ich das als Unternehmen schon lange! Deshalb spar ich mir die „richtige“ Datenschutzerklärung in Zukunft einfach! Oder?
Nun ja, sagen wir es mal so:
Warum der „One Pager“ eine Datenschutzerklärung nicht ersetzt und für wen er dennoch nützlich sein kann, wird im nachfolgenden Beitrag geklärt.
Datenschutz und Pflichten eines Diensteanbieters
Erhebt, verwendet oder verarbeitet der Anbieter eines Telemediendienstes (Webseite, Blog, Apps, etc.) personenbezogene Daten, so ist er gesetzlich dazu verpflichtet, den Nutzer zu Beginn des Nutzungsvorgangs darüber in allgemein verständlicher Form zu unterrichten (§ 13 TMG). Personenbezogen sind alle Daten, die einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (z.B. Name, Adresse, Twitter-Handle etc.). Eine Unterrichtung erfolgt meist unter dem Namen „Datenschutzrichtlinie“, „Datenschutzerklärung“ oder „Private Policy“.
Diese Verpflichtung soll gewährleisten, dass der Nutzer darüber informiert wird, was mit seinen Daten passiert. Mit dem nötigen Hintergrundwissen soll er dann frei verantwortlich entscheiden können, ob er diese preisgibt oder nicht. So die Theorie. In der Praxis werden die (manchmal sogar „aufpoppenden“) Erklärungen regelmäßig nicht gelesen. Gleiches gilt selbst dann, wenn eine Zustimmung zu den Datenschutzbedingungen zur Nutzung des angebotenen Dienstes notwendig ist. Hier wird schlicht der Haken gesetzt. Frei nach dem Motto: Mir bleibt ja keine Wahl. Bestätigt wird dabei weniger der tatsächlich gelesene Inhalt als vielmehr die Kenntnis vom Bestehen irgendwelcher Regelungen, in denen irgendetwas über Datenerhebung steht. Wer liest schon freiwillig zehn Seiten lang(weilig)en Datenkram, wenn er doch in dieser Zeit seine Onlinekäufe abwickeln oder jede Menge neuer Freunde verlinken könnte? So ergab auch eine von BITKOM research durchgeführte Umfrage, dass ca. 79 % der Internetnutzer den Datenschutzerklärungen zustimmen, ohne sie wirklich verstanden zu haben. Ein Drittel der Nutzer liest diese gar nicht erst.
Dieses Problem hat auch das BMJV erkannt und sich dessen angenommen. In der Folge wurde der „One Pager“ mit dem Ziel entwickelt, den Datenschutz transparenter und verständlicher zu gestalten. Zu diesem Zweck sollen Unternehmen das als „Muster für Datenschutzhinweise“ bezeichnete Formular verwenden. Dabei sollen die dort vorformulierten Fragen zur Art und Weise der Erhebung, dem Zweck der Nutzung, Nutzerrechten etc. individuell und übersichtlich beantwortet werden.
Ersetzt der „One Pager“ die Datenschutzerklärung?
Nein. Punkt. Schon angesichts des begrenzt zur Verfügung stehenden Platzes dräut der Verdacht, dass die Beantwortung der Fragen allein noch nicht reichen kann, um den mannigfaltigen gesetzlichen Anforderungen zu genügen (dazu unten im Einzelnen mehr). Schließlich schreibt niemand eine mehrseitige Datenschutzerklärung zum Spaß. Also muss der restliche Inhalt irgendwie anders vermittelt werden. Das weiß auch das BMJV und bedient sich beim One Pager eines Tricks. Tiefergehende Hinweise werden schlicht in einer weiteren Ebene (Mouseover/Link/Aufklappmenü) angezeigt. Sichtbar werden diese nur dann, wenn der Nutzer sich aktiv um die Anzeige der Informationen bemüht; er oder sie also auf den Link klickt oder über das Aufklappmenü scrollt. Dem Nutzer werden daher nicht weniger Informationen vermittelt, sondern diese einfach nur auf verschiedene Ebenen verteilt. Es verändert sich also nur die Art und Weise der Übermittlung. Deshalb kann der „One Pager“ auch keine Datenschutzerklärung ersetzen, da er lediglich ihren Inhalt (die Arten der Datenverabeitungen aufzeigt und Rechte angibt) anders strukturiert wiedergibt. Dies geht auch aus dem „One Pager“ selbst hervor. Schließlich ist – wenn man genau hinsieht – am Ende des Dokuments eine Verlinkung zu den Datenschutzbestimmungen vorgesehen.
Man muss an dieser Stelle leider konstatieren, dass der vom BMJV gewählte Begriff „Muster für Datenschutzhinweise“ sehr unglücklich gewählt ist – euphemistisch ausgedrückt. Wir sind uns nämlich sicher, dass eben diese Formulierung dazu führen wird, dass viele (Klein-)Unternehmer glauben werden, damit wäre das Thema „Datenschutzerklärung“ erledigt. Selbst der Verband der Internet-Wirtschaft eco brachte ein Kurzstatement heraus, das diesen Eindruck stärkte.
Mit der Presseerklärung des BMJV zum One Pager wird der Forderung nach einem „einfachen Datenschutz“ nachgekommen. Und die Wirtschaft freut es. Das wird gern aufgegriffen. Schließlich ist diese eine Seite des „Musters“ schneller und kostengünstiger erstellt als fünf oder gar zehn Seiten Datenschutzerklärung. Dazu fragt der One Pager die wesentlichen Inhalte ab, also kann man diese als Unternehmen einfach selbst eintragen. Das klingt alles wahnsinnig gut. Nur, so einfach wie das klingt, ist das eben – wie oben schon angedeutet – nicht. Schließlich müssen ja trotzdem alle Datenverarbeitungsprozesse – sei es in Form eines Fließtextes oder in Form des „One Pagers“ mit Verlinkung – mitgeteilt werden. Vielfach fehlt es den Unternehmen schon an der Kenntnis aller für die Datenschutzerklärung eigenen und „fremden“ Datenverarbeitungsvorgänge. Gerade die Einbindung von Angeboten Dritter (das einfachste ist hier noch Google Analytics) in die eigenen Webinhalte macht eine Datennutzung zunächst unüberschaubar. Entscheidend ist und bleibt immer die Verwendung der Daten im Einzelfall.
Und zu was ist der „One Pager“ dann gut?
Das – wie gesagt – irreführend bezeichnete „Muster für Datenschutzhinweise“ kann von Unternehmen allerdings gut dazu verwenden, sich der eigenen Datenverarbeitungsprozesse bewusst zu werden. Mehr als eine Art „Checkliste“ ist dieses aber nicht.
Darüber hinaus kann der „One Pager“ als zusätzliche Serviceleistung für die Nutzer gesehen werden, wenn in aller Kürze darüber informiert wird, welche Daten auf welche Weise von wem zu welchen Zwecken erhoben, verarbeitet oder genutzt werden. Insoweit dient die vereinfachte Übersicht auch als Anregung zur Auseinandersetzung mit dem Thema und der Schärfung des Bewusstseins für den Datenschutz. Ob diese ministerialen Ziele tatsächlich erreicht werden können, kann aus den hier genannten Gründen wohl eher bezweifelt werden.
Ob „One Pager“ oder Datenschutzerklärung: Was muss denn rein?
Nachdem geklärt ist, dass eine Datenschutzerklärung also nicht entbehrlich ist, soll nun überblicksartig dargestellt werden, mit welchem Inhalt sie gefüttert werden muss. Diese Übersicht dient dem Verständnis und wird dem Anspruch auf Vollständigkeit nicht gerecht. Aber jedenfalls die folgenden Fragen sollten in keiner Datenschutzerklärung unbeantwortet bleiben:
- Wer ist der Betreiber des Dienstes?
- Was sind personenbezogene Daten?
- Welche und wie viele Daten werden erhoben und gespeichert?
- Welchem Zweck dient die Erhebung, Speicherung etc.?
- Wer erhebt die Daten?
- Werden die Daten an Dritte weitergegeben?
- Werden bspw. Cookies verwendet?
- Werden Dienste Dritter in Anspruch genommen, die ihrerseits Daten erheben etc.?
- Werden Daten an Dritte weitergegeben?
- Wenn Daten an Dritte weitergegeben werden: Zu welchem Zweck? In welchem Umfang?
- Wie lange werden die Daten gespeichert?
- Welche Rechte haben die Nutzer?
Wird der Auskunftspflicht nicht oder nur unzureichend nachgekommen, drohen sowohl Ordnungsgelder seitens der Aufsichtsbehörden (wobei dies eher theoretisch, denn praktisch) als vor allem auch wettbewerbsrechtliche Abmahnungen. So ist gerade vor diesem Hintergrund der Verzicht auf eine umfangreiche Datenschutzerklärung nicht zu empfehlen.
Fazit
Der „One Pager“ ist nicht vielmehr als der hilflose Versuch, ein längst reformbedürftiges Datenschutzrecht für alle Seiten verständlich zu machen, ohne eben tatsächlich irgendetwas zu reformieren. „One Pager“ klingt wahnsinnig gut. Erst recht wenn „Muster für Datenschutzhinweise“ draufsteht, das ganze vom BMJV kommt und der „Vereinfachung“ dienen soll. Die Idee, eine Anleitung für eine einfache Übersicht zu den Datenverarbeitungsprozessen zu schaffen, ist unbenommen gut. Ganz schlecht ist jedoch die vollmundige Suggestion, dass damit einfache Lösungen für die Datenschutzerklärungen von Telemediendiensten vorliegen. Denn das ist – wie aufgezeigt – schlicht nicht der Fall. Denn wenn der One Pager vollständig ausgefüllt wird, enthält er auf allen Ebenen alle notwendigen Angaben UND es muss zudem noch eine Datenschutzerklärung vorgehalten werden.
Insoweit kann bezweifelt werden, dass der gut gemeinte Willen des BMJV, mehr Transparenz und Verständlichkeit zu schaffen, in der Praxis irgendeine Bewandnis haben wird.
Es bleibt vielmehr zu befürchten, dass der One Pager falsch verstanden und damit die Zahl der fehlerhaften Datenschutzerklärungen zunehmen wird.
Da aber eine wahre Reform des Datenschutzrechts angesichts der Entwürfe zur europäischen Datenschutz-Grundverordnung nicht in Sicht scheint, werden wir wohl weiterhin mit hochkomplexen Datenschutzerklärungen, die sich verzweifelt am bestehenden Grundsatz des „Verbots mit Erlaubsnisvorbehalt“ abarbeiten, leben müssen.
In diesem Sinne,
die Hoffnung auf weniger Deckmäntelchen und auf mehr wahre Reform durch die Datenschutz-Grundverordnung stirbt zuletzt.
*Der Jurist Christian Frerix promoviert derzeit an der Universität Hamburg und war daneben bis November 2017 in der Anwaltskanzlei Diercks (vormals: im Hamburger Büro von Dirks & Diercks Rechtsanwälte) als Jurist tätig.