Vor wenigen Tagen wurden einige Ergebnisse einer aktuellen Studie des Instituts für Demoskopie Allensbach im Auftrag der Zeitschrift Focus veröffentlicht, wonach sich ein düsteres Bild abzeichnet: Danach würden hierzulande 73 Prozent der Nutzer einer Webseite bzw. von Internetdiensten die Datenschutzerklärung nicht „wirklich“ lesen; 77 Prozent der Befragten gaben gar an, das Lesen sei zwecklos, schließlich müsse man den Bestimmungen auf jeden Fall zustimmen.
Die medienwirksame Berichterstattung über die Aussagen der Studie brachte nicht nur in Kreisen der Juristen unterschiedliche Aussagen zutage, die von der Zustimmung und Resignation bis hin zu Forderungen nach verschärften Gesetzen reichten.
Eine differenzierte Betrachtung der Rechtslage ist wünschenswert wie auch die Beleuchtung der konkreten datenschutzrechtlichen Konsequenzen.
Was ist eine Datenschutzerklärung?
Zunächst gilt es zu wissen, dass eine Datenschutzerklärung (oder oftmals auch als „Datenschutzbestimmung“ bezeichnet) in Ihren Ausführungen auf einer Webseite den Informationspflichten nach Art. 13 oder Art. 14 DSGVO entspricht. Danach hat der Verantwortliche dem Betroffenen bei der Direkterhebung der personenbezogenen Daten zahlreiche Informationen „mitzuteilen“ (Art. 13 Abs. 1 DSGVO). Hierzu zählen unter anderem die Angabe des Namens und der Kontaktdaten des Verantwortlichen, die Zwecke und Rechtsgrundlage der Datenverarbeitung, ggfs. Kontaktdaten des Datenschutzbeauftragten und ggfs. Empfänger oder Kategorien von Empfängern dieser personenbezogenen Daten. Zusätzlich stellt der Verantwortliche dem Betroffenen noch weitere Informationen „zur Verfügung“, zu denen unter anderem die Speicherdauer der Daten, ggfs. das Widerrufsrecht bei einer Einwilligung, das Beschwerderecht bei einer Aufsichtsbehörde und ohnehin die gesamten Betroffenenrechte zählen.
Diese nicht abschließend genannten Informationen sollten für Transparenz sorgen und dem Betroffenen die Kontrolle über die „eigenen“ Daten ermöglichen, um beispielsweise die Auskunft über oder Löschung vom richtigen Verantwortlichen zu begehren.
Die Informationspflichten nach Art. 12-14 DSGVO nehmen eine zentrale Rolle der DSGVO ein und bilden das Fundament weiterer Kontrollrechte/Maßnahmen des Betroffenen. Die Missachtung dieser Vorgaben ist bußgeldbewehrt (vgl. Art. 82 Abs. 5 lit. b) DSGVO) und würde insgesamt ein Datenschutzmanagement bei einem Unternehmen infrage stellen. Daneben dürften sogar Abmahnungen durch Wettbewerber oder klagebefugter Verbände drohen, da womöglich eine fehlende oder fehlerhafte Datenschutzerklärung eines Verantwortlichen auf der eigenen Webseite auch zu einem Wettbewerbsverstoß führen kann.
Aber: Anders als oft behauptet muss der Betroffene nicht die Datenschutzerklärung lesen. Klickt der Nutzer nicht auf diesen Link oder scrollt er nur wenige Sekunden über diesen Text, hat es keinen Einfluss auf die Rechtmäßigkeit. Schließlich sind ihm diese Informationen zur Verfügung gestellt worden – was ausreicht. Der Verantwortliche muss sich auch nicht das „Lesen“ oder gar das Verständnis des Nutzers/Betroffenen bestätigen lassen. Ein angemessener Prozess der üblichen Kenntnisnahmemöglichkeit durch den Betroffenen ist ausreichend.
Die Einwilligung
Entgegen zahlreichen Medienberichten stellt eine „Datenschutzerklärung“ einer Webseite nicht eine unmittelbare Einwilligung dar und ist auch nicht Bestandteil einer solchen.
Vielmehr gilt die Einwilligung als eine Rechtsgrundlage einer Datenverarbeitung (Art. 6 Abs. 1 lit. a), Art. 7, Art. 8 DSGVO). Hiernach kann der Betroffene freiwillig sein Einverständnis in die konkrete Datenverarbeitung erklären, was schriftlich aber auch elektronisch (und sogar in bestimmten Fällen mündlich!) erfolgen kann. Um den hohen Anforderungen an dieses Rechtsinstrument gerecht zu werden, muss die Freiwilligkeit und Aufgeklärtheit/Informiertheit bei der handelnden Person vorliegen und sich wie insgesamt die Abgabe der Einwilligung vom Betroffenen „nachweisen“ lassen. Daher empfiehlt es sich, die Einwilligung schriftlich oder elektronisch einzuholen und damit zu dokumentieren. Bei der Einwilligung von Kindern (unter 16 Jahren) im Kontext von Diensten der Informationsgesellschaft, muss die Zustimmung durch den Träger der elterlichen Verantwortung erteilt werden.
Es lässt sich im Kontext der konkreten technischen Umsetzung auf einer Webseite wohl auch eine Formulierung mit einem einzigen Satz und Verweis auf die Datenschutzerklärung rechtskonform gestalten. Dieses hängt gewiss von der Zielgruppe und der Verständlichkeit ab.
Wird eine Einwilligung überhaupt gebraucht?
Sodann erwecken viele Nachrichten den Eindruck, es bedürfe in nahezu allen Fällen der Einwilligung des Betroffenen in die Datenverarbeitung. Es kommt zu einer Vermischung verschiedener datenschutzrechtlicher Instrumente (und Rechtsgrundlagen), die jedoch brandgefährlich ist und Datenschützer aufhorchen lassen sollten, damit dieses unbedingt bei der Umsetzung der DSGVO im Unternehmen oder auch bei Vereinen/Verbänden vermieden wird.
Zum einen bietet die Verordnung in Art. 6 DSGVO zahlreiche Rechtsgrundlagen, auf die eine Datenverarbeitung ohne Einwilligung des Betroffenen gestützt werden kann und unter Umständen mehr Rechtssicherheit bietet. So kann eine Datenverarbeitung zulässig sein, wenn sie für die Erfüllung eines Vertrages erforderlich (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) oder für die Erfüllung einer rechtlichen Verpflichtung aufseiten des Verantwortlichen erforderlich (Art. 6 Abs. 1 S. 1 lit. c) DSGVO) ist. Und auch das berechtigte Interesse des Verantwortlichen bietet häufig eine gültige Rechtsgrundlage (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
In diversen Situationen, insbesondere bei der Beziehung des Verantwortlichen zum Betroffenen (Käufer/Kunde, beworbener Interessent, Patient, Bewerber, Mitarbeiter), greifen häufig die gesetzlichen Rechtsgrundlagen (aus Art. 6 Abs. 1 DSGVO), so dass sich nicht der Einwilligung des Betroffenen bedient werden muss.
Es könnte sogar unter Umständen schädlich sein, eine Datenverarbeitung parallel auf eine Einwilligung sowie eine gesetzliche Vorschrift zu stützen und dann die Transparenz über die Rechtsgrundlage sowie Rechtsfolge unterschiedlicher Vorschriften zu gefährden. Im worst case-Szenario wird von einem Gericht die gesamte Datenverarbeitung für rechtswidrig erachtet.
Was ist eigentlich gemeint?
In der Praxis finden sich Datenschutzbestimmungen als Teil von Nutzungsbestimmungen oder AGB (Allgemeine Geschäftsbedingungen) des Anbieters wieder. Dann findet das Datenschutzrecht auch Einzug in das Verbraucherrecht und allgemeine Vertragsrecht. Bei prominenten Social Media-Portalen und Diensten wie auch Apps oder IoT (Internet of Things)-Endgeräten wurden vom Hersteller/Betreiber zahlreiche Regelwerke kreiert – und eines dieser Regelungen sind dann die Nutzungsbestimmungen, innerhalb derer dann wiederum über den Datenschutz aufgeklärt wird. Dieses führt teilweise zu einem Konglomerat aus Datenschutz und Vertragsrecht und verwirrt den Nutzer.
Doch wie oben bereits geschrieben: Die Wirksamkeit und Rechtskonformität der Datenschutzerklärung setzt keine zwingende/bestätigende Kenntnisnahme des Einzelnen voraus, sollte jedoch verständlich und gem. Art. 13, 14 DSGVO aufklären und ähnlich wie das „Impressum“ als Anbieterkennzeichnung in Deutschland leicht aufzufinden sein. Zu begrüßen ist daher eine deutliche Trennung der Datenschutzerklärung von den Nutzungsbedingungen.
Kann jedoch auf Grund einer sehr umfangreichen Datenverarbeitung und mangels anderer Rechtsgrundlagen einzig die Einwilligung des Betroffenen als Lösung herhalten, gilt folgendes: Eine Einwilligung als „Zustimmung in die Datenverarbeitung“ sollte freiwillig und in informierter Weise abgegeben werden und daher nicht in Nutzungsbestimmungen „versteckt“ sein, womit diese wahrscheinlich im Ergebnis als nicht rechtskonform gelten dürfte. Der Nutzer muss also nachweisbar aktiv Handeln. Auch sollte die Einwilligung nicht an weitere Erklärungen „gekoppelt“ werden.
Fazit
Die Problematik lässt sich daher wie folgt zusammenfassen:
- Eine Datenschutzerklärung muss nicht gelesen, und erst recht nicht deren Kenntnisnahme bestätigt werden.
- Die Einwilligung wird häufig zu Unrecht herangezogen oder fälschlicherweise angewendet.
- Ist die Einwilligung tatsächlich gefordert, muss diese rechtskonform durch eine nachweisbare, freiwillige und eindeutig bestätigende Handlung des Betroffenen umgesetzt werden.
- In der Praxis werden teilweise diverse Inhalte (Nutzungsbestimmungen, Datenschutzerklärung) miteinander vermengt, was kritisch zu sehen ist, weil es zu mangelnder Transparenz führen kann.
26. Juli 2021 @ 14:34
Ich möchte mich zu dem Thema Datenschutz genauer informieren. Gut zu wissen, dass diese eine Informationspflicht ist. Ich denke ich werde mich nach einer Schulung für Datenschutz umsehen, damit ich mehr lernen kann (https://jmh-datenschutz.de/datenschutz-fuer-unternehmen/mitarbeiterschulung).
26. Juli 2021 @ 15:35
Sehr geehrte Frau Hayder,
da brauchen Sie sich gar nicht woanders umsehen, auch hier sind wir Ihr kompetenter Partner: https://www.datenschutz-nord-gruppe.de/seminare/elearning
Mit freundlichen Grüßen
Daniela Windelband
3. Oktober 2019 @ 13:45
Sehr guter Artikel – hier greifen Sie zwei wesentliche Knackpunkte auf: Die Einwilligung und die Datenschutzerklärung. Beides könnte man aus meiner Sicht eigentlich abschaffen, weil es nachweislich nichts bringt. Die eigentlich bezweckte Transparenz wird nicht geschaffen, weil niemand die Datenschutzerklärungen liest und falls doch, nicht versteht, weil es sich nur um elend langes juristisches Kauderwelsch handelt. Teilweise sogar sachlich falsch, weil nur mit Generator-Tools zusammengeklickt.
Und auch Einwilligungen sind selten notwendig und falls doch, nicht freiwillig. Oft kriegt man ein Dokument hingeschoben mit den Worten: „… und dann müssen Sie noch hier unterschreiben wegen Datenschutz.“ Da bedarf es Mut, sich zu wehren. Anschließend ist man dann der ungeliebte Kunde, weil dem Verkäufer die Provision für die Werbe-Einwilligung flöten gegangen ist. Das kann es doch nicht sein. Oder?