Datenschutzhinweise haben es nicht leicht! Vielerorts unbeachtet, mancherorts zu ausführlich und noch häufiger zu „juristisch“ verfehlen Datenschutzhinweise nicht selten ihre Funktion, betroffene Personen in einfacher, angemessener und transparenter Weise über Datenverarbeitungsabläufe zu informieren. Wie wichtig dabei die Wahl der richtigen Sprache ist, hat sich kürzlich in den Niederlanden gezeigt: Aufgrund einer fehlenden Übersetzung von Datenschutzhinweisen hat die dortige Aufsichtsbehörde gegen den besonders bei Kindern und Jugendlichen beliebten Onlinedienst TikTok ein Bußgeld verhängt. Die Aufsichtsbehörde sah Art. 12 Abs. 1 DSGVO nicht hinreichend beachtet.
Klare Anforderungen der DSGVO
Als Ausprägung des Transparenzgrundsatzes legt Art. 12 Abs. 1 S. 1 DSGVO fest, dass Datenschutzhinweise und sonstige Informationen an betroffene Personen (z. B. Antworten auf Auskunftsersuchen) in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zu übermitteln sind. Dies gelte vor allem für Informationen, die sich speziell an Kinder richten. Nahezu der gleiche Wortlaut findet sich auch in den Erwägungsgründen 39 und 58 zur DSGVO. Die Hürden an die Ausgestaltung sind somit denkbar niedrig: Verständlich und einfach soll es sein, insbesondere wenn sich Angebot und Datenschutzhinweise an Kinder richten.
Wenig Transparenz bei TikTok
Wirklich verständlich sollen die ausschließlich auf Englisch bereitgestellten Datenschutzhinweise von TikTok für Kinder in den Niederlanden nicht gewesen sein. Die Aufsichtsbehörde betonte, dass „Verständlichkeit“ im Sinne der DSGVO zumindest verlangt, dass Verantwortliche, wenn sie sich an betroffene Personen aus einem anderen Sprachraum wenden, eine Übersetzung in diese Sprache bereitstellen. Diese Verpflichtung gelte insbesondere dann, wenn sich die Informationen an junge Empfänger richten, bei denen nicht automatisch davon ausgegangen werden kann, dass sie die Inhalte einer fremdsprachigen Datenschutzerklärung überblicken können. Nach Ansicht der Aufsichtsbehörde konnte TikTok nicht automatisch davon ausgehen, dass die betroffenen Personen (zumeist jünger als 16 Jahre) über gute Englischkenntnisse verfügen würden. Vor diesem Hintergrund wäre eine Übersetzung ins Niederländische erforderlich gewesen.
Ausrichtung und Zielpublikum sind entscheidend
Mit dieser Meinung steht die niederländische Aufsichtsbehörde nicht allein da. Mehrere, sowohl europäische als auch nationale, Datenschutzaufsichtsbehörden gehen übereinstimmend davon aus, dass eine Übersetzung von Datenschutzhinweisen dann erfolgen sollte, wenn sich das Angebot (auch) an Personen mit einer anderen Sprachherkunft richtet. Datenschutzhinweise sollten zudem in den Sprachen der Länder angeboten werden, in denen die Verantwortlichen ihre Leistungen anbieten (Marktortprinzip).
Ausschlaggebender Punkt für eine transparente Informationserteilung ist stets die Frage, an wen sich das Angebot im Einzelnen richtet. Verantwortliche müssen eine Einschätzung über ihre Zielgruppe vornehmen und anschließend bestimmen, was für diese Zielgruppe als verständlich gilt. Hierzu zählt auch, die Inhalte so einfach wie möglich wiederzugeben, gerade wenn besonders schutzbedürftige Personengruppen wie Kinder oder Personen mit niedrigem Bildungsstand betroffen sind. Da diese sich der Verarbeitung personenbezogener Daten sowie ihrer Rechte in Bezug auf diese Verarbeitung weniger bewusst sind, muss eine in der Wortwahl passende Sprache gefunden werden. Problematisch sind in diesem Zusammenhang Fachvokabular und Schachtelsätze. Stattdessen helfen kurze Sätze, ein einfach strukturierter Satzbau und allgemein gebräuchliche Worte (möglichst ohne Fremdwörter), um Datenschutzhinweise verständlich zu machen. Wichtig ist, die Informationen so darzustellen, dass die betroffenen Personen die Inhalte ohne übermäßigen kognitiven oder zeitlichen Aufwand tatsächlich nachvollziehen können. Folgende Punkte sollten hierbei berücksichtigt werden:
- Einfache Sprache! Halten Sie Datenschutzhinweise möglichst „unjuristisch“.
- Klarer Inhalt! Bleiben Sie eindeutig und vermeiden Sie Formulierungen, die Raum für Spekulationen lassen.
- Übersichtlichkeit wahren! Sorgen Sie für eine optisch ansprechende Darstellung.
- Thematische Trennung! Achten Sie auf kurze, voneinander getrennte Informationsblöcke. Vermeiden Sie „Romane“.
- Keine inhaltliche Überfrachtung! Folgen Sie dem Grundsatz: „Nur so viel wie wirklich erforderlich.“ Lassen Sie Unnötiges lieber weg. Halten Sie sich im Zweifelsfall streng an die Vorgaben der Art. 13 und 14 DSGVO.
- Empfängersprache berücksichtigen! Achten Sie auf Übersetzungen, wenn sich Ihr Angebot nicht nur an Empfänger aus dem Inland richtet.
- Besondere Empfängerkreise beachten! Formulieren Sie Datenschutzhinweise immer entsprechend dem Empfängerkreis. Versuchen Sie sich nach Möglichkeit in die Lage des Empfängers zu versetzen. Fragen Sie sich, ob die Informationen für Sie verständlich wären.
- Aktualität wahren! Prüfen Sie in regelmäßigen Abständen, ob die Datenschutzhinweise noch die jeweiligen Gegebenheiten wiedergeben.
Zusammenfassung
Nicht nur im Sinne eines fairen Miteinanders sollten Verantwortliche sich diese Handlungsempfehlungen zu Herzen nehmen und in ihre Prozesse einbauen. Als Sprachrohr zwischen dem für die Verarbeitung Verantwortlichen und den hiervon betroffenen Personen erfüllen Datenschutzhinweise einen äußerst wichtigen Zweck. Nur wenn betroffene Personen verstehen, welche Daten, wie und zu welchen Zwecken über sie verarbeitet werden, können sie Datenverarbeitungsprozesse nachvollziehen und ggf. ihre Betroffenenrechte geltend machen. Bei Verstößen gegen die transparente Informationserteilung können – wie dargestellt – auch Bußgelder ausgesprochen werden.
Maximilian Lindhammer
2. September 2021 @ 12:13
Guten Tag Herr Herz,
vielen Dank für Ihre Nachfragen. Der Hinweis, möglichst “unjuristische” Datenschutzhinweise zu verwenden, bezieht sich vor allem auf die sprachliche Ausgestaltung der einzelnen Informationsabschnitte. Entscheidend ist auch hier der Empfängerkreis: Im Regelfall werden die Empfänger von Datenschutzhinweisen keinen (umfangreichen) juristischen Hintergrund haben. Dieser Umstand sollte bei der Wahl der richtigen (An-)Sprache berücksichtigt werden. Ausführliche juristische Formulierungen können auf das nicht-juristische Auge schnell unverständlich und abschreckend wirken. Wenn möglich sollten in diesen Fällen z.B. lange, juristisch formulierte Schachtelsätze (wie man sie u.a. aus Urteilen kennt) vermieden werden. Richten sich Datenschutzhinweise hingegen vornehmlich an einen juristischen Empfängerkreis, kann durchaus die Fachsprache gewählt werden. In diesen Fällen kann ein entsprechendes Verständnis unter den Kollegen erwartet werden. Wie Sie richtig festhalten, wird ein juristischer Bezug jedoch nie auszuschließen sein, da Verantwortliche verpflichtet sind, gewisse formelle Angaben wie die Rechtsgrundlage der Datenverarbeitung mitzuteilen (vgl. Art. 13 Abs. 1 lit. c DSGVO).
Bei der Wahl des Umfangs von Datenschutzhinweisen (Stichwort: “keine inhaltliche Überfrachtung”) sollten sich Verantwortliche an den Vorgaben der Art. 13, 14 DSGVO orientieren und zu jedem der aufgeführten Punkte Informationen bereitstellen. Dies sollte in einem verhältnismäßigen Umfang geschehen. Datenschutzhinweise sollten im Ergebnis weder zu kurz noch zu lang sein. Auch zu ausschweifende Datenschutzhinweise können im Einzelfall mangels Übersichtlichkeit zu Intransparenz führen. Viel Text allein kann damit keine “Absicherung” darstellen. Verantwortliche sollten sich vielmehr fragen, ob man selbst seitenlange Datenschutzhinweise lesen und verstehen würde oder ob der gleiche Inhalt an der ein oder anderen Stelle auch kürzer und ohne Verstoß gegen die Vorgaben aus Art. 13, 14 DSGVO wiedergegeben werden kann. Verantwortliche sollten deshalb an dieser Stelle mit Augenmaß vorgehen und im Idealfall einen guten Mittelweg finden, der stets am Einzelfall ausgerichtet wird.
Viele Grüße
Maximilian Lindhammer
M. Prehn
1. September 2021 @ 17:04
Gute Generatoren enthalten einen „One-Pager“ mit einer Zusammenfassung am Anfang. Ich denke das ist auch der einzige Teil, der gelesen wird, der Rest dient alleine den gesetzlichen Pflichten.
Stefan Herz
31. August 2021 @ 11:54
Guten Tag Herr Lindhammer,
die Hinweise, die sich heute vielfach in den Datenschutzinformationen auf Webseiten finden, stammen sicherlich größtenteils aus entsprechenden Generatoren – stets mit Verweis auf die DSGVO. Da muss ich einerseits die Rechtsgrundlagen der Verabeitung angeben, soll aber in der Ausgestaltung [Zitat] „Einfache Sprache! Halten Sie Datenschutzhinweise möglichst „unjuristisch“.“ vorgehen. Zudem [Zitat] „Keine inhaltliche Überfrachtung!“. Ein Widerspruch? Hat nicht gerade die Sorge davor, hier etwas „falsch“ zu machen und dafür ggf. empfindlich sanktioniert zu werden dazu geführt, sich mit möglichst viel Text abzusichern? Wie sehen Sie das?
Mit den besten Grüßen
S. Herz