DS-GVO: Zu lange Datenschutzerklärungen? Klick-Müdigkeit? Ihr freundliches Bundesinnenministerium hat da etwas für Sie.

von Dr. Axel Spies, veröffentlicht am 29.04.2019

Es ist nicht überraschend, dass die DS-GVO dazu geführt hat, dass die Datenschutzerklärungen der Unternehmen länger und länger (und insgesamt unverständlicher) werden. „Im Fall von Paypal benötigt man rund 24 Minuten zum Lesen der Datenschutzerklärung“, klagte jüngst der Chef des Verbraucherzentrale Bundesverbands (VZBV), Klaus Müller. Diese Kalkulation berücksichtigt die 48-seitige Aufzählung Dritter, an die Daten weitergeleitet werden, noch nicht einmal. Es ist klar warum dem so ist: Die Unternehmen hoffen, in der Datenschutzerklärung möglichst alle Eventualitäten abzudecken.

Das Problem betrifft nicht zur Datenschutzerklärungen und Informationen nach Art. 13 und 14 DS-GVO: Auch bei Cookie-Einwilligungen setzen die Nutzer lieber schnell einen Haken setzen als die Erklärung zu lesen – gerade bei Apps, deren Datenschutzerklärungen auf dem Smartphone erscheinen.

Das Bundesinnenministerium ist ein seiner Antwort auf eine Kleine Anfrage der der FDP vom 05.04.19 (BT-Drs 19/9168) nicht glücklich mit der Situation (s. Antwort zur Frage 4). In der Antwort zu Frage 9 schlägt das Ministerium folgende Maßnahmen vor gegen die Lene- und Kick-Müdigkeit vor):

  • Piktogramme, Icons oder Bildsymbole in den Datenschutzerklärungen seien gut geeignet, “bei den Nutzerinnen und Nutzer für eine bessere Verständlichkeit von Datenschutzbestimmungen zu sorgen.”

  • Einsatz von Programmen, die "automatisiert die Datenschutzerklärungen auslesen und auf bestimmte Aspekte (z. B. Datenverarbeitung aufgrund Einwilligung, Tracking, Datenübertragung an Dritte) hinweisen - vgl. Projekt „Privacy Guard.“

  • eine rechtskonforme europaweit einheitliche Muster-Datenschutzerklärung.

Zum zweiten Punkt gibt es den früheren Vorschlag des Ministeriums in Zusammenarbeit mit dem IT-Unternehmen Zalando für kompakte Datenschutzhinweise (One Pager – sozusagen eine Erklärung der Datenschutzerklärung). Zalandos Tool zum Beispiel analysiert die Datenschutzerklärungen darauf, welche Daten eine Website oder App erhebt und generiert daraus eine Kurzerklärung (einen One-Pager).

Eine weitere praktische Möglichkeit ist, dass die Anbieter in der Datenschutzerklärung mit Hyperlinks arbeiten, mit deren Hilfe der Nutzer weitere Information abfragen kann, oder mit Zusammenfassungen am beginn der Erklärung. Diesen Ansatz findet man häufig z.B. bei Apps.

Was halten Sie von solchen Ideen? Sind sie DS-GVO-konform? Welche Idee ist am besten umsetzbar?

Allgemein: Was sollte der Gesetzgeber oder die Behörde gegen die Klick-Müdigkeit der Nutzer unternehmen?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

6 Kommentare

Kommentare als Feed abonnieren

Zumindest bezogen auf Datenverarbeitungen läuft dieses Argument der Selbstverantwortung doch leer. Gerade aufgrund der Informationsasymmetrien fehlt dem Betroffenen ja hier mangels Einsicht in und Verständnis der komplexen technischen Anlagen die Grundlage um überhaupt eine eigenverantwortliche Entscheidung treffen zu können. Ob die Informationspflichten in ihrer jetzigen Ausgestaltung dieses Problem lösen können steht sicher auf einem anderen Blatt. Eine komplette Abschaffung ist aber sicher der Selbstverantwortung nicht zuträglich.

0

Das klingt im Grundsatz alles gut, scheitert aber meiner Meinung nach häufig aus praktischen Gründen:

Die versprochenen einheitlichen Icons gibt es bisher noch nicht. Der Aufwand für individuelle Bebilderung ist sehr hoch. Individuelle Bebilderung dient zwar dem Verständnis, aber nicht dem schnellen Erfassen aufgrund bekannter Symbole.

Automatisierte Auslesung ist schlicht und einfach nicht weit genug verbreitet. Ein leistungsfähiger und ausreichend akzeptierter Nachfolger von p3p ist nicht in Sicht.

Die One-Pager eigenen sich bei komplexeren Verarbeitungen mE nur als erste Übersicht, der zwingend in einem "Layered Approach" (ähnlich wie oben Hyperlinks) weitere, detaillierte Informationen folgen müssen.

Ausführlichere Gedanken zu Datenschutz und Kommunikation: https://stiftungdatenschutz.org/themen/datenschutzkommunikation/

0

Den Einsatz von Links halte ich überaus gefährlich, gerade das Verteilen über mehrere Seiten hat die CNIL im Falle Google ausdrücklich bemängelt.

Pictogramme gehen natürlich nur, wenn sie nicht einen unzulässigen Eindruck erwecken, sonst ist es ja wieder irreführend.

Die Krux ist, dass sich sowohl die Vebraucher- als auch die Datenschützer bisher auf ein Geht-So-Nicht zurückziehen, selbst aber keine Erklärungen geben wollen, wie es auszusehen hat.

0

Das ist doch kein Problem der DS-GVO. Das ist ein Problem der überbordenden Bürokratie, die uns innerhalb der EU so viel zu schaffen macht. Warum boomt der Binnenhandel in der EU nicht? Warum gibt es nur Zuwächse außerhlab der EU?

Weil es ZU VIELE deutsche und europäische Verordnungen gibt und ein EU-Unternehmer mit weniger Aufwand leichter außerhalb der EU verkauft. Es wird Zeit, dass wir (bzw. die Politik) den EU-Konsumenten nicht mehr als dumm und unwissend ansieht, sondern ihm wieder mehr Selbstverantwortung überantwortet. 

5

@ Horst Lüning

Nun ja, der typische Verbraucher ist freilich "dumm und unwissend", oder, um es freundlicher, in Anlehnung an die Wortwahl

von Dirk Pohl zu sagen, es fehlen den Adressaten in der Regel die Verständnismöglichkeiten, um überhaupt eine eigenverantwortliche Entscheidung treffen zu können. Mein Berufsalltag, wie vermutlich vieler Rechtsanwälte, besteht aus Menschen, die kurzsichtige und schlecht (wenn überhaupt) durchdachte Entscheidungen treffen. Die Leute sind schlicht sehr schnell überfordert.

Das alles ändert freilich nichts daran, dass die DS-GVO ein bürokratischer Albtraum ist. Mir ist unbegreiflich, warum ERST JETZT jemand auf den Gedanken kommt, dass eine Mustererklärung eine gute Idee für Rechtssicherheit sein könnte.

0

Hier ein gutes Beispiel, wie die EU Kommission in einer Infografik zur DS-GVO Icons verwendet: 

https://ec.europa.eu/justice/smedataprotect/index_en.htm

In Erwägungsgrund 166 zur DS-GVO heißt es dazu: "...Delegierte Rechtsakte sollten insbesondere in Bezug auf die für Zertifizierungsverfahren geltenden Kriterien und Anforderungen, die durch standardisierte Bildsymbole darzustellenden Informationen und die Verfahren für die Bereitstellung dieser Bildsymbole erlassen werden."

 

Geschehen ist bislang nichts. Vgl. auch das Editorial von Auer-Reinersdorf in MMR 2019, 209 (Heft 4). Das Risiko für die Transparenz und Verständlichkeit der Bildsymbole trägt derzeit der Verantworliche.

Kommentar hinzufügen