Direkt zum Inhalt

Datenschutzerklärungen: "Das kann man dem Verbraucher nicht zumuten"

56 Seiten Datenschutzerklärung ohne Punkt und Komma in Juristendeutsch, eine "friss-oder-stirb"-Praxis und so genannte Lockin-Effekte, die es beinahe unmöglich machen, einen Dienst zu verlassen ohne Daten zu verlieren: Die so genannte "freiwillige Einwilligung" in die Datenschutzbestimmungen ist viel weniger freiwillig, als ihr Name suggeriert. Florian Glatzner vom Verbraucherzentrale Bundesverband erklärt, wieso sie aus seiner Sicht trotzdem die erste Wahl sein sollte, um die Verbraucher zu schützen.
Ein Würfel mit Paragraphensymbolen auf einer Tastatur

Herr Glatzner, wer sich bei einem Dienst im Internet anmeldet oder eine App auf das Smartphone lädt, bekommt häufig eine seitenlange, kaum verständliche Erklärung präsentiert, in die er einwilligen "darf". Ist diese so genannte freiwillige informierte Einwilligung in Zeiten der digitalen Massengeschäfte nicht eine Farce?

Das Problem ist aus meiner Sicht nicht die Einwilligung, sondern die Art, wie sie umgesetzt wird, das zeigt Ihr Beispiel ja sehr deutlich.

Kennen Sie jemanden, der diese Texte wirklich durchliest, bevor er einwilligt?

Florian Glatzner | Florian Glatzner ist seit 2011 als Referent für den Verbraucherzentrale Bundesverband e.V (vzbv) tätig und im Team Digitales und Medien für den Themenbereich Datenschutz verantwortlich.

Das ist eines der Hauptprobleme: erst kürzlich hat die Verbraucherzentrale Nordrhein-Westfalen einen Prozess gegen Samsung gewonnen, weil Nutzer von dessen Smart TV eine Datenschutzerklärung präsentiert bekamen, die 56 Seiten lang war, ein Fließtext ohne Absätze, Überschriften und so weiter. Das ist kein Wunder, dass das keiner durchliest.

Und selbst wenn man mal versucht, sie durchzulesen: Solche Erklärungen sind kaum zu verstehen. Kann man dem Verbraucher wirklich zumuten, dass er auf dieser Grundlage eine Entscheidung treffen muss?

Nein, das kann man dem Verbraucher nicht zumuten. Die Verständlichkeit der Datenschutzerklärung ist das zweite Problem, das ich sehe: wir haben kürzlich einen Klage gegen WhatsApp gewonnen, weil deren Datenschutzerklärung ausschließlich auf Englisch angeboten wurde. Wenn sich ein Dienst an deutsche Nutzer richtet, muss die Datenschutzerklärung auch in Deutsch vorhanden sein.

Aber selbst dann: In den Datenschutzerklärungen sichern sich die Anbieter in schönster Anwaltssprache gegen alle denkbaren Fälle ab. Müssen künftig alle Verbraucher Jura studieren, um eine informierte Einwilligung im Wortsinne erteilen zu können?

Da haben Sie recht: Solche Texte sind von Juristen für Juristen geschrieben, nicht für Verbraucher. Diese setzen einfach ihr Häkchen, weil sie diesen Dienst nutzen wollen – und ihn anders nicht bekommen. Und das führt direkt zum nächsten Problem: Die Praxis ist meistens "take it or leave it" – entweder, Sie willigen ein, oder Sie können diesen Dienst nicht nutzen. Das ist keine echte Wahlfreiheit.

Wenn mein ganzes soziales Umfeld bei Facebook ist, würde eine Entscheidung dagegen ja einen Schritt in die Isolation bedeuten. Wie frei kann so eine Entscheidung sein?

Diese Netzwerkeffekte sind ein weiteres Problem, das ich sehe. Ich kann mich natürlich bei einem total datenschutzfreundlichen Netzwerk anmelden, aber das bringt mir nichts, wenn meine Freunde dort nicht sind. Dazu kommen Lock-in-Effekte: Habe ich mich mal für ein Netzwerk entschieden und alle meine Bilder hochgeladen, dann verlasse ich es nicht so schnell wieder, auch wenn es seine Datenschutzbestimmungen in eine Richtung ändert, die mir nicht gefällt.

"Die Praxis ist meistens "take it or leave it" – entweder, Sie willigen ein, oder Sie können diesen Dienst nicht nutzen. Das ist keine echte Wahlfreiheit."

Sie haben bis jetzt lauter sehr einleuchtende Argumente genannt, warum eine freiwillige Einwilligung ganz und gar nicht gegeben ist. Wieso wollen Sie dennoch unbedingt an ihr festhalten?

Weil die informierte Einwilligung einen Kern der informationellen Selbstbestimmung darstellt. Und weil es für vieler dieser Probleme Lösungsansätze gibt. Beispielsweise könnte man Datenschutzerklärungen reduzieren und über eine gestaffelte Informationsdarstellung auflockern. Ein gutes Vorbild hier sind die Creative-Common-Lizenzen: Wenn ich ein Bild aus dem Netz verwenden will, sehe ich drei Icons, die mir deutlich machen, was ich mit den Inhalten machen darf. Klicke ich auf die Icons, erscheint eine Erklärung in menschenverständlicher Sprache.

Aber das kann ja juristisch nicht vollständig sein. Wie sichern die sich denn ab, wenn es um Grenzfälle oder weniger eindeutiges geht?

Mit der dritten Schicht: Klicke ich noch weiter, erscheint juristische Sprache – ein detaillierter, rechtssicherer Text. So sollte man das auch für Datenschutzerklärungen lösen müssen: erst Icons, dann verständliche Sprache. Und nur wer es ganz genau wissen will, sollte die 56 Seiten lesen müssen, die für Juristen formuliert sind.

Bisher haben sich die Konzerne nicht besonders um Transparenz bemüht. Wieso sollten sie eine solche für sie aufwendigere Lösung umsetzen?

Weil es attraktiv für sie sein könnte, mit gutem Datenschutz zu punkten. Im Rahmen des Nationalen IT-Gipfels 2015 hat die vom Bundesministerium der Justiz und für Verbraucherschutz und IBM geführte Plattform "Verbraucherschutz in der digitalen Welt" ein Muster für einen One-Pager veröffentlicht, der wesentliche Punkte einer Datenschutzerklärung auf einer Seite veröffentlicht. Diese Lösung arbeitet mit Verlinkungen, denn sie ist nicht der Ersatz für eine vollständige Datenschutzerklärung, sondern die Schicht darüber. Richten sich Anbieter an europäische Verbraucher, fallen sie zudem in den Geltungsbereich der europäischen Datenschutzgrundverordnung, die im Mai 2018 in Kraft tritt. Dort ist die Möglichkeit vorgesehen, Datenschutzerklärungen mittels Icons zu vermitteln. Die EU-Kommission hat den Auftrag, entsprechende einheitliche Icons zu erarbeiten.

Möglichkeit heißt aber nicht Pflicht. Ist das nicht das Problem der neuen Grundverordnung, dass sie letztlich zu zahm ist und zu sehr auf Freiwilligkeit setzt?

In der Verordnung ist festgelegt, dass die Datenschutzerklärungen in adressatengerechter Sprache verfasst sein müssen. Das betrifft beispielsweise auch viele Apps: Wenn ich eine App installiere, sehe ich bisher nur eine ganz abstrakte Beschreibung der Berechtigungen, die ich ihr erteilt habe. Das sollte sich ändern.

Immer wieder hört man, dass die Datenschutzaufsicht viel zu wenig Manpower hat, um solche Regelungen zu überprüfen. Wer beurteilt denn im Zweifelsfall, ob die Sprache adressatengerecht ist?

Schon erstmal die Aufsichtsbehörden, dann Gerichte. Wir mahnen immer wieder Unternehmen ab, wie das obige Beispiel von WhatsApp verdeutlicht. Aber ich sehe auch immer häufiger gute freiwillige Lösungen. Immer öfter erläutern Entwickler in der App-Beschreibung genau, welche Berechtigungen die App wieso braucht. Auf dieser Grundlage kann ich eine informierte Entscheidung treffen.

Sofern Sie ein iPhone besitzen oder ein Smartphone mit der neuesten Android-Version. Bislang konnte man bei Android keine einzelnen Berechtigungen entziehen...

Ab Android 6 geht das, und das ist eine gute Sache: Sie können ganz bewusst entscheiden, ob Sie einer App beispielsweise den Zugriff auf Ihren Standort erteilen, oder ob Sie die damit verbundene Funktion nicht nutzen wollen. Beispielsweise möchte die Bahn-App Ihren Standort, um Ihnen Verbindungen direkt von dort anbieten zu können. Wenn Sie aber stets selbst den nächsten Bahnhof eingeben wollen, können Sie diese Berechtigung abwählen.

Der Haken ist allerdings, dass Google seine vorinstallierten Apps per se erst einmal mit allen denkbaren Berechtigungen ausstattet. Aber immerhin: Wer ein bisschen sucht, findet die Stelle, an der er die Berechtigungen entziehen kann. Im Zweifel kann Google künftig also weniger Daten sammeln: Wieso machen die das?

Sie haben vielleicht gemerkt, dass die Regelung in diese Richtung geht und das vorweg genommen. Und sie wollen ein positives Image behalten und haben gemerkt, dass der Datenschutz in Europa wichtig ist. Google entwickelt sich gerade an einigen Punkten in eine gute Richtung – auch wenn wir nach wie vor viel Kritik haben.

Google wirbt aktuell mit seiner Takeout-Option, also der Möglichkeit, die eigenen Daten unkompliziert aus dem Googlekonto herunter zu laden. Ist sie tatsächlich so vorbildlich?

Ja, wir haben zwar nach wie vor viel Kritik, aber Google macht es den Menschen einfach, Google zu verlassen. Google-Takeout ist gut gestaltet: Man kann zentral an einem Punkt alle Daten herunterladen.

Was ja nicht heißt, dass Google die Daten nicht weiterhin auf seinen Servern speichert…

Dennoch ist es eine enorme Verbesserung für Verbraucher. Als das soziale Netzwerk SchülerVZ zugemacht hat, haben sich massenhaft Nutzer bei uns beschwert, dass sie mit kurzer Frist jedes Bild einzeln per Mausklick herunterladen und Texte per Copy und Paste in andere Dokumente kopieren mussten. Das ändert sich zum Glück jetzt für die Netzwerke: Diese Datenportabilität ist auch in der Grundverordnung vorgesehen.

"Die Grundverordnung ist nicht der zahnlose Tiger, als den ihn viele Kritiker verdammen."

Aber auch hier braucht es jemanden, der entscheidet, wie gut das umgesetzt ist. Bringen diese schwammigen Vorgaben der Grundverordnung wirklich einen grundlegenden Wandel mit sich?

Die Grundverordnung ist nicht der zahnlose Tiger, als den ihn viele Kritiker verdammen. Sie sieht beispielsweise auch ein Kopplungsverbot vor, das tief in die Geschäftsmodelle von Unternehmen eindringt, wenn man es konsequent durchzieht. Das Verbot besagt: die Erbringung eines Dienstes darf man nicht davon abhängig machen, dass ich in andere Dinge einwillige, die nichts mit dem Dienst zu tun haben. Das klassische Beispiel ist das Preisausschreiben, bei dem ich durch meine Teilnahme gleichzeitig dazu einwillige, dass meine Daten zu Werbezwecken verwendet werden dürfen.

Ist das nicht häufig der Fall, dass ich mit dem einen in das andere einwillige, beispielsweise: Ich nutze einen Online-Dienst und willige damit darin ein, dass meine Daten an Dritte weitergegeben werden?

Ja, das ist in der Tat Geschäftsmodell vieler Unternehmen. Bisher galt das Kopplungsverbot nur für Unternehmen mit marktbeherrschender Stellung, jetzt gilt es für alle.

Das kommt mir erstaunlich konsequent vor. Wieso haben die Lobbyisten das durchgehen lassen?

Diese Regelung ist in letzter Sekunde in die Verordnung gerutscht, sie ging nicht durch den Lobbyprozess. Es wird noch einiger Auslegung bedürfen, wie weit diese Regelung geht.

Die Datenschutzgrundverordnung stärkt also einerseits die informierte Einwilligung, bringt aber neue Probleme mit sich…

Das wird noch spannend mit der Einwilligung: gerade dass diese rechtlich gestärkt wird, könnte auch dazu führen, dass Unternehmen häufiger auf die Rechtsgrundlage des berechtigten Interesses zurückgreifen. Denn ein berechtigtes Interesse eines Unternehmens kann als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten dienen, wenn dieses Interesse den schutzwürdigen Interessen des Betroffenen überwiegt. Allerdings muss die betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten vernünftigerweise absehen können, dass möglicherweise eine Verbreitung für diesen Zweck erfolgen wird.

Was könnte ich denn vernünftigerweise erwarten?

Beispielsweise könnte man davon ausgehen, dass ich erwarten kann, dass mir ein Unternehmen Werbung für ähnliche Produkte schickt, wenn ich bereits bei diesem Unternehmen Kunde bin – ich brauche dafür nicht extra erneut um Zustimmung gefragt werden. Was ich hingegen nicht erwarten kann, ist, dass meine Daten an andere verkauft werden.

Besteht nicht die Gefahr, dass die Unternehmen die Grenzen immer weiter in Richtung ihrer Interessen verschieben?

Das darf natürlich nicht zügellos geschehen, sondern muss sorgfältig umgesetzt werden. Aber bei einer sorgfältiger Abwägung und einer engen Auslegung der "vernünftigen Erwartungen des Betroffenen" könnte dies sogar zu einer positiven Entwicklung für den Verbraucher werden: er muss viel weniger einwilligen.

Jetzt reden Sie selbst gegen die Einwilligung, die Sie eigentlich vertreten. Selbst wenn diese vereinfacht wird, wie Sie beschrieben haben, muss sich der Verbraucher immer noch mit vielen auseinandersetzen. Was spricht gegen solche Regelungen, die vernünftige Entscheidungen für den Verbraucher treffen?

Das eine ersetzt das andere nicht vollständig. Normalerweise ist alles verboten, außer ich habe ein berechtigtes Interesse oder der Nutzer willigt ein. Und das finde ich gut, denn es verhindert eine Ausweitung zu Ungunsten des Nutzers.

Eine der häufigsten Erfahrungen im Netz erscheint dem zu widersprechen: Wie kommt es, dass Nutzern Online-Werbung angezeigt bekommen passend zu Produkten, die sie auf einer anderen Seite angesehen haben – ohne je darin eingewilligt zu haben geschweige denn gefragt worden zu sein?

Das geschieht über die Cookies der Werbenetzwerke. Diese haben viele Webseiten als Kunden und setzen auf den Rechnern der Nutzer Cookies. Wenn ich dann auf eine andere Seite gehe, erkennt mich das Werbenetzwerk daran wieder. Das deutsche Telemediengesetz erlaubt die Verwendung pseudonymer Daten, um dem Nutzer persönliche Werbung zu schicken – wenn dieser eine Widerspruchsmöglichkeit hat.

Eine kurze Umfrage in meinem Umfeld hat ergeben, dass diese Widerspruchsmöglichkeit noch niemand entdeckt hat. Ist diese besonders gut versteckt?

Diese Widerspruchsmöglichkeit wird über ein kleines blaues Symbol realisiert, das Sie anklicken müssen. Das Symbol sieht aus wie eine dreieckige Klammer. Das sehen Sie natürlich nur, wenn Sie keinen Werbeblocker nutzen. Diese Widerspruchsmöglichkeit hilft allerdings nur den Nutzern, die sich der Problematik bereits bewusst sind. Eine echte, gut gestaltete Einwilligung in die Verarbeitung von persönlichen Daten zu Werbezwecken würde auch den Nutzern eine bessere Kontrolle zurück geben, die sich bisher noch nicht damit beschäftigen konnten.

(Beitrag zum 20. Berliner Kolloquium der Daimler und Benz Stiftung: "Der Datenmensch – Über Freiheit und Selbstbestimmung in der digitalen Welt", 11. Mai 2016)

Schreiben Sie uns!

Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.

Partnerinhalte

Bitte erlauben Sie Javascript, um die volle Funktionalität von Spektrum.de zu erhalten.