Haben Sie auch schon brav auf das Kästchen „Ich stimme der Datenschutzerklärung zu“ geklickt, um eine Webseite aufzurufen? Dann haben Sie doch bestimmt immer vorher die entsprechenden Datenschutzerklärungen gelesen. Wie, etwa nicht? Oje, dann…

… geht es Ihnen wie den meisten Menschen. Man will die Seite nutzen, und ellenlange Erklärungen werden in aller Regel „weggeklickt“. Genau diesen Effekt sollte die DSGVO aber eben nicht erzeugen. Die Frage ist deshalb: Muss eine solche Zustimmung überhaupt sein? Hier 5 Argumente, weshalb meine Antwort „Nein“ lautet.

Punkt 1: Uneindeutig

Die Einwilligung gemäß DSGVO muss spezifisch sein. Ich kann einwilligen, einen Newsletter von Firma A zu erhalten. Ich kann einwilligen, dass mein Nutzungsverhalten aufgezeichnet wird, um Webseiten aufmerksamkeitsstärker zu gestalten. Oder um Werbung nicht allgemein, sondern gemäß meiner Interessen zu erhalten. Aber ich kann nicht in 5-seitige Datenschutzerklärungen mit unterschiedlichsten Tatbeständen einwilligen. Zumindest nicht wirksam.

Punkt 2: Unverständlich

Informationen sollen laut DSGVO in verständlicher, d.h. einfacher und klarer Sprache erfolgen. Die allermeisten Erklärungen heben derzeit auf größtmögliche Vollständigkeit ab (logisch: damit minimiert man das Risiko, etwas nicht erwähnt zu haben und dafür abgemahnt zu werden). Bei einer genaueren Untersuchung, was verschiedene betroffene Personen darunter verstehen, würden diese Texte höchstwahrscheinlich durchfallen (jaja, schon gut: meine sind da auch noch verbesserungswürdig). Das ist zwar kein originäres Problem der Datenschutzgesetze, ich bezweifle aber, ob im Streitfall z.B. die Erläuterung zu DoubleClick als zustimmungsfähig gelten kann.

Punkt 3: Unangebracht

Einwilligungen sind nur dort erforderlich, wo personenbezogene Daten über ein Maß hinaus verarbeitet werden, welches den Vertrag (z.B. die Webseitennutzung), eine gesetzliche Pflicht oder das Eigeninteresse des Unternehmens deutlich übersteigt. Aufsichtsbehörden und Experten warnen sogar davor, Einwilligungen zu verwenden, wo andere Erlaubnistatbestände ausreichen. Deshalb gehen alle Beteiligten davon aus, dass z.B. cookies, die zur Funktion einer Seite benötigt werden, keiner Zustimmung bedürfen. Ich persönlich würde darüber hinaus auch cookies zur Optimierung von Webseiten als eine Datenverarbeitung ansehen, die im überwiegenden Interesse von Unternehmen liegt. Klar ist auf jeden Fall: Wenn individuelle Nutzungsdaten an andere weitergegeben werden und insbesondere mit Daten aus anderen Quellen (sozialen Netzen etc.) angereichert werden, kann es nur eine Einwilligung als Erlaubnis der Verarbeitung geben. Aber dann bitte genau dafür.

Punkt 4: Unnötig

Für den Abschluss eines Vertrags wird meist die Akzeptanz von Allgemeinen Geschäfts- oder Nutzungsbedingungen zur Voraussetzung gemacht. Die Zustimmung zu Datenschutzerklärungen läuft nicht selten ähnlich bzw. wird zeitgleich mit der Zustimmung zu AGB abgefragt. In beiden Fällen gilt: wenn dort etwas steht, das den gesetzlichen Regelungen widerspricht, kann man es getrost als unwirksam betrachten. Wer also lediglich wiederholt, was im Gesetz steht, kann sich das sparen. Wer etwas formuliert, das den gesetzlichen Grundlagen zuwiderläuft, auch.

Punkt 5: Unwebmäßig

Der Vorteil einer Webseite ist, dass sie einen gut zugänglichen Kommunikationskanal darstellt, mit dem man die meisten betroffenen Personen gut erreicht. Daher findet man dort regelmäßig (und auch gesetzlich bedingt) Datenschutzerklärungen, Richtlinien, one-pager etc., um den betroffenen Personen die notwendige Transparenz zum Umgang mit ihren Daten zu verschaffen. Nun formuliert die DSGVO u.a. Nachweispflichten für die Verantwortlichen. Dementsprechend wäre der Wunsch eines Verantwortlichen verständlich, die erfolgte Information zum Umgang mit Daten zu belegen. Nur: was genau und in welcher Form nachgewiesen werden soll, ist im Gesetz nicht genauer spezifiziert. Ob also jede einzelne betroffene Person aktiv die Information wahrgenommen bzw. bestätigt haben muss, darf man in Frage stellen. Aus meiner Sicht reicht es, die Informationen für die betroffenen Personen leicht zugänglich zur Verfügung zu stellen und zu lenken (regelmäßig prüfen, aktualisieren, versionieren). Sonst tritt der eingangs erwähnte „Wegklick-Effekt“ in Kraft. Webmäßig heißt: einfach, knapp, schnell erfassbar. So sollten auch Datenschutzhinweise sein.

Fazit

Auch wenn manche Datenschutzexperten es nicht gerne hören: Das Lesen von Datenschutzerklärungen steht auf der Prioritätenliste von betroffenen Personen recht weit unten, ob es nun Kunden, Mitarbeiter oder Webseitenbesucher sind. Vor der Nutzung möglichst viele Abfragen zu setzen, halte ich für ein Zeichen von überhöhtem Rechtfertigungsbedürfnis. Wichtiger und wirksamer ist, die Nutzung von personenbezogenen Daten zu hinterfragen und auf ein vernünftiges Maß zu begrenzen.