Wie kommunizieren Sie Datenschutz? Bei der Betrachtung der datenschutzrechtlichen Anforderungen stehen meist die diversen Dokumentationspflichten des Verantwortlichen, beispielsweise die Bereitstellung von Datenschutzinformationen gemäß Art. 13 DS-GVO , die vertragliche Einbindung externer Dienstleister im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DS-GVO oder die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO im Fokus. Gleichwohl diese Dokumentationspflichten einen zentralen Aspekt der datenschutzrechtlichen Normierungen darstellen, kann in der alltäglichen Datenschutz-Praxis die richtige Kommunikation dieser Thematik einen sehr großen Einfluss auf die erfolgreiche Umsetzung der gesetzlichen Anforderungen nehmen. Nachdem wir uns in der vergangenen Woche bereits die Erwartungen der beteiligten Akteure sowie die interne Kommunikation angesehen haben, setzen wir uns heute mit der externen Kommunikation auseinander.
Datenschutz extern kommunizieren
Verantwortliche sollten sich grundsätzlich bewusst sein, dass sämtliche Datenverarbeitungen und Datenschutzinformationen, welche für Externe einsehbar sind, ihr datenschutzrechtliches Aushängeschild darstellen. Im Rahmen der Werkzeuge digitaler Kommunikation betrifft dies insbesondere die bereits erwähnten Internetseiten, Präsenzen in sozialen Netzwerken und Apps. Die Einbeziehung datenschutzrechtlicher Expertise kommt jedoch in diesem Bereich häufig zu kurz.
Durch Verantwortliche wird regelmäßig die Begründung des Missverhältnisses zwischen Aufwand und Nutzen einer detaillierten datenschutzrechtlichen Betrachtung sowie einer vollständig datenschutzkonformen Umsetzung der Datenverarbeitungen vorangestellt. Grundsätzlich wird jedoch im Rahmen der Umsetzung rechtlicher Anforderungen ein Vergleich von Aufwand und Nutzen nur in seltenen Fällen zugunsten des (wirtschaftlichen) Nutzens ausfallen. Hingegen ist regelmäßig eine Abwägung zwischen Aufwand und Risikobereitschaft zu empfehlen. Schließlich hat nach Art. 77 DS-GVO „jede betroffene Person […] das Recht auf Beschwerde bei einer Aufsichtsbehörde […], wenn die betroffene Person der Ansicht ist, dass die Verarbeitung […] gegen diese Verordnung verstößt.“ Das heißt, grundsätzlich steht allen Nutzenden der diversen Kommunikationskanäle ein Beschwerderecht zu, sofern diese auch nur der Ansicht sind, der Verantwortliche verstoße gegen datenschutzrechtliche Bestimmungen. Allein aus dem hieraus erwachsenden Risiko sollte vermehrt eine Betrachtung der datenschutzrechtlichen Aspekte erfolgen. Alternativ ist von einer hohen Risikobereitschaft auszugehen. Unter Berücksichtigung der Sanktionsmöglichkeiten der Aufsichtsbehörden, einschließlich der Möglichkeit zur Untersagung ganzer Datenverarbeitungen, kann dies jedoch kaum den Zielen einer erfolgreichen digitalen Kommunikation entsprechen.
Aufgrund der Komplexität und des Zusammenwirkens der rechtlichen Materie sowie der zahlreichen technischen Aspekte, ist im Rahmen digitaler Kommunikationsmittel stets der Datenschutzbeauftragte einzubeziehen. Mit diesem gemeinsam sollte ebenfalls die Erstellung der erforderlichen Datenschutzinformationen nach Art. 13 DS-GVO (auch „Datenschutzerklärungen“ genannt) erfolgen. Dabei ist unbedingt zu berücksichtigen, dass sowohl das Interesse als auch die Akzeptanz von ausufernden Datenschutzinformationen meist gering ist. Freilich muss eine solche Information inhaltlich den rechtlichen Anforderungen genügen, dies bedeutet jedoch keine Pflicht zum Füllen einer solchen mit inhaltsleeren Floskeln. Beispielsweise kann die Formulierung „Wir freuen uns sehr über Ihr Interesse an unserem Unternehmen. Datenschutz hat einen besonders hohen Stellenwert für die Geschäftsleitung. […]“ nicht überzeugen und wirkt nahezu ironisch, wenn die Datenverarbeitungen und Informationen erkennen lassen, dass es dem Verantwortlichen deutlich an datenschutzrechtlicher Expertise oder Willen mangelt. Auch ein häufig vorkommendes Zitieren der einzelnen Begriffsbestimmungen nach Art. 4 DS-GVO wird durch keine einzige datenschutzrechtliche Norm gefordert und führt lediglich zum ergebnislosen Aufblähen einer, dem Normtext nach, der Transparenz dienenden Erläuterung der Datenverarbeitungen.
Unumstritten bedingt eine solche Formulierung der Datenschutzinformationen einer detaillierten Auseinandersetzung mit den jeweiligen Datenverarbeitungen. Dies kann zugleich als Chance gesehen werden, die jeweiligen Datenverarbeitungen zu betrachten und deren zwingende Erforderlichkeit zu hinterfragen. In der Praxis kommt es nicht selten vor, dass im Rahmen der Nutzung von Analysesoftwares nur ein Bruchteil der Ergebnisse für die tatsächliche Auswertung, z.B. der Reichweitenanalyse, benötigt werden. Gängige Anbieter ermöglichen beispielsweise detaillierte Aussagen über bestimmte demografische Merkmale und Interessen der Nutzenden. Werden diese Kategorien personenbezogener Daten für die tatsächliche Auswertung nicht zwingend benötigt, widerspricht eine solche Datenverarbeitung dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO und ist mithin unzulässig.
Weiterhin dürfen im Rahmen einer Datenschutzinformation ausschließlich Datenverarbeitungen beschrieben werden, welche tatsächlich auch in dieser Form bei einer Nutzung erfolgen. Oftmals finden sich in Datenschutzinformationen Ausführungen zur Nutzung einer externen Videoplattform, obwohl keine Videos über externe Dienste eingebettet werden. Auf Anfrage heißt es dann meist, dass die aufgeführte Videoplattform in Zukunft durchaus genutzt werden könnte und der entsprechende Textabschnitt für mögliche Änderungen bestehen bleibt. Nach überwiegender Auffassung handelt es sich in diesen Fällen um eine unzutreffende und damit intransparente Datenschutzinformation, somit um einen Verstoß gegen Art. 5 Abs. 1 lit. a), Art. 12 Abs. 1 Satz 1 sowie Art. 13 DS-GVO. In diesem Zusammenhang ist ebenfalls darauf hinzuweisen, dass sogenannte „Generatoren für Datenschutzerklärungen“ ausschließlich mit Vorsicht zu gebrauchen sind. Sie ermöglichen bereits mit wenigen Klicks die Erstellung umfassender Datenschutzinformationen, welche meist jedoch nicht auf die Besonderheiten einer Internetseite angepasst sind. Werden digitale Kommunikationskanäle mehrsprachig zur Verfügung gestellt, ist in den gleichen Sprachen ebenfalls die Datenschutzinformation bereitzustellen.
Datenverarbeitungen, welche zur Darstellung einer Internetseite oder zur Bereitstellung einer App technisch nicht zwingend erforderlich sind, bedürfen darüber hinaus in der Regel einer informierten und freiwilligen Einwilligung der jeweiligen Nutzenden. Hierunter fallen insbesondere Analysedienste, Implementierungen von Medieninhalten über externe Dienstleister sowie das Setzen entsprechender Cookies. Nach Erwägungsgrund 32 zur DS-GVO erfordert eine Einwilligung stets „eine eindeutige bestätigende Handlung“, womit die betroffene Person „unmissverständlich bekundet“, dass sie mit der Verarbeitung personenbezogener Daten einverstanden ist. Unzulässig sind dementsprechend sogenannte Cookie-Banner, welche den Nutzenden keine tatsächliche Wahl über das Setzen von Cookies oder die Vornahme weiterer Datenverarbeitungen lassen. Hierzu zählen beispielsweise Cookie-Banner mit der folgenden Formulierung: „Wir verwenden Cookies. Durch den Besuch der Internetseite erklären Sie sich mit der Verwendung von Cookies einverstanden.“ Umstritten ist das sogenannte „Nudging“ und die Verwendung sogenannter „Dark Patterns“. Hierbei werden Cookie-Banner so dargestellt, dass Nutzende zur Einwilligung in die weitere Datenverarbeitung geführt werden. Dies wird in der Regel visuell durch das farbliche Hervorheben des Buttons zur Einwilligung und das Erschweren der Ablehnung der Datenverarbeitung realisiert. Die Anwendung derartiger Techniken kann in der Regel nicht mit den Grundsätzen der Fairness, Transparenz und Datenminimierung in Einklang gebracht werden.
Abschließend ist auf einen in der Praxis weit verbreiteten Fehler hinzuweisen: Die dargestellten Transparenzanforderungen im Zusammenhang mit Datenschutzinformationen gelten ebenfalls für Präsenzen in sozialen Netzwerken. Das heißt, auch für diese digitale Kommunikationskanäle ist zu beschreiben, welche konkreten Datenverarbeitungen durch den Verantwortlichen sowie den Betreiber des sozialen Netzwerks als sogenannten gemeinsamen Verantwortlichen durchgeführt werden. Hierbei reicht es nicht aus und stellt ebenfalls einen Verstoß gegen datenschutzrechtliche Anforderungen dar, sofern ausschließlich eine Verlinkung auf die Datenschutzinformation der Internetseite erfolgt. Jeder Kommunikationskanal bedarf einer separaten Beschreibung der jeweils vorgenommenen Datenverarbeitungen. Die Implementierung derartiger Informationen gestaltet sich hingegen schwierig. Während einige soziale Netzwerke für die Verlinkung separate Felder vorsehen, muss in anderen sozialen Netzwerken die Biografie oder der Link zur Internetseite verwendet werden, um Datenschutzinformationen bereitstellen zu können. In diesem Zusammenhang eignen sich extra hierfür angelegte Landingpages.
Fazit
Bei der Betrachtung der Umsetzung datenschutzrechtlicher Anforderungen stehen die Dokumentationspflichten im Fokus. Dabei ist jedoch zwingend zu berücksichtigen, dass Datenschutz nicht von der Dokumentation, sondern insbesondere von der praktischen Umsetzung und einer angemessenen Kommunikation lebt. Eine besondere Herausforderung besteht dabei in den unterschiedlichen Erwartungen der jeweiligen Akteure. Um die datenschutzrechtlichen Anforderungen und Erwartungen umfassend umzusetzen, bedarf es einer funktionierenden Datenschutzorganisation und der Möglichkeit Missstände und Verbesserungspotenziale offen zu kommunizieren. Dem Datenschutzbeauftragten kommt hier eine zentrale Rolle zu, gleichwohl er nicht für die tatsächliche Umsetzung verantwortlich ist. Zusätzlich können Dienstleister einen entscheidenden Beitrag zur datenschutzkonformen Verarbeitung personenbezogener Daten leisten. Insbesondere im Rahmen der Erstellung und Bereitstellung digitaler Kommunikationskanäle empfiehlt sich die Aufnahme etwaiger Anforderungen in den Dienstleistungsverträgen. Schließlich stellen Internetseiten, Präsenzen in sozialen Netzwerken und Apps sowie deren Datenschutzinformationen das datenschutzrechtliche Aushängeschild des Verantwortlichen dar. Aufgrund der Komplexität der Thematik sowie der rechtlichen Risiken, empfiehlt sich stets die Einbindung des Datenschutzbeauftragten und eine detaillierte Auseinandersetzung mit den rechtlichen Anforderungen. Es sind eine Vielzahl von Besonderheiten zu berücksichtigen, jedoch zeigt sich in der Praxis, dass oftmals auch mit geringem wirtschaftlichem Aufwand in einigen Bereichen ein enormes Potenzial für datenschutzkonforme Lösungen vorhanden ist. Auf die rechtlichen Grundvoraussetzungen haben Verantwortliche keinen Einfluss, gleichwohl aber wie sie mit diesen umgehen können und wollen. Frei nach Art. 25 DS-GVO gilt: Datenschutz ist Einstellungssache. Dies betrifft gleichermaßen Mensch und Maschine.
Dieser Beitrag war ein Bestandteil der Jahrestagung des Sächsischen Museumsbundes e.V. unter dem Titel „Museen und digitale Kommunikation“
am 21. März 2022 in Hoyerswerda.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
