Umsetzung der informierten Einwilligung nach Datenschutz-Grundverordnung

Die informierte Einwilligung nach DSGVO bleibt eine Herausforderung - activeMind AG

Auch unter der Europäischen Datenschutz-Grundverordnung (DSGVO) bleibt die informierte Einwilligung als Legitimation für die Datenverarbeitung sehr wichtig. Doch in der Praxis stellen sich meist Probleme, die umfassende Information der Nutzer rechtskonform zu gestalten. Wie also kann die informierte Einwilligung im Rahmen der modernen Technik in der Praxis umgesetzt und sichergestellt werden? Welche Möglichkeiten gibt es, den Nutzer möglichst übersichtlich und transparent zu informieren?

Die Herausforderung der informierten Einwilligung

Die bereits aus dem Bundesdatenschutzgesetz (BDSG) bekannte informierte Einwilligung wird auch in der neuen Datenschutz-Grundverordnung in Gestalt des Art. 4 Ziff. 11 DSGVO weiter Bestand haben. Es handelt sich dabei um einen datenschutzrechtlichen Erlaubnistatbestand: Betroffene Personen müssen vor jeder Verarbeitung personenbezogener Daten umfassend informiert werden. Ziel ist es, dass die Nutzer sich darüber im Klaren sind, worin genau sie einwilligen.

In der Praxis stellt es sich jedoch immer wieder als problematisch heraus, wie die Informiertheit des Betroffenen sichergestellt werden kann, damit die Wirksamkeit der Einwilligung gewährleistet ist. Viele Nutzer sind angesichts der Informationsflut, die mit der Nutzung von Online-Diensten einhergeht und in die sie vor der Benutzung einwilligen müssen, schlichtweg überfordert.

Dies ist nicht weiter verwunderlich, wenn man bedenkt, dass z. B. die Datenschutzbestimmung von Facebook knapp zehn DIN-A4-Seiten lang ist. Solche nahezu endlosen Datenschutzbestimmungen sind leider keine Seltenheit, obwohl ausdrücklich im Gesetz vorgeschrieben ist, dass die Unterrichtung in allgemein verständlicher Form zu erfolgen hat (§ 13 Abs. 1 TMG, § 4a Abs. 1 Satz 2 BDSG).

Gesetzliche Theorie vs. Praxistauglichkeit

Die gesetzlichen Normen sollen das Recht der Verbraucher auf informationelle Selbstbestimmung schützen. So müssen die Datenschutzbestimmungen alle beabsichtigten Verarbeitungsvarianten personenbezogener Daten nennen. Doch durch den technischen Fortschritt werden die Methoden der Datenverarbeitung und mit ihr einhergehend auch die datenschutzrechtlichen Bestimmungen immer komplexer. Praktisch stellt sich das Problem, dass durch die immer ausschweifenderen Regelungen dem Erfordernis der informierten Einwilligung kaum noch entsprochen werden kann. Faktisch existiert die Entscheidungsfreiheit des Einzelnen in Form des informationellen Selbstbestimmungsrechts also nur noch als gesetzliche Regelung auf dem Papier.

Derzeit erscheint es tatsächlich äußerst schwierig, eine vollständige Informiertheit beim Betroffenen zu erreichen. Es ist schlichtweg unverhältnismäßig, dass der Internetnutzer zeitlich einen viel größeren Aufwand für das Lesen der Datenschutzbestimmungen aufwenden muss, als für den gesamten Vertragsabschluss oder etwa den Registrierungsprozess.

Daher besteht dringender Bedarf an neuen Instrumentarien, die im Rahmen der heutigen und zukünftigen Bedingungen der digitalen Vernetzung eine informierte Einwilligung sicherstellen können. Mit anderen Worten: Das theoretische Konzept der informierten Einwilligung muss auch in der Praxis umsetzbar sein und bleiben. Hierfür bieten sich verschiedene Methoden an, die im Folgenden näher erläutert werden.

1. Lösung: Datenschutzbestimmungen auf einem Blick mit dem „One-Pager“

Die vom Bundesministerium für Justiz und für Verbraucherschutz betriebene Plattform „Verbraucherschutz in der digitalen Welt“ stellt Unternehmen eine Vorlage zur Verfügung, mit der sie die wichtigsten Datenverwendungsrichtlinien auf einem Blick auf nur einer Seite präsentieren können. Dafür werden mit Hilfe von Links und Mouseover-Funktion die Bestimmungen auf mehreren Ebenen angeordnet. Ohne eine faktische Verkürzung der Bestimmungen in Kauf nehmen zu müssen, kann der Umfang der Datenschutzbestimmung zumindest optisch stark verkürzt dargestellt werden. Damit kann dem Grundsatz der informierten Einwilligung weiterhin entsprochen werden.

Praktische Probleme in Bezug auf die Übersichtlichkeit könnten sich bei der Darstellung auf mobilen Endgeräten ergeben. Eine zusätzliche Gefahr besteht darin, dass die Rechtsprechung die Mouseover-Funktion in Bezug auf Unterrichtungspflichten mehrfach als unzureichend erachtet hat, weil nicht sichergestellt werden kann, dass jeder Nutzer, die Informationen, die erst nach einem kurzen Verweilen mit dem Cursor auf einem bestimmten Wort erscheinen, tatsächlich zur Kenntnis nimmt.

2. Lösung: Mehr Übersichtlichkeit durch die Verwendung von Symbolen

Alternativ können die Datenschutzbestimmungen anhand von farblichen Piktogrammen visualisiert werden. Dies könnte z. B. so aussehen, dass eine Einteilung in drei verschiedene Spalten erfolgt:

  • In der ersten Spalte werden verschiedene Verwendungsarten mithilfe von Bildsymbolen illustriert, wie bspw. Umfang, Art und Weise der Datennutzung oder auch die verschlüsselte Aufbewahrung personenbezogener Daten.
  • In der zweiten Spalte fänden sich Beschreibungen zu den Verwendungsarten.
  • In der dritten Spalte würde mit Hilfe von Symbolen (grünes Hakensymbol = Bestätigung, rotes Kreuzsymbol = Verneinung des Vorhandenseins der Verwendungsart) Angaben darüber gemacht, ob das Unternehmen von der jeweiligen Verwendungsart Gebrauch macht.

Der wohl größte Vorteil liegt darin, dass die Datenschutzbestimmungen durch die Visualisierung transparent und leicht zugänglich dargestellt werden. In der endgültigen Fassung der Datenschutz-Grundverordnung ist der Einsatz von Bildsymbolen immerhin als freiwillige Option vorgesehen (Art. 12 Abs. 7 DSGVO).

3. Lösung: Höherer Aussagegehalt durch farbliches „Ampel-System“

Trotz möglicher Darstellung mittels Bildsymbolik dürfte es dem Betroffenen in Bezug auf eine informierte Einwilligung schwer fallen, eine Einschätzung darüber zu treffen, wie stark er durch die jeweilige Verwendungsart in seinem informationellen Selbstbestimmungsrecht berührt wird. Aus diesem Grund wäre ergänzend zur bildlichen Darstellung eine Bewertung der einzelnen Kategorien empfehlenswert.

Dafür bietet sich das in verschiedenen Bereichen der Konsumenteninformation bereits verbreitete farbliche „Ampel-System“ an:

  • Rot bedeutet eine hohe Beeinträchtigung;
  • gelb eine mittlere Beeinträchtigung und
  • grün eine Beeinträchtigung mit geringer Intensität.

Auf diese Weise könnten Betroffene schnell erkennen, inwiefern sie durch die Datenverwendungsarten des jeweiligen Unternehmens in ihrem Recht auf informationelle Selbstbestimmung betroffen wären. Die Bewertung könnte sich anhand der erhobenen Datenmenge, ihrer Art und dem Zweck ihrer Verwendung kategorisieren lassen.

Negative Bewertungskriterien könnten z. B. sein, dass das Unternehmen sensible Daten erhebt oder Daten auch nach der Erreichung ihres Verarbeitungszweckes weiterverarbeitet. Positive Bewertungskriterien wären z. B., dass das Unternehmen erleichterte Bedingungen für die Betroffenen zur Wahrnehmung ihrer Rechte (auf Auskunft, Berichtigung, Sperre, Löschung und Widerspruch) schafft.

Ein besonders wichtiges Bewertungskriterium wäre zudem, wie die technischen und organisatorischen Maßnahmen des Unternehmens ausgestaltet sind, um die Daten der Nutzer vor unberechtigtem Zugriff zu schützen, denn je besser die IT-Sicherheit eines Unternehmens ist, desto höher ist sein Datenschutzstandard zu bewerten.

Fazit: Die informierte Einwilligung bleibt eine Herausforderung

Durch den technischen Wandel und stetig neue Medienformen (vor allem im Bereich der sozialen Netzwerke und Apps) bleibt es eine Herausforderung, die umfassende Informiertheit des Nutzers bei der Einwilligung zu gewährleisten. Vor allem mittels grafischer Darstellung lassen sich jedoch gut verständliche Datenschutzerklärungen entwickeln. Neben dem zuständigen Datenschutzbeauftragten sollten Unternehmen hierbei auch auf die Erfahrung von Usability-Experten setzen.

Sind diese Inhalte hilfreich? Bitte bewerten Sie!
[11 Bewertung(en)/ratings]
0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.