Umsetzung der informierten Einwilligung nach DSGVO

Die informierte Einwilligung ist für die Legitimation der Datenverarbeitung sehr wichtig. In der Praxis stellen sich jedoch meist Problem, die umfassende Information der Nutzer rechtskonform zu gestalten. Wie kann also die informierte Einwilligung im Rahmen der modernen Technik in der Praxis umgesetzt und sichergestellt werden? Welche Möglichkeiten gibt es, den Nutzer möglichst übersichtlich und transparent zu informieren?

Die Herausforderung der informierten Einwilligung

Die Einwilligung ist eine der möglichen Rechtsgrundlagen, welche es dem Verantwortlichen erlauben, personenbezogene Daten zu verarbeiten. Eine rechtskonforme Einwilligung setzt jedoch voraus, dass der Betroffene ausreichend von Umfang und Reichweite der Verarbeitung informiert wird. Ziel ist es somit, dass die Betroffene sich darüber im Klaren sind, worin genau sie einwilligen.

In der Praxis stellt es sich jedoch immer wieder als problematisch heraus, wie die Informiertheit des Betroffenen sichergestellt werden kann, damit die Wirksamkeit der Einwilligung gewährleistet ist. Viele Betroffene sind angesichts der Informationsflut, die mit der Nutzung von Online-Diensten einhergeht und in die sie vor der Benutzung einwilligen müssen, schlichtweg überfordert.

Dies ist nicht weiter verwunderlich, wenn man bedenkt, dass z. B. die Datenschutzbestimmung von Facebook knapp zehn DIN-A4-Seiten lang ist. Solche nahezu endlosen Datenschutzbestimmungen sind leider keine Seltenheit, obwohl Erwägungsgrund 42 DSGVO ausdrücklich vorgibt, dass die Einwilligungserklärung „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden“ muss. Dies entspricht auch den Vorgaben des § 13 TMG.

Gesetzliche Theorie vs. Praxistauglichkeit

Die gesetzlichen Normen sollen das Recht der Verbraucher auf informationelle Selbstbestimmung schützen. So müssen die Datenschutzbestimmungen alle beabsichtigten Verarbeitungsvarianten personenbezogener Daten nennen. Doch durch den technischen Fortschritt werden die Methoden der Datenverarbeitung und mit ihr einhergehend auch die datenschutzrechtlichen Bestimmungen immer komplexer. Praktisch stellt sich das Problem, dass durch die immer ausschweifenderen Regelungen dem Erfordernis der informierten Einwilligung kaum noch entsprochen werden kann. Faktisch existiert die Entscheidungsfreiheit des Einzelnen in Form des informationellen Selbstbestimmungsrechts also nur noch als gesetzliche Regelung auf dem Papier.

Derzeit erscheint es tatsächlich äußerst schwierig, eine vollständige Informiertheit beim Betroffenen zu erreichen. Es ist schlichtweg unverhältnismäßig, dass der Internetnutzer zeitlich einen viel größeren Aufwand für das Lesen der Datenschutzbestimmungen aufwenden muss, als für den gesamten Vertragsabschluss oder etwa den Registrierungsprozess.

Daher besteht dringender Bedarf an neuen Instrumentarien, die im Rahmen der heutigen und zukünftigen Bedingungen der digitalen Vernetzung eine informierte Einwilligung sicherstellen können. Mit anderen Worten: Das theoretische Konzept der informierten Einwilligung muss auch in der Praxis umsetzbar sein und bleiben. Hierfür bieten sich verschiedene Methoden an, die im Folgenden näher erläutert werden.

1. Lösung: Datenschutzbestimmungen auf einem Blick mit einem „One-Pager“

Die vom Bundesministerium für Justiz und für Verbraucherschutz betriebene Plattform „Verbraucherschutz in der digitalen Welt“ stellt Unternehmen eine Vorlage zur Verfügung, mit der sie die wichtigsten Datenverwendungsrichtlinien auf einem Blick auf nur einer Seite präsentieren können. Dafür werden mit Hilfe von Links und Mouseover-Funktion die Bestimmungen auf mehreren Ebenen angeordnet. Ohne eine faktische Verkürzung der Bestimmungen in Kauf nehmen zu müssen, kann der Umfang der Datenschutzbestimmung zumindest optisch stark verkürzt dargestellt werden. Damit kann dem Grundsatz der informierten Einwilligung weiterhin entsprochen werden.

Praktische Probleme in Bezug auf die Übersichtlichkeit könnten sich bei der Darstellung auf mobilen Endgeräten ergeben. Eine zusätzliche Gefahr besteht darin, dass die Rechtsprechung die Mouseover-Funktion in Bezug auf Unterrichtungspflichten mehrfach als unzureichend erachtet hat, weil nicht sichergestellt werden kann, dass jeder Nutzer die Informationen, die erst nach einem kurzen Verweilen mit dem Cursor auf einem bestimmten Wort erscheinen, tatsächlich zur Kenntnis nimmt.

2. Lösung: Mehr Übersichtlichkeit durch die Verwendung von Symbolen

Alternativ können die Datenschutzbestimmungen anhand von farblichen Piktogrammen visualisiert werden. Dies könnte z. B. so aussehen, dass eine Einteilung in drei verschiedene Spalten erfolgt:

  • In der ersten Spalte werden verschiedene Verwendungsarten mithilfe von Bildsymbolen illustriert, wie bspw. Umfang, Art und Weise der Datennutzung oder auch die verschlüsselte Aufbewahrung personenbezogener Daten.
  • In der zweiten Spalte fänden sich Beschreibungen zu den Verwendungsarten.
  • In der dritten Spalte würde mit Hilfe von Symbolen (grünes Hakensymbol = Bestätigung, rotes Kreuzsymbol = Verneinung des Vorhandenseins der Verwendungsart) Angaben darüber gemacht, ob das Unternehmen von der jeweiligen Verwendungsart Gebrauch macht.

Der wohl größte Vorteil liegt darin, dass die Datenschutzbestimmungen durch die Visualisierung transparent und leicht zugänglich dargestellt werden. In Datenschutz-Grundverordnung ist der Einsatz von Bildsymbolen immerhin als freiwillige Option vorgesehen (Art. 12 Abs. 7 DSGVO).

3. Lösung: Höherer Aussagegehalt durch farbliches „Ampel-System“

Trotz möglicher Darstellung mittels Bildsymbolik dürfte es dem Betroffenen in Bezug auf eine informierte Einwilligung schwerfallen, eine Einschätzung darüber zu treffen, wie stark er durch die jeweilige Verwendungsart in seinem informationellen Selbstbestimmungsrecht berührt wird. Aus diesem Grund wäre ergänzend zur bildlichen Darstellung eine Bewertung der einzelnen Kategorien empfehlenswert.

Dafür bietet sich das in verschiedenen Bereichen der Konsumenteninformation bereits verbreitete farbliche „Ampel-System“ an:

  • Rot bedeutet eine hohe Beeinträchtigung;
  • gelb eine mittlere Beeinträchtigung und
  • grün eine Beeinträchtigung mit geringer Intensität.

Auf diese Weise könnten Betroffene schnell erkennen, inwiefern sie durch die Datenverwendungsarten des jeweiligen Unternehmens in ihrem Recht auf informationelle Selbstbestimmung betroffen wären. Die Bewertung könnte sich anhand der erhobenen Datenmenge, ihrer Art und dem Zweck ihrer Verwendung kategorisieren lassen.

Negative Bewertungskriterien könnten z. B. sein, dass das Unternehmen sensible Daten erhebt oder Daten auch nach der Erreichung ihres Verarbeitungszweckes weiterverarbeitet. Positive Bewertungskriterien wären z. B., dass das Unternehmen erleichterte Bedingungen für die Betroffenen zur Wahrnehmung ihrer Rechte (auf Auskunft, Berichtigung, Sperre, Löschung und Widerspruch) schafft.

Ein besonders wichtiges Bewertungskriterium wäre zudem, wie die technischen und organisatorischen Maßnahmen des Unternehmens ausgestaltet sind, um die Daten der Nutzer vor unberechtigtem Zugriff zu schützen. Denn je besser die Informationssicherheit eines Unternehmens ist, desto höher ist sein Datenschutzstandard zu bewerten.

Fazit: Die informierte Einwilligung bleibt eine Herausforderung

Durch den technologischen Wandel und stetig neue Medienformen (vor allem im Bereich der sozialen Netzwerke und Apps) bleibt es eine Herausforderung, die umfassende Informiertheit des Nutzers bei der Einwilligung zu gewährleisten. Vor allem mittels grafischer Darstellung lassen sich jedoch gut verständliche Datenschutzerklärungen entwickeln. Neben dem zuständigen Datenschutzbeauftragten sollten Unternehmen hierbei auch auf die Erfahrung von Usability-Experten setzen.

Dieser aktualisierte Artikel erschienzuerst am 24. Februar 2017. 

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.